来源:https://linfordco.com/blog/soc-2-vs-soc-3/
在决定您的服务组织需要什么样的SOC报告,或者从您的服务组织请求什么样的报告时,这些选项可能有点令人困惑。特别是在考虑是否需要SOC 2和SOC 3报告时。
我们的许多客户问我们SOC 2和SOC 3报告之间有什么区别,以及获得SOC 3报告的价值是什么。简而言之,SOC 2和SOC 3报告都是根据SSAE 18标准进行的认证检查,特别是由AICPA管理的AT-C 105和205节。
主要区别在于SOC 2是一个受限使用报告,而SOC 3是一个通用使用报告。
在接下来的文章中,我们将深入研究SOC 2和SOC 3报告之间的差异,并进一步了解如何决定哪个SOC报告是适合您的服务组织的报告。
一、什么是SOC报告?
首先,让我们介绍一些基本知识。系统和组织控制(System and Organization Controls,SOC)报告是由AICPA发布的标准管理的报告,与提供服务的服务组织相关,如软件即服务、云计算、数据托管(software as a service, cloud computing, data hosting)等。
系统和组织控制(SOC)是注册会计师和服务组织使用的一个常用短语,用于指服务组织中的系统级和实体级控制。服务组织向其他实体提供服务,它们具有构成组织内部控制环境的系统和组织控制。
有几个SOC报告选项可供选择:SOC 1、SOC 2、SOC 3和用于网络安全的SOC。下面我们将进一步深入研究最常用的SOC报告(SOC 1、SOC 2和SOC 3)及其差异。
二、什么是SOC 1和SOC 2报告?
SOC 1报告概述于认证协议标准声明(SSAE) 18,特别是at – c320节。当服务组织可以影响其客户对财务报告(ICFR)的内部控制时,SOC 1报告通常是正确的选择。换句话说,服务机构的内部控制会影响其客户的财务报表。
例如,如果服务组织执行工资处理、索赔处理、信用卡支付处理、数据中心等,则可能需要一个SOC 1。
在SOC 1和SOC 2中需要注意的关键区别是,SOC 1关注的是服务组织的内部控制,可以影响客户的财务报表,而SOC 2关注的是与AICPA的信任服务标准(TSCs)概述的合规和运营相关的控制。
二、什么是SOC 2报告?
如上所述,SOC 2报告通常用于满足广大用户的需求,这些用户与AICPA概述的TSCs相关的服务组织的控制有关。与SOC 1类似,SOC 2报告在SSAE 18标准中有概述,但在AT-C 105和205节中有说明。
有5个TSC可以包含在SOC 2报告中,唯一需要在SOC 2报告中的TSC是安全TSC( Security TSC)。服务组织可以根据其提供的服务所带来的风险(可用性、处理完整性、机密性和隐私性)来决定是否应该包括其他四个tsc(Availability,Processing Integrity,Confidentiality, 和Privacy.)。
三、什么是SOC 3报告?
SSAE 18标准中也概述了SOC 3报告,类似于SOC 2报告,特别是AT-C 105和205节。
根据AICPA的说法,SOC 3报告是“为满足用户的需求而设计的,这些用户需要在服务组织中确保与安全性、可用性、处理完整性、机密性或隐私相关的控制,但不需要或不具备有效使用SOC 2报告所需的知识。”
此外,SOC 3报告是通用报告,因此服务组织可以将其用作向潜在客户提供的营销工具。
四、什么是SOC 2报告和SOC 3报告?
由于SOC 2和SOC 3报告受相同的AICPA标准管理,因此服务审计员为这两份报告执行的工作非常相似。这两个报告都是为解决AICPA TSCs而设计的,因此由服务审核员标识和测试的控制对于这两个报告来说通常是相同的。这些报告的关键区别在于报告。
SOC 2报告可以是I型和II型的报告,而一个SOC 3报告总是II型和没有选择一个类型。另外,SOC 2报告限制使用报告,用于使用服务组织的管理、客户,以及他们客户的审计人员。
另一方面,SOC 3报告是可以由服务组织自由分发的通用报告。这是因为SOC 3报告本身包含的细节要少得多。
通常情况下,服务组织将在其网站上提供其SOC 3,而客户必须从服务组织请求一份SOC 2的副本。
与SOC 2报告不同,SOC 3报告没有服务审核员测试的控制、测试过程和测试过程的结果的详细描述。SOC 3报告通常包含简短的审计师意见、管理断言和系统描述。
由于报告没有详细介绍系统及其如何运行、控制测试和测试结果,SOC 3是营销潜在客户的一个很好的工具,但SOC 3单独通常不会满足当前客户及其审计员的需求。
在许多情况下,我们看到客户要么获得SOC 2,要么同时获得SOC 2和SOC 3。由于必须满足的标准,执行这些报告的成本是相似的,因此,对于客户来说,获得SOC 2和增加SOC 3的增量费用通常更有意义。
总结
总之,服务组织很难确定哪个最常用的SOC报告(SOC 1、SOC 2和SOC 3)是适合他们的报告。它们都有不同的用途。
服务组织通常更容易确定他们是否需要SOC 1或SOC 2,因为它们之间的关键区别是服务组织的控制是否影响客户对财务报告的内部控制。
在SOC 2和SOC 3之间做出决定变得有点困难。要记住的关键事情是,SOC 2是一个受限使用报告,它包含关于系统、适当的控制、服务审核员的测试过程及其测试过程的结果的详细信息。SOC 3是一个不包含太多细节的通用报告,是一个很好的营销工具。
