كيف يعمل
يُصدِّر مراجع معتمد (في الولايات المتحدة، عادة ما يكون CPA متخصصاً في خدمات الثقة) تقرير SOC 2 بعد فحص ضوابط مزود الخدمة. التقرير يوثّق ما إذا كانت الضوابط مصممة بشكل كافٍ وتعمل فعلياً لمعالجة المخاطر المرتبطة بـ (أ) أمان البيانات، أو (ب) توفر الخدمة، أو (ج) السرية، أو (د) الخصوصية. على عكس معايير المراجعة الدولية التي تركز على البيانات المالية، فإن SOC 2 يركز على نظام الرقابة الداخلي لمزود خدمة معين.
النوع الأول (Type I) من التقرير يُصدَّر في نقطة واحدة في الوقت: عادة ما يكون في نهاية التقييم. وهو يوثّق ما إذا كانت الضوابط "مصممة بشكل كافٍ" للتعامل مع المخاطر المذكورة. لكن النوع الأول لا يقدم أدلة على فعالية تشغيل تلك الضوابط عبر الوقت. النوع الثاني (Type II) يختلف جوهرياً: يُصدَّر بعد فترة مراقبة، عادة ستة أشهر أو أكثر. يوثّق النوع الثاني ليس فقط أن الضوابط مصممة بشكل صحيح، بل أنها عملت فعلياً كما هو مقصود طوال الفترة المراقَبة.
مثال عملي: شركة DataVault Analytics
عميل: شركة أمريكية متخصصة في تخزين البيانات السحابية، مقرها سياتل، الولايات المتحدة، توظف 120 موظفاً.
المشهد: DataVault توفر منصة تخزين بيانات لعملاء من قطاع الرعاية الصحية والخدمات المالية. عملاؤهم (المستشفيات وشركات المحاسبة الإقليمية) يطلبون منهم تقرير SOC 2 Type II قبل التوقيع على العقد.
الخطوة الأولى: التقييم والتصميم
استأجرت DataVault محللاً من Big Four لفحص ضوابط أمان البيانات والخصوصية. حدد المحلل خمس فئات من المخاطر:
ملاحظة التوثيق: تحديد المخاطر وتعيينها إلى فئات معيار AICPA TSP (Trust Services Principles).
الخطوة الثانية: تصميم الضوابط
لكل مخاطرة، صممت DataVault ضابطة:
ملاحظة التوثيق: توثيق مواصفات الضوابط المصممة حسب معيار AICPA.
الخطوة الثالثة: فترة المراقبة (النوع الثاني)
ابتداءً من يناير 2024، بدأت فترة المراقبة لمدة 12 شهراً. خلال هذه الفترة، اختبر المحلل:
ملاحظة التوثيق: توثيق نتائج الاختبار وربطها بكل ضابطة مصممة.
النتيجة: بعد إكمال فترة المراقبة، أصدر المحلل تقرير SOC 2 Type II يوثّق أن ضوابط DataVault كانت (1) مصممة بشكل كافٍ و(2) عملت بفعالية طوال الفترة. العملاء المحتملون اعتمدوا على هذا التقرير لتوقيع عقود جديدة. لم تطلب عمليات المراجعة الخارجية لعملاء DataVault اختبارات إضافية حول أمان البيانات لأن التقرير أمّن تغطية كافية.
- الوصول غير المصرح به إلى بيانات العملاء
- فشل النظام (توفر البيانات)
- الإفصاح غير المقصود عن البيانات الحساسة
- عدم الامتثال لسياسات الاحتفاظ بالبيانات
- عدم القدرة على إعادة الاستقراء في حالة الكارثة
- الوصول: نظام المصادقة متعدد العوامل (MFA) لجميع حسابات موظفي الإدارة
- التوفر: اختبار استعادة الفشل كل ثلاثة أشهر، مع هدف RTO بحد أقصى ساعة واحدة
- السرية: تشفير النقل (TLS 1.3) وتشفير في الراحة (AES-256)
- الخصوصية: سياسة الاحتفاظ بالبيانات مكتوبة تحذف البيانات المحذوفة خلال 30 يوماً
- الاستقراء: نسخ احتياطية جغرافية منفصلة في منطقتين على الأقل
- اختبار اللوغات: التحقق من أن MFA كانت مفعّلة في 100% من محاولات الدخول الإداري (عينة: 847 محاولة عبر 12 شهراً)
- اختبارات الاستعادة: ثلاثة اختبارات استعادة فشل تمت بنجاح في مايو وسبتمبر وديسمبر
- عمليات التفتيش المشفرة: عينة الملفات المخزنة أظهرت أن 100% مشفرة
- معاملات الحذف: اختبار 20 طلب حذف أظهر أن جميعها اكتملت خلال 30 يوماً أو أقل
- سياسات النسخ الاحتياطية: تحقق أن النسخ الاحتياطية الجغرافية حدثت كما هو مجدول في 99.8% من الحالات
ما يقع فيه المراجعون والممارسون
- الخلط بين SOC 2 ومعايير المراجعة الدولية: عدد من فريق المراجعة يعتقد أن تقرير SOC 2 يغطي جودة البيانات المالية أو الامتثال المحاسبي. في الواقع، SOC 2 يقتصر على ضوابط معينة على البيانات والأمان والخصوصية. إذا كان عميلك مزود خدمة سحابية، فإن تقرير SOC 2 يُخبرك بشيء واحد: الضوابط على الوصول والتشفير والتوفر والخصوصية تعمل. لا يُخبرك بما إذا كانت البيانات المالية المحفوظة على تلك المنصة دقيقة أو مكتملة.
- عدم طلب تقرير SOC 2 عند الحاجة: الممارسون الذين يراجعون شركات تقدم خدمات (معالجة الرواتب، الحفظ، التعهيد المحاسبي) غالباً لا يطلبون تقرير SOC 2. AICPA وFCAA يتوقعان أنه عندما يكون هناك خدمة خارجية حساسة، يجب الحصول على تقرير SOC 2 Type II أو دليل مراجعة موازٍ. بدلاً من ذلك، يقوم الممارس بإجراء عملية تدقيق محدودة الحجم في الموقع: ممارسة محفوفة بالمخاطر إذا كانت الخدمة معقدة.
- قبول النوع الأول بدلاً من النوع الثاني: بعض مزودي الخدمة يوفرون تقرير SOC 2 Type I فقط. يُعتقَد أحياناً أن النوع الأول كافٍ. في الواقع، النوع الأول يوثّق التصميم فقط: لا يوثّق الفعالية. PCAOB والعديد من المراجعين الخارجيين البارزين يفضلون النوع الثاني لأنه يغطي فترة زمنية.
مصطلحات ذات صلة
- معيار المراجعة 315: تحديد المخاطر وتقييمها: معيار المراجعة الدولي الذي يتطلب من المراجع فهم خدمات الطرف الثالث التي يستخدمها العميل.
- ISAE 3402: تقارير على الضوابط لدى مزودي الخدمة: نظير SOC 2 خارج الولايات المتحدة؛ يُستخدم في أوروبا وآسيا للإفادة عن ضوابط مزود الخدمة.
- COSO Framework: الإطار المتكامل للرقابة الداخلية: الإطار الذي غالباً ما يستخدمه مزودو الخدمة لتوثيق تصميم ضوابطهم.
- معيار المراجعة 402: مراجعات الشركات التي تستخدم خدمات طرف ثالث: معيار المراجعة الدولي الذي يتطلب من المراجع الحصول على أدلة حول ضوابط مزود الخدمة.
الأدوات ذات الصلة
لا توجد أداة محددة في Ciferi لـ SOC 2 حالياً. لكن إذا كنت تراجع شركة تستخدم معالج رواتب خارجي أو نظام إدارة مستندات سحابي، استخدم قائمة مراجعة معيار المراجعة 402: الخدمات الخارجية للتأكد من أنك طلبت التقارير والضوابط الصحيحة.
---