SSAE-samsvar

24. september 2020 | Cybrary

SSAE-samsvar, også kjent som Statement on Standards for Attestation Engagements and Compliance, er en samling av revisjonsstandarder og veiledning som bruker standarder publisert av Auditing Standards Board (ASB) til American Institute of Certified Public Accountants (AICPA).

Disse standardene definerer hvordan tjenesteselskaper rapporterer om sine samsvarskontroller og -prosesser. SSAE 16 (SOC 1) ble publisert i april 2010 som rapporteringsstandard for alle tjenesterevisorers registre og ble utstedt for å erstatte erklæringen om revisjonsstandarder nr. 70. Hvis du er kjent med SOC 1 revisjoner, er du mest sannsynlig kjent med SSAE 16. Dessverre hadde SSAE 16 en rekke feilpunkter og ble erstattet 1. mai 2017 av SSAE 18, som var utformet for å tette disse hullene.

SSAE 18 er den gjeldende standarden som brukes i dag. Revisorer følger SSAE 18-forskriftene når de utfører SOC 1 til 3-vurderinger, uavhengig av type I (en vurdering av kontroller på et bestemt tidspunkt) eller type II (en gjennomgang av kontroller med en periode på 9 til 12 måneder).

SSAE 18 introduserte viktige endringer i hvordan underleverandører ble behandlet. Tidligere var kontroller og testing av underleverandører (outsourcet eller underleverandører) utenfor revisjonens omfang, noe som etterlot kritiske hull i testingen.

kilder: Techtarget, Otava

Relaterte vilkår: SOC 1, SOC 2, SOC 3

Hva betyr dette for en SMB?

SMB-er bør bygge et reviderbart cybersikkerhetsprogram med kontroller rundt tilgangsstyring, minste privilegium, ansvarlighet, opplæring, styring og teknologi. Hvert av disse områdene trenger kontroller og prosesser som produserer artefakter tilgjengelig for inspeksjon. Ved å gjøre dette vil enhver SMB sette seg opp for ekstern inspeksjon gjennom en SSAE 18-vurdering. I utgangspunktet bør organisasjoner gjennomføre en SOC 1-inspeksjon, eller Point in Time-inspeksjon, av kontrollene sine. Dette gir tid til å rette opp hull og utbedre med en mindre investering i tid og penger. Når en vellykket SOC 1 SSAE 18-vurdering er sikret, bør en SMB raskt omstille seg til en SOC2 for å validere at prosesser fungerer over tid.

En SMB som kan bestå en SSAE 18 SOC 2 Type II-vurdering, bør være godt posisjonert til å bestå andre typer revisjoner, selv om det kan finnes forskrifter som er unike for HIPAA, PCI, som går utover eksisterende kontroller.

Det viktigste budskapet fra denne artikkelen om SSAE-revisjoner er at det å inspisere ens forretningsprosesser og kontroller er svært verdifullt. Både NIST og CyberHoot anbefaler å etablere et rammeverk for risikostyring. noen organisasjon. Dette sikrer at du bruker din begrensede og verdifulle tid og penger på de viktigste risikoreduserende aktivitetene. Dette er vel anvendt tid og penger.

CyberHoot kan spille en sterk rolle i å forberede selskaper på slik revisjon gjennom sin policy- og prosesshåndtering, opplæringsprogrammer, phish-testing og til og med vurderingene du kan bruke til å selvevaluere før ekstern vurdering. sales@cyberhoot.com for å få mer informasjon!