skip to content
Nous joindre
Accueil
Search

Article

Modifications au Guide SOC 2

Mis à jour le : 11 janvier 2024

Nos collègues de BDO USA ont publié la version originale de cet article le 2 décembre 2022. Vous pouvez le lire ci-dessous.

À la fin du mois d’octobre 2022, l’Assurance Services Executive Committee de l’American Institute of Certified Public Accountants (« AICPA ») a publié une mise à jour du guide de présentation du rapport System and Organization Control (« SOC ») 2. Des modifications importantes ont été apportées au guide lié à l’application des critères de description de même qu’aux principaux critères de services Trust dans le but d’apporter des éclaircissements sur les nouveaux enjeux sectoriels et de continuer à promouvoir la qualité ainsi que la cohérence de la présentation de l’information.

Résumé des modifications

Les mises à jour apportées par l’AICPA aux examens SOC 2 étant considérables, les entreprises qui ont déjà un rapport SOC 2 ou qui prévoient en produire un devront sans doute y consacrer plus de temps et d’attention. Parmi les principaux changements, notons les suivants :

  • L’ajout de nouvelles normes de certification (p. ex., SSAE 20 et SSAE 21);
  • La mise à jour des indications concernant la mise en application des critères de description pour préciser davantage certaines exigences en matière de présentation de l’information, les informations liées à la façon dont les contrôles répondent aux exigences d’un processus ou d’un modèle de contrôle et, enfin, la présentation de l’information sur le processus d’évaluation des risques et les risques précis;
  • La modification des principaux éléments qui sous-tendent l’application des critères des services Trust pour qu’ils tiennent davantage compte des risques technologiques, juridiques, réglementaires et culturels en constante évolution ainsi que des exigences en matière de gestion des données, plus particulièrement celles se rapportant à la confidentialité, et la nouvelle distinction faite entre un contrôleur des données et un responsable du traitement des données dans le cadre de missions de protection des renseignements personnels;
  • L’intégration, s’il y a lieu, des mises à jour présentées dans le guide SOC 1 de l’AICPA intitulé Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting;
  • L’ajout, s’il y a lieu, des indications supplémentaires contenues dans la publication Guide SOC for Supply Chain: Reporting on an Examination of Controls Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy in a Production, Manufacturing, or Distribution System de l’AICPA, notamment celles qui se rapportent à l’évaluation des risques.  

Mises à jour supplémentaires

 L’AICPA a aussi apporté des changements, entre autres aux éléments suivants : 

  • Indications sur les évaluations qualitatives de l’importante relative (tirées du livre blanc sur l’importance relative de l’AICPA);
  • Prise en compte de l’utilisation des applications et des outils informatiques par la société de services (foire aux questions sur les outils liés à la norme SOC);
  • Détermination du fonctionnement des contrôles périodiques mis en œuvre avant la période couverte par l’examen;
  • Prise en compte du recours à des spécialistes par la direction;
  • Réalisation d’une mission SOC 2+ et production d’un rapport SOC 2+ (y compris un nouvel exemple de rapport de l’auditeur de la société de services);
  • Description des facteurs à prendre en considération lorsque la société de services relève un engagement de service ou une exigence système se rapportant au respect des exigences d’un processus ou d’un modèle de contrôle (tel que HIPAA, ISO ou NIST);
  • Remplacement de documents complémentaires et de plusieurs annexes par des liens vers les documents appropriés sur le site Web de l’AICPA.  

Nous pouvons vous aider

Si vous avez déjà un rapport SOC 2 ou prévoyez en produire un ultérieurement, il est essentiel que vous compreniez l’incidence de ces modifications sur son processus de présentation. Vous devez également veiller au respect des normes et à la mise en place de contrôles visant à contrer efficacement les risques liés à la cybersécurité pour protéger les données sensibles. Communiquez avec nous dès aujourd’hui pour en savoir plus sur la façon dont nous pouvons aider votre entreprise.

Contactez-nous

Sam Khoury
Associé, Services de certification de tiers
Contactez Voir la biographie