SAS-70/SSAE16審計準則相關問題及如何解決

 

對于數據中心來說，與采用SAS70和SSAE16相關的挑戰在于這兩個標準都集中在對企業財務報告內部控制（ICFR）的關注。企業財務報告內部控制是企業必須遵守的《薩班斯-奧克斯利法案（Sarbanes-OxleyAct）》的關鍵內容。然而，在大多數情況下，財務報告內部控制僅僅局限于關注為數據中心的客戶提供服務。有限的報告選項使得有些數據中心進退兩難。

 

服務性機構控制體系鑒證

 

美國注冊公共會計師協會意識到了這個問題，并創造了一套報告選項給服務提供商稱為：服務性機構控制體系鑒證（SOC，ServiceOrganizationControls）報告，這正好過渡到SSAE16.SOC報告的目的是給服務提供商選項，方便他們提供更多的相關報告給客戶。

 

SOC1是基于SSAE16，類似于其前身SAS70，重點聚焦在對企業財務報告內部控制的關注。SOC1與那些服務的客戶對于財務報告內部控制有需求的數據中心最為相關。

 

SOC2和SOC3報告是基于AICPA的信托原則：

 

安全：物理和邏輯的措施，阻止未經授權的訪問。

 

可用性：指定系統的使用和操作。

 

處理系統的完整性：系統處理的授權、準確、完整和及時。

 

保密：針對保密信息的保護。

 

隱私：根據AICPA普遍接受的隱私原則進行信息收集、處理和處置。

 

SOC3是一個一般用途的報告，只包括一個審計師的意見，即是否達到了服務性機構控制體系鑒證的標準。SOC3不包括配套的細節，對于有目的的營銷是最有用的。

 

不過，SOC2應該對于那些要履行客戶審計要求的數據中心是非常有用的。大多數數據中心服務供應商都認識到：安全性、可用性、處理的完整性、保密和隱私等概念比他們所提供的企業財務報告內部控制更為重要的。SOC2報告包括描述數據中心的系統，以及審計師對于公平性的描述和設計的適宜度的意見。報告還包括一個業務審計員進行測試的描述以及測試結果。

 

SOC2的范圍可以包括任何組合的信托服務原則。例如，托管設施的客戶可能會覺得安全是與他們提供的服務一致唯一的原則。然而，管理的托管服務的供應商可能覺得安全性與可用性和保密原則是有關的。

 

新報告帶來的市場混亂

 

雖然各種SOC報告選項使數據中心得以提供更多有關的保證報告，這些報告選項的新奇也帶來了市場的混亂。

 

今天，數據中心客戶往往要求SSAE16審計鑒證準則（SOC1）報告，因為他們習慣于接受他們的數據中心服務提供商的SAS70.此外，一些報告選項和各種信托服務原則組合可能為SOC2報告，造成客戶的混亂。

 

新的選項需要數據中心來重新審視自己的目標，他們正在尋求提供第三方保證。數據中心服務供應商應當咨詢他們的審計師，并與審計師們討論主要目標和各種可供選擇的方案。這個過程可能會需要大量反復的向客戶解釋和教育。

 

然而，這樣做的好處是數據中心可以通過這個過程獲得第三方保證，從而確保他們給客戶所提供的相關服務滿足要求。