商业正处于一个前所未有的变革时期, 从个人连接到他们的公司系统,从家庭到公司迅速改变战略,以支持不断变化的操作方法. 而组织可能正在努力确定什么是“照常营业”, 在后covid -19时代, 保持合规性和全面审计的需求没有改变.
绝大多数专业人员需要远程连接,这在整个科技界都产生了意想不到的后果. 信息安全和SOC报告仍然是一个关键的考虑 公司及其审计师 到处都是. 随着公司过渡到或从远程工作环境, AICPA继续提供见解 以及帮助企业保持来之不易的认证和安全水平的指导.
什么是SOC报告?
服务组织控制(SOC)报告提供了独立的保证,确保服务组织有适当的控制来处理与安全(SOC 2)和财务报告的内部控制(SOC 1)相关的风险。. 还有网络安全SOC和即将发布的供应链SOC,它们提供了对组织网络安全框架或供应链管理控制更具体的控制的见解. 所有这些SOC报告都提供了来自独立的注册会计师事务所的保证,即服务组织已经针对不同的SOC标准或每个相关SOC的控制目标设计并实施了有效的控制环境. 可以找到更多关于准备SOC报告和SOC报告类型的信息 在这里.
重新评估COVID-19大流行对运营的影响带来的风险
当您的操作发生重大更改时,让您的服务审计员参与进来是至关重要的. 在COVID-19大流行期间, 公司可能无意中增加了日常流程的风险,减少了监管或将自动化流程更改为需要人工干预的流程. 服务审计师的责任是在处理这些更改时保持适当的专业怀疑, 这一切都是为了识别和减轻组织的任何潜在风险. 甚至可能需要在任何面向客户的信息中披露与covid -19相关的信息,以保持合规.
执行远程SOC检查
工作人员和服务专业人员继续遵循远程工作程序, 标准SOC考试惯例可能会发生变化. 美国会计师协会提供了广泛的指导,以了解哪些类型的披露可能需要服务组织, 以及审计师如何远程执行SOC检查. 服务审计员在确定远程SOC检查是否有效之前,会简要说明这些考虑事项:
- 在遵循适当的社交距离准则的同时,审核员是否能够获得所有相关信息?
- 审计师能否根据收集到的证据提出意见?
- 是否有合适的人员进行面试?
SOC审核员正在寻找系统描述, 设计的适用性, 甚至在二类检查的实例中控制的操作有效性. 缺乏适当的SOC检查可以对组织产生显著的不利影响, 确保这些过程能够在可接受的参数范围内被遵循,这一点至关重要.
处理后续事件和持续经营
如果服务审计员发现了可能影响服务组织生存能力的流程或其他组织挑战, 这些问题应提请管理部门注意. 虽然没有关于披露的严格要求,一个实体作为持续经营的寿命是有限的, 服务审计员可以决定在其报告中增加一段,以提请注意管理层的更多披露.
在SOC中, 服务审核员应就任何可能影响组织的后续事件或在审查期之前发生的事件向管理层或其参与方提出问题. 而管理层可以在SOC的“其他信息”一节中解决这些问题, 然后,服务审计员必须决定是否在报告中突出显示此活动.
您是否需要额外的管理表示?
在与COVID-19相关的异常情况下, 经常需要额外的管理代表. 这些要求可包括:
- 新冠肺炎疫情对服务组织的影响, 其业务, 以及用于提供服务的技术
- 与客户和业务合作伙伴就服务水平协议或承诺的更改进行任何沟通
- 披露因COVID-19对系统和相关控制的所有更改
- 识别和评估系统和相关控制变更所产生的新风险
- 任何与持续经营有关的问题
- 子服务组织从使用包容性方法转变为镂空方法的原因
由于COVID-19大流行的性质, 只要有清晰和适当的证据表明签署人知情且自愿地在信上电子签名,在公司信笺上不包含原始签名的管理层代表信是可以接受的.
关于Subservice组织的披露
在正常时期, 在创建连接之前,使用子服务组织可能需要额外的计划和策略. 由于COVID-19对组织的影响,需要迅速调整业务,包括将流程转移到其他子服务组织, 但这种变化应在SOC检查中明确披露. 子服务组织中人员配置级别的变化可能会影响操作流程, 造成金融不稳定或因大流行而改变服务质量.
如果子服务组织由于缺乏现有资源而无法充分参与SOC审查过程, 管理人员可能决定将模型从一个包含性的评审方法转移到一个细分的方法,以解决缺陷. 此决策的组件还必须包括范围限制是否需要服务审计员修改其断言或报告.
由于COVID-19危机,各组织正被迫应对许多挑战, 但成功的审计仍是实体关注的首要问题. 通过了解更多关于如何确保您的组织即使在操作挑战期间也保持完全兼容的信息 明升体育app下载 为明升体育app下载专业团队提供免费的初步咨询.