使用SOC报告评估服务组织:第4部分如何审查服务审核员的测试结果和服务组织提供的其他信息?

By 艾米丽Antonico 2021年9月14日

这是我们的最后一篇文章 使用SOC报告评估服务组织 系列. 在这些文章中，我们探讨了SOC报告的每个组成部分，以及您在查看任何服务组织的SOC报告时应该寻找的内容. 提醒一下，SOC报告的组成部分如下所示. 在本文中，我们将讨论在检查服务审计员的测试结果以及服务组织在报告中提供的任何其他信息时应该寻找什么.

SOC报告的组成部分

你应该仔细审查的SOC报告的组成部分, 哪些提供了具体的信息来支持供应商尽职调查和外包控制的评估, 包括:

• 服务审计员的报告
• 管理层的断言
• 描述的内容，包括
  • The control objectives specified by management (SOC 1); or
  • 由管理层选择的信任服务类别(SOC 2)
  • 报告中指定的任何补充用户实体控制(CUECs)或补充子服务组织控制(csoc), 哪些是描述的一部分
• 服务审计员的测试结果
• 服务组织提供的其他信息

服务审计员的测试结果

服务审计员的测试结果在SOC报告中对系统的描述之后给出.  第1类报告将展示服务组织实施的控制，第2*类报告将披露控制以及服务审核员为测试控制的运行有效性而执行的相应测试.

当审查服务审计员的测试结果时, 关键控制, 您应该根据组织的期望检查测试过程是否充分. 除了, 你们应审查任何和所有测试异常的适用性和对你们组织的潜在影响，并审查任何包括在内的管理层对补救措施的响应.

*注意:在上一篇威尼斯人官方网站服务审计员意见和管理层主张的文章中，我们讨论了类型1报告和类型2报告之间的区别.

通过服务审计员的测试确定的异常

当服务审计员的测试发现控件没有合理设计或没有有效操作时，就会出现异常或偏差. 识别后，服务审计员将描述异常的性质. 另外, 在SOC报告中指出的任何运行有效性的异常应披露测试项目的数量和注意到的异常数量.

当在测试结果中发现异常时, 服务组织管理可以选择在结果部分中提供对异常的响应，或者将其包含在报告的单独部分中. 当服务组织所采取的行动是前瞻性的且不在审查期时，响应通常包含在“其他信息”部分中.

服务机构提供的其他资料

本部分报告中提供的信息是SOC检查范围之外的信息，但这些信息是服务组织希望传达给报告用户的信息. This section is not a part of the system description and has not been subjected to the service auditors’ procedures; however, 这并不意味着您不能依赖所提供的信息. 而服务审计员没有对信息执行过程, 服务审计员需要阅读这些信息，并确保这些信息与事实没有重大的不一致或错误陈述.

我们希望本系列文章对您有所帮助，帮助您识别在您的服务组织的SOC报告中应该重点关注的信息.