影响|什么是SOC2合规性？它如何影响您的业务？( 三 ) 业务|合规性|服务

控制环境（CC1）
交流与信息（CC2）
风险评估（CC3）
监控控件（CC4）
与控件的设计和实施有关的控件活动（CC5）
逻辑和物理访问控制（CC6）
系统操作（CC7）
变更管理（CC8）
降低风险（CC9）

文章图片

前五个共同标准类别对应于2013年COSO框架中概述的前五个类别，该框架由17条原则组成。（注意：2013 COSO框架仍作为2017 TSC标准的一部分使用。）TSP第100.05节概述了其余四个补充标准类别，作为补充COSO原则12的附加标准。
TSP第100.07节涵盖了其余四个TSP类别的其他特定标准。
那么，SOCO的17条原则是什么？SOCO的17条原则如下（注：这些文字逐字引用自AICPA 2017 TSP第100节文件）：
原则1：实体表现出对诚信和道德价值观的承诺。
原则2：董事会表现出与管理层的独立性，并对内部控制的发展和绩效进行监督。
原则3：管理层在董事会的监督下建立结构，报告渠道，并为实现目标建立适当的权限和责任。
原则4：实体展现出根据目标吸引，发展和保留有能力的个人的承诺。
原则5：实体要求个人在追求目标时对内部控制责任负责。
原则6：主体以足够明确的方式指定目标，以便能够识别和评估与目标相关的风险。
原则7：实体在整个实体中识别实现其目标的风险，并分析风险，作为确定如何管理风险的基础。
原则8：主体在评估实现目标的风险时考虑欺诈的可能性。
原则9：主体确定并评估可能会严重影响内部控制系统的变更。
原则10：主体选择并开展控制活动，这些活动有助于将风险降低到实现可接受的水平。
原则11：实体还选择并开发针对技术的一般控制活动，以支持目标的实现。
原则12：实体通过建立期望的策略以及将策略付诸实践的程序来部署控制活动。
原则13：实体获取或生成并使用相关的质量信息来支持内部控制的功能。
原则14：实体在内部传达支持内部控制功能所必需的信息，包括内部控制的目标和责任。
原则15：实体就影响内部控制功能的事宜与外部各方进行沟通。
原则16：主体选择，制定和执行正在进行的和/或单独的评估，以确定内部控制的组成部分是否存在并起作用。
原则17：企业应及时评估内部控制缺陷并将其传达给负责采取纠正措施的各方，包括高级管理层和董事会（视情况而定）。
SOC 2报告的两种类型如果您像大多数人一样，至少听说过SOC 2报告。但是您可能不知道，SOC 2报告实际上有两种类型：报告1和报告2。这两个报告旨在提供有关组织用来处理和保护用户数据并保护的控制和系统的详细信息和保证。他们的隐私。他们这样做的方式以及每个报告的重点是什么，每个报告与另一个报告都不同，并且部分差异会随着时间的流逝而变化。
让我们进一步研究这两个报告，以更好地了解SOC2合规性：

SOC 2类型1报告 -根据AICPA，该报告是“管理层对服务组织系统的描述以及控件设计和操作有效性的适用性。” 该报告在特定时间点评估控件。
SOC 2类型2报告 -此报告迈出了第一步，不仅关注控件的描述和设计，而且实际上涉及评估控件的操作有效性。此外，这种情况不会在一到两周内发生-评估注册会计师会在很长一段时间内编写此报告，以确保控制措施的有效性（可能需要几个月的时间）。

Dash Solutions的首席执行官Jacob Nemetz提供公共云中的安全合规性解决方案，他强调企业拥有SOC报告的重要性。
“通常，服务组织应该每年查看一次SOC报告，以确保SOC 2报告得到持续的覆盖。承保范围问题可能导致合作伙伴或客户进行进一步的安全审查。”
— Dash Solutions首席执行官Jacob Nemetz如何获得SOC 2合规性报告只有获得许可的注册会计师事务所才能提供这些报告之一。为什么？因为AICPA要求SOC审核和报告只能由独立的，有执照的注册会计师执行。从审核和报告过程的开始到结束，您都需要聘请经过认证的CPA或CPA公司的服务。
因此，这意味着尽管您可能与非CPA簿记员Sue保持良好的工作关系，但如果她不是注册会计师，那么她将无法执行SOC 2审计。就是那样子。
组织应与信誉良好的SOC 2审计公司合作，并且在进行SOC 2审计时可以期望处理以下事项：