为什么会计师事务所要进行SOC 2审计?

我们的团队从非行业联系人和朋友那里听到的一个问题是 为什么会计师事务所执行SOC 2审计?

会计师事务所执行SOC 2审计的技术原因非常简单:

• SOC审计是由国际注册专业会计师协会(AICPA)管理的认证业务。.
• 认证标准, 例如SSAE18, 以及#SOC2信托bet9平台游戏标准, 是由美国注册会计师协会编纂的吗.
• 注册会计师事务所必须按照美国注册会计师协会的认证标准执行SOC 2审计.

从非技术角度来看，注册会计师事务所执行SOC 2审计有几个原因:

• 注册会计师是风险管理方面的专家. 从财务风险审计到网络安全风险审计是一个自然的发展过程.
• 注册会计师了解内部控制的概念和支持控制运作有效性所需的适当证据.
• 取决于组织的软件, 基础设施, 人与数据, 注册会计师可以确定应该作为SOC 2审计重点的高风险组件.
• 注册会计师明白SOC 2审核不是合规和认证. 注册会计师知道如何运用他们的专业判断来确定是否减轻了安全风险.
• 就我们在施耐德唐斯的案子而言, 我们专注于了解网络安全风险, 一些注册会计师事务所没有的.

我们经常听到的下一个问题是，注册会计师事务所实际上是如何执行SOC 2审计的? 通常，他们将SOC 2审核分为以下阶段(长度和时间可能会有所不同):

1. 规划

• 实地考察阶段前一至两个月.
• 确认第2类的考试时间或第1类的“截至日期”.
• 确认范围#SOC2类别.
• 确认审核时间表，包括关键里程碑和预期报告发布日期.
• 审核客户的控制和系统描述.
• 安排审计现场工作，包括与控件所有者的面谈和演练.
• 向客户提供所需文件清单.

2. 实地考察

• 两到三周完成.
• 检查证据以支持控制的设计(类型1)和运行有效性(如果类型2).
• 采访控件所有者并在必要时执行演练.
• 根据审计标准记录所执行的测试和结果.
• 与客户沟通审核结果.

3. 报告

• 实地工作阶段完成后4 - 6周完成.
• 执行所需的质量控制程序，确保正确遵循审计标准.
• 制定SOC 2草案报告.
• 提供报告草稿给客户审阅.
• 发布最终SOC 2报告.

每个阶段都会有更多人参与进来, 但是希望, 这在开始你的SOC 2旅程时提供了一些见解.

另一个重要的注意事项是，为您的SOC 2审计找到合适的注册会计师并不是一件容易或愉快的经历. 花点时间去找对的人，你会满意的. 以下是寻找注册会计师事务所时需要考虑的一些因素:

简洁明了的回答 他们是用注册会计师的行话来回答你的问题，还是用你能理解的术语来表达要求?

教育工作者的心态 -他们会在整个审核过程中对你进行培训和指导吗?

审计过程 -他们的审核过程在高层是否有意义?

能力 -他们了解你的技术栈吗? 如果你是云原生的, 询问他们如何审核云bet9平台游戏, such as S3; if you get a poor answer or blank stares, 是时候继续前进了.

审计工具 -他们是否会使用使审计更容易的软件? 要求一个演示.

审计方法 -他们会采取“按部就班”的方式，还是会公平合理，愿意合作.

管理的参与 -作为评估过程的一部分，与公司SOC 2实践中的经理交谈. 这些人将推动审计，而不是销售人员.

领导 -管理者是否表现出关心员工的品质?

价格 -价格公平合理吗?

施耐德唐斯对SOC报告采用了独特的方法, 整合资讯科技专业知识, 内部审计和外部审计专业人员. 通过结合跨学科知识和项目管理专业知识, 我们能够有效地满足客户的期望. 如果您有兴趣了解我们如何帮助您的组织，请 bet9平台游戏 要开始或了解更多关于我们的实践 5a.ocat-wg.net/soc. 

关于SOC 2报告

通过SOC 2报告，组织可以决定将哪些类别纳入检查范围. 这种灵活性意味着每个公司的报告都是独一无二的, 同时提供一致的框架来评估组织是否符合审查中所包括类别的标准. 这些考试是为需要有关bet9平台游戏组织中与安全相关的控制的信息和保证的广泛用户而设计的, bet9平台游戏组织用于处理用户数据的系统的可用性和处理完整性, 以及这些系统处理的信息的保密性和隐私性. 这份报告的使用受到限制. 这些报告可以在组织的监督中发挥重要作用, 供应商管理程序, 以及公司内部治理和风险管理流程.

施耐德唐斯SOC资源

• 施耐德唐斯SOC faq
• 施耐德唐斯SOC案例研究
• 施耐德唐斯SOC文章