עבור ארגון המעניק שירותים לארגונים וחברות המשמשות כ'לשכת שירות', אין דבר חשוב יותר מאשר להפיק מידע זמין ונאות הן ללקוחותיו והן למבקרי הלקוחות. אספקת שירותים מסוג זה באופן מיטבי, מעניקה ללקוח ביטחון ואמון בשירותים המסופקים לו.

בהקשר של בדיקת נאותות בקרות, אנו מספקים שירותי בקרה ללשכות שירות (Service Organization Control-SOC). משרדנו פיתח מיומנות ומומחיות בזיהוי של קביעת סוג ואופי המידע אשר נחוץ ללקוחותיך. בנוסף, ברשותנו הידע הנדרש על מנת לאפיין דוחות הכוללים מידע הדרוש למבקרים של לקוחותיך.

החל משנת 2011 הוגדרו דוחות ה-SOC על ידי ה-AICPA כמסגרת עבודה המחליפה את התקן הישן SAS70, וזאת תחת התקן החדש SSAE18. תקן SAS70 אשר פורסם בשנת 1992 מתייחס לארגונים נותני שירות אשר פעילותם משפיעה על הבקרה הכספית של לקוחותיהם (באמצעות שירותים במיקור חוץ) ולמעשה הסדיר תהליך לאימות תקינותם של התהליכים המתנהלים אצל חברות במיקור חוץ.

כיום, חשוב יותר עבור ארגוני שירות מכל הגדלים להפגין את מחויבותם לבקרות פנימיות באמצעות דוח שירות (SOC) של ארגון. דוחות SOC מעניקים באופן מוצהר, תמונת מצב הממחישה את קיומן ועוצמתן של בקרות פיננסיות, תפעוליות ובקרות אבטחת מידע בארגון. ההצהרה מסתמכת בעיקרה על הערכת מיפוי בקרות בארגון, יעילות עיצובן ובחינת האפקטיביות ביישומן. כך שתתקבל הערכת הארגון על-פי אמת מידה אובייקטיבית המאפשרת השוואה.

בכך, באמצעות דוח ה-SOC, מצהירה הנהלת הארגון על אפקטיביות מערך בקרות פנימיות בתהליכי העבודה, הצהרה הנותנת אמון ללקוחות ולרואי החשבון המבקרים.

ישנם 3 סוגי דוחות SOC, וחשוב לזהות מה מתאים עבור הארגון.

SOC 1 

זהו דוח המותאם למטרה המקורית של תקן SAS70, המצהיר על מערכת הבקרות הפנימיות בארגון נותן שירות, אשר רלוונטיות ומשליכות על הבקרות הפנימיות בתהליך הדיווח הכספי של הארגונים מקבלי השירות. כלומר דוח זה מתייחס רק לתהליכי הדיווח הכספי שבארגון. דוח זה הינו לשימוש הנהלת הארגון נותן השירות, הנהלת הארגון מקבל השירות ולרואי החשבון המבקרים.

SOC 2 

הינו דוח הדומה במבנה לדוח SOC1, אולם אינו נוגע לתהליכים כספיים אלא לתהליכים מבוססי עקרונות של שירותי אמון (Trust Services Principles) אשר נקבעו בסטנדרט האמריקאי AT101: אבטחה (Security), זמינות (availability), מהימנות העיבוד (processing integrity), חשאיות (confidentiality) ופרטיות (privacy), עקרונות האמורים לקבל ביטוי במערכות המידע בארגון, הקשורים למערכות בהן מיוצר, נאסף ומעובד כלל המידע. בהתאמה לעקרונות אלו נקבעים יעדי בקרה, ואליהם ממופים הבקרות הנדרשות והמיושמות. חברה המבקשת את דוח ה- SOC2 אינה חייבת שיכלול את כל העקרונות, אלא רק את אלו שרלוונטיים לפעילות הלקוח בעבורו מחויבת בדוח.

דוח זה הינו לשימוש הנהלת הארגון נותן השירות, הנהלת הארגון מקבל השירות, רואי החשבון המבקרים ובעלי עניין כגון שותפים עסקיים, לקוחות ובעלי מניות.

SOC 3 

דוח אשר תכולתו זהה ל- SOC2, אך מיועד לפרסום בציבור, ויכול גם לשמש למטרות שיווקיות. אך שלא כמו דוח  SOC1 או SOC2, דוח זה הינו מקוצר ואינו כולל את פירוט הבקרות שנבחנו ואת תיאורי הבדיקות וממצאיהן.

לדוחות SOC1/2 שתי ורסיות:
Type 1 - דוח הניתן למועד מסוים ומתייחס לאופן עיצוב הבקרות.
Type 2 - דוח הניתן למועד מסוים ומתייחס לאופן עיצוב הבקרות וגם לאפקטיביות יישום הבקרות בהתייחס לתקופה מסוימת, כולל תוצאות הבדיקות.

הכנת דוח SOC1/2 כוללת מספר שלבים:

  • תחילה יש למפות פערים לבחינת המוכנות ליישום התקן.
  • לאחר מכן יש לתכנן ולחתום את העבודה.
  • בהמשך יש לתעד הבקרות ברמת כלל החברה וביצוע מבדק פנימי.
  • לאחר מכן יש לבצע הערכה האם הבקרות עוצבו בצורה המאפשרת השגה של יעדיהן.
  • לבסוף יש לבדוק שהבקרות שלעיל פועלות ביעילות מספקת על מנת להבטיח בצורה סבירה אך לא מוחלטת, שיעדי הבקרות הושגו במהלך התקופה הנבדקת.

מה אנחנו מציעים: 

  • ידע רחב והיכרות רבת שנים עם דוחות בקרה של לשכות שירות
  • ניסיון רב בסקירה של הבקרה הפנימית ומתן המלצות לשיפור
  • שירות איכותי בסטנדרטים בינלאומיים ושימוש במתודולוגיה מתקדמת

השירותים שלנו כוללים: 

  • סקר פערים לבחינת היערכות ומוכנות לעמידה בדרישות התקן
  • סיוע בצמצום הפערים כחלק מהכנה לקראת מבדק חוו"ד
  • דו"ח חוו"ד SOC1 המבוסס על התקן הבינלאומי ISAE 3402  
  • דו"ח חוו"ד SOC1/2/3 בהתאם לתקינה האמריקאית  SSAE 18 (לשעבר תקן  SAS 70).  
בקרה על לשכות שירות (SOC) רו"ח ישראל גבירץ ליצירת קשר
בקרה על לשכות שירות (SOC) רו"ח חנן טויזר ליצירת קשר