この記事は機械翻訳されました。
顧客の財務データを扱う際には、信頼性が重要です。SOC 1 レポートは、このデータを保護するための制御が実施されていることを示すのに役立ちます。
SOCは「service organization control」の頭文字をとったものです。 SOC 1 レポートには、非常に多くの頭字語や珍しい用語が用意されています。これらは技術文書であり、それらについて議論するために使用される言語は、その複雑さを反映しています。
SOC 1レポートとは?
SOC 1 レポートは、組織がクライアントの財務データをどのように保護しているかを詳しく説明します。このようなレポートを使用して、現在の顧客と潜在的な顧客に対するコミットメントを確認します。
SOCレポートは、AICPAによって部分的に作成されました。同組織によると、 SOC 1 レポートには 2 種類 (タイプ 1 とタイプ 2) が存在するとのことです。どちらも、組織はクライアントデータをどのように保護するかを詳しく説明する必要があります。タイプ 2 の SOC 1 レポートのみが、これらのプランの運用効率を調べます。
SOC 1は何に使用されますか?
毎日、あなたとあなたのスタッフは、クライアントデータに関するプロトコルに従っています。その情報を変更したり、無効にしたりしないように、できる限りのことをします。SOC 1レポートは、これらの計画を監査し、実行すると約束したことを実行していることを証明するのに役立ちます。
SOC 1 監査は、いわゆる「コントロール」に注目します。これらは以下に適用される場合があります。
- プログラム。 使用しているツールは情報を保護していますか?
- データ。 あなたのワークフローでは、重要な情報の変更が許可されていますか?
- リソース。 使用しているコンピューター、サーバー、その他の機器はデータを保護していますか?
監査役は、組織の物理的な部分に目を通す場合があります。 監査役は、情報を保護するプロセス、許可、およびパスワードも確認する場合があります。 監査役は、すべてが水密であることを証明する必要はありません。 それどころか、彼らは単にあなたがレポートで約束したことを守っていることを証明または反証しようとします。
SOC 1レポートは必須ですか?
一部の業界では、次のような規制上または法的な圧力がかかり、SOCレポートを作成しています。
- メディカル: あなたの会社概要 は、顧客のために医療クレームを処理していますか?
- 金融: あなたはあなたの顧客のためにローンを提供していますか?給与計算は行っていますか?財務データは、SOC 1レポートの対象となる可能性があります。
- データ: 顧客の情報を保存していますか?財務情報を変更する可能性のあるソフトウェアを提供していますか?
ここでは、情報を「書く」能力が重要です。情報のみを表示でき、ITを変更できない場合は、SOC 1レポートが必要ない可能性があります。 しかし、データを変更するときに間違いを犯す能力と権限がある場合は、レポートが重要になる可能性があります。データを変更できる場合、あなたの会社概要は技術的には「SOC 1 サービス組織」であり、潜在的な顧客はあなたと取引する前にレポートの閲覧を要求するかもしれません。
SOC 1 監査の理解
IT監査を専門とする公認会計士事務所に依頼して、SOC 1監査を処理します。自分で大変な作業を完了することはお勧めしません。 あなたと一緒にプロセスを進めるには、専門家が必要です。
プロセスの一環として、クライアント データを保護するために行うすべてのことを詳細に説明する構成証明レポートを作成します。また、施設とスタッフの両方へのアクセスを許可します。あなたの会社はそこから仕事を引き受けます。このプロセスには、数か月とは言わないまでも、数週間かかることが予想されます。
最終レポートは通常、12か月間有効ですが、一部の期間はそれより長くまたは短くなります。始める前に、公認会計士事務所にあなたの寿命を尋ねてください。
監査の一環として、認証が不十分な場合、クライアントデータが危険にさらされることが判明する場合があります。認証の不備を悪用する 5つのアイデンティティ攻撃 については、ブログでご紹介しています。
参考文献
サービス組織の SOC: サービス組織の情報。AICPAの。
