एसओसी 1, 2 और 3 में क्या अंतर है?
एसओसी क्या है?
SOC 1, 2 और 3 के बीच का अंतर यह मानते हुए काफी महत्वपूर्ण है कि आप जानते हैं कि SOC क्या है। अधिकांश लोगों ने SOC ऑडिट रिपोर्ट के बारे में सुना होगा, लेकिन जो लोग यह नहीं समझते कि SOC का मतलब क्या है, आइए हम शुरू से शुरू करें। SOC अमेरिकन इंस्टीट्यूट ऑफ सर्टिफाइड पब्लिक अकाउंटेंट्स (AICPA) द्वारा शुरू किए गए सिस्टम और ऑर्गनाइजेशन कंट्रोल फ्रेमवर्क का संक्षिप्त नाम है । जैसा कि आप उम्मीद कर सकते हैं कि एसओसी की जड़ें "वित्तीय रिपोर्टिंग पर आंतरिक नियंत्रण" पर जोर देने के साथ वित्तीय नियंत्रण में हैं।
एआईसीपीए में उन चतुर लोगों को यह एहसास हुआ कि अगर आपके पास कंपनी की संपत्तियों की सुरक्षा के लिए एक मजबूत सूचना सुरक्षा ढांचा नहीं है तो आपका वित्तीय नियंत्रण आपकी चिंताओं से कम हो सकता है। इसलिए सूचना सुरक्षा को शामिल करने के लिए एसओसी का विस्तार किया गया।
एसओसी रिपोर्ट
ऑडिट रिपोर्ट के बीच अंतर पर चर्चा करने से पहले, मुझे यह बताना चाहिए कि सभी 3 रिपोर्ट बहुत विशिष्ट दस्तावेज हैं जो केवल योग्य चिकित्सकों (जिसका अर्थ है लाइसेंस प्राप्त और पंजीकृत प्रमाणित सार्वजनिक लेखाकार) द्वारा उत्पादित किया जा सकता है। SOC सहभागिता आयोजित करते समय योग्य चिकित्सकों द्वारा उपयोग किए जाने वाले प्रकाशित मानक हैं।
SOC 1 और SOC 2 लेखापरीक्षा के लिए दो प्रकार की रिपोर्टें हैं।
· टाइप I रिपोर्ट: आपकी कंपनी का विवरण, आंतरिक नियंत्रण वातावरण, आपकी नीतियों और प्रक्रियाओं के संदर्भ, और रिपोर्ट जारी किए जाने के समय नियंत्रण की उपयुक्तता और डिजाइन पर एक राय प्रदान करता है।
· टाइप II रिपोर्ट: समय की अवधि (आमतौर पर 12 महीने) में नियंत्रणों की परिचालन प्रभावशीलता पर रिपोर्ट करने के लिए नियंत्रणों का डिज़ाइन और परीक्षण शामिल है। यह संभावित ग्राहकों या भागीदारों के लिए बेहद उपयोगी है जो यह देखना चाहते हैं कि नियंत्रण जगह पर हैं और काम कर रहे हैं।
फिर एसओसी 1 और एसओसी 2 क्या हैं?
SOC 1 में वित्तीय रिपोर्टिंग (ICFR) पर आंतरिक नियंत्रण शामिल हैं । इस प्रकार की रिपोर्ट बाहरी वित्तीय विवरणों, संगठन के वित्तीय विवरणों के लेखा परीक्षकों के लिए होती है। इसे बाहरी पार्टियों, जैसे भागीदारों और ग्राहकों को यह आश्वासन देने के लिए डिज़ाइन किया गया है कि वित्तीय रिपोर्टिंग पर कंपनी का आंतरिक नियंत्रण उचित है और प्रभावी ढंग से काम कर रहा है।
एसओसी 2 अलग है। SOC 2 ऑडिट का उद्देश्य किसी संगठन की सूचना प्रणाली के नियंत्रण का मूल्यांकन करना है जो निम्न के लिए प्रासंगिक है:
· सुरक्षा
· उपलब्धता
· अखंडता
· गोपनीयता
मोटे तौर पर हम SOC 1 को वित्तीय और SOC 2 को सूचना सुरक्षा के रूप में सारांशित कर सकते हैं।
तो एक SOC 3 रिपोर्ट कहाँ फिट होती है?
SOC 1 या SOC 2 लेखापरीक्षा की दोनों प्रकार की रिपोर्टों के साथ समस्या यह है कि वे काफी विस्तृत हैं। एक SOC 2 ऑडिट रिपोर्ट उस नियंत्रण ढांचे का वर्णन करती है जिसे कंपनी ने स्थापित किया है और टाइप II रिपोर्ट रिपोर्टिंग अवधि के दौरान इसकी प्रभावशीलता का वर्णन करेगी।
टाइप II रिपोर्ट, यदि सार्वजनिक की जाती है, तो किसी भी संभावित खराब अभिनेताओं के लिए बहुत दिलचस्प हो सकती है जो कंपनी के सिस्टम तक पहुंच प्राप्त करने का प्रयास करने से पहले कुछ आधारभूत कार्य करना चाहते हैं। यह वर्णन करता है कि किन नियंत्रणों का उपयोग किया जा रहा है और वे कितने प्रभावी हैं। यह उस प्रकार की जानकारी नहीं है जिसे आप आम तौर पर सार्वजनिक करते हैं।
एसओसी 3 रिपोर्ट
SOC 3 ऑडिट रिपोर्ट सार्वजनिक रूप से उपलब्ध रिपोर्ट है जिसे आप कभी-कभी वेबसाइटों या मार्केटिंग सामग्री में प्रकाशित पा सकते हैं। SOC 3 रिपोर्ट में सीमित जानकारी है। इसमें लेखा परीक्षक के नियंत्रणों के परीक्षण या उदाहरण के लिए परिणामों का विवरण शामिल नहीं है।
एसओसी मतभेदों को लपेटने के लिए
यदि आप इस ब्लॉग पोस्ट को पढ़ने से पहले SOC भेदों से अवगत नहीं थे, तो अब आपको इसे "SOC'd-IT-TO-YOU" करना चाहिए और यह समझना चाहिए:
· एक SOC 1 ऑडिट रिपोर्ट वित्तीय रिपोर्टिंग नियंत्रणों पर रिपोर्ट कर रही है
· एक SOC 2 ऑडिट रिपोर्ट सूचना सुरक्षा नियंत्रणों पर रिपोर्ट कर रही है
· एक SOC 3 ऑडिट रिपोर्ट सब कुछ अच्छा है कहने के लिए अनुमोदन की मोहर है
लेकिन यह न भूलें कि टाइप I ऑडिट रिपोर्ट नियंत्रण वातावरण का विवरण है, लेकिन यह संकेत नहीं है कि यह वास्तव में काम कर रहा है। टाइप II ऑडिट रिपोर्ट इंगित करती है कि समय की अवधि में नियंत्रण वातावरण कैसे काम कर रहा है।
एसओसी 1, 2 और 3 में क्या अंतर है?
February 09, 2023
0