В цілому, структура звіту SOC 2 має багато спільного зі структурою звіту SOC 1. Звіт SOC 3 містить менш деталізовану інформацію з огляду на те, що він призначений для необмеженого кола осіб. Звіти SOC 1 /2 можуть бути підготовлені у вигляді оцінки дизайну засобів контролю на певний момент часу1, SOC 3 - у вигляді оцінки дизайну та операційної ефективності засобів контролю за певний проміжок часу1.
1. SOC-звіти можуть бути двох типів:
Звіт типу I містить інформацію про дизайн контрольних процедур та результат оцінки системи внутрішнього контролю станом на звітну дату. Звіт цього типу буде корисним у випадку, якщо систему внутрішнього контролю в організації було сильно змінено або відсутня достатня історія її функціонування для перевірки ефективності.
Звіт типу II містить інформацію про дизайн та операційну ефективність контрольних процедур за проміжок часу (зазвичай півроку або більше).
2. Які стандарти застосовуються при складанні SOC-звіту?
В сучасному світі існує ефективний спосіб запевнити своїх клієнтів та інші зацікавлені сторони в наявності ефективного контрольного середовища – незалежна оцінка засобів контролю та підготовка звіту System and Organization Controls (SOC, раніше Service Organization Controls) відповідно до стандартів SSAE 18 та ISAE 3402.
- SSAE 18 – Положення із стандартів проведення атестацій №18 (SSAE 18) – американський стандарт, випущений Американським інститутом сертифікованих бухгалтерів (AICPA).
- ISAE 3402 – Міжнародний стандарт із підтвердження достовірності інформації ISAE 3402, випущений Комітетом із міжнародних стандартів аудиту та підтвердження достовірності інформації (IAASB)