Definition

معظم فرق المراجعة تطلب SOC 2 تلقائياً عند رؤية كلمة "سحابي" في وصف الخدمة. لا تسأل إن كانت الخدمة تؤثر على البيانات المالية، ولا إن كان العميل يحتاج تأكيداً على ضوابط معالجة المعاملات. النتيجة: ملف مليء بتقرير SOC 2 بينما المخاطر الفعلية على معالجة المعاملات التي يغطيها SOC 1 فقط. من واقع خبرتنا، نصف مذكرات الاعتماد على الخدمات المُرسلة (ISA 402) التي نراجعها تستند إلى نوع التقرير الخاطئ.

جدول المقارنة التفصيلي

الجانبSOC 1SOC 2SOC 3
الغرض الأساسيتقييم تأثير الضوابط على البيانات المالية للعميلتقييم الضوابط المتعلقة بالأمان والتوفر والسرية والخصوصيةتقرير تأكيد عام للاستخدام الخارجي
الجمهور المستهدفالمراجع الخارجي للعميل، إدارة العميل، الجهات التنظيميةالعملاء الحاليون والمحتملون، الجهات التنظيمية، فرق الأمنالجمهور العام، العملاء المحتملون
مستوى التفصيلتفصيل عالٍ مع اختبار تفصيلي للضوابطتفصيل عالٍ مع توثيق للعمليات والمخرجاتملخص بدون اختبار تفصيلي
نطاق الضوابطالضوابط المؤثرة على التقرير المالي للعميلمعايير الخدمة (الأمان إلزامي، والباقي اختياري حسب النطاق)ملخص من معايير خدمة SOC 2
متطلبات الاختباراختبار فعلي لفترة زمنية محددة (النوع 2: 6-12 شهراً)اختبار شامل لفترة زمنية محددة (النوع 2: 6-12 شهراً)لا يوجد اختبار مفصل منشور
نوع التقريرالنوع 1 (تصميم بتاريخ محدد) أو النوع 2 (تصميم + تشغيل فعلي)النوع 1 أو النوع 2نوع واحد فقط (موجز عام)
التكلفة والمواردمرتفعة (اختبار ضوابط مالية)الأعلى (نطاق ضوابط أوسع وأطول)الأدنى (بدون اختبار منشور)

---

حيث يبدأ الحكم المهني

حيث يبدأ الحكم المهني: عندما تكون الخدمة "هجينة" — جزء منها يؤثر على البيانات المالية وجزء منها يتعلق بالأمان فقط. SOC 1 وحده لا يغطي الأمان. SOC 2 وحده لا يكفي لاعتماد المراجع الخارجي على الضوابط ذات الأثر المالي بموجب ISA 402.16. في المكاتب التي عملنا فيها، نطلب كلا التقريرين في هذه الحالات. هذا مكلف. لكنه أحياناً الطريقة الوحيدة لتغطية المخاطر فعلياً بدلاً من حبراً على ورق.

---

متى يمتد الفرق إلى التطبيق الفعلي

عندما تقدم شركة تعالج المعاملات المالية للعميل (معالج رواتب، نظام ERP سحابي، مزود تسوية مدفوعات) خدمتها، يجب على مراجع العميل تحديد نوع التقرير المطلوب قبل اختبار بيئة المعاملات. إذا كانت الخدمة تؤثر على البيانات المالية المسجلة لدى العميل، فإن SOC 1 من النوع 2 هو الأساس للاعتماد. يتطلب هذا من مراجع العميل فهم الضوابط التكميلية على جانب العميل ودرجة الاعتماد عليها. ISAE 3402 يعالج نفس المتطلب على المستوى الدولي بصياغة مختلفة قليلاً لكن بنفس المنطق.

إذا كانت الخدمة تتعلق بالأمان فقط (تخزين بيانات سحابي خارج نطاق التقرير المالي، منصة SaaS لإدارة علاقات العملاء)، فإن SOC 2 من النوع 2 هو المعيار. العميل يريد التأكد من أن البيانات محمية وأن مزود الخدمة يحافظ على التوفر والسرية.

---

ازدواجية التقرير: حيث يختلف الشركاء

الشريك "أ" يقول: اطلب SOC 2 النوع 2 لجميع مقدمي الخدمة السحابية بغض النظر عن طبيعة الخدمة، لأن الأمان يؤثر على كل شيء في النهاية، وعمليات SOC 2 تفحص ضوابط عامة كافية لتغطية المخاطر المالية بشكل غير مباشر.

الشريك "ب" يختلف: اطلب SOC 1 النوع 2 حصراً عندما تعالج الخدمة معاملات مالية. الاعتماد على SOC 2 لتقليل اختبارات المعاملات خطأ تقني بموجب ISA 402.17-18. معايير الخدمة في SOC 2 لا تشمل اكتمال ودقة المعالجة المالية كهدف مباشر.

كلا الموقفين يُدافع عنه في مراجعة الجودة. الفرق الحقيقي: الشريك "أ" يُحمّل العميل 20-30% تكلفة إضافية مقابل سلامة تقنية مشكوك فيها. الشريك "ب" يخاطر بفجوة تغطية في الضوابط غير المالية إذا نُسي طلب SOC 2 بشكل منفصل. في مكتبنا، الخيار يعتمد على ماهية الخدمة لا على نمط افتراضي للقطاع.

---

لماذا يحدث الخلط: الحافز الهيكلي

السبب الهيكلي وراء الخلط بين التقارير ليس جهلاً من المراجع. شركات الخدمة السحابية تسوّق SOC 2 بقوة لأن تكلفتها على العميل أعلى ولأنها تخلق اعتماداً دورياً (تجديد سنوي مع توسع تدريجي في النطاق). SOC 1 أقل ربحية لمزودي الخدمة لأن نطاقه مقيد بالضوابط ذات الأثر المالي. النتيجة: فرق المبيعات تقنع العميل بطلب SOC 2 حتى عندما يكون SOC 1 هو المطلوب تقنياً. المراجع الخارجي يصل إلى ملف العميل ويجد SOC 2 جاهزاً، ثم يكتشف أنه لا يغطي ما يحتاج الاعتماد عليه. هذه "الحوكمة الورقية" بعينها: الوثيقة موجودة، لكنها لا تخدم الغرض المفترض منها.

---

مثال عملي: شركة الحسابات الموزعة

الكيان: شركة FinTech Solutions العاملة في معالجة المدفوعات، تخدم 150 عميلاً من المتاجر الإلكترونية في منطقة الشرق الأوسط وشمال أفريقيا. الإيرادات السنوية: 8.5 مليون دولار.

السيناريو الأول: العميل يطلب SOC 1 النوع 2

متجر إلكتروني (قيمة الإيرادات الشهرية عبر المنصة: 450,000 دولار) يعتمد على FinTech Solutions لمعالجة جميع المعاملات والتسويات. تنعكس المعاملات مباشرة في البيانات المالية للمتجر. المراجع الخارجي للمتجر يطلب تقرير SOC 1 النوع 2 ليتمكن من الاعتماد على ضوابط مزود الخدمة في تقليل نطاق اختبار المعاملات على جانبه.

ملاحظة التوثيق: يتم تسجيل التبعية للخدمة في ورقة عمل ISA 402. يُحدد نطاق الاعتماد على ضوابط مزود الخدمة وتقييم المخاطر المتبقية وتصميم إجراءات تكميلية على جانب العميل إذا وُجدت فجوات.

السيناريو الثاني: العميل يطلب SOC 2 النوع 2

عميل آخر (شركة تسويق رقمية) يستخدم FinTech Solutions فقط لتخزين بيانات العملاء والتقارير التحليلية. البيانات لا تؤثر على السجلات المالية للعميل. لكن الشركة قلقة من الأمان والامتثال. تطلب تقرير SOC 2 النوع 2 للتحقق من أن FinTech Solutions تحافظ على معايير الأمان والتوفر.

ملاحظة التوثيق: تُحفظ نسخة من SOC 2 في ملف إدارة المخاطر لا في ملف المراجعة. لا يؤثر على نطاق اختبار المعاملات لأن البيانات ليست جزءاً من السجلات المالية.

النتيجة: نفس الشركة المزودة، لكن العملاء يطلبون تقارير مختلفة بناءً على كيفية استخدامهم للخدمة. الاختلاف له تأثير مباشر على نطاق عمل المراجع الخارجي وتصميم الاختبارات وتوثيق الاعتماد.

---

الأخطاء الشائعة في الفهم والتطبيق

الخطأ الأول: الخلط بين النوع 1 والنوع 2

النوع 1 يقيّم فقط ما إذا كانت الضوابط مصممة بشكل صحيح بتاريخ محدد. النوع 2 يختبر ما إذا كانت الضوابط تعمل فعلاً على مدار فترة زمنية محددة. المراجع الخارجي في الغالب لا يستطيع الاعتماد على النوع 1 لأنه لا يوفر دليلاً على تشغيل الضوابط خلال فترة التقرير. من واقع خبرتنا، الملفات التي تعتمد على النوع 1 لتقليل الاختبارات هي الأكثر عرضة للملاحظة في مراجعة الجودة.

الخطأ الثاني: افتراض أن SOC 1 كافٍ للمسائل الأمنية

SOC 1 مُركز على تأثير الضوابط على البيانات المالية. إذا كان العميل قلقاً من الأمان الإجمالي والامتثال للمتطلبات التنظيمية (حماية بيانات شخصية حساسة، GDPR، اللوائح القطاعية)، فإن SOC 1 وحده لا يكفي. تحتاج إلى SOC 2 أو شهادة أخرى تغطي النطاق الأمني المطلوب.

الخطأ الثالث: استخدام SOC 3 كأساس للاعتماد

SOC 3 مخصص للاستخدام العام والتسويق. لا يحتوي على التفاصيل التي يحتاجها المراجع الخارجي لتقييم الضوابط. استخدامه كبديل لـ SOC 1 أو SOC 2 في الاعتماد المهني يُعتبر إجراءات صورية — ليس اعتماداً حقيقياً.

الخطأ الرابع: عدم قراءة الضوابط التكميلية عند العميل

كل تقرير SOC 1 يحتوي على قسم "الضوابط التكميلية المتوقعة عند جهة المستخدم" (Complementary User Entity Controls). هذه هي الضوابط التي يجب أن يمارسها العميل نفسه ليكون الاعتماد على ضوابط مزود الخدمة سليماً. نصف الملفات التي نراها تتجاهل هذا القسم. هذه هي الملاحظة الأكثر تكراراً لدى الزملاء في مراجعة الجودة.

---

الربط مع معايير المراجعة الدولية

ISAE 3402 (تقارير المراجع المستقل حول الضوابط في منشأة تخدم منشآت أخرى) يوازي SOC 1 في السياق الدولي. عندما يكون مزود الخدمة خارج الولايات المتحدة، ISAE 3402 هو المعيار المطبق في الغالب بدلاً من SSAE 18. نطاق ومحتوى ISAE 3402 مشابه لـ SOC 1، لكن قد توجد متطلبات محلية إضافية في الدول المتبناة. بالنسبة لـ SOC 2، المعيار الدولي المعادل هو ISAE 3000 مع معايير الخدمة في AT-C 105.

---

الشروط المرتبطة

- معيار المراجعة 402: الخدمات المُرسلة وكيفية دمج ضوابط الخدمة المُرسلة في عملية المراجعة - ISAE 3402: تقارير الضوابط والمتطلبات الدولية للمراجعين المتخصصين - مخاطر الخدمات المُرسلة والاعتماد عليها وتقييم المخاطر المرتبطة - الضوابط الرئيسية عند العميل الموصول وتحديدها واختبارها - التقارير المالية والتأكيد عليها والعلاقة مع SOC 1 - معايير الأمن المعلوماتي والامتثال والعلاقة مع SOC 2

---

أدوات Ciferi ذات الصلة

توفر منصة ciferi مجموعة أدوات للمراجعين المتخصصين في تقييم وتوثيق ضوابط الخدمات المُرسلة وفقاً لـ ISA 402 وISAE 3402. تساعد هذه الأدوات في تنظيم الإجراءات الاختبارية وتوثيق الاعتماد على الضوابط الموصولة والضوابط التكميلية عند العميل.

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.