Lorsque les entreprises externalisent une activité, elles doivent s’assurer que les processus internes du prestataire sont industrialisés, transparents, efficaces et sécurisés. ISAE 3402 et SSAE 18 sont des standards internationaux qui évaluent la qualité des processus internes et renforcent la transparence des relations clients / fournisseurs. Le rapport SOC 1/ ISAE 3402 est, en particulier, une norme reconnue internationalement, qui permet de réduire les audits multiples pour différents clients En s’appuyant sur notre méthodologie SOC, RSM vous accompagne pour réaliser cet audit, délivrer une attestation et améliorer vos processus internes en continu. 

L’assurance de prouver à vos clients que vos processus internes sont transparents et optimisés !

 

Quels avantages de la démarche SOC 1-ISAE 3402/SOC 2/SOC 3 ?

Les avantages SOC1 - ISAE 3402

  • Pour les clients : assurance générale du respect des processus internes, des politiques et du respect des attentes en matière de contrôles internes en ce qui concerne les processus métier et l'informatique par des fournisseurs de services externalisés.
  • Pour les prestataires de services externalisés : possibilité d'intégration avec d'autres cadres de contrôle dans les contrôles financiers et informatiques et les collaborateurs seront sensibilisés aux risques.

Les avantages SOC 2 & SOC 3 - ISAE 3402

  • Les exigences de SOC 2/ SOC 3 concordent avec d'autres cadres, notamment la certification ISO 27001 et les principes de sécurité de l’information. Vous pouvez ainsi accélérer l'obtention d’autres certifications de sécurité informatique.
  • Les rapports SOC 2/ SOC 3 démontrent une forte concentration sur la gestion des risques et des contrôles internes robustes. Ils démontrent la maturité de votre programme de sécurité, ce qui constitue un avantage par rapport à vos concurrents.

 

De quelle attestation ai-je besoin ?

SOC : Qu’est-ce que c'est ?

Service Organization Control (SOC) sont des référentiels de contrôle, qui sont évalués à travers différents points de contrôle. L'objectif est de rendre compte de l'efficacité des contrôles internes d'une entreprise tout en fournissant un retour d'information indépendant et exploitable. 

  • SOC 1 : contrôles internes des états financiers
  • SOC 2 / SOC 3 : examen du niveau de contrôle et de protection de l’hébergement et traitement des données

Qu’est-ce qu’un rapport SOC 1 - ISAE 3402 ?

Les rapports SOC 1 évaluent l’efficacité des contrôles internes qui affectent les rapports financiers d’un client externalisant ses systèmes auprès d’un fournisseur. En fonction du besoin, ils peuvent faire appel à l’ISAE 3402 (référentiel international) ou SSAE 18 (Référentiel US).  Un rapport SOC 1 permet d’émettre une opinion sur les contrôles en place chez un prestataire, en lien avec l’élaboration des états financiers des entités ayant recours à un sous-traitant. En tant que fournisseur de services, ce rapport de conformité prouve que vos contrôles internes et mesures de gestion et de sécurité sont fiables et fonctionnent correctement.

Qu’est-ce qu’un rapport SOC 2 / SOC 3 ?

Destiné principalement aux fournisseurs de services, le rapport SOC 2 consiste en un examen du niveau de contrôle et de protection de l'hébergement et le traitement des données appartenant aux clients. L’attestation SOC 2 vous aidera en fournissant une assurance sur les contrôles en place des états non financiers. Cet examen est basé sur les principes de confiance de la sécurité, de la disponibilité, de l'intégrité du traitement et de la confidentialité (Trust Services Criteria - AICPA). Afin de communiquer publiquement quant aux conclusions émises dans un rapport SOC 2, un rapport SOC 3 contenant les informations essentielles et ne contenant pas le détail de la démarche de test pourra être rédigé.

 

Quel rapport correspond à mon besoin et à celui de mes clients ?

  • Type 1 : Garantit l’évaluation de la conception des contrôles mis en place et de leur correcte implémentation.
  • Type 2 : Garantit l’évaluation de la conception des contrôles mis en place et de leur efficacité sur une période d’observation donnée.

isae_3402_tableau_soc.png

 

Structure des rapports SOC

Composé de 5 sections, les rapports SOC sont destinés à rassurer vos clients et à comprendre vos procédures et mesures de contrôle mises en place et pour le SOC 2 / SOC 3 à rassurer clients et partenaires.structure_des_rapports_soc.png

 

RSM vous accompagne afin de sécuriser et maîtriser vos systèmes d’informations

Les attestations SOC devant être effectuées par un bureau d’audit indépendant, RSM, composé d’auditeurs expérimentés et certifiés, vous accompagne dans l’obtention dans celle-ci.

La méthodologie SOC de RSM est un concept fonctionnel, efficace et construit sur une spécification claire de nos exigences, une communication continue avec les clients et une validation tout au long de la mission. Une approche flexible associée à des procédures structurées garantira un déroulement sans faille d'un audit adapté aux processus internes de votre organisation.

Contact

Jean-Philippe Isemann
Jean-Philippe Isemann
Associé - Transformation digitale

A lire également