城市新标准(SSAE 18)
对2017年5月1日或之后的报告有效 美国注册会计师协会 (AICPA)发布SSAE 18,以取代目前所有认证业务的指南, 包括特定于SOC 1和SOC 2的审计1. 随着环境的不断变化和对保证考试的需求不断增长,采用新标准可让读者更容易和一致地更好地理解和应用标准.
beat365最新地址最近的一篇文章关注的是SOC报告的用户, 包括提供SOC报告服务的公司的客户. 这 文章将着重于服务机构-需要获得SOC考试的公司.
新标准如何影响服务组织
自2011年SOC 1实施以来, 服务组织向第三方子服务组织外包活动的趋势正在加速. 展望未来, 服务组织将需要确定这些子服务组织实施的控制,以使服务组织实现其控制目标(补充子服务组织控制, 或csoc). 在过去, 服务组织并不期望将他们对第三方控制的理解扩展到这个级别. 除了确定csoc之外, 服务组织必须正式地比较子服务组织和自身之间的联合控制活动,以确保控制活动中没有与其客户相关的间隙.
服务组织如何判断子服务组织是否在做它们应该做的事情?
服务组织将需要记录他们对其子服务组织的监视控制. 监测活动可包括:
- 检查和协调输出报告
- 与下属服务组织进行讨论并定期访问
- 审查子服务组织的相关SOC报告,甚至测试子服务组织的控制
- 监控与子服务组织有关的外部沟通,如客户投诉
除了在子服务组织的控制上实现监视活动之外, 服务组织将需要完成对其子服务组织的全面审查,以确定是否将其流程外包给另一个第三方. 如果子服务组织外包给第三方(服务组织认为是第四方),并且控制被认为与SOC 1控制目标相关, 第四方还应与相关的子服务组织一起在SOC报告中披露.
新标准如何影响服务审计员
新标准还对服务审计员进行了更改. 这包括彻底和正式地评估服务组织提供的用于测试的信息,以确保其足够可靠的需求, 准确的, 和完整的. 这项评价的项目可能包括:
- 用于选择测试项目样本的总体列表
- 具有特定特征的数据列表
- 服务组织生成的异常报告
- 交易对账
- 用户访问列表
- 系统生成的报告
相应的, 服务组织应准备为服务审计员的评价提供所需的证据. 这可能包括与控件所有者进行的额外演练, 以及对原始文件的额外观察,以确保证据对审计人员的程序是可靠的.
分别, 服务审计员将被要求在审计业务开始之前完成更详细的审计风险评估. 这种风险评估可以包括评估主题的特征、服务组织使用的标准的适宜性和其他因素. 在执行风险评估时,服务审计员需要包括内在的风险考虑因素,比如主题或断言的复杂性, 有服务组织工作经验, 服务组织完成流程的时间长度, 以及与主题或断言相关的控制. 请注意,虽然服务审核员需要完成此风险评估, 在SOC 1报告的情况下,服务组织的任务是确定威胁管理层描述中所述控制目标实现的风险, 以及适用的信任服务标准2 在SOC 2报告中.
新标准如何影响SOC报告的呈现
SSAE 18要求改变SOC报告的实际呈现方式(SOC 1和SOC 2). csoc将在系统描述中列出,并在服务组织对该系统描述的断言中通常被提及以供考虑. 服务组织的任何第四方也需要在描述和断言中公开. 最后, 由服务组织在子服务组织的控制上执行的监视活动将需要包含在管理层的描述中. 除上述各项外, 服务审核员需要确定是否应该包括测试的描述,这些测试是为了验证服务组织提供的用于测试的信息而执行的.
结论
在现实中, 大多数这些更改都需要对您的服务审计员根据SSAE 16一直以来所做的工作进行正式的文档记录. 虽然从整体上考虑,新18号SSAE要求的变化可能看起来很重要, 通过适当的计划和考虑,这些项目可以很容易地实现, 一个更清晰的定义和测试系统的最终结果将为服务组织和他们的客户提供更好的保证.
如果您对此有任何疑问,请beat365最新地址 艾米丽Antonico 或你的beat365最新地址顾问.244.7444.
免责声明:本出版物旨在向我们的客户和朋友提供一般信息. 它不构成会计, 税, 投资, or legal advice; nor is it intended to convey a thorough treatment of the subject matter.
1 当前的标准,认证业务标准声明(SSAE) No. 16、AT Section 801 (SOC 1)和AT Section 101 (SOC 2)将被SSAE No . SSAE取代. AT-C第105节,AT-C第320节(SOC 1)和AT-C第205节(SOC 2).
2 信任服务标准, 由美国会计师协会开发, 是否用于评估服务组织系统的描述以及与信任服务原则相关的控制的设计和操作有效性.
