Voir un exemple réel de l'apparence d'un rapport SOC 2 peut être incroyablement utile lors de la préparation d'un audit.
Voici un exemple de rapport SOC 2 de la société ABC, une plateforme de solutions de gestion de capitaux propres.
Qu'est-ce qu'un rapport SOC 2 ?
Un rapport SOC 2 fournit des résultats détaillés d'un audit SOC 2. Ils contiennent également une mine d'informations sur la posture de sécurité de votre entreprise, en particulier en ce qui concerne les normes de sécurité couvertes par SOC 2.
Rapports et normes SOC
Comprendre les concepts de base de SOC 2 peut vous aider à mieux comprendre la structure du rapport.
Développés par l'American Institute of Certified Public Accountants (AICPA), les rapports SOC 2 sont spécifiquement destinés aux audits liés aux contrôles de sécurité et de confidentialité.
Les rapports SOC sont également classés en Type I ou Type II, selon que l'audit SOC a eu lieu à un moment donné (Type I) ou de manière continue (Type II).
Contrôles couverts par SOC
Les « contrôles » se réfèrent aux politiques, procédures ou processus utilisés pour atténuer les risques.
Un contrôle de sécurité, par exemple, pourrait être l'utilisation de l'authentification multi-facteurs pour empêcher les connexions non autorisées. Les rapports SOC utilisent les critères de services de confiance :
- Sécurité : Pare-feux, authentification multi-facteurs, etc.
- Disponibilité : Reprise après sinistre, surveillance des performances, etc.
- Confidentialité : Contrôle d'accès, chiffrement, etc.
- Intégrité des traitements : Surveillance des processus, contrôle de qualité, etc.
- Confidentialité : Chiffrement, contrôle d'accès, etc.
Un rapport SOC 2 évalue dans quelle mesure une organisation de services a mis en œuvre ces contrôles de sécurité.
Structure du rapport SOC 2
L'objectif principal des rapports SOC 2 est de discuter si un système particulier répond aux critères de l'audit. Un rapport SOC 2 doit fournir des informations détaillées sur l'audit lui-même, le système et les perspectives de la direction.
Les rapports SOC 2 comprennent :
- Rapport de l'auditeur
- Assertion de la direction
- Description du système
- Tests de contrôles
- Autres informations
1. Rapport de l'auditeur
La première section d'un rapport SOC 2 est un résumé de l'audit fourni par l'auditeur. Court, concis et direct, cette section doit fournir un bref résumé de l'ensemble de l'examen SOC, y compris la portée, la période et l'opinion de l'auditeur.
Pour beaucoup, la partie la plus importante de cette section est l'opinion de l'auditeur, qui précise si l'organisation de services est conforme aux exigences SOC 2. Ici, les auditeurs utilisent parfois des termes spéciaux pour décrire les résultats.
Ils sont :
- Non qualifié : L'entreprise a réussi son audit.
- Qualifié : L'entreprise a réussi, mais certains domaines nécessitent une attention particulière.
- Défavorable : L'entreprise a échoué à son audit.
- Déclaration d'opinion : L'auditeur n'a pas assez d'informations pour tirer une conclusion équitable.
2. Assertion de la direction
L'assertion de gestion permet à l'entreprise de faire des déclarations sur les systèmes et contrôles audités.
La plupart des assertions de gestion sont simplement la façon pour l'entreprise de dire : « Ce sont nos systèmes, voici leurs contrôles, et voici ce que nous en pensons actuellement. » Cette section peut également inclure les assertions de l'entreprise sur l'audit lui-même, telles que la fenêtre et la portée de l'audit.
Cette section peut sembler quelque peu redondante, mais elle est souvent nécessaire pour créer une base légale entre l'entreprise et l'auditeur.
3. Description du système
Bien que l'assertion de gestion puisse fournir une brève description du système, cette section entre dans plus de détails. Elle couvre tout, des composants du système aux procédures en passant par les incidents du système.
Les parties communes d'une description de système incluent :
- Portée et exigences du système
- Composants du système (par ex., infrastructure, personnes, etc.)
- Cadres de contrôle
- Incidents du système
- Informations complémentaires (par ex., responsabilités des utilisateurs, etc.)
Bien sûr, cette section est seulement aussi détaillée et complexe que le système lui-même. Un système simple peut n'avoir besoin que d'une description simple, et vice-versa.
4. Tests des contrôles
De loin la plus longue partie de tout rapport SOC 2, cette section est une collection complète de chaque test effectué pendant l'audit.
La plupart des rapports SOC 2 montrent les tests sous forme de tableau avec les informations suivantes :
- Critères (CC)
- Catégorie de services de confiance ou objectifs de contrôle
- Numéro de contrôle
- Description du contrôle par l'entreprise
- Description du test par l'auditeur
- Résultats du test
Contrairement aux autres sections, vous avez seulement besoin de lire les tests qui sont pertinents pour les contrôles qui vous intéressent. En d'autres termes, considérez cette section comme une encyclopédie plutôt qu'un roman.
5. Autres informations
Certains rapports SOC 2 peuvent inclure une section supplémentaire pour des informations supplémentaires ou la réponse de la direction à des résultats de test spécifiques. Dans l'exemple ci-dessous, ABC Company a utilisé cette section pour fournir des retours sur les tests où les auditeurs ont noté des exceptions.
Exemple de rapport SOC 2
En tant qu'entreprise fintech, l'activité d'ABC Company repose sur la sécurisation des données de ses clients. Leur rapport SOC 2, décrit ci-dessous, montre comment ils y parviennent grâce à la norme définie par les critères de services de confiance de l'AICPA.
Bien que de nombreux rapports SOC 2 comptent plus de 100 pages de documentation, nous nous concentrerons sur la mise en évidence de certaines des zones les plus exploitables.
Section I : Rapport de l'auditeur
De toutes les pages de ce rapport, cette section est la plus lue. L'auditeur de l'entreprise fournit un résumé d'audit détaillé, commençant par un aperçu de l'objectif et une brève description du système.
Voici un extrait de l'exemple de description du système SOC 2 :
Ce texte fournit une compréhension générale de l'infrastructure technologique d'ABC Company. Le reste de la section fournit de courtes descriptions de :
- Responsabilités de l'auditeur
- Responsabilités de la direction
- Limites de l'audit
- Opinion de l'auditeur
L'opinion de l'auditeur est la partie que la plupart des gens consultent en premier lorsqu'ils reçoivent leur rapport. C'est ici que l'auditeur partage les résultats de l'audit.
Ce rapport révèle que les contrôles d'ABC Company « ont fonctionné efficacement » pendant toute la période de l'audit. Cela signifie que l'entreprise a réussi l'audit et est conforme aux normes SOC 2. Malgré le résultat positif, les auditeurs peuvent encore avoir trouvé des opportunités d'amélioration. Les détails sur ces informations se trouvent plus loin dans le rapport.
Section II : Assertion de gestion
Dans cette section, la direction d'ABC Company fournit sa propre description du système. Cela confirme qu'ils sont en accord avec leur firme d'audit.
La direction affirme également que ses contrôles de sécurité sont « convenablement conçus » et « ont fonctionné efficacement ».
Section III : Description du système
Les sections précédentes fournissent un résumé du système, mais cette section entre dans beaucoup plus de détails.
La description du système inclut le personnel impliqué, ainsi que leurs rôles et responsabilités. Enfin, les composants et contrôles du système sont regroupés avec leurs critères communs respectifs.
Section IV: Tests des contrôles
Bien que ce soit de loin la section la plus longue du rapport, elle est la plus facile à lire. Elle décrit la procédure générale d'audit et montre les tests individuels sous forme de tableau.
Ce test examine les contrôles internes de l'entreprise ABC selon les critères de l'environnement de contrôle (CC1). L'auditeur vérifie si l'entreprise "démontre un engagement envers l'intégrité et les valeurs éthiques" (Critères des Services de Confiance) en examinant les contrôles liés aux politiques de sécurité de l'information.
Plus précisément, l'auditeur a demandé au personnel de l'entreprise ABC si les politiques de sécurité sont revues (1.1a) ou reconnues par les nouveaux employés (1.1b). L'auditeur a noté que 1 employé sur 45 n'a pas reconnu les politiques. 2 employés sur 45 ne les ont revues que bien après avoir accepté le poste.
Section V: Autres informations
Alors que de nombreux rapports SOC 2 s'arrêtent à ce stade, certains fournissent des réponses de gestion aux exceptions notées dans les tests. Ici, l'entreprise ABC reconnaît que certains nouveaux employés n'ont pas revu les politiques de sécurité et s'engage à vérifier plus fréquemment.