• blogangle-right
  • Comment rédiger une assertion de gestion SOC 2 [Exemple + Modèle]

Table of Contents

Comment rédiger une assertion de gestion SOC 2 [Exemple + Modèle]

  • August 22, 2023

Si vous vous préparez pour un audit SOC 2, vous savez qu'il nécessite une tonne de documentation. L'un des documents les plus importants que vous devrez fournir à votre auditeur est une assertion de gestion.

Qu'est-ce qu'une assertion de gestion et à quoi sert-elle ? Comment en écrire une ?

Nous répondons à ces questions ci-dessous, puis allons droit au but avec un exemple d'assertion de gestion et un modèle personnalisable.

Qu'est-ce qu'une assertion de gestion SOC 2 ?

L'assertion de gestion est une lettre des dirigeants de l'entreprise qui résume les produits et services de l'entreprise. Elle fournit une série de faits (ou « assertions ») par la direction de l'entreprise sur la structure des systèmes informatiques, les contrôles organisationnels et les organisations de sous-services.

La plupart des assertions de gestion sont simplement la façon dont l'entreprise dit : « Voici nos systèmes, voici les contrôles internes, et voici comment nous avons pensé à tout cela. » Cette section peut également inclure les assertions de la direction sur l'audit lui-même, comme la période d'évaluation et la portée de l'audit.

En termes simples, l'assertion de gestion explique à l'auditeur comment tout est censé fonctionner afin qu'il puisse évaluer si c'est effectivement le cas. Le rapport final de l'auditeur est essentiellement d'accord ou en désaccord avec les affirmations de la direction. C'est pourquoi une assertion de gestion est si importante – et pourquoi elle doit être aussi précise que possible. C'est la base de tout votre audit SOC 2.

Par exemple, si vous affirmez dans votre assertion de gestion que chaque employé reçoit une formation annuelle de sensibilisation à la cybersécurité, l'auditeur doit être en mesure de valider cette affirmation en examinant des documents tels que des certificats de complétion.

L'American Institute of Certified Public Accountants (AICPA) définit trois objectifs pour l'assertion de gestion :

  • Détermine si la description du système de l'organisation de service est présentée conformément aux critères
  • Détermine si les contrôles spécifiés dans la description ont été correctement conçus
  • Traite si les contrôles ont fonctionné correctement pendant une période d'évaluation du rapport de Type II

Une assertion de gestion peut sembler être une formalité, mais elle parle en réalité d'un aspect très important des audits SOC 2 : l'auditeur et la direction de l'organisation travaillent ensemble pour rendre compte des contrôles internes et de leur efficacité opérationnelle. En fournissant une assertion de gestion à l'auditeur, la direction de l'entreprise partage des informations précieuses sur la façon dont les contrôles internes sont conçus et fonctionnent au sein de l'organisation. Cela rend plus facile pour les auditeurs de fournir un rapport d'audit final qui est pleinement informé, objectif et complet.

Comment l'assertion de gestion s'intègre dans un rapport SOC 2

L'assertion de gestion est un composant important de votre rapport SOC 2 final, qui guide un lecteur à travers les résultats de votre audit.

L'objectif principal de la déclaration SOC 2 est d'évaluer si un système particulier satisfait aux exigences des critères des services de confiance (TSC) pertinents. Un rapport SOC 2 fournit des informations détaillées sur l'audit lui-même, une description du système évalué et des contrôles associés, les résultats des tests, et les perspectives de la direction de l'entreprise.

Les rapports SOC 2 comprennent cinq sections :

  1. Rapport d'audit de service indépendant : La première section d'un rapport SOC 2 est un résumé de l'audit fourni par l'auditeur. Il donne un bref aperçu de l'ensemble de l'évaluation SOC 2, y compris le champ d'application, la période de temps et l'opinion de l'auditeur :
    undefinedundefinedundefinedundefined
  2. Déclaration de la direction : Cette section permet à la direction de l'entreprise de faire des déclarations sur les systèmes et les contrôles qui sont dans le champ d'application de l'audit SOC 2.
  3. Description du système: Bien que la déclaration de la direction puisse fournir un bref aperçu du système audité, cette section entre beaucoup plus dans les détails sur le système et l'environnement de contrôle. Elle couvre tout, des composants du système et de la structure organisationnelle aux procédures et incidents du système.
  4. Tests des contrôles: Typiquement la plus longue section d'un rapport SOC 2, il s'agit d'une liste complète des tests effectués par l'auditeur pendant le processus d'audit.
  5. Informations supplémentaires: Certains rapports SOC 2 peuvent inclure une section supplémentaire pour des informations supplémentaires ou la réponse de la direction à des résultats de tests spécifiques.

Lectures recommandées

Que couvre un rapport SOC 2 ?

Comment rédiger une déclaration de la direction SOC 2

Parce que chaque organisation est unique, aucun document de déclaration de la direction ne sera identique. Alors qu'une entreprise pourrait avoir une déclaration de la direction concise tenant sur une seule page de texte, la déclaration de la direction d'une autre entreprise pourrait s'étendre sur plusieurs pages et inclure des tableaux et des graphiques.

Cela dit, les déclarations de la direction doivent être brèves et concises. Elles incluent généralement quelques paragraphes introductifs qui décrivent comment les systèmes sous audit sont organisés et comment les contrôles de sécurité sont conçus.

La déclaration de la direction est composée de trois sections principales :

  1. Une brève description du système de l'organisation de services
  2. Une revendication (ou « déclaration ») de la direction selon laquelle leurs contrôles internes ont été intentionnellement et soigneusement conçus pour atteindre les objectifs de contrôle spécifiés dans la description du système
  3. Une explication des critères utilisés pour s'assurer que les contrôles ont été appliqués de manière cohérente et efficace pendant toute la durée de la période d'audit

La déclaration de la direction est un document officiel et doit être présentée sur du papier à en-tête de l'entreprise.

Exemple de déclaration de la direction SOC 2 + modèle

Déclaration de la Direction de [NOM DE L'ENTREPRISE] Concernant son Système [NOM DU SYSTÈME] Pendant la Période du [MOIS, JOUR, ANNÉE] au [MOIS, JOUR, ANNÉE]

La direction de [NOM DE L'ENTREPRISE] a préparé cette description du système [NOM DU SYSTÈME] de [NOM DE L'ENTREPRISE] (l'« organisation de services ») pour la période du [MOIS, JOUR, ANNÉE] au [MOIS, JOUR, ANNÉE] (« description »). La description est basée sur les critères de l'AICPA mentionnés dans la Section 200 du document Description Criteria for a Description of a Service Organization’s System in a SOC 2 Report. Cette description est destinée à fournir aux utilisateurs du rapport des informations sur le système [NOM DU SYSTÈME] qui peuvent être utiles lors de l'évaluation des risques découlant des interactions avec le système [NOM DE L'ENTREPRISE] [NOM DU SYSTÈME], ainsi que des informations sur les contrôles que [NOM DE L'ENTREPRISE] a conçus, mis en œuvre et exploités pour fournir une assurance raisonnable que ses engagements de service et les exigences du système ont été atteints sur la base des Critères de Services de Confiance de l'AICPA pertinents pour [liste des critères de services de confiance (TSCs) applicables] définis dans la section 100 du document Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy.

[NOM DE L'ENTREPRISE] utilise [SERVICE TIERS], une organisation de sous-traitance, pour fournir [SERVICES]; [SERVICE TIERS], une organisation de sous-traitance, pour fournir [SERVICES]; [SERVICE TIERS], une organisation de sous-traitance, pour fournir [SERVICES].

Cette description indique que les contrôles complémentaires de l'organisation de sous-traitance sont correctement conçus et fonctionnent efficacement.

Cette description indique que les contrôles complémentaires de l'organisation de sous-traitance qui sont correctement conçus et fonctionnent efficacement sont nécessaires, ainsi que les contrôles de [NOM DE L'ENTREPRISE], pour atteindre les engagements de service et les exigences du système de [NOM DE L'ENTREPRISE] sur la base des Critères de Services de Confiance applicables. Cette description présente les contrôles de [NOM DE L'ENTREPRISE], les Critères de Services de Confiance applicables et les types de contrôles complémentaires de l'organisation de sous-traitance supposés dans la conception des contrôles de [NOM DE L'ENTREPRISE]. Cette description ne divulgue pas les contrôles réels des organisations de sous-traitance.

Nous confirmons, au meilleur de notre connaissance et de nos croyances, que:

a. Cette description présente fidèlement le système [NOM DU SYSTÈME] de [NOM DE L'ENTREPRISE], qui a été conçu et mis en œuvre tout au long de la période du [MOIS, JOUR, ANNÉE] au [MOIS, JOUR, ANNÉE], conformément aux critères de description:

  • La description contient les éléments suivants:

  • 1. Types de services fournis

    2. Composants du système utilisés pour fournir les services, qui sont:
    -Infrastructure: composants physiques et matériels du système
    -Logiciel: programmes et logiciels d'exploitation du système
    -Personnes: personnel qui exploite et utilise le système
    -Processus: processus automatisés et manuels impliqués dans les opérations du système

    3. Portée et limites du système

La description n'omette pas ou ne déforme pas les informations pertinentes pour le système de l'organisation de services tout en reconnaissant que la description est préparée pour répondre aux besoins communs d'une large gamme d'utilisateurs et peut, par conséquent, ne pas inclure chaque aspect du système que chaque utilisateur individuel peut considérer important pour ses propres besoins particuliers.

  • b. Les contrôles mentionnés dans cette description étaient correctement conçus tout au long de la période du [MOIS, JOUR, ANNÉE] au [MOIS, JOUR, ANNÉE], pour fournir une assurance raisonnable que:
  • Les engagements de service et les exigences du système de [NOM DE L'ENTREPRISE] seraient atteints sur la base des Critères de Services de Confiance applicables
  • Ses contrôles ont fonctionné efficacement tout au long de cette période, et

L'organisation de sous-traitance et les entités utilisatrices ont appliqué les contrôles complémentaires supposés dans la conception des contrôles de [NOM DE L'ENTREPRISE] tout au long de cette période

  • c. Les contrôles mentionnés dans la description ont fonctionné efficacement tout au long de la période du [MOIS, JOUR, ANNÉE] au [MOIS, JOUR, ANNÉE], pour fournir une assurance raisonnable que:

Les engagements de service et les exigences du système de [NOM DE L'ENTREPRISE] seraient atteints sur la base des Critères de Services de Confiance applicables si les contrôles complémentaires de l'organisation de sous-traitance et les contrôles complémentaires des entités utilisatrices supposés dans la conception des contrôles de [NOM DE L'ENTREPRISE] ont fonctionné efficacement tout au long de cette période

Obtenez des conseils d'experts pour vous préparer à votre audit SOC 2

Obtenir votre rapport SOC 2 peut être un processus long et fastidieux rempli d'un flux interminable de questions. Quel type de rapport devez-vous choisir ? Comment allez-vous déterminer la portée de votre audit ? Vos politiques et contrôles satisfont-ils aux exigences de conformité ? Comment savez-vous que vous êtes pleinement préparé pour un audit ?

Chez Secureframe, nous pensons que tout le monde devrait avoir un expert à ses côtés pour répondre à ces questions et vous soutenir à chaque étape du parcours de conformité. C'est pourquoi nous attribuons à chaque client un ancien auditeur pour aider tout au long du processus — de la compréhension et de la mise en œuvre des exigences de contrôle jusqu'à l'audit lui-même.

En savoir plus sur notre équipe d'experts en conformité et écoutez les réponses aux questions courantes dans notre série de webinaires Secureframe Expert Insights.