Si vous préparez votre premier audit SOC 2, le processus peut être intimidant. Vous voulez que tout soit en ordre avant que votre auditeur ne commence à travailler sur votre rapport, mais s'assurer que chaque politique et document est en ordre peut être stressant.

Pour aider les entreprises à se préparer à un audit réussi, nous avons interviewé l'auditeur SOC 2 expérimenté Ryan Johanson, propriétaire de Johanson Group LLP. Johanson a partagé ses idées sur les idées fausses courantes que les nouveaux venus au SOC 2 ont sur le processus d'audit, ainsi que ses meilleurs conseils pour un audit réussi.

Qu'est-ce qui distingue Johanson Group ?

Nous sommes fiers de notre communication. Chaque client sait combien il est important : nous offrons des dates de début d'audit flexibles, des appels de lancement et des suivis de communication. Nous nous assurons que nos clients comprennent exactement ce qui est nécessaire afin que tout soit en place lorsque l'audit commence.

Nous nous engageons également à un processus efficace. Nous constatons que Secureframe fait un travail incroyable en préparant les clients lors de la vérification pré-audit, de sorte que lorsque nous intervenons, il y a peut-être 1 ou 2 questions supplémentaires auxquelles leur équipe de support client peut répondre sans que les clients aient même à s'impliquer. Il faut généralement 4 à 6 semaines à partir du moment où ils nous disent qu'ils sont prêts pour l'audit jusqu'à un rapport finalisé.

Pouvez-vous nous expliquer le processus d'audit SOC 2 pour Johanson Group ?

Une fois qu'un client a passé sa vérification pré-audit dans Secureframe, nous ouvrons son instance Secureframe, collectons ses politiques, procédures et preuves, les ajoutons à notre logiciel d'audit et commençons l'audit. Nous pouvons avoir quelques questions ou demandes de preuves supplémentaires que nous envoyons soit au client soit que nous réglons avec le support client de Secureframe.

Ensuite, nous enverrons un projet de rapport pour que le client le révise, ainsi que des lettres de représentation de la direction. Ensuite, nous publierons le rapport final. Les dernières étapes se déroulent assez rapidement — généralement en un jour ouvrable.

Quelles sont les erreurs et idées fausses les plus courantes que vous voyez de la part des entreprises pendant le processus d'audit ?

La plus grande erreur que nous voyons est de ne pas prendre l'audit au sérieux ou d'essayer de couper les coins ronds. En termes simples, il n'y a aucun coin à couper. Tout est important, vous devez donc trouver un moyen de faire en sorte que les exigences SOC 2 correspondent à la manière dont votre entreprise fonctionne.

Nous voyons souvent des clients qui essaient d'éviter de mettre en place toutes les politiques, ou qui veulent éviter la vérification de vulnérabilité ou les vérifications des antécédents. Vous devez faire le travail pour vous sécuriser.

L'autre idée fausse courante est que les auditeurs sont là pour trouver des exceptions ou s'assurer que vous échouez. Rien ne pourrait être plus éloigné de la vérité ! Nous sommes là pour vous aider à travers le processus SOC 2 et vous voir réussir. Bien sûr, nous ferons un audit approfondi et nous nous assurerons que vous êtes conforme, mais nous ne sommes pas là pour essayer de vous faire échouer.

Quels conseils avez-vous pour aider les entreprises à réussir à travailler avec un auditeur ?

La communication est très importante. Chaque entreprise fonctionne différemment, et tous les contrôles ou politiques types peuvent ne pas s'appliquer à une entreprise — en particulier aux petites entreprises. Pour une entreprise de deux personnes, par exemple, le processus traditionnel de révision de code n'est pas très applicable. Vous devez donc trouver un moyen différent pour vous assurer que le code est correctement révisé avant d'être mis en production.

Dans des cas comme ceux-ci, assurez-vous de parler à votre auditeur à l'avance pour vérifier qu'il est à l'aise avec le fait qu'une politique soit modifiée. Lorsque l'audit commence, vous ne serez pas coincé avec une politique qui ne couvre pas efficacement les principes de la norme SOC 2.

Mon autre principal conseil est de commencer tôt. Le processus de conformité à la norme SOC 2 prend plus de temps que vous ne le pensez, même pour les petites équipes. Il faut du temps pour que toute votre entreprise soit impliquée, pour que vous prépariez correctement les politiques et les preuves, et il y a ensuite une période minimale d'audit de trois mois pour la plupart des cabinets d'audit, y compris Johanson Group. Vous devez intégrer cette fenêtre d'audit dans votre calendrier SOC 2.

Prêt à automatiser votre conformité SOC 2 ?

Maintenant que vous comprenez mieux ce que recherchent les auditeurs SOC 2, vous serez en mesure de mieux vous préparer et d'aborder votre audit en toute confiance.

Notre plateforme d'automatisation de la conformité facilite et accélère l'obtention de la conformité SOC 2. Nous aidons les organisations de toutes tailles à rédiger des politiques, former leur personnel, collecter des preuves et surveiller leur posture de sécurité. Demandez une démo pour voir comment Secureframe peut vous aider à être prêt pour un audit SOC 2 en quelques semaines, et non en quelques mois.