在雲端與 SaaS 服務盛行的今日,企業如何驗證委外服務商的內部控制品質?the Statement on Standards for Attestation Engagements number 18(SSAE‐18)正是這道問題的標準答案,它是 AICPA 用於產出 SOC 報告的核心鑑證審計框架。
SSAE-18 的角色與架構
SSAE-18 於 2017 年由 AICPA 正式取代 SSAE-16,成為美國鑑證委任的主流標準。其核心章節 AT-C Section 320 專門規範服務組織控制報告,定義稽核人員如何評估服務組織的控制設計(Design)與運作有效性(Operating Effectiveness)。SSAE-18 最關鍵的創新在於強制要求服務組織揭露子服務組織(Subservice Organizations)的委外風險,並要求管理層提供正式書面聲明,強化整體問責機制。
SOC 報告類型與適用場景
SSAE-18 是產出 SOC 1 與 SOC 2 報告的依據框架,兩者適用場景截然不同。SOC 1 聚焦於影響財務報表的內部控制,適合薪資處理、金融交易等服務;SOC 2 則依據 AICPA 信任服務準則(TSC),評估安全性、可用性、機密性、處理完整性與隱私五大維度,適合雲端平台與 SaaS 業者。報告又分為 Type I(特定時間點設計評估)與 Type II(期間內運作有效性測試),Type II 因涵蓋實際運行證據,普遍被客戶與監理機關視為更具公信力的依據。
💡 重點整理
- 取代 SSAE-16:2017 年起正式生效,強化子服務組織揭露義務。
- 雙軌報告:SOC 1 對應財務控制,SOC 2 對應信任服務準則五大維度。
- Type II 優先:涵蓋 6–12 個月運作測試,公信力遠高於 Type I。
- 委外風險管理:要求明確揭露並評估供應鏈中每層子服務組織的控制狀態。
對於任何依賴第三方服務的企業,要求服務商提供 SSAE-18 合規的 SOC 報告,已是現代供應鏈風險管理(TPRM)的基本門檻,而非選配項目。
📚 參考文獻
- AICPA – Statement on Standards for Attestation Engagements (SSAE) No. 18:aicpa-cima.com
- AICPA – SOC 2® - SOC for Service Organizations: Trust Services Criteria:aicpa-cima.com
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言