この記事は機械翻訳されました。
あなたのクライアントは、あなたがデータを保護しているという証拠を求めています。あなたはSOC 1とSOC 2について考えています。どのレポートがクライアントを満足させますか?
どちらのレポートでも、SOC は "サービス組織管理" と呼んでいます。これらのレポートでは、「管理」とは、作成した計画と手順を指します。違いは、データの種類とレビューの範囲に関係します。
SOCレポートはAICPAによって作成されました。この組織は 、公認会計士(CPA)が監査を完了していることを確認します。一連のレポートにより、会社概要は、クライアントが要求する種類のレビューを取得できます。
SOC 1 と SOC 2 について深く掘り下げて、情報に基づいた選択を行えるようにしましょう。
SOC 1とは?
SOC 1監査を選択すると、公認会計士が財務情報に関連する計画、ポリシー、および手順を審査します。
あなたの監査役は、あなたが次の方法を調べることができます。
- 過程。 クライアントのためにデータをどのように操作しますか?変更すべきでないものを変更しないようにするにはどうすればよいでしょうか?
- 牢。 クライアント情報を外部からの操作からどのように保護していますか?
財務データの取り扱い方法を詳述したレポートを使用して、監査の準備をします。監査役は、これを出発点として、作業を進めます。
監査の長さは、選択したタイプによって異なります。
- タイプ1: このレポートでは、ある時点に焦点を当てています。監査役は関連情報に目を通し、次に進みます。
- タイプ2: 監査役は、手順とプロセスが意図したとおりに機能していることを確認するために、長期間にわたって調査します。
財務データを操作する可能性のある会社概要 は、SOC 1 監査が必要になる可能性があります。
SOC 2とは?
SOC 2監査を選択すると、CPAははるかに大きなスコープを持つことになります。 レポートには複数のポイントがあり、それぞれで、業界標準と見なされるものを満たしていることを証明する必要があります。
SOC 2 監査には、以下に関連する内部統制の調査が含まれます。
- セキュリティ
- 提供状況について
- 処理の整合性
- 機密性
- プライバシー
監査役に5つの側面すべてに目を通すように依頼することもできますし、特定のビジネスに適用される項目を厳選することもできます。
ここでも、2 種類のレポートを使用できます。タイプ1はある瞬間を検査し、タイプ2はより長い検査を伴います。
SOC 1 と SOC 2 の比較
財務情報のみを扱う案件であれば、SOC 1監査を受けることは理にかなっています。 財務データを扱わず、顧客情報で案件を行う場合は、SOC 2の方が適している可能性があります。 組織によっては、両方のレポートが必要な場合があります。
AICPAによると、 多くの組織がSOC 1レポートを選択しています。しかし、セキュリティ問題に対する認識が高まるにつれて、アドオン SOC 2 レポートも増えています。
この簡単な比較チャートは、あなたの決定をより明確にすることができます。
SOC第1号 | SOCの2 | |
スコープ | 財務データ | あらゆる種類の顧客データ |
オーディエンス | 潜在的なクライアントとあなたのオフィス | 潜在的なクライアント、あなたのオフィス、規制当局 |
検査されたコントロール | 財務情報の管理 | 5つのサービス原則(セキュリティ、機密性、処理の完全性、プライバシー、可用性)のいずれか |
レポートの種類 | タイプ 1 とタイプ 2 | タイプ 1 とタイプ 2 |
コントロールのリファレンス | 未定義 | 定義 |
流通 | 制限 | 制限 |
参考文献
システムおよび組織の管理: SOC サービス スイート。AICPAの。
システムおよび組織制御 (SOC) 調査。(2021年、AICPAの。
