Home
AICPA & CIMA Insights Blog
Maintaining high standards for SOC engagements
Red and purple background
Professional Insights

Maintaining high standards for SOC engagements

Dec 06, 2023 · 3 min watch · AICPA & CIMA Insights Blog

与专家交谈,让你的问题得到回答是参加会议的无与伦比的好处.

At the 2023 AICPA® & CIMA® SOC & Third-Party Risk Management Conference held earlier this year, 与会者向一个小组提出了关于真实场景和假设场景的问题. Experts provided insights into challenges of SOC engagements, 包括供应商管理控制不充分的情况. Highlights from the one-hour Q&A session follow.

SOC reporting despite inadequate vendor management controls

SOC 1®业务涉及报告服务组织对其系统和设计的描述(以及类型2报告), 服务机构在系统内控制的运行有效性. 那么,当没有供应商管理控制时,你会怎么做?

In a SOC 2® engagement, common criterion (CC) 9.信任服务标准2使您有机会报告供应商管理处理是否没有充分发挥作用. SOC 1 engagements differ from SOC 2 engagements, however, 当您需要阐明与SOC 1合同中供应商管理相关的错误或不充分控制时,哪些会带来挑战.

在审查SOC 1业务中的事务类别时,将有用于处理事务的系统的关键元素. Steven Ursillo, CPA, CISA, CISSP, CCSFP, Cherry Bekaert LLP的合伙人和信息保障和网络安全的全国领导者, elaborated, “如果这些交易和对这些交易的控制取决于供应商责任的某些要素, 然后,很明显,人们期望服务组织提供一些覆盖的元素,以确保他们对正在执行的适当报告的操作感到满意.”

乌尔西略给出了这样的建议:“归根结底是审计师的判断. …供应商管理可能是其中的关键组成部分,需要采取相应的正确控制措施,以证实控制目标的实现.”

SOC reporting and ICFR dependencies

在进行SOC 1或SOC 2业务时,需要考虑的因素超出了供应商管理控制目标,还包括财务报告(ICFR)依赖性.

Chris K. Halterman, CPA, SOC reporting leader at EY LLP, stated, “An SOC 2 report provides useful evidence, but not to the extent that an SOC 1 report would.” When doing a SOC 1 audit, 您需要将注意力集中在用户审计员和用户实体的需求上.

“当我们进行SOC 1审计时,重点关注的是这一点, we put on our hat that focuses on the needs of users, particularly user auditors and user entities, with regard to the ICFR. Whereas when we're putting on our SOC 2 hat, 这是一个与安全相关的更广泛的视角, availability, processing integrity, confidentiality, privacy, commitments of the entity, or system requirements.

“So, 这两份报告有不同的预期用途和不同的审计员, and that's why when you try to make use of one or the other, you can find that you're not getting sufficient information,” said Halterman.

细致入微的理解对于从报告中提取足够的信息至关重要. SOC从业者需要向客户提供建议,以确保他们理解, as a service organization, their responsibilities in a SOC 1 or SOC 2 engagement.

但是,当188bet亚洲真人体育下载不是明确的ICFR时,你能证明进行SOC 1考试是合理的吗?

Halterman给出了这样的建议:“记住,188bet亚洲真人体育下载必须是合适的. 一个系统可能不适合作为SOC 1报告的188bet亚洲真人体育下载……SOC 1有自己的标准. 如果他们不合适,你就不应该接受. 您可能需要与您的客户合作,帮助他们和他们的用户实体准确地理解原因,帮助更好地定义他们的需求,并确保他们得到正确的报告,并帮助客户解决问题.”

Timeframe for collecting evidence

与会者很想知道收集证据的有效时间框架, and Sean Linton, CPA/CITP, partner at EisnerAmper LLP, 就截至日期的第1类报告向专家组提出一个假设情景.

根据Halterman的说法,这归结为专业判断. “这种专业判断将基于……其他控制措施的实施情况 ... and how [do] they interrelate? 你收集到的证据离其他控制组的期末还有多远?”

Neha Patel, CPA, CISA, CDPSE, 担任Weaver and Tidwell LLP的IT咨询服务合伙人, added, “For a type 1, 服务审核员正在评估特定日期的控制. 如果审计师在截止日期之后使用证据支持, 关键问题是审计师采取了哪些额外步骤来验证过去存在的控制? 专业判断和应用在确定您可以提前或超越日期多远才能最大限度地提高报告提供的保证水平方面起着重要作用.”

Additional SOC resources

审计服务组织的系统级控制或其他组织的实体级控制是一项值得注意的服务,可以为您提供竞争优势.

The SOC for Service Organizations Toolkit 指导您了解关键事项,例如确定范围和定价. The System and Organization Controls: SOC Suite of Serviceswebpageprovides resources for SOC 1, SOC 2, SOC 3, SOC for Cybersecurity, and SOC for Supply Chain examinations.

To learn more and get your 如有疑问,请在线或在拉斯维加斯加入我们 & CIMA ENGAGE 2024. Register by Dec. 19 and save $350.

What did you think of this?

您提供的每一点反馈都将帮助我们改善您的体验

What did you think of this?

您提供的每一点反馈都将帮助我们改善您的体验

Mentioned in this article

Topics

Audit & Assurance
Management Accounting & Finance

Subtopics

IT Assurance Services
SOC 1® - SOC for Service Organizations: ICFR
SOC 2®—服务组织SOC:信任服务标准
Manage preferences

Related content

    本网站由国际注册专业188bet亚洲真人体育下载为您提供, the global voice of the accounting and finance profession, 由美国注册188bet亚洲真人体育下载和英国特许管理188bet亚洲真人体育下载共同创立.

    About|Terms & Conditions|Accessibility|Privacy Policy|Contact|Help|Site Map

    CA Do Not Sell or Share My Personal Information