2020年3月,美国注册会计师协会(AICPA)推出了一个新的风险报告框架——供应链SOC. 新框架是AICPA系统和组织控制(SOC)服务套件的最新版本, 包括 SOC 1, SOC 2, SOC 3和网络安全SOC.
什么是供应链的SOC?
今天, 这在很大程度上要归功于技术创新, 供应链是相当复杂的,包括制造或生产商品或产品的组织及其供应商之间的相互依赖和联系, 分销商, 还有商业伙伴. 供应链中多个实体的存在带来了固有的风险水平. 一些例子包括:
- 可以提供不符合规定的产品性能规范的产品.
- 交付和质量承诺要求可能无法满足.
- 生产、制造或分销承诺要求可能无法满足.
新 供应链框架的SOC 是用来识别、评估和处理这些供应链风险的.
谁对这份报告感兴趣?
供应链中的任何实体都可以从SOC中受益. 生产, 制造, 或者经销产品, 还有他们的供应商, 能否利用报告来展示他们如何处理环境中的风险. 供应链SOC报告向客户传达有关公司系统和系统内控制的有用信息, 业务合作伙伴, 以及潜在的客户和商业伙伴.
为什么会计师会参与这份报告?
和其他SOC报告框架一样, 供应链SOC评估由会计师事务所完成. 因为注册会计师事务所必须遵守美国注册会计师协会和各州会计委员会发布的所有指导意见, 报告的消费者从最终报告中获得更高水平的保证和可靠性. 另外, 许多注册会计师事务所, 像LBMC, 提供信息安全和网络安全服务,将SOC纳入供应链评估是现有专业知识和经验的自然延伸. 另外, LBMC的评估团队在评估与安全相关的控制的有效性方面具有丰富的经验, 可用性, 处理完整性, 保密, 和隐私.
这份报告包含哪些信息?
类似于SOC 2报告, 供应链SOC基于AICPA的信任服务标准(TSC):安全性, 可用性, 保密, 处理完整性, 和隐私.
| 标准 | 标准的目标 |
| 安全 | 信息和系统受到保护,防止未经授权的访问, 未经授权披露资料, 以及可能影响可用性的系统损坏, 完整性, 保密, 以及信息或系统的隐私,并影响实体实现其目标的能力. |
| 可用性 | 有信息和系统可供操作和使用,以实现实体的目标. |
| 保密 | 被指定为机密的信息受到保护,以满足实体的目标. |
| 处理完整性 | 系统处理完成, 有效的, 准确的, 及时的, 并被授权去实现实体的目标. |
| 隐私 | 收集个人信息, 使用, 保留, 披露, 并倾向于实现实体的目标. |
因为安全类别是TSC的基础, 每个SOC都需要进行供应链评估. 组织还可以选择其他四个标准的任意组合, 根据每个客户的需求和相关性.
检查一般是在组织生产产品的系统上进行的, 制造, 或者经销产品. 供应链SOC报告由以下部分组成:
第一节:独立审计师的意见 作为评估的一部分,独立审核员定义了审查的范围,并就管理层对系统的描述(详见下文第三节)以及描述中所述控制措施的设计和运行有效性提供意见.
第二部分:管理层的主张 管理层提供一份书面声明,证明系统描述(详见下文第III节)是准确呈现的,并符合AICPA的描述标准,并且根据适用的TSC,为支持实现其主要系统目标而确定的控制是有效的.
第三部分:管理层的描述 管理层准备了一份产品的叙述性描述, 制造业, 或用于生产一种商品或一套相关商品的分配系统.e.(被评估的系统). 系统的描述应按照美国注册会计师协会的描述标准进行. 而用于供应链评估的SOC标准与用于SOC 2的标准相同, 具体描述标准 定义是否集中于适用于供应链风险的信息.
第四节:独立审计师对控制和结果的测试 独立审核员提供测试程序的描述,以评估控制的设计和运行有效性,管理层已确定以支持其主要系统目标的实现. 进一步, 用于支持第1节所述意见的测试程序的结果是详细的.
供应链报告SOC的使用受到限制, 这意味着它的发行是有限的,不供公众或一般使用.
想了解更多关于供应链SOC报告的信息? 联系 LBMC了解更多信息并开始咨询!
内容由LBMC网络安全专家Richard Beard提供.