Definition
معظم معالجي الخدمات يفترضون أن تقرير ضوابط واحد يكفي لكل عملائهم، ويُفاجَؤون عندما يرفض العميل الأوروبي تقرير SOC 1 الأمريكي أو يرفض العميل الأمريكي تقرير ISAE 3402. لاحظنا أن هذا الافتراض يستمر حتى بعد أن يُنفق المعالج ميزانية كاملة على تقرير واحد، ثم يكتشف أن نصف عقوده لا تزال معلقة.
جدول المقارنة
| البُعد | معيار المراجعة ٣٤٠٢ | تقرير SOC 1 |
|---|---|---|
| الإطار القانوني | معيار دولي من IFAC. ينطبق في جميع أنحاء العالم بما يتجاوز الولايات المتحدة. | معيار أمريكي من AICPA (SSAE 18). ينطبق على الخدمات المُقدمة للعملاء الأمريكيين أو العملاء الذين يعملون وفقاً لمعايير أمريكية. |
| المعايير الأساسية | معايير الضوابط الداخلية (COSO أو معايير محلية أخرى) حسبما تراها جهات التنظيم. | COSO للضوابط الداخلية؛ معايير إضافية محددة من AICPA لخدمات المعالج. |
| فترة الاختبار | Type A: نقطة زمنية محددة. Type B: فترة زمنية (6-12 شهر في الممارسة العملية). | Type I: نقطة زمنية محددة. Type II: فترة زمنية (دائماً بحد أدنى 6 أشهر). |
| نطاق التقييم | الضوابط المتعلقة بـ: السرية، التوفر، سلامة المعالجة، الامتثال. | الضوابط المتعلقة بـ: الأمن، التوفر، معالجة المعاملات، السرية، الخصوصية (TC). |
| من يطلبها | العملاء الأوروبيون والعملاء الدوليون بشكل عام. | العملاء الأمريكيون والشركات متعددة الجنسيات التي تعمل بموجب معايير أمريكية. |
| الاستخدام العملي | يتم تضمينها في عقود الخدمة الأوروبية والدولية. لا تُقبل عادة كبديل عن SOC 1 للعملاء الأمريكيين. | يتم تضمينها في عقود الخدمة الأمريكية. لا تُقبل عادة كبديل عن ISAE 3402 للعملاء الأوروبيين. |
| الهيئة المُصدرة للمعيار | IFAC (الاتحاد الدولي للمحاسبين). | AICPA (الجمعية الأمريكية للمحاسبين القانونيين). |
متى يكون الفرق مهماً في العملية الفعلية
معالج خدمات أوروبي يخدم عملاء أوروبيين سيختار ISAE 3402. معالج خدمات أمريكي يخدم عملاء أمريكيين سيختار SOC 1. لكن المشكلة تنشأ عندما يحاول معالج واحد الامتثال لكليهما.
معالج خدمات أمريكي يوسع أعماله إلى أوروبا قد يسأل: "هل يمكننا فقط تضمين SOC 1 في عقود العملاء الأوروبيين؟". الإجابة هي لا. يريد العميل الأوروبي ISAE 3402 لأنه يتوافق مع متطلبات القانون الأوروبي والممارسات المحاسبية الأوروبية. تقرير SOC 1 لن يلبي المتطلبات التنظيمية للعميل الأوروبي ولن يكون مقبولاً في عملية التدقيق الخارجي للعميل.
بشكل معاكس، معالج أوروبي يريد خدمة عملاء أمريكيين قد يقدم ISAE 3402 أولاً. العميل الأمريكي سيقول: "نحتاج إلى SOC 1 Type II". المعايير مختلفة، والإطار القانوني مختلف. ISAE 3402 لن يفي بمتطلبات العميل الأمريكي.
هنا يظهر خلاف حقيقي بين الشركاء في كيفية إدارة هذه المعضلة. يرى الشريك الأول أن إصدار تقريرين منفصلين بفترات اختبار متداخلة (ISAE 3402 و SOC 1) هو الحل الوحيد الآمن، حتى لو كلّف العميل ضعف الرسوم، لأن محاولة دمج التقارير تُنشئ غموضاً قانونياً. الشريك الثاني يرى أن إعداد ملف اختبار واحد بعمودين منفصلين للتوثيق (عمود لكل معيار) ثم إصدار تقريرين من نفس العمل الميداني كافٍ، وأن ازدواج الميدانية إسراف غير مبرر. كلاهما دافع عن موقفه في مراجعة الجودة، والممارسة الدولية تسمح بالاثنين ما دام الملف يروي قصة منطقية لكل معيار على حدة.
الضغط الهيكلي خلف الخلط بين المعيارين
من واقع خبرتنا، الخلط بين ISAE 3402 و SOC 1 لا يأتي عادة من جهل المعالج. يأتي من ضغط الرسوم والجدولة. العميل يطلب تقرير ضوابط بميزانية محدودة، ومكتب المراجعة الخارجي يواجه خياراً: إما أن يرفض العمل (ويخسر العميل)، أو يُعلن أن تقريراً واحداً "قريب بما يكفي" ويأمل ألا يفحص أحد النتيجة بدقة. النتيجة إجراءات صورية تبدو كافية على الورق لكنها حبراً على ورق أمام أي فحص جاد. الملف يجب أن يروي قصة محددة لكل إطار قانوني، وعندما يُطلب من تقرير واحد أن يخدم إطارين، القصة تتشقق.
مثال عملي: معالج أوروبي يخدم عملاء أمريكيين وأوروبيين
Sistem Teknoloji Bersama (STB) هي شركة معالجة بيانات مقرها أمستردام تخدم عملاء أوروبيين وأمريكيين. في يناير 2024، بدأت العملية.
الخطوة 1: تقييم القاعدة العريضة
STB حددت عملياتها الأساسية: - منصة معالجة الفواتير (Billing Platform): تخدم 150 عميل أوروبي و30 عميل أمريكي - خدمة تخزين البيانات (Data Repository): تخدم 200 عميل أوروبي و5 عملاء أمريكيين
ملاحظة التوثيق: STB وثقت في سجل ضوابط المعالج أن منصة الفواتير تتطلب تقارير مزدوجة (ISAE 3402 للعملاء الأوروبيين و SOC 1 Type II للعملاء الأمريكيين).
الخطوة 2: تحديد معايير الاختبار
بالنسبة لمنصة الفواتير: - ISAE 3402 Type B: فترة اختبار 12 شهر (من يناير إلى ديسمبر 2024) - SOC 1 Type II: نفس فترة الاختبار (يناير إلى ديسمبر 2024)
المدقق الخارجي لـ STB (مكتب تدقيق محلي في أمستردام) قرر إجراء اختبار واحد يخدم كلا المعيارين. لكن هذا كان خطأ.
ملاحظة التوثيق: STB وضعت في ملف التدقيق ملخصاً مقارناً يوضح أن العمليات المراد اختبارها مختلفة قليلاً بين ISAE 3402 و SOC 1.
الخطوة 3: اختبار الضوابط
كلا المعيارين يغطيان "ضوابط الوصول" لكن بطريقة مختلفة قليلاً:
- معيار المراجعة ٣٤٠٢: يركز على حماية بيانات العميل من الكشف (السرية). الضابط: "فقط المستخدمون المصرحون يمكنهم الوصول إلى بيانات العميل".
- SOC 1: يركز على حماية توفر النظام والمعالجة الصحيحة. الضابط: "يتم منح الوصول بناءً على دور الموظف وتم مراجعة الأدوار والصلاحيات كل ثلاثة أشهر".
STB اختبرت ضابط الوصول الواحد واعتقدت أن كلا المعيارين قد تم الامتثال لهما. لكن المدقق الخارجي كان يجب أن يوثق الاختبار بشكل منفصل لكل معيار، مع ملاحظة توثيق محددة توضح كيف ينطبق الضابط الواحد على متطلبات كل معيار.
ملاحظة التوثيق: عندما أعادت STB عملها، أضافت عمودين منفصلين في ورقة اختبار الضوابط: "نتيجة الاختبار لـ ISAE 3402" و"نتيجة الاختبار لـ SOC 1". بدون هذا الفصل، كان لا يزال من الممكن للمدقق أن يختلط الاثنان.
النتيجة:
STB أصدرت تقرير ISAE 3402 Type B في مارس 2025 للعملاء الأوروبيين و SOC 1 Type II في مايو 2025 للعملاء الأمريكيين. كانت الفترة الزمنية والعمليات المراد اختبارها متطابقة تقريباً، لكن المعايير والإطار القانوني والإجراءات الموثقة في كل تقرير كانت مختلفة.
ما يفشل فيه المدققون والمعالجون
الملاحظة 1: محاولة استخدام تقرير واحد لهدفين
الفشل الأكثر شيوعاً هو افتراض أن ISAE 3402 و SOC 1 قابلان للتبديل. معالج يقول: "لديّ بالفعل تقرير ISAE 3402؛ يمكنني فقط تقديمه للعملاء الأمريكيين". لا يمكنك. المعايير مختلفة، والإطار القانوني مختلف، والمتطلبات مختلفة. العميل الأمريكي سيطلب SOC 1 بشكل صريح.
وبشكل معاكس، معالج أمريكي قد يقول: "لديّ SOC 1؛ يمكنني تقديمه للعملاء الأوروبيين". لن يكون مقبولاً. التقرير قد لا يفي بمتطلبات العميل الأوروبي أو قد لا يكون معترفاً به بموجب القانون الأوروبي.
الملاحظة 2: الخلط بين نطاق الاختبار
معيار المراجعة ٣٤٠٢ Type B و SOC 1 Type II كلاهما يختبران فترة زمنية، لكن نطاق العمليات المراد اختبارها قد يختلف قليلاً. في حالة STB أعلاه، الضوابط المتعلقة بـ "الامتثال" مهمة بموجب ISAE 3402 (هل تمتثل جميع عمليات STB للقوانين المعمول بها؟) لكنها قد تكون محدودة بموجب SOC 1 (هل تمتثل عمليات STB بما يخص خدمة معالجة بيانات العميل فقط؟).
الملاحظة 3: قبول نتيجة اختبار واحد لكلا المعيارين
معالج قد يختبر ضابط الوصول مرة واحدة ويقول: "هذا يفي بمتطلبات كل من ISAE 3402 و SOC 1". قد يكون صحيحاً من الناحية التقنية، لكن يجب أن توثق النتائج بشكل منفصل لكل معيار. الملف يجب أن يروي قصة مستقلة لكل إطار، ويوضح كيف ينطبق الاختبار الواحد على متطلبات المعيار الأول والمعيار الثاني على حدة. بدون هذا الفصل، يكون من الصعب على المدقق الخارجي أن يتحقق من الامتثال الكامل لكل معيار.
شروط الاستخدام
كلا المعيارين ينطبقان على معالجات الخدمات. ISAE 3402 ينطبق على أي معالج خدمات في أي جزء من العالم. SOC 1 ينطبق تحديداً على معالجات الخدمات التي تخدم العملاء الأمريكيين أو تعمل بموجب معايير أمريكية. إذا كنت معالج خدمات يخدم أوروبا بشكل حصري، ستحتاج إلى ISAE 3402 فقط. إذا كنت تخدم الولايات المتحدة بشكل حصري، ستحتاج إلى SOC 1 فقط. إذا كنت تخدم كليهما، قد تحتاج إلى تقريرين.
الشروط ذات الصلة
- اختبار ضوابط معيار المراجعة ٣٤٠٢ - كيفية اختبار الضوابط الفردية ضد معيار المراجعة ٣٤٠٢ - Type II مقابل Type I - الفروقات بين التقارير الموجهة للنقطة الزمنية والتقارير الموجهة للفترة الزمنية - معيار المراجعة ٣٤٠٢ الضوابط المتعلقة بالسرية - كيفية توثيق وضوابط حماية السرية
---