系统 and Organization Control (SOC) 审计s

Embarking on the SOC audit is not for the faint of heart. 这不应该掉以轻心，因为它需要关注细节、良好的资源和时间. Depending on your level of readiness and the report type, the process can take anywhere from a few months to a year or longer from start to finish for organizations new to the process. 成熟的组织可以期望更短的时间——假设他们已经有必要的控制, processes and technologies in place.

SOC审计的创建为服务机构提供了三种报告选项，以响应统一报告和审查的需求，扩大了服务机构报告财务控制的能力, 非财务管制及, SOC 3, become certified trusted system service organizations.

注册会计师执行 SSAE 18认证 向服务机构的客户及其审核员提供保证，使其确信, adequate and effective 控制 in place.

• 第一类审计 consider the 控制’ design effectiveness at a certain point in time
• 第二类审计 在特定时期内检查控制的设计和运行效果, 通常是6到12个月.

SOC 1, SOC 2 and SOC 3 engagements address today’s environment that:

• Requires greater international consistency
• 解决了云计算、移动和虚拟化等新技术
• Demands more widely recognized and understood reporting options

我们为全国各地的客户提供SOC审计，并在我们提供证明工作的州保持适当的执照. 结果是, 我们拥有深入的行业知识，可以帮助各个行业的服务提供商, including healthcare and claims 处理, 金融服务, 云服务提供商, and commercial collation and hosting providers.

SOC 1要求管理层提供其系统的书面描述，并断言系统描述是公平呈现的, control objectives suitably designed and operate effectively, and identify the criteria they used to make those assertions.

Executive Team for SOC 1审计

如果您对SOC 1审计的更多信息感兴趣，请联系保罗和雅各.

• 保罗Demastus
• 雅各Schuetze

什么是SOC 1®报告?

SOC 1是一份关于SO控制的报告，与用户实体对财务报告的内部控制相关. This report is specifically intended to meet the needs of two parties:

1. The entities that use service organizations (用户实体)
2. The CPAs that audit the 用户实体’ financial statements (user auditors)

SOC 1帮助读者评估服务组织对用户实体财务报表的控制效果.

Examples of companies that need a SOC 1 Report.

• 外包医疗索赔处理功能的健康保险公司
• 一种员工福利计划，将职能外包给银行，由银行作为资产的保管人, 保持帐目记录, allocate investment income and/or make payments
• 任何利用打包软件应用程序使客户能够处理财务和操作事务的公司(应用程序服务提供商或“ASP”)。

There are two options when it comes to the SOC 1 report – type 1 and type 2.

A Type 1 report is a point-in-time assessment that evaluates:

• 管理层对服务机构体系描述的公平性(1).e., the accuracy of the system description)
• 控制设计是否适合实现描述中包含的控制目标(截至指定日期)

第二类报告涵盖一段时间，通常为6至12个月，并评估:

• 管理层对服务机构系统描述的公平性
• 控制设计是否适合实现描述中包含的控制目标(在整个指定期间)
• 控制措施为实现描述所列控制目标的运行有效性(在规定期间内)

The service auditor issues its opinion with the SOC 1 report, which is distributed for restricted use to the management of the SO, 用户实体, 用户审核员.

SOC 2业务使用TSC以及AT Section 101中的要求和指导, 证明活动, ssae (AICPA), 专业标准, 卷. 1). A SOC 2 report is similar to a SOC 1 report. 可以出具类型1或类型2的报告，该报告提供服务组织系统的描述. 对于二类报告, 它还包括服务审计员执行的测试和测试结果的说明.

Executive Team for SOC 2 审计s

如果您对SOC 2或SOC 3审计的更多信息感兴趣，请联系画了和罗宾.

• 德鲁德里克森
• 罗宾·巴顿

什么是SOC 2®报告?

A SOC 2 is a report on 控制 at a SO relevant to 安全, 可用性, 处理完整性, 保密, and privacy in alignment with the AICPA Trust 服务 Criteria (TSC). 而SOC 1报告则处理服务组织对金融交易的影响, SOC 2报告解决了与服务组织及其系统交互产生的风险.

该报告的目的是满足广大用户的需要，这些用户需要有关安全监督的控制的信息和保证，因为它们涉及:

• 安全, 可用性, 以及系统处理用户数据的完整性,
• 这些系统处理的信息的保密性和隐私性.

Below are a few examples of companies that may need a SOC 2 Report:

• 提供医疗服务, 雇主, 第三方管理人员和雇主的投保方拥有能够准确处理医疗记录和相关健康保险索赔的系统, 安全, 和秘密
• 管理, 操作, and maintaining 用户实体’ IT data centers, 基础设施, and application systems and related functions that support IT activities, 比如网络, 生产, 安全, and environmental control activities
• 管理用户实体对网络和计算系统的访问(例如, granting access to a system and preventing, 检测, 和减轻, 系统入侵)

与SOC 1报告一样，该业务有两种报告类型——类型1和类型2.

SOC 2报告的使用通常仅限于那些对服务组织有足够知识和理解的人, 它提供的服务, and the system used to provide those services.

SOC 3约定使用SOC 2约定中使用的信任服务标准中的预定义标准. SOC 3报告是一种通用报告，仅提供审计人员关于系统是否达到信托服务标准的报告(不描述测试和结果)。.  它还允许服务机构在其网站上使用SOC 3印章. SOC 3报告可以根据一个或多个信任服务标准(安全)发布, 可用性, 处理完整性, 保密, 和隐私).

Executive Team for SOC 3 审计s

如果您对SOC 2或SOC 3审计的更多信息感兴趣，请联系画了和罗宾.

• 德鲁德里克森
• 罗宾·巴顿

什么是SOC 3®报告

类似于SOC 2, SOC 3报告是一份关于SO控制的报告，这些控制与SO维护安全的能力有关, 可用性, 处理, 完整性, 保密, and privacy of a user entity’s data for  which it is responsible. The assessment entails the same Trust 服务 Criteria, 控制, and evaluation of 控制 addressed in a SOC 2 report.

关键的区别是SOC 3用于一般用途，而不是限制使用. 这意味着SOC 3报告是一份面向公众的文件，提供了SOC 2报告中包含的信息的高级概述. 而SOC 2报告包含有关业务系统和控制的敏感信息，其级别不适合公开分发, a SOC 3 report does not and is used as a front-facing report, often for the purposes of sales and marketing.

例子包括:

• 如果符合标准，SO可以选择在其网站上显示SOC 3印章, 并链接到SOC 3报告.
• 销售团队可以使用该报告向潜在客户和客户保证，SO正在保护他们的数据和私人信息. 客户可以很容易地验证所遵循的最佳实践，以防止安全漏洞和损坏的数据.

SOC 3报告的另一个好处是，如果您已经获得了SOC 2报告，则无需额外的审核程序.

网络安全SOC考试旨在为报告用户提供信息，帮助他们了解管理部门处理企业范围网络风险的流程. 它可以适用于任何类型的组织，无论其规模或行业如何, and report users aren’t necessarily current 客户 or customer auditors.

面向网络安全的SOC provides the following:

• 报告实体网络安全风险管理计划(CRMP)的标准、一致的方式.
• 向利益相关者传达网络安全控制有效性的有效方法, 董事会, 委员会, 客户, and partners through a comprehensive cyber安全 audit.

与SOC 2报告不同，网络安全报告的SOC解决以下问题:

• 在网络安全SOC中对实体进行评估的基准是管理层对实体网络安全风险管理计划的描述标准.
• 追求网络安全SOC的组织可以使用信任服务标准, 但在设计或评估其控制需求时，也可以使用另一种普遍接受的安全框架.
• 面向网络安全的SOC reports are general use reports, and the objectives of the report are often determined by company management. 这些报告适用于比SOC 2报告更广泛的受众，可以与组织内外的任何人共享.
• 在网络安全SOC中，控制矩阵将不包括在报告中.

LBMC SOC审计团队在与AICPA合作创建和发布该评估时发挥了重要作用，帮助您实现合规性，并为您提供做出更好业务决策所需的见解.