文章写的:
Michael Dickson, CPA, CITP, CISA, CISM, CRISC
资讯科技署署长

 

Recent orders to stay at home are forcing unprecedented changes to our daily routines; where we work, 我们去的地方, 和我们见面的人. 这对各种规模的企业都有着深远的影响. 今天所做的决定很可能会对你的公司产生长期影响.

系统及组织控制(SOC)考试旨在测试公司为保护客户资料安全而实施的资讯科技及业务流程内部控制系统的运作(SOC 2)。, 或确保财务事务处理和报告的准确性和完整性(SOC 1). 如果您的客户和相关利益相关者没有及时执行SOC报告, 这可能会影响他们的商业目标.

以下是我们从客户那里收到的一些最常见的问题, 和潜在客户, sbf88胜博发手机版COVID-19会如何影响启动, SOC业务的继续或完成.

1.  2019冠状病毒病大流行是否会对未来SOC业务产生影响?

是的. 我们认为这很可能会影响未来SOC报告的管理, 考试本身不需要改变太多. SOC 1或SOC 2报告中的实体级控制活动之一是风险评估过程, 其中包括鉴定, 和应对, 不断变化的威胁和风险. 新冠肺炎改变了我们的历史现实. 远程工作改变了日常业务流程, 这些变化可能会“破坏”这些过程中的一些内置控制. 另外, 信息技术一般控制的威胁和风险(SOC 1), 和安全, 可用性, 系统和相关客户数据的保密性和处理完整性(SOC 2), 是否也有可能被改变, 哪些都需要反映在您当前的风险评估过程中.

2.  一个或多个主要客户要求一份SOC报告,我们承诺在2020年完成SOC检查. 我们应该怎么做?

在大流行之后,客户(以及那些依赖您的SOC报告的人)可能对SOC报告更感兴趣, 就像我们正在经历的COVID-19一样, 所以要求延期可能会有问题. 好消息是,即使是在员工减少和在家工作的压力下, 完成SOC参与的过程可以通过使用协作技术(i.e. 缩放或Go-to-Meeting),用于采访、屏幕和文件共享. 除了, 在过去一年内, sbf88胜博发手机版实施了新的基于网络的工具,以简化请求和收集审计证据的过程.

虽然对一些演练和面试进行面对面的面试是理想的, 我们发现,与您的一名或多名员工进行视频会议,对于我们了解您的系统,以便进行新的约定,同样有效, 或者测试正在进行的约定的控制的有效性.

 

3.  我们的系统被设计和配置为限制远程访问, 是什么阻止我们收集和提供您申请的SOC考试项目. 这将如何影响SOC考试?

限制对系统的远程访问是一种常见的、推荐的逻辑访问控制, 这是很有可能的情况. 通常, IT安全官员或网络管理员已经限制只有那些需要远程访问的个人. 通常, 可以对现有技术进行重新配置,以允许其他必要人员以安全的方式访问. 有时,少数IT管理员为远程访问和支持系统而设计和使用的体系结构不足以或不适用于让所有员工访问正常的业务系统.  sbf88胜博发手机版的IT服务团队可以快速检查您的系统,并为那些需要的人提供实现安全远程访问的替代方案.

随着许多企业将他们的生产系统转移到云端, 更改访问配置,以便获得授权的员工可以在家直接访问基于云的应用程序(例如Amazon Web 服务 (AWS)或Microsoft Azure), 而不是通过办公室网络连接, 能否快速而安全地完成.

 

4.  我们的员工已经休假,我们的许多控制系统不能正常运行, 或文件收集不当. 这将对我们的报道产生什么影响?

在测试期间,控制不操作是常见的. 通常, 这是由于控制操作没有发生的触发事件造成的, 例如没有经历可能触发事件响应计划的高风险安全事件.  当这种情况发生时, 审核员只需在审核员报告中添加解释性注释, 然而, 意见没有修改.

请记住, 重要的是,关键控制点继续尽可能定期地运作, 例如预定的会议来审查风险评估, 审查政策, 定期审查用户访问, 或票务及时删除终止用户访问. 在某些情况下, 年度控制可能会重新安排在未来几个月进行, 只要还在SOC考试期间. 在其他情况下,您可能需要虚拟地执行这些活动. 无论哪种方式, sbf88胜博发手机版强烈建议控制不要半途而废, 因为为考试提供所要求的证据将变得更具挑战性.

 

请参阅sbf88胜博发手机版的 COVID-19资源 页面了解更多信息, 警报, 以及与COVID-19相关的有用资源, 或联系 sbf88胜博发手机版的信息技术服务 团队讨论该信息的更详细信息.

 

 

«回来