עד לחודש יוני 2011, ההצהרה SAS 70 עבור תקני ביקורת, שימשה מבקרים לדיווח בדבר ארגונים נותני שירות (לשכות שירות) ומעורבותם בבקרות הדיווח הכספי של לקוחותיהם (ארגונים מקבלי השירות).
בעוד דוחות SAS 70 נועדו תמיד לשמש כתקשורת בין מבקרים, עם הזמן ארגונים נותני שירות הבינו כי דיווח SAS 70 שימושי גם לניהול הארגון המשתמש בדוח (הלקוח), בעלי העניין שלו, רגולטורים וישויות חיצוניות נוספות.
עם פרסום ההצהרה על תקנים עבור גילוי מעורבות (Attestation engagements) – SSAE16, בשנת 2010, החליף המכון האמריקאי לרואי חשבון (AICPA) את התקן SAS 70.
SSAE 16 סיפק ל- AICPA הזדמנות ליצור טרמינולוגיה חדשה ולהבהיר את הצהרות נותני השירות (SOC) בדבר הבקרות והתקנים החלים עליהם.
ה- AICPA החיל את השם SOC 1 על מה שכונה בעבר SAS 70. כמו כן, על ידי הצגת צורות הדיווח SOC 2 ו- SOC 3, הציע ה-AICPA הדרכה על הסטנדרטים שיש להשתמש בהם עבור דוחות בנושא ניהול סיכונים תפעוליים ועסקיים-טכנולוגיים, למעט סיכונים פיננסיים.
סוגי SOC
נכון לתחילת חודש מאי 2017, SSAE 16 סיפק מסגרת לשלושה קטגוריות של דוחות SOC. מסגרת זו תוקנה על ידי SSAE18 (עדכון ל- SSAE16) עם תאריך אפקטיבי שהינו 1 במאי 2017.
דוחות SOC 1 שומרים על המטרה המקורית של דוחות SAS 70, בכך שהם מספקים כלי לדיווח בדבר הבקרות הפנימיות של לשכת השירות, הרלוונטיות לבקרות פנימיות של הארגון המשתמש (מקבל השירות), על הדיווח הכספי. דוחות SOC 1 נועדו להיות כלי תקשורת בין מבקרים, בדיוק כפי שהיו דוחות ה- SAS 70.
לדוחות SOC 1 יש כמעט את כל אותם מרכיבים כמו SAS 70 אך התוכן הספציפי תלוי במבקר ובמערכות לשכת השירות. להלן אלמנטים בסיסיים המתוארים ב- SOC 1 :
- דוח ביקורת מטעם מבקר עצמאי ובלתי תלוי;
- מכתב בקשת ההנהלה;
- תיאור המערכות;
- סעיף המכיל את מבדקי המבקר הנוגע לאפקטיביות התפעולית של הבקרות ואת תוצאות המבדקים (בדוח סוג 2 בלבד).
מידע נוסף המסופק על ידי הארגון נותן השירות (לשכת השירות) אך שאינו מכוסה בחוות דעתו של המבקר יכול גם כן להיות כלול בדוח SOC 1.
SOC2
דוח SOC2 מציע למבקרים וארגונים נותני שירות אפשרות לדיווח, אשר ניתן להשתמש בה כאשר היעד אינו קשור לבקרות על הדיווח הכספי. דוח SOC2 מתייחס לבקרות בשירותי אמון (Trust Services Principles), העומדים בעקרונות והקריטריונים המשותפים של ה-AICPA וה-CICA (Canadian Institute of Chartered Accountants) בנושא שירותי אמון. עקרונות אלו בנושא שירותי אמון כוללים אבטחה (Security), זמינות (availability), מהימנות העיבוד (processing integrity), חשאיות (confidentiality) ופרטיות (privacy). בדיווח מסוג SOC2 – כמו דיווחי SOC1, ההנהלה מזהה אחד או יותר מעקרונות בנושא שירותי אמון אשר היא מאמינה שדרישותיו הושגו, ואת הקריטריונים לפיהם היא הניחה את דעתה כי אותה דרישה הושגה. בעוד שדיווחי SOC2 מיועדים לניהול הארגונים המשתמשים (מקבלי השירות) ובעלי עניין אחרים (כגון שותפים עסקיים ולקוחות) גם הרגולטורים עשויים להפיק תועלת מתוצר דיווח מסוג SOC2. מבנה הדיווח מכיל אלמנטים רבים המצויים בדיווח SOC1.
SOC3
בעבר, ה-AICPA השתמש במושגים SysTrust@ או WebTrust@ על מנת להצביע על דוח SOC אשר מתמקד בקריטריונים ועקרונות בנושא שירותי אמון, אשר הונגש לקריאת המשתמשים דרך קישור ייעודי באתר הארגון. דיווחים מסוג זה מזוהים כיום בשם דיווחי SOC3. כמו דיווחי SOC2, דיווחי SOC3 מאפשרים לארגונים נותני שירות לספק לארגונים המקבלים שירות ובעלי עניין אחרים, דיווחים אודות הבקרות הקשורות לאבטחה, זמינות, מהימנות בעיבוד, סודיות ופרטיות. בשונה מ SOC1 ו- SOC2, דיווח SOC3 אינו מכיל תיאור של המערכת או תיאור מפורט אודות המבדקים שהורצו לבחינת יישום הבקרות ותוצאותיהם. בנוסף, בשונה משני הסוגים הראשונים, דיווחי SOC3 הינם מסמכים המהווים גרסה מקוצרת וזמינה באופן פומבי, המצהירה באם מערכות הארגון נותן השירות המיועדות לשם אספקת שירותיו למקבלי השירות, עומדות בדרישות התאימות של קריטריונים המתוארים בעקרונות שירותי האמון. ניתן להפיץ או לפרסם דיווחי SOC3 בצורה חופשית באתר ארגון נותן השירות בצירוף חתימה.
איזה סוג דיווח של SOC נדרש?
ההחלטה איך שלושת סוגי הדיווח של ה SOC יוכלו מצד אחד לענות על הצרכים השונים של הקהל שלכם ומצד שני לכסות את שלל הנושאים השונים הדרושים יכולה להיות מאתגרת. כנותני שירותי ביקורת, אנו יכולים לסייע לכם במילוי כל הדרישות השונות של ה SOC. לדוגמה, ההחלטה איזה סוג דיווח מתאים לישות יכולה להוביל בארגונים מסוימים לתוצאה אשר הפוכה מסוג הדיווח אותו דיווח הארגון בעבר.
בנוסף, במצבים בהם צרכי הארגון השונים דורשים קבלת יותר מדיווח אחד, רמת המאמץ הדרוש לקבלת יותר מדיווח אחד תהיה תלויה בתחום וההיקף הספציפי של כל דיווח. אם הבקרות חופפות, ישנה אפשרות למינוף העבודה מביקורת אחת לאחרת כך שהעבודה ההכרחית תהיה תוספתית (אינקרמנטלית) בלבד.
מה שלא מכוסה ע"י ה- SOC ?
אם הארגון שלכם נדרש לטפל בנושא אשר לא מקבל מענה מספק במסגרת דיווחי ה SOC, ניתן לפתור בעיה זו בדוח הצהרתי מותאם תוך שימוש בתקני AICPA אחרים. הצוות המיומן שלנו יכול לדון אתכם על תקנים חילופיים אשר יסייעו במציאת התקן הנותן את המענה האופטימלי לצרכים הייחודיים שלכם.
החלטת ה- SOC
השווקים היום נמצאים בתהליך של הבנה והפנמה של אפשרויות הדיווח השונות של ה SOC ואנו מקווים שהעסקים ימשיכו לאמץ את מגוון אפשרויות הדיווח אותן מציע ה AICPA.
אנו ממליצים לארגונים נותני השירות לנהל דיון עם מקבלי השירות שלהם על מנת להבין מדוע בדיוק הם מבקשים דיווחSOC ספציפי ולא אחר. מידע זה עוזר לקבל את ההחלטה איזה סוג של דיווח או דיווחי SOC מתאימים לצרכי הארגונים מקבלי השירות ואחרים.
כארגון נותן שירות, אתם נדרשים לעיתים לנסות לנווט ולהתאים את עצמכם לצרכי הדיווח של הצדדים השלישיים. אנו נשמח להבהיר לכם את האפשרויות העומדות לרשותכם בנושא זה. הדבר יבטיח שתהיה לכם הבנה לנושא הנדון וכתוצאה מכך תוכלו לבחור את האלטרנטיבה הטובה ביותר לצרכים הייחודיים שלכם. הבנת אפשרויות הדיווח השונות שלכם במסגרת ה-SSAE18 תתרום לכם רבות בלספק מענה לדרישותיהם של הלקוחות והמבקרים שלהם, הטמעת אמון בשירותים שאתם מספקים, חיזוק של המותג ושל התגמול המסחרי עבור העסק שלכם.
