System and Organization Controls (SOC) – это независимая оценка инструментов контроля и подготовка отчета System and Organization Controls (SOC, ранее Service Organization Controls). Данный формат отчета был утвержден в 2011 году Американским Институтом Сертифицированных Публичных Бухгалтеров (American Institute of Certified Public Accountants, AICPA), которые могут выпускать отчеты по качеству определенных внутренних контролей Сервисных Организаций (отчетs трех типов – SOC 1, SOC 2 и SOC 3).
Отчет SOC 1 – это отчет о результатах аудита системы контроля над обработкой данных, связанных с формированием финансовой отчетности.
– предназначен для владельцев и руководителей сервисных организаций, клиентов сервисных организаций, аудиторов финансовой отчетности клиентов.
Отчет SOC 2 – отчет о результатах аудита нефинансовых контрольных процедур организации, проведенный в соответствии с выбранными критериями Trust Service Principles (безопасность, доступность, целостность обрабатываемых данных, конфиденциальность, защита персональных данных).
– предназначен для владельцев и руководителей сервисных организаций и клиентов сервисных организаций.
SOC 3 содержит информацию отчета SOC 2, за исключением детального описания средств контроля, продуктов и систем, подготовленных руководством организации, описания проведенных аудиторских тестов или их детальных результатов.