SOC-звіти – нові інструменти підтвердження якості процесів у компаніях

Про що ці звіти

SOC 1 – звіт, призначений для оцінки внутрішніх контролів, що стосуються процесу формування фінансової звітності компаній. Обмежений для розповсюдження.

SOC 2 призначений для оцінки внутрішніх контролів компаній стосовно Безпеки, Доступності, Цілісності, Конфіденційності, Приватності (Security, Availability, Processing Integrity, Confidentiality, Privacy). Також обмежений для розповсюдження.

SOC 3 є аналогом SOC 2, але призначений для широкого загалу і розповсюдження для будь-кого.

У 2017 році принципи, закладені в Service Organization Control report framework, були гармонізовані з фреймворком внутрішніх контролів The Committee of Sponsoring Organizations of the Treadway Commission (COSO) і наразі отримання SOC-звіту рівноцінне отриманню звіту незалежного аудитора стосовно системи внутрішніх контролів у компаніях відповідно до COSO Internal Control Integrated Framework

Кому можуть бути цікаві SOC-звіти?

Компаніям, які надають сервісні послуги іншим організаціям і хочуть надати своїм наявним чи потенційним клієнтам підтвердження від незалежної сторони щодо високої якості своїх внутрішніх процесів.

Клієнтам аутсорсингових ІТ-компаній корисно буде знати, наскільки у їхнього партнера все гаразд із Security, Confidentiality та Privacy.

Клієнтам інтернет-сервісів, окрім ситуації в компанії стосовно Confidentiality та Privacy, важливо розуміти, що рівень доступності сервісів (Availability), на який вони розраховують, сервісна компанія загалом спроможна надавати.

Клієнтам компаній, які надають послуги в сфері охорони здоров’я, важливо розуміти, що їхня персональна інформація добре захищена (Privacy).

Виробникам продовольчої, фармацевтичної чи високотехнологічної продукції важливо продемонструвати клієнтам та партнерам, що компанія забезпечує високу якість виробництва на кожному етапі (Processing Integrity).

Для банків та фінансових компаній буде додатковою перевагою підтвердження стороннім аудитором якості обробки персональних даних клієнтів та захисту даних загалом (Security, Confidentiality та Privacy).

Чим SOC-звіти відрізняються від сертифікації компанії за міжнародними стандартами?

SOC-звіти, як і будь-які інші звіти аудиторів, відображають ситуацію на момент випуску звіту та за певний період, за який проводився аудит, зазвичай 1 рік, на відміну від програм із сертифікації, що передбачають, окрім отримання самого сертифіката, регулярне підтвердження того, що організація відповідає умовам сертифікації (ресертифікація).

Альтернативні сертифікації

Security/Confidentiality

Компанії можуть підтвердити якість своєї системи управління інформаційною безпекою завдяки сертифікації за стандартом ISO/IEC 27001. Сертифікація за ISO 27001 підтверджує, що компанія має всю необхідну документацію, яка покриває всі аспекти управління інформаційною безпекою в організації, має вибудовані процеси, ефективна робота яких може бути оцінена за період між сертифікацією/ресертифікацією. На відміну від сертифікації за ISO 27001, звіт SOC щодо Security оцінює вичерпний перелік визначених контролів, які допомагають отримати обґрунтовану впевненість, що ІТ-системи сервісної організації мають певний захист від неавторизованого доступу, використання чи модифікації інформації в ІТ-системах компанії.

Availability/Processing Integrity

SOC-звіт щодо Availability підтверджує, що Сервісна Організація спроможна надавати послуги згідно із заявленим рівнем. Альтернативою для організацій є сертифікація на відповідність вимогам стандартів ISO/IEC 22301 Societal Security – Business Continuity Management Systems для підтвердження того, що в компанії існує ефективна Система Управління Неперервністю Діяльності. Сертифікація за ISO/IEC 9001 Quality Management підтверджує, що процеси в компанії побудовані та працюють відповідно до загальноприйнятих стандартів якості. Сертифікація за ISO/IEC 20000 IT Service Management підтверджує, що ІТ-процеси в компанії побудовані та функціонують згідно з вимогами міжнародних стандартів.

Privacy

Оцінка відповідності компанії вимогам європейського General Data Protection Regulation 2016/679 (GDPR) дозволяє впевнитись, що компанія відповідає вимогам Європейського Союзу щодо захисту персональних даних. Звіт SOC щодо Privacy фокусується на контролях для безпечного збору, обробки, використання, зберігання та видалення персональної інформації. У GDPR, окрім вимог щодо обробки персональних даних, також містяться вимоги щодо обов’язкового повідомлення Data Protection Authority про витоки персональних даних чи інші пов’язані інциденти щодо персональних даних і правила взаємодії організацій, які обробляють персональні дані жителів Євросоюзу та Data Protection Authority, права та правила взаємодії громадян, організацій і державних установ щодо персональних даних.

Більш простою і дешевшою альтернативою для компаній у питанні підтвердження якості внутрішніх процесів є отримання Звітів від аудиторських чи консалтингових компаній на відповідність процесів компанії загальноприйнятим практикам, фреймворкам чи стандартам. У цьому разі компанія отримує не сертифікат відповідності, а Звіт незалежної сторони щодо поточного стану в компанії конкретного процесу чи функції. Наприклад, будь-яка компанія може отримати Звіт щодо якості своїх ІТ-процесів стосовно ITIL, COBIT, стандартів ISO 27001 чи за методологією ISO 33001 (Information technology - Process assessment).

Як це відбувається?

Процес отримання звіту SOC нічим не відрізняється від звичайної роботи аудиторів чи консультантів під час проведення оцінки будь-якого з процесів компанії. Аудитор проводить зустрічі з персоналом компанії, збирає докази щодо ефективного дизайну та функціонування певних контролів, які будуть покриватись SOC-звітом, формує Звіт і надає його замовнику.

Різниця в тому, що перелік контролів, що потрібно проаналізувати та оцінити, чітко визначений Service Organization Control report framework. Замовник має визначитися з типом Звіту (SOC 1, SOC 2 чи SOC 3) та переліком доменів, які будуть покриті даним Звітом (Security, Availability, Processing integrity, Confidentiality, Privacy) у разі SOC2 aбо SOC3, зазвичай це йде від потреб користувачів яким буде надаватися звіт.

В результаті роботи аудитора Замовник отримує SOC-звіт у погодженому форматі (друкований чи електронний).