Ce billet passe en revue les considérations relatives à la gestion des risques liés aux tiers dans le cadre de l'AICPA SOC 2, et explique comment vous pouvez répondre aux exigences SOC en combinant l'évaluation des risques liés aux fournisseurs et la surveillance des tiers.
Critères de l'AICPA pour les services fiduciaires et la gestion des risques liés aux tiers
L'Assurance Services Executive Committee (ASEC) de l'American Institute of Certified Public Accountants (AICPA) a développé des critères de services fiduciaires que les organisations peuvent utiliser comme cadre pour démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données.
Les organisations familières avec les audits SOC (System and Organization Control) 2 reconnaîtront que ces critères de services fiduciaires sont utilisés pour rendre compte de l'efficacité de leurs contrôles internes et de leurs mesures de protection concernant l'infrastructure, les logiciels, le personnel, les procédures et les données.
Critères relatifs aux services fiduciaires dans le cadre de SOC 2
Les audits SOC 2 fournissent une vue d'ensemble des catégories de services fiduciaires suivantes de l'AICPA :
- Sécurité : Protection des informations et des systèmes contre l'accès non autorisé, la divulgation non autorisée d'informations et les dommages aux systèmes qui pourraient compromettre la disponibilité, l'intégrité, la confidentialité et la protection de la vie privée des informations ou des systèmes et affecter la capacité de l'entité à atteindre ses objectifs.
- Disponibilité : Garantir la disponibilité des informations et des systèmes en vue de leur exploitation et de leur utilisation pour atteindre les objectifs de l'entité.
- Intégrité du traitement : Garantir que le traitement du système est complet, valide, précis, opportun et autorisé pour atteindre les objectifs de l'entité.
- Confidentialité : Protection des informations désignées comme confidentielles pour atteindre les objectifs de l'entité.
- Protection de la vie privée : Garantir que les informations personnelles collectées, utilisées, conservées, divulguées et éliminées répondent aux objectifs de l'entité.
Types de rapports SOC
Une fois l'audit des contrôles terminé, les résultats peuvent inclure deux types de rapports :
- Rapport de type 1: examine le système d'un prestataire de services et l'adéquation de la conception des contrôles à un moment donné.
- Rapport de type 2: il complète le rapport de type 1 en examinant également l'efficacité opérationnelle des contrôles sur une période donnée.
Utilisation des rapports SOC
Les entreprises de différents secteurs utilisent les rapports SOC 2 pour démontrer leur diligence à leurs clients, pour se différencier de leurs concurrents en fonction de leur posture de sécurité ou pour être proactives avec les auditeurs en mesurant la conformité avec les réglementations en matière de protection des données.
Exigences de SOC 2 relatives à la gestion des risques liés aux tiers
Les solutions de gestion des risques par des tiers peuvent vous permettre de répondre aux critères suivants en matière de services fiduciaires :
CC2.3 : L'entité communique avec les parties externes sur les questions affectant le fonctionnement du contrôle interne.
La plateforme Prevalent Third-Party Risk Management (TPRM) gère de manière centralisée le dialogue sur les risques, le reporting et les remédiations entre les organisations et leurs vendeurs, fournisseurs et partenaires tiers. En outre, la plateforme permet de stocker les rapports, les documents de politique, les contrats et les preuves à l'appui pour le dialogue, l'attestation et le partage. Ensemble, ces capacités garantissent que les organisations disposent d'un référentiel unique pour visualiser et gérer les risques, la documentation des fournisseurs et les mesures correctives.
CC3.2 : L'entité identifie les risques qui pèsent sur la réalisation de ses objectifs dans l'ensemble de l'entité et les analyse afin de déterminer comment les gérer.
La plateforme TPRM de Prevalent permet aux entreprises d'automatiser les tâches critiques nécessaires à l'évaluation, la gestion, la surveillance continue et la correction des risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et à l'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs - de l'inscription à l'offre jusqu'à la sortie.
La solution permet d'effectuer et de gérer des évaluations de risques ponctuelles à l' aide de plus de 125 modèles différents, d'analyser les résultats et de surveiller en permanence les risques cybernétiques, commerciaux, financiers et d'atteinte à la réputation des tiers, afin d'obtenir une vision globale de ces derniers. Des modèles de rapports intégrés permettent aux équipes de sécurité et de gestion des risques de communiquer les résultats de l'évaluation des risques aux dirigeants et aux autres décideurs et parties prenantes.
CC3.4 : L'entité identifie et évalue les changements susceptibles d'avoir une incidence significative sur le système de contrôle interne.
La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès aux systèmes, de la destruction des données, de la gestion des accès, du respect de toutes les lois pertinentes, des paiements finaux et d'autres aspects pendant la phase d'externalisation, afin de s'assurer que les responsabilités changent au fur et à mesure de l'évolution des accords.
En outre, Prevalent propose Contract Essentials, une solution qui centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Cette solution comprend des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'entrée à la sortie.
CC9.2 : L'entité évalue et gère les risques liés aux fournisseurs et aux partenaires commerciaux.
La plateforme Prevalent permet aux entreprises d'automatiser les tâches critiques nécessaires à l'évaluation, la gestion, la surveillance continue et la correction des risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs - de l'intégration à la désintoxication, y compris :
- Sourcing et sélection : Prevalent Contract Essentials aide les équipes chargées de la gestion des fournisseurs, de l'approvisionnement et du service juridique à simplifier le processus d'établissement et de négociation des conditions contractuelles et des accords de niveau de service (SLA), à gérer les redlines et à obtenir des approbations par le biais d'un flux de travail. La solution est entièrement intégrée à la plateforme TPRM, ce qui permet aux entreprises de gérer les contrats avec la même discipline que les risques liés aux fournisseurs. En savoir plus sur notre solution de recherche et de sélection des fournisseurs.
- Accueil et intégration / Évaluation du risque inhérent : La plateforme Prevalent propose des rapports qui révèlent les tendances en matière de risques, le statut et les exceptions par rapport aux comportements courants pour des fournisseurs individuels ou des groupes, avec des informations d'apprentissage automatique intégrées. Grâce à cette fonctionnalité, les équipes peuvent rapidement identifier les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier un examen plus approfondi. En savoir plus sur notre solution d'intégration des fournisseurs et notre solution de notation des risques inhérents.
- Évaluation et surveillance : Avec la plateforme Prevalent, les équipes de sécurité et de gestion des risques peuvent assigner les tâches liées à la gestion des évaluations manuellement, ou utiliser une bibliothèque pré-packagée d'ActiveRules pour automatiser une série de tâches normalement effectuées dans le cadre des processus d'évaluation et de révision - telles que la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications, ou l'activation de flux de travail - en utilisant la logique " si ceci, alors cela ". En savoir plus sur notre solution d'évaluation des risques et notre solution de contrôle continu.
- Gestion des SLA et des performances : La plateforme Prevalent permet aux équipes de gestion des fournisseurs d'établir des exigences à suivre et de centraliser les rapports de SLA et de performance par rapport à ces exigences grâce à un tableau de bord unique de reporting et d'analyse. En savoir plus sur notre solution de gestion des SLA et de la performance.
- Sortie et cessation d'activité : La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, du respect de toutes les lois pertinentes, des paiements finaux, etc. lors de l'abandon d'un fournisseur. En savoir plus sur notre solution d'intégration des fournisseurs.
P6.4 : L'entité obtient des engagements en matière de protection de la vie privée de la part des fournisseurs et des autres tiers qui ont accès aux informations à caractère personnel, afin d'atteindre ses objectifs dans ce domaine. L'entité évalue la conformité de ces parties sur une base périodique et en fonction des besoins et prend des mesures correctives, si nécessaire.
Prevalent comprend des évaluations intégrées pour les réglementations sur la protection des données telles que GDPR, CCPA, HIPAA et NYDFS. Les résultats de ces évaluations sont intégrés dans un registre central des risques où les équipes de sécurité et de gestion des risques peuvent visualiser les risques potentiels pour les données et prendre des mesures en conséquence, et comparer les actions d'un fournisseur à ses obligations contractuelles.
La plateforme Prevalent comprend des conseils et des recommandations de remédiation intégrés. Les équipes de sécurité et de gestion des risques peuvent communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation via la plateforme, capturer et auditer les conversations, et enregistrer les dates d'achèvement estimées.
P6.5 : L'entité obtient des fournisseurs et autres tiers ayant accès aux informations personnelles l'engagement de la prévenir en cas de divulgation réelle ou présumée d'informations personnelles non autorisées. Ces notifications sont communiquées au personnel compétent et suivies d'effet conformément aux procédures établies de réponse aux incidents, afin d'atteindre les objectifs de l'entité en matière de protection de la vie privée.
Le service Prevalent Third Party Incident Response permet aux équipes de sécurité et de gestion des risques d'identifier et d'atténuer rapidement l'impact des incidents liés à la confidentialité des données en gérant de manière centralisée les fournisseurs, en menant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils sur les mesures correctives à prendre.
Exigences de SOC 2 relatives à la gestion des risques liés aux tiers
Les solutions prévalentes de gestion des risques par des tiers peuvent vous permettre de répondre aux critères suivants en matière de services fiduciaires :
| CC2.3 : L'entité communique avec les parties externes sur les questions affectant le fonctionnement du contrôle interne. | Le prévalent Plateforme de gestion des risques pour les tiers (TPRM) gère de manière centralisée le dialogue sur les risques, les rapports et les mesures correctives entre les organisations et leurs vendeurs, fournisseurs et partenaires tiers. En outre, la plateforme permet de stocker les rapports, les documents politiques, les contrats et les preuves à l'appui pour le dialogue, l'attestation et le partage. Ensemble, ces capacités garantissent que les organisations disposent d'un référentiel unique pour visualiser et gérer les risques, la documentation des fournisseurs et les mesures correctives. |
| CC3.2 : L'entité identifie les risques qui pèsent sur la réalisation de ses objectifs dans l'ensemble de l'entité et les analyse afin de déterminer comment les gérer. | La plateforme TPRM de Prevalent permet aux entreprises d'automatiser les tâches critiques nécessaires à l'évaluation, la gestion, la surveillance continue et la correction des risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et à l'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs - de l'inscription à l'offre jusqu'à la sortie. La solution permet d'effectuer et de gérer des évaluations de risques ponctuelles à l' aide de plus de 125 modèles différents, d'analyser les résultats et de surveiller en permanence les risques cybernétiques, commerciaux, financiers et d'atteinte à la réputation des tiers, afin d'obtenir une vue d'ensemble de ces derniers. Des modèles de rapports intégrés permettent aux équipes de sécurité et de gestion des risques de communiquer les résultats de l'évaluation des risques aux dirigeants et aux autres décideurs et parties prenantes. |
| CC3.4 : L'entité identifie et évalue les changements susceptibles d'avoir une incidence significative sur le système de contrôle interne. | La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès aux systèmes, de la destruction des données, de la gestion des accès, du respect de toutes les lois pertinentes, des paiements finaux et d'autres aspects pendant la phase d'externalisation, afin de s'assurer que les responsabilités changent au fur et à mesure de l'évolution des accords. En outre, Prevalent propose Contract Essentials, une solution qui centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Cette solution comprend des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'entrée à la sortie. |
| CC9.2 : L'entité évalue et gère les risques liés aux fournisseurs et aux partenaires commerciaux. | CC9.2 : L'entité évalue et gère les risques liés aux fournisseurs et aux partenaires commerciaux. La plateforme Prevalent permet aux entreprises d'automatiser les tâches critiques nécessaires à l'évaluation, la gestion, la surveillance continue et la correction des risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs - de l'intégration à la désintoxication, y compris : Sourcing et sélection : Prevalent Contract Essentials aide les équipes chargées de la gestion des fournisseurs, de l'approvisionnement et du service juridique à simplifier le processus d'établissement et de négociation des conditions contractuelles et des accords de niveau de service (SLA), à gérer les redlines et à obtenir des approbations par le biais d'un flux de travail. La solution est entièrement intégrée à la plateforme TPRM, ce qui permet aux entreprises de gérer les contrats avec la même discipline que les risques liés aux fournisseurs. En savoir plus sur notre solution de recherche et de sélection des fournisseurs. Accueil et intégration / Évaluation du risque inhérent : La plateforme Prevalent propose des rapports qui révèlent les tendances en matière de risques, le statut et les exceptions par rapport aux comportements courants pour des fournisseurs individuels ou des groupes, avec des informations d'apprentissage automatique intégrées. Grâce à cette fonctionnalité, les équipes peuvent rapidement identifier les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier un examen plus approfondi. En savoir plus sur notre solution d'intégration des fournisseurs et notre solution de notation des risques inhérents. Évaluation et surveillance : Avec la plateforme Prevalent, les équipes de sécurité et de gestion des risques peuvent assigner les tâches liées à la gestion des évaluations manuellement, ou utiliser une bibliothèque pré-packagée d'ActiveRules pour automatiser une série de tâches normalement effectuées dans le cadre des processus d'évaluation et de révision - telles que la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications, ou l'activation de flux de travail - en utilisant la logique " si ceci, alors cela ". En savoir plus sur notre solution d'évaluation des risques et notre solution de contrôle continu. Gestion des SLA et des performances : La plateforme Prevalent permet aux équipes de gestion des fournisseurs d'établir des exigences à suivre et de centraliser les rapports de SLA et de performance par rapport à ces exigences grâce à un tableau de bord unique de reporting et d'analyse. En savoir plus sur notre solution de gestion des SLA et de la performance. Désintégration et résiliation : La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, du respect de toutes les lois pertinentes, des paiements finaux, etc. lors de l'abandon d'un fournisseur. En savoir plus sur notre solution d'intégration des fournisseurs. |
| P6.4 : L'entité obtient des engagements en matière de protection de la vie privée de la part des fournisseurs et des autres tiers qui ont accès aux informations à caractère personnel, afin d'atteindre ses objectifs dans ce domaine. L'entité évalue la conformité de ces parties sur une base périodique et en fonction des besoins et prend des mesures correctives, si nécessaire. | Prevalent comprend des évaluations intégrées pour les réglementations relatives à la protection des données telles que GDPR, CCPA, HIPAA et NYDFS. Les résultats de ces évaluations sont consignés dans un registre central des risques où les équipes chargées de la sécurité et de la gestion des risques peuvent visualiser les risques potentiels pour les données et prendre les mesures qui s'imposent, et comparer les actions d'un fournisseur à ses obligations contractuelles. La plateforme Prevalent comprend des conseils et des recommandations de remédiation intégrés. Les équipes de sécurité et de gestion des risques peuvent communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation via la plateforme, capturer et auditer les conversations, et enregistrer les dates d'achèvement estimées. |
| P6.5 : L'entité obtient des fournisseurs et autres tiers ayant accès aux informations personnelles l'engagement de la prévenir en cas de divulgation réelle ou présumée d'informations personnelles non autorisées. Ces notifications sont communiquées au personnel compétent et suivies d'effet conformément aux procédures établies de réponse aux incidents, afin d'atteindre les objectifs de l'entité en matière de protection de la vie privée. | Le service Prevalent Third Party Incident Response permet aux équipes de sécurité et de gestion des risques d'identifier et d'atténuer rapidement l'impact des incidents liés à la confidentialité des données en gérant de manière centralisée les fournisseurs, en menant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils sur les mesures correctives à prendre. |
Répondre à SOC 2 avec Prevalent
Le rapport SOC 2 de l'AICPA est un cadre normalisé permettant aux sociétés de services informatiques d'évaluer leurs contrôles sur les données de leurs clients. Étant donné que certaines organisations qui manquent de ressources internes pour répondre aux évaluations de sécurité fournissent un rapport SOC 2 à leurs clients à la place, il peut être long et complexe pour les équipes de faire correspondre les résultats du rapport SOC 2 à une solution de gestion des risques pour un suivi adéquat des risques.
Avec Prevalent, vous pouvez répondre aux exigences de gestion des risques des tiers SOC 2 :
- Évaluer les tiers à l'aide d'un questionnaire complet basé sur SOC 2
- Génération automatique d'un registre des risques à l'issue de l'enquête afin d'identifier les domaines de préoccupation potentiels.
- Création d'une piste d'audit permettant de relier la documentation et les preuves aux risques et aux fournisseurs
- Rapport sur la conformité à la norme SOC 2
Nous proposons également un service d'analyse des exceptions SOC 2, un service géré par le Risk Operations Center (ROC) de Prevalent qui transpose les exceptions de contrôle du rapport SOC 2 en risques dans la plateforme de gestion des risques tiers de Prevalent. Le registre des risques unifié qui en résulte permet de coordonner la réponse aux risques et la remédiation selon une approche standardisée et garantit que vous disposez d'un profil complet de tous les fournisseurs - même pour ceux qui soumettent un rapport SOC 2 au lieu d'une évaluation complète de la sécurité.
Pour en savoir plus, visitez notre page sur les solutions SOC 2 ou demandez une démonstration dès aujourd'hui.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
