如果您的公司向其他公司提供服務(wù)捆等，這些服務(wù)可能會對您客戶的財務(wù)報告產(chǎn)生影響滞造。因此，您客戶的審計師可能需要確保圍繞您的服務(wù)的控制設(shè)計有效栋烤，并且在某些情況下有效運(yùn)行谒养。提供這種保證的一種方法是進(jìn)行服務(wù)組織控制(SOC: Service Organization Control) 審核。 SOC 1和 SOC 2審核報告有明顯差異明郭。

根據(jù)美國注冊會計師協(xié)會的說法买窟，SOC 報告有助于服務(wù)組織“運(yùn)營信息系統(tǒng)并向其他實(shí)體提供信息系統(tǒng)服務(wù)，通過獨(dú)立注冊會計師的報告建立對其服務(wù)交付流程和控制的信任和信心”（美國注冊會計師協(xié)會）薯定。您的客戶經(jīng)常需要遵守外部會計師事務(wù)所的審計請求始绍，因此您的 SOC 審計結(jié)果有助于使這些審計流程更加順暢。

最近话侄，越來越多的服務(wù)被外包給數(shù)據(jù)中心亏推。服務(wù)組織已將這些服務(wù)作為其業(yè)務(wù)模型的核心組成部分，從而更高效年堆、更經(jīng)濟(jì)地提供這些服務(wù)吞杭。必須注意的是，服務(wù)組織對其提供的服務(wù)以及保護(hù)敏感數(shù)據(jù)的機(jī)密性和安全協(xié)議負(fù)有責(zé)任变丧。SOC 1 和 2 報告授予服務(wù)組織實(shí)施的特定控制以及審計員執(zhí)行的測試的透明度芽狗。這些控制的成敗對用戶組織的聲譽(yù)、財務(wù)報表和穩(wěn)定性有直接或間接的影響痒蓬。

SOC 1 報告

SOC 1 報告也稱為SSAE 18 童擎，其重點(diǎn)是財務(wù)滴劲；它涵蓋與用戶實(shí)體（客戶）財務(wù)報表審計相關(guān)的服務(wù)組織控制」烁矗控制目標(biāo)與業(yè)務(wù)流程和信息技術(shù)有關(guān)班挖。

SOC 1 – I 類審核報告?zhèn)戎赜诿枋龇?wù)組織的控制以及這些控制的設(shè)計方式在特定日期實(shí)現(xiàn)控制目標(biāo)的適用性。SOC 1-Type II 審計報告包含與 Type I 相同的意見捕透，但它增加了對在指定期間內(nèi)實(shí)現(xiàn)相關(guān)控制目標(biāo)的運(yùn)營有效性的意見聪姿。SOC 1 審核報告僅限于服務(wù)組織、用戶實(shí)體和用戶審核員的管理乙嘀。

我的組織需要 SOC 1 報告嗎末购？

您可能知道您的組織是否需要為您的客戶執(zhí)行 SOC 1 報告 ，但它可能會幫助您問自己幾個關(guān)鍵問題以確保您需要執(zhí)行此特定報告：

1. 在執(zhí)行審核時虎谢，SOC 1 報告是否會成為您的客戶及其審核員的可靠工具盟榴？此功能是 SOC 1 類型 1 報告的基石，對于幫助您的客戶順利進(jìn)行審計非常寶貴婴噩，幾乎沒有留給外部審計員提問的余地擎场。
2. SOC 1 報告是否對需要遵守 2002 年薩班斯-奧克斯利法案(SOX) 的客戶有用？SOC 1 報告是一種可靠的工具几莽，可幫助您的客戶遵守金融法律法規(guī)迅办、提高對企業(yè)責(zé)任的遵守程度以及打擊企業(yè)和會計欺詐行為。
3. SOC 1 報告是否有助于與利益相關(guān)者和客戶建立牢固的關(guān)系章蚣？SOC 1 報告的一個好處是它有助于提高利益相關(guān)者對您的服務(wù)組織的信任和信心站欺。SOC 1 提供易于訪問的流程報告，以創(chuàng)建透明度和保證纤垂。

AICPA 明確指出矾策，此類 SOC 報告適用于直接影響或可能影響其客戶財務(wù)報告的服務(wù)組織。根據(jù)鑒證業(yè)務(wù)標(biāo)準(zhǔn)聲明第 16 號 ( SSAE 16）峭沦，它還與用戶實(shí)體對財務(wù)報告的內(nèi)部控制有關(guān)贾虽。

SOC 2 報告

SOC 2 報告也與SSAE 18 標(biāo)準(zhǔn)相關(guān)聯(lián)。它的創(chuàng)建部分是由于云計算的興起和將功能業(yè)務(wù)外包給服務(wù)組織吼鱼。這些在 SOC 報告中稱為用戶實(shí)體蓬豁。責(zé)任問題引起了對系統(tǒng)處理信息的機(jī)密性和隱私性的保證需求。

SOC 2報告闡述了服務(wù)組織與運(yùn)營和合規(guī)性相關(guān)的控制菇肃，正如美國注冊會計師協(xié)會 (AICPA) 的信任服務(wù)標(biāo)準(zhǔn)所概述的與其服務(wù)地粪、運(yùn)營和合規(guī)性相關(guān)。具體來說巷送，它報告可用性、安全性矛辕、處理完整性笑跛、機(jī)密性和隱私性的標(biāo)準(zhǔn)付魔。服務(wù)組織可以選擇側(cè)重于任何人或所有五項信任服務(wù)原則的 SOC 2 報告，并且可以選擇 I 類或 II 類審計飞蹂。SOC 2 報告包括對服務(wù)審核員的控制測試和結(jié)果的詳細(xì)描述几苍。此報告的使用通常受到限制。

我的組織需要 SOC 2 嗎陈哑？

SOC 2 要求管理參與的妻坝、基于技術(shù)的服務(wù)組織，這些組織將客戶信息存儲在云中惊窖。這包括 SaaS 提供商和其他云服務(wù)平臺刽宪。

SOC 1 和 SOC 2 報告有何不同？

讓我們看看 SOC 1 和 SOC 2 之間的重要區(qū)別：

• 范圍不同：SOC 1 報告?zhèn)戎赜谪攧?wù)控制界酒，而 SOC 2 報告更廣泛地側(cè)重于可用性圣拄、安全性、處理完整性毁欣、機(jī)密性和隱私庇谆。
• 盡管它們都源于鑒證業(yè)務(wù)標(biāo)準(zhǔn)聲明 (SSAE) 18，但 SOC 1 解決了AT-C 320部分凭疮，而 SOC 2 解決了AT-C 105和AT-C 205部分饭耳。

• SOC 1 測試滿足已確定控制目標(biāo)的控制，其中 SOC 2 識別和測試滿足標(biāo)準(zhǔn)的控制执解。

  
  
  soc

誰接收和審查 SOC 報告寞肖？

用戶實(shí)體的審計員負(fù)責(zé)組織的內(nèi)部控制、法規(guī)和 IT 合規(guī)性材鹦，應(yīng)獲取并審查 SOC 1 或 2 報告逝淹。供應(yīng)商合規(guī)、內(nèi)部審計桶唐、IT 管理和法律部門的任何人都可能是有興趣了解服務(wù)組織的控制結(jié)構(gòu)的各方栅葡。接受 SOC 報告時要考慮的關(guān)鍵組件：

• 該報告是否包括在特定時間段內(nèi)測試控制的運(yùn)行有效性，還是僅涵蓋特定時間點(diǎn)尤泽？
• 對于 SOC 1 報告欣簇，控制測試的時間段是否為特定財政年度提供了適當(dāng)?shù)母采w范圍？
• 系統(tǒng)或報告范圍是否全面概述了您外包的服務(wù)坯约？
• 系統(tǒng)范圍是否包含子服務(wù)機(jī)構(gòu)熊咽？服務(wù)機(jī)構(gòu)是否使用了分拆或包容性方法？
• 查看任何測試異常以確定您對服務(wù)組織的評估的影響闹丐。
• 服務(wù)審核員的專業(yè)聲譽(yù)横殴。