Définition et objectif

L'objectif d'un rapport SOC 1 est de fournir une assurance aux clients et à leurs auditeurs concernant les contrôles en place dans une organisation de services qui sont pertinents pour la communication financière. Le rapport vise à évaluer la conception et l'efficacité opérationnelle de ces contrôles et à évaluer leur effet sur les états financiers des clients de l'organisation de services.

Organe de gouvernance

Le SOC 1 fait partie d'une suite de services créés et maintenus par l'American Institute of Certified Public Accountants (AICPA). L'AICPA fournit des directives sur la manière dont les rapports SOC 1 doivent être menés, ce qui doit être inclus et les critères contre lesquels les contrôles sont évalués.

Dernière mise à jour

Le cadre SOC 1 fait l'objet de mises à jour et de révisions périodiques par l'AICPA afin d'assurer sa pertinence et son efficacité continues. La dernière mise à jour majeure de SOC 1 a eu lieu en 2016, avec l'introduction de la norme SSAE 18, qui a remplacé la SSAE 16.

Applicabilité

Les rapports SOC 1 sont généralement pertinents pour les organisations de services qui impactent les opérations financières des utilisateurs. Les exemples incluent les logiciels de traitement de la paie, les plateformes de gestion de la facturation, les logiciels de communication financière et les sociétés de fiducie.

Contrôles et exigences

Un rapport SOC 1 évalue la conception et l'efficacité opérationnelle des contrôles d'une organisation de services qui sont susceptibles d'être pertinents pour le contrôle interne financier (ICFR) de leurs clients. Ces contrôles varient en fonction des services fournis par l'organisation et de leurs objectifs de contrôle, c'est-à-dire les aspects de la communication financière que les contrôles visent à aborder. Exemples d'objectifs de contrôle : l'enregistrement de transactions valides, l'exhaustivité et l'exactitude des transactions, et la rapidité de la publication des transactions.

Veuillez consulter le site web de l'AICPA pour les ressources officielles relatives aux contrôles et aux exigences de SOC 1.

Type, fréquence et durée de l'audit

• Type d'audit : Pour obtenir un rapport SOC 1, les organisations doivent subir un audit par un CPA, qui implique des tests rigoureux des contrôles de l'organisation directement liés aux opérations financières des utilisateurs. Il existe deux types de rapports SOC 1 : Type 1 et Type 2. Un rapport de type 1 évalue la conception des contrôles à un moment précis, tandis qu'un rapport de type 2 évalue la conception et l'efficacité opérationnelle des contrôles sur une période spécifiée.
• Fréquence de l'audit : La fréquence dépend des exigences des clients et des auditeurs de l'organisation de services. En général, les organisations subissent au moins un SOC 1 annuellement pour fournir une assurance continue aux clients et aux parties prenantes, mais cela peut être trimestriel.
• Durée de l'audit : La durée d'un audit SOC 1 peut varier en fonction de la portée de l'audit et de la complexité de l'infrastructure et des opérations de l'organisation de services. Comme un SOC 2®, elle varie généralement de quelques semaines à quelques mois.