使用SOC报告评估服务组织:第4部分如何审查服务审计员的测试结果和服务组织提供的其他信息?

By 艾米丽Antonico 2021年9月14日

这是我们的最后一篇文章 使用SOC报告评估服务组织 系列. 在这些文章中，我们探讨了SOC报告的每个组成部分，以及在您查看任何服务组织的SOC报告时应该寻找什么. 作为提醒，SOC报告的组成部分如下. 在本文中，我们将讨论在审查服务审计人员的测试结果和服务组织在报告中呈现的任何其他信息时，应该查找什么.

SOC报告的组成部分

你应该仔细检查SOC报告的组成部分, 哪一个提供具体的信息来支持供应商尽职调查和外包控制的评估, 包括:

• 服务审计员的报告
• 管理层的断言
• 描述的内容，包括其中之一
  • The control objectives specified by management (SOC 1); or
  • 管理层选择的信托服务类别(SOC 2)
  • 报告中指定的任何补充用户实体控件(cuec)或补充子服务组织控件(csoc), 哪些是描述的一部分
• 服务审计员的测试结果
• 服务组织提供的其他信息

服务核数师测试结果

服务核数师的测试结果将在SOC报告中对系统的描述后公布.  类型1报告将展示由服务组织实现的控制，类型2*报告将公开这些控制以及由服务审核员执行的相应测试，以测试这些控制的运行有效性.

当审查服务审计员的测试结果时, 关键控制, 您应该根据您的组织的期望检查测试程序的充分性. 除了, 您应该检查任何和所有测试异常，以确定其适用性和对组织的潜在影响，并检查任何包括在内的管理层响应，以确定补救工作.

*注:我们在前一篇beat365最新地址服务审计员的意见和管理层的主张的文章中涵盖了第一类报告和第二类报告之间的差异.

通过服务审计员测试发现的例外情况

当服务审计员的测试发现控制设计不合理或运行不有效时，就会出现异常或偏差. 识别后，服务审计人员将描述异常的性质. 另外, 在SOC报告中指出的任何运行效率方面的例外情况，应披露测试项目的数量和注意到的例外情况的数量.

当在测试结果中发现异常时, 服务组织管理可以选择在结果部分中提供对异常的响应，或者将其包含在报告的单独部分中. 当服务组织所采取的行动是前瞻性的并且在检查期间之外时，响应通常包含在“其他信息”部分中.

服务机构提供的其他信息

在报告的这一部分中呈现的信息是超出SOC审查范围的信息，但是服务机构希望与报告用户交流的信息. This section is not a part of the system description and has not been subjected to the service auditors’ procedures; however, 这并不意味着您不能依赖所提供的信息. 而服务审计员没有对信息执行过程, 服务审核员需要阅读这些信息，并确保这些信息没有重大的不一致或错误的事实陈述.

我们希望本系列文章对您有所帮助，使您能够确定在审查服务组织的SOC报告时应该关注的信息.