本文探讨了在AICPA SOC 2框架下实施第三方风险管理的考量因素,并阐述了如何通过结合供应商风险评估与第三方监控来满足SOC要求。
美国注册会计师协会信托服务标准与第三方风险管理
美国注册会计师协会(AICPA)鉴证服务执行委员会(ASEC)制定了信任服务标准,供组织机构作为框架使用,以证明其系统和数据的保密性、完整性和可用性。
熟悉系统与组织控制(SOC)2级审计的组织会认识到,这些信任服务标准用于报告其针对基础设施、软件、人员、流程和数据的内部控制与保障措施的有效性。
SOC 2中的信任服务标准
SOC 2 审计为以下美国注册会计师协会(AICPA)信任服务类别提供全面视角:
- 安全:保护 信息和系统免受未经授权的访问、信息泄露以及可能损害系统可用性、完整性、保密性和隐私性的破坏行为,这些行为可能危及信息或系统的可用性、完整性、保密性和隐私性,并影响实体实现其目标的能力。
- 可用性:确保信息和系统可供操作和使用,以满足实体的目标。
- 处理完整性:确保系统处理过程完整、有效、准确、及时且获得授权,以满足实体的目标。
- 保密性:保护被指定为机密的信息,以满足实体的目标。
- 隐私:确保所收集、使用、保留、披露和处置的个人信息符合该实体的目标。
SOC报告类型
控制审计完成后,输出可包含两种类型的报告:
- 第一类报告:审查服务提供商的系统及其控制措施设计在特定时间点的适用性
- 第二类报告:在第一类报告的基础上,还需评估控制措施在特定时间段内的运行有效性。
SOC报告的使用方式
跨行业的各类组织利用SOC 2报告向客户证明其尽职调查,凭借自身安全态势在竞争中脱颖而出,或主动配合审计机构评估数据保护法规的合规情况。
与第三方风险管理相关的SOC 2要求
第三方风险管理解决方案可帮助您满足以下信任服务标准:
CC2.3:该实体就影响内部控制运作的事项与外部方进行沟通。
主流第三方风险管理(TPRM)平台集中管理组织与其第三方供应商、供货商及合作伙伴之间的风险对话、报告与整改事宜。此外,该平台支持存储报告、政策文件、合同及佐证材料,用于对话、认证与共享。这些功能共同确保组织拥有统一存储库,可直观呈现并管理风险、供应商文件及整改措施。
CC3.2: 该实体识别其目标实现过程中存在的风险,并分析这些风险以确定风险管理策略。
Prevalent TPRM平台助力企业自动化处理关键任务,涵盖供应商生命周期各阶段——从入职到离职——全面评估、管理、持续监控并修复第三方在安全、隐私、合规、供应链及采购方面的相关风险。
该解决方案具备以下能力:利用超过125种不同模板发布并管理特定时间点的风险评估,分析评估结果,同时持续监控第三方网络安全风险、业务风险、声誉风险及财务风险,从而全面掌握第三方状况。内置的报告模板确保安全与风险管理团队能够向高管、其他决策者及利益相关方有效传达风险评估结果。
CC3.4: 该实体识别并评估可能对内部控制体系产生重大影响的变更。
主流平台通过可定制的调查问卷和工作流程,在员工离职期间对系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项进行报告,确保随着协议变更,责任分配同步调整。
此外,Prevalent还提供合同管理核心解决方案,该方案集中管理供应商合同的分发、讨论、归档与审核流程。其内置的工作流功能可自动化处理从签约到终止的整个合同生命周期。
CC9.2:该实体评估并管理与供应商和业务合作伙伴相关的风险。
普瑞瓦平台助力企业自动化执行关键任务,全面评估、管理、持续监控并修复第三方供应商在整个生命周期各阶段(从入职到离职)涉及的安全、隐私、合规、供应链及采购相关风险,包括:
- 供应商筛选与遴选:Prevalent合同管理核心功能助力供应商管理、采购及法务团队简化合同条款与服务水平协议(SLA)的制定与协商流程,实现修订版本管理,并通过工作流确保审批流程顺畅。该解决方案与TPRM平台全面集成,确保企业能够以管理供应商风险的同等严谨性管理供应商合同。了解更多关于我们的供应商筛选与遴选解决方案。
- 入职与入职流程/固有风险评分:主流平台提供嵌入机器学习洞察的报告功能,可揭示风险趋势、状态及供应商或群组的异常行为。借助此功能,团队能快速识别评估、任务、风险等环节中的异常值,从而确定需深入调查的对象。了解更多关于我们的供应商入职解决方案和固有风险评分解决方案。
- 评估与监控:借助Prevalent平台,安全与风险管理团队可手动分配评估管理相关任务,或利用预打包的ActiveRules库自动化执行评估与审查流程中的常规任务——例如更新供应商档案与风险属性、发送通知或激活工作流——通过"如果这样,那么那样"的逻辑实现自动化。 深入了解我们的风险评估解决方案与持续监控解决方案。
- 服务水平协议与绩效管理:主流平台使供应商管理团队能够设定追踪要求,并通过单一报告与分析仪表盘集中管理服务水平协议及绩效报告。了解更多关于我们的服务水平协议与绩效管理解决方案。
- 离职与终止服务:主流平台通过可定制的调查问卷和工作流程,在员工离职期间全面追踪系统访问权限、数据销毁、访问管理、相关法律合规性、最终款项结算等环节。了解我们的供应商离职解决方案。
P6.4:该实体从供应商及其他可接触个人信息的第三方处获取隐私承诺,以实现其隐私相关目标。该实体定期及根据需要评估这些方的合规情况,并在必要时采取纠正措施。
Prevalent内置了针对GDPR、CCPA、HIPAA及NYDFS等数据保护法规的评估功能。评估结果将映射至中央风险登记簿,安全与风险管理团队可在此直观呈现数据潜在风险并采取应对措施,同时对照供应商的实际行动与合同义务进行核查。
该主流平台内置了修复指导与建议。安全与风险管理团队可通过平台高效对接供应商并协调修复工作,记录并审计沟通内容,同时登记预计完成日期。
P6.5:该实体要求供应商及其他接触个人信息的第三方承诺,在发生实际或疑似未经授权的个人信息泄露时及时通知该实体。此类通知将上报至相关负责人,并依据既定的事件响应程序采取行动,以实现该实体在隐私保护方面的目标。
主流第三方事件响应服务通过集中管理供应商、执行事件评估、对识别风险进行评分以及获取补救指导,使安全与风险管理团队能够快速识别并减轻数据隐私事件的影响。
与第三方风险管理相关的SOC 2要求
现有的第三方风险管理解决方案可帮助您满足以下信任服务标准:
| CC2.3: 该实体就影响内部控制运作的事项与外部方进行沟通。 | 普遍的 第三方风险管理(TPRM)平台 集中管理组织与其第三方供应商、供货商及合作伙伴之间关于风险、报告和补救措施的对话。 此外,该平台支持存储报告、政策文件、合同及佐证材料,以供对话、认证和共享之用。 这些功能共同确保组织能够通过单一存储库来可视化并管理风险、供应商文档及补救措施。 |
| CC3.2: 该实体识别其目标实现过程中存在的风险,并分析这些风险以确定风险管理策略。 | Prevalent TPRM平台助力企业自动化处理关键任务,涵盖供应商生命周期各阶段——从入职到离职——全面评估、管理、持续监控并修复第三方在安全、隐私、合规、供应链及采购方面的相关风险。 该解决方案具备以下能力:利用超过125种不同模板发布并管理特定时间点的风险评估,分析评估结果,同时持续监控第三方网络安全风险、业务风险、声誉风险及财务风险,从而全面掌握第三方风险状况。 内置的报告模板确保安全与风险管理团队能够向高管、其他决策者及利益相关方传达风险评估结果。 |
| CC3.4: 该实体识别并评估可能对内部控制体系产生重大影响的变更。 | 主流平台通过可定制的调查问卷和工作流程,在员工离职期间对系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项进行报告,确保随着协议变更,责任分配同步调整。 此外,Prevalent还提供"合同核心"解决方案,该方案可集中管理供应商合同的分发、讨论、保存和审查流程。其内置的工作流功能能够自动化处理从签约到终止的整个合同生命周期。 |
| CC9.2: 该实体评估并管理与供应商和业务伙伴相关的风险。 | CC9.2:该实体评估并管理与供应商和业务合作伙伴相关的风险。 普瑞瓦平台助力企业自动化执行关键任务,全面评估、管理、持续监控并修复第三方供应商在整个生命周期各阶段(从入职到离职)涉及的安全、隐私、合规、供应链及采购相关风险,包括: 采购与甄选: Prevalent合同管理核心功能助力供应商管理、采购及法务团队简化合同条款与服务水平协议(SLA)的制定与协商流程,实现修订版本管理及通过工作流获取审批。该解决方案与完整的TPRM平台深度集成,确保企业能够以管理供应商风险的同等严谨性管理供应商合同。了解更多关于我们的供应商采购与甄选解决方案。 入职与入职流程/固有风险评分: Prevalent平台通过内置机器学习洞察,为单个供应商或供应商群体生成报告,揭示风险趋势、状态及异常行为。借助此功能,团队可快速识别评估、任务、风险等环节中的异常值,从而确定需深入调查的对象。了解更多关于我们的供应商入职解决方案和固有风险评分解决方案。 评估与监控: 借助Prevalent平台,安全与风险管理团队可手动分配评估管理相关任务,或利用预打包的ActiveRules库自动化执行评估与审查流程中的常规任务——例如更新供应商档案与风险属性、发送通知或激活工作流——通过"如果这样,那么那样"的逻辑实现自动化。了解更多关于我们的风险评估解决方案和持续监控解决方案。 服务水平协议与绩效管理: Prevalent平台助力供应商管理团队建立追踪要求,并通过单一报告与分析仪表盘集中管理服务水平协议(SLA)及绩效报告。深入了解我们的SLA与绩效管理解决方案。 离职管理与终止服务: Prevalent平台通过可定制的调查问卷和工作流程,在员工离职过程中全面追踪系统访问权限、数据销毁、访问管理、相关法律合规性、最终薪酬结算等环节。了解我们的供应商离职解决方案。 |
| P6.4: 该实体从供应商及其他接触个人信息的第三方处获取隐私承诺,以实现其隐私相关目标。该实体定期及根据需要评估这些方的合规情况,并在必要时采取纠正措施。 | Prevalent内置了针对数据保护法规的评估功能,例如: GDPR, CCPA, HIPAA 和 纽约州金融服务部这些评估结果被映射到中央风险登记册中,安全和风险管理团队可在此直观呈现并处理数据面临的潜在风险,同时对照供应商的实际行动与合同义务进行核查。 该主流平台内置了修复指导与建议。安全与风险管理团队可通过平台高效对接供应商并协调修复工作,记录并审计沟通内容,同时登记预计完成日期。 |
| P6.5: 该实体要求供应商及其他接触个人信息的第三方承诺,在发生实际或疑似未经授权的个人信息泄露时及时通知该实体。此类通知将上报至相关负责人,并依据既定的事件响应程序采取行动,以实现该实体在隐私保护方面的目标。 | 主流第三方事件响应服务通过集中管理供应商、执行事件评估、对识别风险进行评分以及获取补救指导,使安全与风险管理团队能够快速识别并减轻数据隐私事件的影响。 |
通过Prevalent解决SOC 2合规问题
美国注册会计师协会SOC 2报告是IT服务公司评估其客户数据控制措施的行业标准框架。由于部分缺乏内部资源应对安全评估的机构会向客户提供SOC 2报告作为替代方案,团队将SOC 2报告结果映射至风险管理解决方案以实现有效风险追踪的过程可能耗时且复杂。
借助Prevalent,您可以通过以下方式满足SOC 2第三方风险管理要求:
- 采用基于SOC 2的综合问卷评估第三方
- 在调查完成后自动生成风险登记册,以锁定潜在关注领域
- 创建审计追踪,将文件和证据与风险及供应商进行关联
- 针对SOC 2合规性的报告
我们还提供SOC 2例外分析服务,该服务由Prevalent风险运营中心(ROC)提供,将SOC 2报告中的控制例外项转化为Prevalent第三方风险管理平台中的风险项。 由此形成的统一风险登记册,可通过标准化方法实现协调一致的风险响应与整改,确保您全面掌握所有供应商的风险状况——即使供应商仅提交SOC 2报告而未进行完整安全评估亦能覆盖。
了解更多信息,请访问我们的SOC 2解决方案页面或立即申请演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
