Il est vrai que les rapports SOC 2 de l'AICPA peuvent inclure plus de 100 pages de critères détaillés et de jargon technique. Mais bien que ce ne soit pas exactement une lecture de plage, un rapport SOC 2 a une structure claire et linéaire qui le rend facile à naviguer.

Un rapport SOC 2 guide le lecteur à travers les résultats d'un audit. Il décrit un système particulier et examine si ce système répond aux critères de l'audit.

C'est pourquoi un rapport SOC 2 est si long. Il couvre généralement :

  • Des informations détaillées sur l'objectif et la portée de l'audit
  • Des informations sur le système et les contrôles internes
  • Les perspectives de la direction de l'entreprise et de l'auditeur

Qu'est-ce qui est inclus dans un rapport SOC 2 ?

Les rapports SOC 2 ont cinq sections principales :

1. Rapport de l'auditeur

Cette première section d'un rapport SOC 2 est un résumé de l'audit. Courte, concise et directe, cette section est rédigée par l'auditeur. Elle fournit un bref résumé de l'ensemble de l'examen SOC, y compris la portée et la période de l'audit ainsi que l'avis final de l'auditeur.

Pour beaucoup, c'est la partie la plus importante du rapport, car elle indique généralement si l'organisme de services a réussi son audit. Voici les termes que les auditeurs utilisent pour décrire les résultats :

  • Non qualifié : L'entreprise a réussi son audit.
  • Qualifié : L'entreprise a réussi, mais certains domaines nécessitent une attention.
  • Défavorable : L'entreprise a échoué à son audit.
  • Avertissement : L'auditeur n'a pas suffisamment d'informations pour formuler une conclusion équitable.

2. Déclaration de la direction

C'est généralement la section la plus courte du rapport. La déclaration de la direction permet à l'entreprise de faire des affirmations (ou « assertions ») sur ses systèmes et ses contrôles organisationnels.

La plupart des déclarations de la direction sont la manière pour l'entreprise de dire : « voici nos systèmes, voici leurs contrôles de sécurité et voici notre avis sur tout cela en ce moment ». Cette section peut également inclure les assertions de l'entreprise sur l'audit lui-même, comme la période et la portée.

Cette section peut sembler redondante, mais elle est souvent nécessaire pour créer une base légale entre l'entreprise et l'auditeur.

3. Description du système

Cette section fournit un aperçu détaillé du système soumis à l'audit. Elle décrit les composants du système, les procédures et les incidents systémiques.

Les parties courantes d'une description de système incluent :

  • Portée et exigences du système
  • Composants du système (par exemple, infrastructure, personnel, etc.)
  • Cadres de contrôle
  • Incidents systémiques
  • Informations complémentaires (par exemple, responsabilités des utilisateurs, etc.)

Bien sûr, cette section est seulement aussi détaillée et complexe que le système qu'elle décrit. En général, vous pouvez vous attendre à 20-30 pages d'informations détaillées.

4. Tests des contrôles

C'est la plus longue section d'un rapport SOC 2 et elle décrit chaque test effectué pendant l'audit.

Étant donné que les rapports SOC 2 sont axés sur la sécurité des informations, la plupart des tests trouvés dans cette section se rapportent aux Critères de Services de Confiance « Sécurité ». Ici, la sécurité se décompose en neuf Critères Communs (CC).

La plupart des rapports SOC 2 présentent les tests sous forme de tableau avec les informations suivantes :

  • Critères Communs (CC)
  • Critères de Services de Confiance ou objectifs de contrôle
  • Numéro de contrôle
  • Description du contrôle par l'entreprise
  • Description du test par l'auditeur
  • Résultats des tests sur l'efficacité opératoire

5. Autres informations

Certains rapports d'audit SOC 2 incluent une section supplémentaire pour des informations supplémentaires. Par exemple, la réponse de la direction à des résultats de tests spécifiques. Les entreprises peuvent expliquer pourquoi une exception s'est produite ou ce qu'elles ont fait depuis pour y remédier.