Que vous ayez décidé de poursuivre un rapport SOC 2 Type I ou Type II, vous devrez passer un audit annuel pour maintenir la conformité et recevoir un rapport renouvelé. Que pouvez-vous faire pour rassurer vos clients entre les périodes de révision des audits ?
C'est là qu'une lettre de liaison peut être un ajout utile à vos outils de conformité.
Qu'est-ce qu'une lettre de liaison ?
Une lettre de liaison (également connue sous le nom de lettre d'écart) comble l'écart entre la fin de la période d'audit de votre dernier rapport SOC 2 et la date actuelle.
Supposons que votre organisation ait terminé un rapport SOC 2 couvrant la période du 30 septembre 2020 au 1er octobre 2021. Mais la fin de l'exercice fiscal de votre organisation est le 31 décembre 2021.
Vous pouvez fournir à vos clients une lettre de liaison indiquant qu'il n'y a pas eu de changements significatifs dans vos contrôles entre le 1er octobre et le 31 décembre. Ou, s'il y a eu des changements matériels, expliquez ce qu'ils sont et assurez vos clients qu'ils n'affecteront pas les résultats de votre rapport SOC 2.
Les lettres de liaison ne couvrent généralement pas une période de plus de trois mois. Une lettre de liaison ne remplace pas un rapport SOC 2 à jour, mais elle peut être un outil utile pour rassurer les clients entre les audits.
Que comprend une lettre de liaison pour SOC 2 ?
Une lettre de liaison comprend généralement :
- Les dates de début et de fin de la période d'audit du dernier rapport SOC 2.
- Une explication de tout changement apporté aux systèmes ou contrôles de l'organisation depuis l'audit, le cas échéant. Ou, une déclaration indiquant que l'organisation n'a pas connaissance de changements matériels susceptibles de modifier l'opinion de l'auditeur dans son dernier rapport SOC 2.
- Une déclaration indiquant que la lettre de liaison concerne uniquement l'organisation et ne peut être utilisée par une autre entité.
Qui émet une lettre de liaison ?
Les lettres de liaison sont émises et signées par la direction de l'organisation et envoyées directement aux clients.
La société de CPA qui a effectué l'audit SOC n'est pas impliquée.
Pourquoi ?
Supposons que l'entreprise ait changé son infrastructure cloud après la fin de sa période d'audit. L'auditeur ne peut plus attester que l'environnement du client fonctionne de la même manière.
Exemple de lettre de liaison SOC 2
Cher client de ABC Company,
ABC Company engage SOC 2 CPA Firm pour délivrer des rapports SOC 2 Type II biannuels pour ses services d'hébergement d'applications. Actuellement, ABC Company délivre deux rapports de douze mois respectivement à des dates de fin le 31 mars et le 30 septembre. La période de test couverte par le rapport le plus récent était du 1er avril 2021 au 30 septembre 2021.
Cette lettre confirme que, pour la période allant du 1er octobre 2021 à la date de cette lettre, il n'y a eu aucun changement significatif dans le système de contrôles internes qui, selon nous, affecterait négativement les conclusions tirées dans le rapport SOC 2 Type II que vous avez précédemment reçu.
Cette lettre n'est pas destinée à remplacer le rapport SOC 2 Type II de 2021 ABC Company, ni à vous fournir une certification des contrôles internes de ABC Company, ni à suggérer que ABC Company a effectué une évaluation distincte de ses contrôles dans le but de produire cette lettre.
Cordialement,
La direction d'ABC Company
Email : management@abccompany.com
Téléphone de bureau : 123-456-7890
FAQs
Qu'est-ce qu'une lettre de liaison SOC 2 Type 2 ?
Une lettre de liaison SOC 2 Type 2 est un document qui couvre l'écart entre le dernier rapport SOC 2 Type II d'une organisation et la date actuelle. Les clients peuvent en faire la demande s'il existe un écart entre la période d'audit du rapport SOC 2 de l'organisation et leur propre fin d'année civile ou fiscale.
Les rapports SOC 2 ont-ils des lettres de liaison ?
Non, les rapports SOC 2 n'ont pas de lettres de liaison. Les rapports SOC 2 sont basés sur une société indépendante de comptabilité et d'audit tierce qui a évalué la conception et l'efficacité opérationnelle des processus, procédures et contrôles d'une organisation pour une période déterminée. Les lettres de liaison sont destinées à combler l'écart entre la période d'audit de votre dernier rapport SOC 2 et la suivante.
Qui fournit une lettre de liaison SOC 2 ?
Les lettres de liaison sont émises et signées par la direction de l'organisation. Elles fournissent directement la lettre de liaison aux clients. L'auditeur qui a mené l'audit SOC 2 de l'organisation ne fournit pas de lettre de liaison car il ne peut pas attester de l'adéquation de la conception ou de l'efficacité opérationnelle des contrôles de l'organisation en dehors de la période d'audit du rapport.
Les lettres de liaison sont-elles obligatoires ?
Les lettres de liaison ne sont pas obligatoires, mais peuvent servir d'assurance aux clients et prospects que votre organisation maintient ses processus, procédures et contrôles de sécurité et autres Critères de services de confiance applicables entre les audits SOC 2.
