2020 年 3 月,AICPA 推出了新的风险报告框架,即供应链 SOC。新框架是 AICPA 的系统和组织控制 (SOC) 服务套件中的最新版本,包括 SOC 1、SOC 2、SOC 3 和用于网络安全的 SOC.

什么是供应链 SOC?

今天,在很大程度上由于技术创新,供应链非常复杂,包括制造或生产商品或产品的组织与其供应商、分销商和业务合作伙伴之间的相互依赖和联系。供应链中多个实体的存在伴随着固有的风险水平。一些例子包括:

  • 可能会提供不符合规定的产品性能规格的产品。
  • 可能无法满足交付和质量承诺要求。
  • 可能无法满足生产、制造或分销承诺要求。

新的 供应链框架的 SOC 旨在识别、评估和解决这些供应链风险。

谁对这份报告感兴趣?

供应链中的任何实体都可以从供应链评估的 SOC 中受益。生产、制造或分销产品的公司及其供应商可以利用该报告来展示他们如何解决环境中的风险。供应链 SOC 报告将有关公司系统和系统内控制的有用信息传达给客户、业务合作伙伴以及潜在客户和业务合作伙伴。

为什么本报告涉及注册会计师?

与其他 SOC 报告框架一样,供应链评估的 SOC 由 CPA 公司完成。由于注册会计师事务所必须遵守 AICPA 和各个州会计委员会发布的所有指导和指导,因此报告的消费者从最终报告中获得了更高水平的保证和可靠性。此外,许多 CPA 公司(如 LBMC)提供信息安全和网络安全服务,将 SOC 纳入供应链评估是现有专业知识和经验的自然延伸。此外,LBMC 的评估人员团队在评估与安全性、可用性、处理完整性、机密性和隐私相关的控制措施的有效性方面拥有丰富的经验。

报告包含哪些信息?

类似于 SOC 2 报告,供应链 SOC 基于 AICPA 的信任服务标准 (TSC):安全性、可用性、机密性、处理完整性和隐私。

标准 标准目标
安全 信息和系统受到保护,以防止未经授权的访问、未经授权的信息披露以及可能损害信息或系统的可用性、完整性、机密性和隐私并影响实体实现其目标的能力的系统损坏。
可用性 信息和系统可用于操作和使用以满足主体的目标。
保密 被指定为机密的信息受到保护,以满足实体的目标。
加工完整性 系统处理是完整的、有效的、准确的、及时的,并且被授权满足实体的目标。
隐私 个人信息的收集、使用、保留、披露和处置是为了实现实体的目标。

 

由于安全类别是 TSC 的基础,因此每个 SOC 都需要进行供应链评估。组织还可以选择包含其他四个标准的任意组合,具体取决于每个标准与其客户的需求和相关性。

检查通常在组织生产、制造或分销产品的系统上进行。供应链 SOC 报告由以下部分组成:

第一部分:独立审计师的意见 独立审计师定义作为评估一部分的审查范围,并就管理层对系统的描述(如下文第 III 节详述)以及描述中所述控制的设计和运行有效性提供意见。

第二节:管理层的主张 管理层提供书面断言,系统的描述(如下文第 III 节详述)已准确呈现并符合 AICPA 的描述标准,并且根据适用的 TSC,为支持实现其主要系统目标而确定的控制措施是有效的.

第三部分:管理层描述 管理层准备对用于生产一种商品或一组相关商品(即正在评估的系统)的生产、制造或分销系统进行叙述性描述。系统的描述将按照 AICPA 的描述标准进行呈现。虽然用于供应链评估的 SOC 的标准与用于 SOC 2 的标准相同, 具体描述标准 被定义为关注适用于供应链风险的信息。

第四部分:独立审计师对控制和结果的测试 独立审计师提供测试程序的描述,以评估管理层为支持其主要系统目标的实现而确定的控制的设计和运行有效性。此外,详细说明了用于支持第 I 部分所述意见的测试程序的结果。

供应链 SOC 报告的使用受到限制,这意味着它的分发受到限制,不可用于公共或一般用途。

想要了解有关供应链 SOC 报告的更多信息? 接触 LBMC 信息安全以了解更多信息并开始咨询​​!