Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

Préparation et rapport en vue d’audits SOC basés sur les normes d’audit ISAE 3402 et SSAE 16

 

Un audit SOC est souvent une condition indispensable pour les entreprises de service souhaitant travailler en partenariat, ou fournir des services à des organisations de niveau un de la chaîne de logistique. Le besoin en audit SOC émane souvent de demandes de clients de niveau un tels que des institutions financières.

SSAE 16 et ISAE 3402 sont des normes indépendantes et reconnues par l’industrie, utilisées afin d’auditer les entreprises de services, telles que des fournisseurs d’hébergement externes et fournisseurs de services en mode Cloud. SSAE 16 et ISAE 3402 (souvent appelés audits SOC) ont remplacé SAS 70 en tant que norme internationale de certification pour les entreprises de services. (Un grand nombre d’organisations ayant suivi SAS 70 par le passé auront dorénavant besoin d’un rapport SOC 2 (II).)

L’American Institute of Certified Public Accountants (AICPA) gère Service Organization Controls (SOC), structure de rapport. L’entreprise de service est auditée contre SSAE 16 ou ISAE 3402, et le rapport SOC est le rapport de l’audit.

 

Qui peut effectuer un audit SOC ?

Un audit SOC ne peut pas être mené par un commissaire aux comptes indépendant ou par une entreprise de comptabilité. Les commissaires aux comptes indépendants (CPA) effectuant des audits SOC doivent adhérer à des normes professionnelles précises mises en place par l’AICPA. Les membres de l’AICPA doivent suivre des directives précises concernant la planification, l’exécution et la supervision des procédures d’audit. De plus, les membres de l’organisation doivent être soumis à une évaluation collégiale afin de garantir que les audits de l’organisation sont conformes aux normes d’audit généralement reconnues.

L’entreprise de commissaire aux comptes peu employer des professionnels n’étant pas commissaires aux comptes mais ayant les technologies d’information et compétences en matière de sécurité nécessaires afin de participer à l’audit SOC. Cependant, le rapport final doit être contrôlé et délivré par un commissaire aux comptes. Cela est d’autant plus important si les auditeurs d’une entreprise prévoient de se fier aux résultats des tests de l’auditeur.

 

Bénéficier d’une aide de bout en bout avec vos rapports SOC

IT Governance peut vous aider avec le processus complet SOC, de la gestion de l’évaluation du niveau de préparation en passant par la mise en place des mesures correctives nécessaires ou encore la gestion des tests et rapports, en vertu de son partenariat avec l’une des CPA leader sur la marché et enregistré auprès de PCAOB.

Vous souhaitez obtenir un devis ? Contactez-nous via email sur servicecentre@itgovernance.eu ou par téléphone au 00 800 48 484 484.

 
 

De quel type d’audit SOC avez-vous besoin ?


Audit SOC 1 (I) 

Le rapport d’audit SOC 1 (I) sur les services et contrôles d’une entreprise de service importants au contrôle interne des entités utilisateur concernant les rapports financiers. L’utilisation d’un rapport SOC 1 est limité aux clients existants et n’est pas destiné à être utilisé à des fins marketing.

 

Audit SOC 2 (II) 

Le rapport d’audit SOC 2 (II) sur les services et contrôles d’une entreprise de services concernant la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la vie privée. De nombreuses organisations externalisent des tâches ou fonctions à des entreprises de services opérant, collectant, traitant, transmettant, archivant, organisant, entretenant et disposant d’informations pour les entités utilisateur.

Le rapport fournit une description des systèmes de l’entreprise de service, une description des contrôles, les objectifs de contrôle concernant la description du système, et des tests effectués par l’auditeur sur ces contrôles ainsi que les résultats de ces tests. L’utilisation d’un rapport SOC 2 est généralement restreinte aux clients existants.

 

Il existe deux types de rapports SOC 1 (I) et SOC 2 (II) :

  • Type 1 (I) — un rapport effectué à une date déterminée.
  • Type 2 (II) — un rapport effectué sur une durée déterminée, généralement un minimum de six mois.

Certaines organisations d’utilisateurs ont besoin que leurs fournisseurs de services soient soumis à une évaluation de type 2 puisqu’il garantit un meilleur niveau d’assurance et un rapport plus détaillé.

Les rapports SOC 2 (II) concernent plus particulièrement une ou plusieurs des caractéristiques clé du système :

  • Sécurité – Le système est protégé contre les accès non autorisés (physiques et logiques).
  • Disponibilité – Le système est disponible pour les utilisations opérationnelles comme convenu.
  • Intégrité du traitement – Le traitement est terminé, exact, réalisé dans les temps et autorisé.
  • Confidentialité – Les informations confidentielles sont protégées comme convenu.
  • Vie privée – Les données personnelles sont collectées, utilisées, retenues, divulguées et détruites en conformité avec les engagements détaillés dans l’avis de confidentialité de l’entreprise et avec les critères énoncés dans les principes de confidentialité publiés par l’AICPA.
 

Audit SOC 3 (III) 

Un audit SOC 3 (III) est mené à une date déterminée et fournit un aperçu de l’entreprise de services lorsque l’audit est effectué. Il concerne les traitements non-financiers basés sur les Trust Services Principles and Criteria.

Les Trust Services Principles and Criteria sont un ensemble d’attestations professionnelles et de services de conseil formant la base des services WebTrustTM et SysTrustSM. Les Trust Services sont un ensemble de principes et de critères généraux mis en avant par l’American Institute of Certified Public Accountants (AICPA) afin d’assurer la confidentialité des données.

De nombreuses entreprises décident de se soumettre à un audit WebTrustTM or SysTrustSM afin d’obtenir la confiance d’actionnaires clés. Ces audits sont effectués par un CPA licencié lorsque les audits SOC 1 (I) ou SOC 2 (II) ne sont pas appropriés.

Les rapports SOC 3 (III) peuvent concerner un ou plusieurs des cinq principes Trust Services :

  • Sécurité
  • Disponibilité
  • Intégrité du traitement
  • Confidentialité
  • Vie privée

Un rapport SOC 3 (III) ne fournit que le rapport de l’auditeur concernant la conformité du système avec les critères de Trust Services. Il permet également à l’organisation de services d’utiliser le cachet SOC 3 SysTrust sur leur site internet.

 


ISO 27001 et audits SOC

Les organisations de services suivant la norme ISO 27001 peuvent démontrer à leurs partenaires et clients qu’ils sont engagés à 100% à assurer la disponibilité de leurs services, la sécurité et la protection des données.

En appliquant le cadre de gestion mis en avant par la norme ISO 27001 et en obtenant la certification ISO 27001, vous pourrez prouver à vos clients que la sécurité des données revêt une importance capitale pour votre entreprise, vous donnant un avantage pour les audits SOC 2 (II) ou SOC 3 (III)..
 


Comment IT Governance peut vous aider

IT Governance peut vous aider tout au long de votre projet SOC, lors des étapes de préparation, de réhabilitation, de test et de rapport.

  1. Evaluation du niveau de préparation et réhabilitation

    IT Governance identifiera les engagements SOC les plus adaptés à votre entreprise et conduira une analyse des écarts afin d’identifier les lacunes une fois que le parcours SOC approprié a été déterminé.

    Nous pouvons également vous aider à créer une description de services adaptée ainsi qu’une attestation de gestion.

    Nos experts dans le domaine des risques liés à la sécurité de l’information peuvent également aider les organisations à se préparer afin de réussir leur audit SOC 1 (I), 2 (II) ou 3 (III) en les conseillant quant aux contrôles leur permettant de répondre au Trust Criteria.

    Ces contrôles peuvent être sélectionnés parmi les normes internationales existantes sur les données et la cybersécurité, ex. ISO 27001:2013, le 20eme contrôle critique de sécurité, les contrôles concernant le Cloud tels que le Cloud Control Matrix ou toute combinaison de contrôles personnalisés et particuliers à l’organisation.

  2. Tests et rapports

    IT Governance s’est associé à un cabinet CPA enregistré auprès de PCAOB qui suivra une méthodologie en trois étapes conforme aux normes mises en place par l’AICPA afin de réaliser les tests et de créer les rapports nécessaires.

    IT Governance facilitera ce processus et mettra le client en contact avec notre partenaire qui pourra, si besoin, mener le projet à distance, pour une fraction du coût demandé par l’un des quatre grands cabinets comptables.

    Ce processus comprend :

    • Portée de l’audit
    • Elaboration d’un plan du projet
    • Analyse des risques
    • Identification des contrôles
    • Test des contrôles pour la conception et/ou l’efficacité opérationnelle
    • Documentation des résultats
    • Prestation et communication du rapport client

Vous souhaitez en savoir plus ? contactez nous par téléphone au 00 800 48 484 484 ou par email.


Discuter avec un expert

Vous avez besoin d'aide ? Nous sommes là pour vous aider.