جدول المقارنة

| البُعد | معيار المراجعة ٣٤٠٢ | تقرير SOC 1 |
|---|---|---|
| الإطار القانوني | معيار دولي من IFAC. ينطبق في جميع أنحاء العالم بما يتجاوز الولايات المتحدة. | معيار أمريكي من AICPA (SSAE 18). ينطبق على الخدمات المُقدمة للعملاء الأمريكيين أو العملاء الذين يعملون وفقاً لمعايير أمريكية. |
| المعايير الأساسية | معايير الضوابط الداخلية (COSO أو معايير محلية أخرى) حسبما تراها جهات التنظيم. | COSO للضوابط الداخلية؛ معايير إضافية محددة من AICPA لخدمات المعالج. |
| فترة الاختبار | Type A: نقطة زمنية محددة. Type B: فترة زمنية (6-12 شهر في الممارسة العملية). | Type I: نقطة زمنية محددة. Type II: فترة زمنية (دائماً بحد أدنى 6 أشهر). |
| نطاق التقييم | الضوابط المتعلقة بـ: السرية، التوفر، سلامة المعالجة، السرية، الامتثال. | الضوابط المتعلقة بـ: الأمن، التوفر، معالجة المعاملات، السرية، الخصوصية (TC). |
| من يطلبها | العملاء الأوروبيون والعملاء الدوليون بشكل عام. | العملاء الأمريكيون والشركات متعددة الجنسيات التي تعمل بموجب معايير أمريكية. |
| الاستخدام العملي | يتم تضمينها في عقود الخدمة الأوروبية والدولية. لا تُقبل عادة كبديل عن SOC 1 للعملاء الأمريكيين. | يتم تضمينها في عقود الخدمة الأمريكية. لا تُقبل عادة كبديل عن ISAE 3402 للعملاء الأوروبيين. |
| الهيئة المُصدرة للمعيار | IFAC (الاتحاد الدولي للمحاسبين). | AICPA (الجمعية الأمريكية للمحاسبين القانونيين). |

متى يكون الفرق مهماً في العملية الفعلية

معالج خدمات أوروبي يخدم عملاء أوروبيين سيختار ISAE 3402. معالج خدمات أمريكي يخدم عملاء أمريكيين سيختار SOC 1. لكن المشكلة تنشأ عندما يحاول معالج واحد الامتثال لكليهما:
معالج خدمات أمريكي يوسع أعماله إلى أوروبا قد يسأل: "هل يمكننا فقط تضمين SOC 1 في عقود العملاء الأوروبيين؟" الإجابة هي لا. يريد العميل الأوروبي ISAE 3402 لأنه يتوافق مع متطلبات القانون الأوروبي والممارسات المحاسبية الأوروبية. تقرير SOC 1 لن يلبي المتطلبات التنظيمية للعميل الأوروبي ولن يكون مقبولاً في عملية التدقيق الخارجي للعميل.
بشكل معاكس، معالج أوروبي يريد خدمة عملاء أمريكيين قد يقدم ISAE 3402 أولاً. العميل الأمريكي سيقول: "نحتاج إلى SOC 1 Type II." المعايير مختلفة، والإطار القانوني مختلف. ISAE 3402 لن يفي بمتطلبات العميل الأمريكي.

مثال عملي: معالج أوروبي يخدم عملاء أمريكيين وأوروبيين

Sistem Teknoloji Bersama (STB) هي شركة معالجة بيانات مقرها أمستردام تخدم عملاء أوروبيين وأمريكيين. في يناير 2024، بدأت العملية:
الخطوة 1: تقييم القاعدة العريضة
STB حددت عملياتها الأساسية:
ملاحظة التوثيق: STB وثقت في سجل ضوابط المعالج أن منصة الفواتير تتطلب تقارير مزدوجة (ISAE 3402 للعملاء الأوروبيين و SOC 1 Type II للعملاء الأمريكيين).
الخطوة 2: تحديد معايير الاختبار
بالنسبة لمنصة الفواتير:
المدقق الخارجي STB (مكتب تدقيق محلي في أمستردام) قررت إجراء اختبار واحد يخدم كلا المعيارين. لكن هذا كان خطأ.
ملاحظة التوثيق: STB وضعت في ملف التدقيق ملخصاً مقارناً يوضح أن العمليات المراد اختبارها مختلفة قليلاً بين ISAE 3402 و SOC 1.
الخطوة 3: اختبار الضوابط
كلا المعيارين يغطيان "ضوابط الوصول" لكن بطريقة مختلفة قليلاً:
STB اختبرت ضابط الوصول الواحد واعتقدت أن كلا المعيارين قد تم الامتثال لهما. لكن المدقق الخارجي كان يجب أن يوثق الاختبار بشكل منفصل لكل معيار، مع ملاحظة توثيق محددة توضح كيف ينطبق الضابط الواحد على متطلبات كل معيار.
ملاحظة التوثيق: عندما أعادت STB عملها، أضافت عمودين منفصلين في ورقة اختبار الضوابط: "نتيجة الاختبار لـ ISAE 3402" و "نتيجة الاختبار لـ SOC 1." بدون هذا الفصل، كان لا يزال من الممكن للمدقق أن يختلط الاثنان.
النتيجة:
STB أصدرت تقرير ISAE 3402 Type B في مارس 2025 للعملاء الأوروبيين و SOC 1 Type II في مايو 2025 للعملاء الأمريكيين. كانت الفترة الزمنية والعمليات المراد اختبارها متطابقة تقريباً، لكن المعايير، والإطار القانوني، والإجراءات الموثقة في كل تقرير كانت مختلفة.

  • منصة معالجة الفواتير (Billing Platform): تخدم 150 عميل أوروبي و30 عميل أمريكي
  • خدمة تخزين البيانات (Data Repository): تخدم 200 عميل أوروبي و5 عملاء أمريكيين
  • ISAE 3402 Type B: فترة اختبار 12 شهر (من يناير إلى ديسمبر 2024)
  • SOC 1 Type II: نفس فترة الاختبار (يناير إلى ديسمبر 2024)
  • معيار المراجعة ٣٤٠٢: يركز على حماية بيانات العميل من الكشف (السرية). الضابط: "فقط المستخدمون المصرحون يمكنهم الوصول إلى بيانات العميل."
  • SOC 1: يركز على حماية توفر النظام والمعالجة الصحيحة. الضابط: "يتم منح الوصول بناءً على دور الموظف وتم مراجعة الأدوار والصلاحيات كل ثلاثة أشهر."

ما يفشل فيه المدققون والمعالجون

الملاحظة 1: محاولة استخدام تقرير واحد لهدفين
الفشل الأكثر شيوعاً هو افتراض أن ISAE 3402 و SOC 1 قابلان للتبديل. معالج يقول: "لديّ بالفعل تقرير ISAE 3402؛ يمكنني فقط تقديمه للعملاء الأمريكيين." لا يمكنك. المعايير مختلفة، والإطار القانوني مختلف، والمتطلبات مختلفة. العميل الأمريكي سيطلب SOC 1 بشكل صريح.
وبشكل معاكس، معالج أمريكي قد يقول: "لديّ SOC 1؛ يمكنني تقديمه للعملاء الأوروبيين." لن يكون مقبولاً. التقرير قد لا يفي بمتطلبات العميل الأوروبي أو قد لا يكون معترفاً به بموجب القانون الأوروبي.
الملاحظة 2: الخلط بين نطاق الاختبار
معيار المراجعة ٣٤٠٢ Type B و SOC 1 Type II كلاهما يختبران فترة زمنية، لكن نطاق العمليات المراد اختبارها قد يختلف قليلاً. في حالة STB أعلاه، الضوابط المتعلقة بـ "الامتثال" مهمة بموجب ISAE 3402 (هل تمتثل جميع عمليات STB للقوانين المعمول بها؟) لكنها قد تكون محدودة بموجب SOC 1 (هل تمتثل عمليات STB بما يخص خدمة معالجة بيانات العميل فقط؟).
الملاحظة 3: قبول نتيجة اختبار واحد لكلا المعيارين
معالج قد يختبر ضابط الوصول مرة واحدة ويقول: "هذا يفي بمتطلبات كل من ISAE 3402 و SOC 1." قد يكون صحيحاً من الناحية التقنية، لكن يجب أن توثق النتائج بشكل منفصل لكل معيار. الملف يجب أن يوضح كيف ينطبق الاختبار الواحد على متطلبات المعيار الأول والمعيار الثاني على حدة. بدون هذا الفصل، يكون من الصعب على المدقق الخارجي أن يتحقق من الامتثال الكامل لكل معيار.

شروط الاستخدام

كلا المعيارين ينطبقان على معالجات الخدمات. ISAE 3402 ينطبق على أي معالج خدمات في أي جزء من العالم. SOC 1 ينطبق تحديداً على معالجات الخدمات التي تخدم العملاء الأمريكيين أو تعمل بموجب معايير أمريكية. إذا كنت معالج خدمات يخدم أوروبا بشكل حصري، ستحتاج إلى ISAE 3402 فقط. إذا كنت تخدم الولايات المتحدة بشكل حصري، ستحتاج إلى SOC 1 فقط. إذا كنت تخدم كليهما، قد تحتاج إلى تقريرين.

الشروط ذات الصلة

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.