Les audits SOC 2 ne peuvent être réalisés que par un cabinet ou une agence CPA agréé par l'American Institute of Certified Public Accountants (AICPA).
En outre, l'auditeur ou le cabinet d'audit doit être un CPA complètement indépendant, ce qui signifie qu'il n'a aucune relation avec l'organisation de services qu'il audite.
Les auditeurs SOC sont tenus par l'AICPA de :
- Se conformer aux normes professionnelles de l'AICPA
- Respecter les dernières directives pour la planification, l'exécution et la supervision des procédures d'audit
- Faire l'objet de revues par les pairs qui attestent de leurs références et de la validité de leurs audits
Que fait un auditeur SOC 2 ?
La conformité SOC 2 nécessite un audit externe réalisé par un auditeur de la sécurité de l'information. Ces experts SOC 2 évalueront l'efficacité de votre programme de sécurité et détermineront si vos contrôles internes répondent aux exigences des Critères des services de confiance (TSC) choisis.
En fonction de la période couverte par votre rapport et si vous poursuivez un rapport SOC 2 type 1 ou SOC 2 type 2, votre auditeur passera de quelques semaines à quelques mois à travailler avec votre équipe avant de produire un rapport SOC 2.
Ils commenceront probablement par poser des questions aux principaux intervenants sur les politiques et processus de votre entreprise, votre approche en matière de gestion des risques, votre infrastructure informatique et vos contrôles de sécurité.
Ensuite, l'auditeur examinera les preuves concernant votre environnement de contrôle. Il utilise cette documentation pour mieux comprendre la conception des contrôles et évaluer leur efficacité opérationnelle.
Après l'évaluation, l'auditeur créera un rapport d'attestation détaillé résumant les résultats et l'avis final de l'auditeur. Un avis sans réserve signifie que votre organisation de services est conforme aux exigences SOC 2.
Le rapport d'audit couvre les conclusions de l'auditeur, y compris une description de l'étendue de l'audit, les résultats des tests et une liste des problèmes de cybersécurité qu'ils ont découverts lors de l'audit, ainsi que leurs recommandations pour des améliorations ou des exigences de remédiation. Il comprend également une déclaration de la direction, qui permet à votre organisation de faire des réclamations (ou « déclarations ») sur vos propres systèmes et contrôles.
Certaines entreprises d'audit offrent des services supplémentaires pour vous aider à vous préparer, tels qu'une analyse des écarts ou une évaluation de la préparation SOC 2. Ceux-ci peuvent être particulièrement utiles si vous vous préparez pour votre premier audit, car ils donnent des informations supplémentaires sur la question de savoir si les contrôles de votre organisation de services et les systèmes de sécurité des données sont là où ils doivent être pour un audit réussi.
Comment choisir un cabinet CPA pour votre audit SOC 2
Le choix d'un auditeur est une étape cruciale dans le processus d'audit SOC 2 de l'AICPA, pourtant les entreprises l'ignorent souvent.
Un auditeur doit avoir une expérience claire dans la réalisation d'audits SOC et doit être en mesure de citer des exemples de rapports qu'il a générés dans le passé. Idéalement, ils devraient avoir une expérience de travail avec votre type spécifique d'organisation de services.
La plupart des organisations de services mènent des entretiens avec plusieurs auditeurs avant d'en embaucher un.
N'oubliez pas que vous ne sélectionnez pas seulement un auditeur en fonction de ses qualifications, mais que vous choisissez également une personne avec laquelle vous allez travailler pendant une période pouvant aller de quelques semaines à un an.
Les meilleurs auditeurs SOC 2 sont vos partenaires dans le processus de conformité.
Il est important de s'assurer que vos personnalités et vos priorités soient compatibles.
Voici quelques conseils pour vous aider à choisir un auditeur SOC 2 :