АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

Системы и организационные контроли

Системы и организационные контроли (англ. System and Organization Controls, SOC; до 2017 года — контроли сервисных организаций, Service Organization Controls) — комплекс отчётов, формируемых в ходе аудита по определению Американского института дипломированных общественных бухгалтеров (AICPA). Изначально SOC предназначались для использования сервисными организациями (организациями, предоставляющими информационные системы как услугу другим организациям) с целью выпуска верифицированных отчётов о внутреннем контроле этих информационных систем, однако с 2017 года охват стандартов был расширен за пределы только сервисных организаций[1]. Актуальное семейство отчётов включает основные стандарты SOC 1, SOC 2 и SOC 3, а также специализированные отчёты для кибербезопасности (SOC for Cybersecurity) и цепочек поставок (SOC for Supply Chain)[2].

SOC-отчёты фокусируются на контролях, сгруппированных в пять категорий, получивших название Критерии доверенных услуг[3]. Критерии доверенных услуг были разработаны Американским институтом дипломированных общественных бухгалтеров исполнительным комитетом по предоставлению гарантийных услуг (ASEC) в 2017 году. Эти контрольные критерии используются специалистами-аудиторами (дипломированными общественными бухгалтерами) при оказании атестационных или консультационных услуг для оценки и отчётности о контролях в информационных системах, предоставляемых как сервис. Аудит может проводиться на уровне организации в целом, её дочернего предприятия, подразделения, отдельного продукта или функционального направления.

Критерии доверенных услуг разработаны по аналогии с Интегрированной концепцией внутреннего контроля Комитета спонсирующих организаций Комиссии Тредуэя, широко известной как COSO Framework. Кроме того, критерии можно соотнести с положениями NIST SP 800-53 и статьями Общего регламента по защите данных ЕС (GDPR). Аудиторский стандарт AICPA Generally Accepted Auditing Standards, а именно «Положение о стандартах для аттестационных заданий № 18», раздел 320, «Отчётность по результатам проверки контроля сервисной организации, относящегося к внутреннему контролю пользователей над финансовой отчётностью», определяет два уровня отчётности: тип 1 и тип 2. Дополнительные инструкции AICPA выделяют три типа отчётов: SOC 1, SOC 2 и SOC 3.

Критерии доверенных услуг

Критерии доверенных услуг разрабатывались с акцентом на гибкость применения, чтобы позволить организациям реализовывать уникальные комплексы контролей в соответствии с их индивидуальными рисками и угрозами. Это отличает их от других контрольных структур, где предписаны конкретные меры, независимо от их релевантности в каждой ситуации. Применение критериев доверенных услуг в практике требует суждения относительно их применимости. Критерии используются при «оценке надёжности проектирования и эффективности работы контролей, связанных с безопасностью, доступностью, целостностью обработки, конфиденциальностью или приватностью информации и систем, используемых для предоставления продукта или сервисов» (AICPA — ASEC).

Структура критериев доверенных услуг согласована с 17 принципами COSO и включает дополнительные подкритерии, сгруппированные по направлениям: логический и физический доступ, эксплуатация систем, управление изменениями и снижение рисков. Дополнительные критерии являются общими для всех категорий — Общие критерии (CC), а также присутствуют специ­фические критерии для таких категорий, как доступность, целостность обработки, конфиденциальность и приватность.

Общие критерии обозначаются как: контрольная среда (CC1.x), информация и коммуникация (CC2.x), оценка рисков (CC3.x), мониторинг контроля (CC4.x) и контрольные мероприятия, связанные с проектированием и внедрением контролей (CC5.x). Общих критериев достаточно для оценки критерия безопасности, однако существуют дополнительные критерии по категориям: доступность (A.x), целостность обработки (PI.x), конфиденциальность (C.x) и приватность (P.x). Критерии для каждой выбранной категории считаются выполненными, если реализованы все, относящиеся к данной категории.

Отчёты SOC 2 фокусируются на контролях в рамках пяти частично пересекающихся категорий, известных как Критерии доверенных услуг, которые поддерживают классическую модель информационной безопасности — триаду «конфиденциальность-целостность-доступность» (CIA-triad):[3]

  1. Безопасность — информация и системы защищены от несанкционированного доступа, раскрытия и повреждений, которые могут нарушить доступность, конфиденциальность, целостность и приватность системы.
    • Межсетевые экраны
    • Системы обнаружения вторжений
    • Многофакторная аутентификация
  2. Доступность — информация и системы доступны для операционного использования.
    • Мониторинг производительности
    • Восстановление после аварий
    • Реагирование на инциденты
  3. Конфиденциальность — информация защищена и доступна только по обоснованной необходимости. Применяется к чувствительной информации различных видов.
    • Шифрование
    • Контроль доступа
    • Межсетевые экраны
  4. Целостность обработки — обработка данных системой полна, корректна, точна, своевременна и авторизована.
    • Обеспечение качества
    • Мониторинг процессов
    • Соблюдение принципов
  5. Приватность — персональные данные собираются, используются, хранятся, раскрываются и уничтожаются согласно политике. Приватность касается только персональных данных.
    • Контроль доступа
    • Многофакторная аутентификация
    • Шифрование

В октябре 2022 года Американский институт дипломированных общественных бухгалтеров (AICPA) выпустил обновлённое руководство. Основные пять критериев доверенных услуг остались неизменными, однако были пересмотрены «ключевые аспекты» (англ. points of focus) для адаптации к современным угрозам. Обновления включают усиление требований к оценке рисков, управлению данными и обеспечению приватности[4][5][6].

Отдельного стандарта SOC для искусственного интеллекта не существует. Вместо этого для оценки систем искусственного интеллекта и облачных вычислений применяются существующие критерии с особым фокусом на защиту моделей от кражи, предотвращение отравления данных (англ. data poisoning) и внедрение принципов архитектуры «нулевого доверия» (англ. zero trust)[7][8].

Отчётность

Уровни

Существуют два уровня SOC-отчётов, определённых стандартом SSAE 18 (который был дополнен стандартом SSAE 21[9]):[10]

  • Тип 1 — оценивает дизайн контролей на конкретную дату («срез» системы)[11]. Отчёт описывает системы сервисной организации и то, насколько разработанные контроли соответствуют релевантным принципам доверия.
  • Тип 2 — оценивает как дизайн, так и операционную эффективность контролей на протяжении определённого периода[11]. Типичный и рекомендуемый период составляет от 6 до 12 месяцев[12], однако развитие автоматизации смещает фокус на непрерывный мониторинг[13].

Типы

Существует три типа отчётов SOC.

  • SOC 1 — Внутренний контроль по вопросам финансовой отчётности (ICFR)
  • SOC 2 — Критерии доверенных услуг[14]
  • SOC 3 — Критерии доверенных услуг для отчёта общего назначения

В дополнение к вышеперечисленным существуют специализированные отчёты. Отчёт SOC for Cybersecurity применяется для оценки программы управления киберрисками в масштабе всей организации и предназначен для широкого круга заинтересованных лиц[15]. Отчёт SOC for Supply Chain предназначен для производителей и дистрибьюторов с целью оценки контролей в цепочке поставок[16].

SOC 1 и SOC 2 предназначены для ограниченного круга пользователей — тех, кто обладает достаточным уровнем понимания рассматриваемой системы. SOC 3 сообщает обобщённые сведения и может распространяться для широкой публики.

Аудит

Хотя в проведении проверки могут участвовать технические специалисты, право подписывать и выпускать итоговый отчёт об аттестации SOC 2 принадлежит исключительно лицензированным фирмам сертифицированных общественных бухгалтеров (CPA)[17][18].

SOC 2-аудит обеспечивает формирование подробного отчёта о внутреннем контроле организации, составленного в соответствии с пятью критериями доверенных услуг. Он демонстрирует, насколько хорошо организация защищает данные клиентов и обеспечивает надёжность предоставляемых услуг. Отчёты SOC 2, как правило, предоставляются только заказчикам и иным заинтересованным сторонам[19].

Использование автоматизированных платформ комплаенса сопряжено с рядом рисков, среди которых выделяется проблема «чрезмерного доверия» (over-reliance) к инструментам. Это может приводить к выпуску шаблонных отчётов и снижению роли независимого профессионального суждения аудитора. Для борьбы с этими рисками Американский институт сертифицированных общественных бухгалтеров (AICPA) усилил контроль за качеством аудитов через процедуру экспертной оценки (Peer Review)[20][21][22].

Кроме того, в современной аудиторской практике значительно усилены требования к оценке рисков, связанных со сторонними поставщиками (vendor risk management), что требует их непрерывного мониторинга[23][24].

Примечания

  1. The Meaning of SOC from the AICPA. truvantis.com. Дата обращения: 28 мая 2026.
  2. SOC Reporting. grcsolutions.io. Дата обращения: 28 мая 2026.
  3. 1 2 SOC 2 Compliance (англ.). imperva.com. Imperva. Дата обращения: 28 мая 2026. Архивировано 30 сентября 2025 года.
  4. AICPA Releases Updated SOC 2 Guide. mossadams.com. Дата обращения: 28 мая 2026.
  5. The Latest SOC 2 Revisions and What They Mean for Your Business. scytale.ai. Дата обращения: 28 мая 2026.
  6. SOC Report 2022 Revised Points of Focus. aafcpa.com (21 июля 2023). Дата обращения: 28 мая 2026.
  7. SOC 2 for AI Companies: What You Need to Know. soc2auditors.org. Дата обращения: 28 мая 2026.
  8. AI controls for SOC 2 reports. bakertilly.com. Дата обращения: 28 мая 2026.
  9. SSAE 21: New Attestation Guidance. Linford & Co.. Дата обращения: 28 мая 2026.
  10. AICPA Statement on Standards for Attestation Engagements No. 18. AICPA & CIMA 231–233. AICPA. Дата обращения: 28 мая 2026. Архивировано 11 июня 2025 года.
  11. 1 2 SOC 2 Type 1 vs. Type 2: What's the Difference? Secureframe. Дата обращения: 28 мая 2026.
  12. SOC 2 Compliance Checklist 2026. Security Compliance Guide. Дата обращения: 28 мая 2026.
  13. SOC 2 Best Practices 2025: Your Complete Guide to Modern Compliance Excellence. D'Salta. Дата обращения: 28 мая 2026.
  14. 2018 SOC 2® Description Criteria (With Revised Implementation Guidance – 2022). AICPA.org. Дата обращения: 28 мая 2026. Архивировано 6 июня 2022 года.
  15. SOC for Cybersecurity Examination. Moss Adams. Дата обращения: 28 мая 2026.
  16. AICPA SOC for Supply Chain Criteria. EY. Дата обращения: 28 мая 2026.
  17. SOC 2 Auditor Certification. soc2auditors.org. Дата обращения: 28 мая 2026.
  18. Who Can Perform a SOC 2 Audit? cynomi.com. Дата обращения: 28 мая 2026.
  19. Understanding SOC 2 (англ.). Adaptive.live. Adaptive. Дата обращения: 28 мая 2026. Архивировано 25 сентября 2025 года.
  20. Automated SOC 2 Software: The Good, The Bad, and The Ugly. ispartnersllc.com. Дата обращения: 28 мая 2026.
  21. Promises of fast and easy threaten SOC credibility. journalofaccountancy.com (февраль 2026). Дата обращения: 28 мая 2026.
  22. AICPA guides peer reviewers to address SOC 2 risks. journalofaccountancy.com (май 2026). Дата обращения: 28 мая 2026.
  23. SOC 2: What Changed in 2026. konfirmity.com. Дата обращения: 28 мая 2026.
  24. SOC 2 Best Practices 2025: Your Complete Guide to Modern Compliance Excellence. dsalta.com. Дата обращения: 28 мая 2026.

Литература

Категории