רקע

עבור ארגון המעניק שירותים לארגונים וחברות המשמשות כ'לשכת שירות', אין דבר חשוב יותר מאשר להפיק מידע זמין ונאות הן ללקוחותיו והן למבקרי הלקוחות. אספקת שירותים מסוג זה באופן מיטבי, מעניקה ללקוח ביטחון ואמון בשירותים המסופקים לו.

בהקשר של בדיקת נאותות בקרות, אנו מספקים שירותי בקרה ללשכות שירות (Service Organization Control-SOC). משרדנו פיתח מיומנות ומומחיות בזיהוי של קביעת סוג ואופי המידע אשר נחוץ ללקוחותיך. בנוסף, ברשותנו הידע הנדרש על מנת לאפיין דוחות הכוללים מידע הדרוש למבקרים של לקוחותיך.

החל משנת 2011 הוגדרו דוחות ה-SOC על ידי ה-AICPA כמסגרת עבודה המחליפה את התקן הישן SAS70, וזאת תחת התקן החדש SSAE18. תקן SAS70 אשר פורסם בשנת 1992 מתייחס לארגונים נותני שירות אשר פעילותם משפיעה על הבקרה הכספית של לקוחותיהם (באמצעות שירותים במיקור חוץ) ולמעשה הסדיר תהליך לאימות תקינותם של התהליכים המתנהלים אצל חברות במיקור חוץ.

כיום, חשוב יותר עבור ארגוני שירות מכל הגדלים להפגין את מחויבותם לבקרות פנימיות באמצעות דוח שירות (SOC) של ארגון. דוחות SOC מעניקים באופן מוצהר, תמונת מצב הממחישה את קיומן ועוצמתן של בקרות פיננסיות, תפעוליות ובקרות אבטחת מידע בארגון. ההצהרה מסתמכת בעיקרה על הערכת מיפוי בקרות בארגון, יעילות עיצובן ובחינת האפקטיביות ביישומן. כך שתתקבל הערכת הארגון על-פי אמת מידה אובייקטיבית המאפשרת השוואה.

בכך, באמצעות דוח ה-SOC, מצהירה הנהלת הארגון על אפקטיביות מערך בקרות פנימיות בתהליכי העבודה, הצהרה הנותנת אמון ללקוחות ולרואי החשבון המבקרים.

סוגי דוחות SOC

SOC 1 

זהו דוח המותאם למטרה המקורית של תקן SAS70, המצהיר על מערכת הבקרות הפנימיות בארגון נותן שירות, אשר רלוונטיות ומשליכות על הבקרות הפנימיות בתהליך הדיווח הכספי של הארגונים מקבלי השירות. כלומר דוח זה מתייחס רק לתהליכי הדיווח הכספי שבארגון. דוח זה הינו לשימוש הנהלת הארגון נותן השירות, הנהלת הארגון מקבל השירות ולרואי החשבון המבקרים.

SOC 2 

הינו דוח הדומה במבנה לדוח SOC1, אולם אינו נוגע לתהליכים כספיים אלא לתהליכים מבוססי עקרונות של שירותי אמון (Trust Services Principles) אשר נקבעו בסטנדרט האמריקאי AT101: אבטחה (Security), זמינות (availability), מהימנות העיבוד (processing integrity), חשאיות (confidentiality) ופרטיות (privacy), עקרונות האמורים לקבל ביטוי במערכות המידע בארגון, הקשורים למערכות בהן מיוצר, נאסף ומעובד כלל המידע. בהתאמה לעקרונות אלו נקבעים יעדי בקרה, ואליהם ממופים הבקרות הנדרשות והמיושמות. חברה המבקשת את דוח ה- SOC2 אינה חייבת שיכלול את כל העקרונות, אלא רק את אלו שרלוונטיים לפעילות הלקוח בעבורו מחויבת בדוח.

דוח זה הינו לשימוש הנהלת הארגון נותן השירות, הנהלת הארגון מקבל השירות, רואי החשבון המבקרים ובעלי עניין כגון שותפים עסקיים, לקוחות ובעלי מניות.

הכנת דוח SOC 1/2 כוללת מספר שלבים:

  • תחילה יש למפות פערים לבחינת המוכנות ליישום התקן.
  • לאחר מכן יש לתכנן ולחתום את העבודה.
  • בהמשך יש לתעד הבקרות ברמת כלל החברה וביצוע מבדק פנימי.
  • לאחר מכן יש לבצע הערכה האם הבקרות עוצבו בצורה המאפשרת השגה של יעדיהן.
  • לבסוף יש לבדוק שהבקרות שלעיל פועלות ביעילות מספקת על מנת להבטיח בצורה סבירה אך לא מוחלטת, שיעדי הבקרות הושגו במהלך התקופה הנבדקת.

לדוחות SOC1/2 שתי ורסיות:

  • Type 1 - דוח הניתן למועד מסוים ומתייחס לאופן עיצוב הבקרות.
  • Type 2 - דוח הניתן למועד מסוים ומתייחס לאופן עיצוב הבקרות וגם לאפקטיביות יישום הבקרות בהתייחס לתקופה מסוימת, כולל תוצאות הבדיקות.

SOC 3 

דוח אשר תכולתו זהה ל- SOC2, אך מיועד לפרסום בציבור, ויכול גם לשמש למטרות שיווקיות. אך שלא כמו דוח SOC1 או SOC2, דוח זה הינו מקוצר ואינו כולל את פירוט הבקרות שנבחנו ואת תיאורי הבדיקות וממצאיהן.

הערך המוסף שלנו

  • ידע רחב והיכרות רבת שנים עם דוחות בקרה של לשכות שירות 1/2/3.
  • שירות המבוסס על מקצועיות וליווי אישי של הצוות הבכיר במחלקה. 
  • שירות איכותי בסטנדרטים בינלאומיים ושימוש במתודולוגיה מתקדמת.
  • ביצוע פרויקטים ועבודות ברחבי העולם תוך הסתייעות במומחים מקומיים ממשרדים החברים ברשת הבינלאומית Grant Thornton בה אנו חברים.
חנן טויזר
שותף, מנהל מחלקת ביקורת מערכות מידע וייעוץ, פאהן קנה ניהול בקרה בע"מ
חנן טויזר
שותף, מנהל מחלקת ביקורת מערכות מידע וייעוץ, פאהן קנה ניהול בקרה בע"מ
חנן טויזר