MLR

了解 SOC 1 审核

系统和组织控制 (SOC) 1 检查或“SOC 1 审计”与影响客户财务报表或财务报告内部控制的软件和服务公司相关。以下是 SOC 1 审核流程的概述以及常见问题的解答。 联系我们 了解更多信息或安排与我们经验丰富的 IT 安全与合规团队进行 30 分钟的免费咨询。

谁需要 SOC 1 审核?

尽管法律不要求 SOC 1 审计,但向接受财务审计的客户提供影响财务报告的软件或服务的公司经常发现,SOC 1 审计对于向潜在客户销售是必要的。来自知名公司的 SOC 1 报告建立了与客户的信任和信心,为寻求吸引广泛高价值客户的公司提供了市场差异化优势。

金融科技公司、影响财务报告的 SaaS 公司、薪资处理机构、贷款服务组织、索赔处理机构、数据中心和会计软件提供商是 SOC 1 审计的常见候选者。贵公司应考虑进行 SOC 1 审核的其他迹象包括: 频繁要求完成供应商安全调查问卷;引用 SOC 1、SSAE 18 或 SSAE 16 的客户协议;难以驾驭客户供应商最值得信赖的十大娱乐平台要求;或直接客户要求。

什么是 SOC 1 报告?

SOC 1 报告,也称为 SSAE 18 报告,以前称为 SSAE 16 和 SAS 70 报告,旨在通过建立可发布给最终用户的标准化报告来减轻服务提供商的审计负担。 SOC 1 审核流程基于 美国注册会计师协会 (AICPA) 并根据行业、公司规模和客户期望为您的公司量身定制。

SOC 1 审计侧重于 IT、业务流程以及财务控制和程序的组合。 SOC 2 审核相比之下,更专注于解决系统安全性、完整性、可用性和机密性的 IT 控制,并且专为获取敏感客户信息的软件提供商和公司而设计。许多发布 SOC 1 报告的软件公司也受益于 SOC 2 报告。

SOC 1 报告专门设计用于满足根据 AICPA 的指导对客户财务报表进行审计的公司的要求。 SOC 1 报告的控制目标是根据向最终客户提供的服务为每个公司定制的。控制目标包括 IT 控制(例如逻辑访问、变更最值得信赖的十大娱乐平台、备份和恢复)以及相关业务流程控制(例如对帐、报告和交易授权)的组合。

SOC 1 审计流程

由于充满控制缺陷和失败的 SOC 1 报告弊大于利,因此 SOC 1 审核流程通常从 SOC 1 准备情况评估开始,以评估您的公司是否准备好接受 SOC 1 审核。 SOC 1 准备情况评估提供了一种途径,可将贵公司当前的政策、程序和控制与预期的 SOC 1 控制目标进行比较,并实施专门设计用于满足 SOC 要求的内部控制,而不会过于繁琐或耗时。评估通常需要两周时间,包括与相关团队成员的讨论、内部操作的审查和系统配置的观察。

在 SOC 1 审核过程中,ML&R 团队的一名成员会彻底分析适用的 IT 和业务控制领域,以确定您的组织是否遵守既定的控制目标。 SOC 1 审计流程涉及与各个团队成员的讨论、相关 IT 和业务流程和程序的观察,以及为支持客户及其财务报表的完整性和准确性而实施的控制活动的测试。

我们的团队成员精通 SOC 1 要求,并创建了为每个组织定制的简化审核方法。证据收集和协作软件以及简化的报告流程减少了流程中浪费的时间——让我们和您的团队能够专注于真正重要的活动。

SOC 1 Type I 和 SOC 1 Type II 报告的区别

类型 1 和类型 2 报告之间的差异通常归结为测试的时间范围和范围。

SOC 1 类型 1 报告仅限于指定日期的设计测试(通常称为“一次测试”),通常作为第一个 SOC 报告执行。首先发布 1 类报告不是必需的,但通常是可取的,因为它允许公司更快地向其客户或潜在客户发布 SOC 报告,并在完成 2 类审计之前作为有效的“试运行”。该报告详细说明了您组织的财务流程和某些 IT 控制的设计,并确认适用的流程、程序和控制已在某个日期实施。 SOC 1 类型 1 报告不包括运营有效性测试,仅包括组织控制设计的测试。

SOC 1 类型 2 报告在设定的时间段内评估相关流程和控制,通常为 6 或 12 个月,而不是在特定日期之前。报告包括运营有效性测试,包括报告期内相关控制的抽样测试。公司应至少每年发布一次 SOC 1 类型 2 报告,无论它们是否以 SOC 1 类型 1 报告开始。大多数 ML&R SOC 客户通过以下服务获得 SOC 合规性:

  • SOC 准备评估
  • 类型 1 报告
  • 6 或 12 个月后的类型 2 报告
  • 之后每年进行类型 2 报告

 IT 安全与合规团队可以帮助您把握获得 SOC 1 认证的时间和流程

多久执行一次 SOC 1 审计

通常,SOC 1 Type 1 和 SOC 1 Type 2 审核报告的有效期为自报告之日起 12 个月。 SOC 1 审核应至少每年进行一次。拥有许多客户且要求 SOC 1 报告且财务年终各不相同的公司可能会受益于每六个月发布一次 SOC 1 类型 2。如果需要更早地提交 SOC 1 类型 2 报告,公司还可以在 SOC 1 类型 1 之后的较短时间范围内发布 SOC 1 类型 2 报告,例如 6 或 9 个月。

谁可以执行 SOC 1 审核

虽然 SOC 准备工作可以由一系列 IT 咨询公司执行,但 SOC 审计只能由获得认可的注册会计师 (CPA) 公司(AICPA 指定的认证)的许可审计和 IT 专业人员执行。

SOC 报告受到利益相关者、客户和审计员的信任,因为它们符合 AICPA 制定的高标准,并且仅由获得许可、培训和独立的个人执行。作为一个 全方位服务的会计师事务所, Maxwell Locke & Ritter 能够执行准备评估和审计/检查服务。

联系 Maxwell Locke & Ritter 了解更多信息

在 Maxwell Locke & Ritter 经验丰富的团队的帮助下,确保高效的 SOC 1 审核流程。 今天联系我们 了解更多信息或安排与团队进行 30 分钟的免费咨询。

CONTACT US
  • 将文件拖放到此处或
    接受的文件类型:jpg、png、pdf、doc、docx、Max。文件大小:50 MB,最大。文件:8。
    • 此字段用于验证目的,应保持不变。