דוח SOC 1
רקע:
ישנם מגוון של
תקנים ודוחות אשר נועדו לייצר בקרה על המערכות מידע הפיננסיות ולוודאות אמינות,
בטיחות ותקינות המידע.
במערכות פיננסיות בקרות אלו קריטיות על מנת לוודא את תקינות השימוש והדיווח.
ההצהרה מסתמכת בעיקרה על הערכת מיפוי בקרות
בארגון, יעילות עיצובן ובחינת האפקטיביות ביישומן. כך שתתקבל הערכת הארגון על-פי
אמת מידה אובייקטיבית המאפשרת השוואה.
לרוב דוחות אלו נדרשים בעת ביקורת מערכות מידע פיננסיות.
לרוב דוחות אלו נדרשים בעת ביקורת מערכות מידע פיננסיות.
ישנם 3 סוגי דוחות SOC- System and Organization Controls Report ,
וחשוב לזהות מה מתאים עבור הארגון:
SOC
1
דוח זה
מתייחס רק לתהליכי הדיווח הכספי שבארגון. דוח זה הינו לשימוש הנהלת הארגון נותן
השירות, הנהלת הארגון מקבל השירות ולרואי החשבון המבקרים.
- independent service auditor’s report .
- Netsuite saas management’s assertion
- description of the system
- testing matrices
- other information provided by management
SOC
2
הינו דוח הדומה במבנה לדוח SOC1, אולם אינו נוגע לתהליכים כספיים אלא
לתהליכים מבוססי עקרונות של שירותי אמון (Trust Services
Principles) אשר נקבעו בסטנדרט האמריקאי AT101: אבטחה (Security),
זמינות (availability),
מהימנות העיבוד (processing integrity),
חשאיות (confidentiality)
ופרטיות (privacy), עקרונות האמורים לקבל
ביטוי במערכות המידע בארגון.
דוח זה הינו לשימוש הנהלת הארגון נותן השירות,
הנהלת הארגון מקבל השירות, רואי החשבון המבקרים ובעלי עניין כגון שותפים עסקיים,
לקוחות ובעלי מניות.
SOC
3
SOC 3 דוח אשר תכולתו זהה ל- SOC2, אך מיועד לפרסום בציבור, ויכול גם לשמש
למטרות שיווקיות. אך שלא כמו דוח SOC1 או
SOC2, דוח זה הינו מקוצר
ואינו כולל את פירוט הבקרות שנבחנו ואת תיאורי הבדיקות וממצאיהן.
ישנם גופים המבקשים גםbridge letter אשר מונפק על ידי נטסוויט ומאשר שמאז הביקורת האחרונה לא נעשו שינויים.
איך
אני מקבל את הדוח?
ניתן לבקש זאת מהמנהל
חשבון בנטסוויט.
חשוב לדעת!
יש חלקים שהדוח
מכסה כי הם באחריות הספק)נטסוויט) ויש דברים כמו הרשאות שהחברה עצמה
אחראית עליהם.