SAS-70/SSAE16審計準(zhǔn)則相關(guān)問題及如何解決

 

對于數(shù)據(jù)中心來說，與采用SAS70和SSAE16相關(guān)的挑戰(zhàn)在于這兩個標(biāo)準(zhǔn)都集中在對企業(yè)財務(wù)報告內(nèi)部控制（ICFR）的關(guān)注。企業(yè)財務(wù)報告內(nèi)部控制是企業(yè)必須遵守的《薩班斯-奧克斯利法案（Sarbanes-OxleyAct）》的關(guān)鍵內(nèi)容。然而，在大多數(shù)情況下，財務(wù)報告內(nèi)部控制僅僅局限于關(guān)注為數(shù)據(jù)中心的客戶提供服務(wù)。有限的報告選項使得有些數(shù)據(jù)中心進(jìn)退兩難。

 

服務(wù)性機(jī)構(gòu)控制體系鑒證

 

美國注冊公共會計師協(xié)會意識到了這個問題，并創(chuàng)造了一套報告選項給服務(wù)提供商稱為：服務(wù)性機(jī)構(gòu)控制體系鑒證（SOC，ServiceOrganizationControls）報告，這正好過渡到SSAE16.SOC報告的目的是給服務(wù)提供商選項，方便他們提供更多的相關(guān)報告給客戶。

 

SOC1是基于SSAE16，類似于其前身SAS70，重點聚焦在對企業(yè)財務(wù)報告內(nèi)部控制的關(guān)注。SOC1與那些服務(wù)的客戶對于財務(wù)報告內(nèi)部控制有需求的數(shù)據(jù)中心最為相關(guān)。

 

SOC2和SOC3報告是基于AICPA的信托原則：

 

安全：物理和邏輯的措施，阻止未經(jīng)授權(quán)的訪問。

 

可用性：指定系統(tǒng)的使用和操作。

 

處理系統(tǒng)的完整性：系統(tǒng)處理的授權(quán)、準(zhǔn)確、完整和及時。

 

保密：針對保密信息的保護(hù)。

 

隱私：根據(jù)AICPA普遍接受的隱私原則進(jìn)行信息收集、處理和處置。

 

SOC3是一個一般用途的報告，只包括一個審計師的意見，即是否達(dá)到了服務(wù)性機(jī)構(gòu)控制體系鑒證的標(biāo)準(zhǔn)。SOC3不包括配套的細(xì)節(jié)，對于有目的的營銷是最有用的。

 

不過，SOC2應(yīng)該對于那些要履行客戶審計要求的數(shù)據(jù)中心是非常有用的。大多數(shù)數(shù)據(jù)中心服務(wù)供應(yīng)商都認(rèn)識到：安全性、可用性、處理的完整性、保密和隱私等概念比他們所提供的企業(yè)財務(wù)報告內(nèi)部控制更為重要的。SOC2報告包括描述數(shù)據(jù)中心的系統(tǒng)，以及審計師對于公平性的描述和設(shè)計的適宜度的意見。報告還包括一個業(yè)務(wù)審計員進(jìn)行測試的描述以及測試結(jié)果。

 

SOC2的范圍可以包括任何組合的信托服務(wù)原則。例如，托管設(shè)施的客戶可能會覺得安全是與他們提供的服務(wù)一致唯一的原則。然而，管理的托管服務(wù)的供應(yīng)商可能覺得安全性與可用性和保密原則是有關(guān)的。

 

新報告帶來的市場混亂

 

雖然各種SOC報告選項使數(shù)據(jù)中心得以提供更多有關(guān)的保證報告，這些報告選項的新奇也帶來了市場的混亂。

 

今天，數(shù)據(jù)中心客戶往往要求SSAE16審計鑒證準(zhǔn)則（SOC1）報告，因為他們習(xí)慣于接受他們的數(shù)據(jù)中心服務(wù)提供商的SAS70.此外，一些報告選項和各種信托服務(wù)原則組合可能為SOC2報告，造成客戶的混亂。

 

新的選項需要數(shù)據(jù)中心來重新審視自己的目標(biāo)，他們正在尋求提供第三方保證。數(shù)據(jù)中心服務(wù)供應(yīng)商應(yīng)當(dāng)咨詢他們的審計師，并與審計師們討論主要目標(biāo)和各種可供選擇的方案。這個過程可能會需要大量反復(fù)的向客戶解釋和教育。

 

然而，這樣做的好處是數(shù)據(jù)中心可以通過這個過程獲得第三方保證，從而確保他們給客戶所提供的相關(guān)服務(wù)滿足要求。