Відповідність вимогам SOC 2
Ми надаємо послуги по приведенню у відповідність та супрвоводження сертифікації відподвіно до SOC 2 Trust Services Criteria (TSC).
Обеспечим подготовку и сертификацию на соответствие SOC 2 Type I либо SOC 2 Type II
Наш підхід дозволяє швидко та якісно впровадити необхідні процеси та напрацювати відповідні записи / докази відповідності. Також, можемо виконати додаткові роботи, які необхдіні для SOC 2, наприклад, тестування на проникнення
Наша методика оцінки внутрішніх контролів компаній дозволить істотно заощадити час і трудовитрати необхідні для підготовки, планування та реалізації всіх етапів впровадження SOC 2.
Наша методика і досвід консалтингу з проведення аудитів SOC 2 дозволить своєчасно виявити існуючі невідповідності і розробити ефективний план коригувальних дій. Ми забезпечуємо супровід наших Замовників при проходженні передсертифікаційного і сертифікаційного аудитів SOC 2.
Надамо необхідні рекомендації ключовим співробітникам перед аудитом. Переконаємось у наявності всіх відповідностей компанії. Надамо супровід під час перевірки документів та офісу.
У 2011 році Американський Інститут Сертифікованих Публічних Бухгалтерів (American Institute of Certified Public Accountants, AICPA) затвердив Service Organization Control report framework (фреймворк звітів щодо Контролів Сервісних Організацій, SOC). Згідно зі фреймворком, Certified Public Accountants (CPA) можуть випускати звіти щодо якості певних внутрішніх контролів Сервісних Організацій у вигляді звітів трьох типів – SOC 1, SOC 2 та SOC 3.
У 2017 році принципи, закладені в Service Organization Control report framework, були гармонізовані з фреймворком внутрішніх контролів The Committee of Sponsoring Organizations of the Treadway Commission (COSO) і наразі отримання SOC-звіту рівноцінне отриманню звіту незалежного аудитора стосовно системи внутрішніх контролів у компаніях відповідно до COSO Internal Control Integrated Framework.
Аудитор проводить зустрічі з персоналом компанії, збирає докази щодо ефективного дизайну та функціонування певних контролів, які будуть покриватись SOC-звітом, формує Звіт і надає його замовнику. Різниця в тому, що перелік контролів, що потрібно проаналізувати та оцінити, чітко визначений Service Organization Control report framework. Замовник має визначитися з типом Звіту (SOC 1, SOC 2 чи SOC 3) та переліком доменів, які будуть покриті даним Звітом (Security, Availability, Processing integrity, Confidentiality, Privacy) у разі SOC2 aбо SOC3, зазвичай це йде від потреб користувачів яким буде надаватися звіт. В результаті роботи аудитора Замовник отримує SOC-звіт у погодженому форматі (друкований чи електронний).
