SAS70的稽核類型分為兩種:Type I和Type II,兩者皆會產出一份稽核報告。在Type I中,服務組織必須提供內部控制的詳細描述,以供稽核員進行檢查,項目包括:
- 組織內部控制環境各層面的描述,這些將影響到組織內部人員,同時也是其他控制措施的基礎。
- 風險評鑑的流程,包括如何識別和分析和控制措施有關的風險,說明風險如何被適當地管理。
- 說明政策和程序等控制相關活動,可確保管理被真正實施。
- 資通訊的交換流程與形式,以及人員在各時間點應盡的責任。
- 內部控制目標和相關的控制措施,以及其他組織可能要求的補償性控制措施。
至於Type II的稽核,則不只是採取以上的步驟,在實施Type II的稽核過程中,組織的控制措施將經過六個月(也有可能更長)的測試,以確認其是否真正有效地運作。
因此,Type II的稽核報告中除了包括Type I的評鑑之外,更增加了測試過程的完整描述,以及其最後產生的結果。
參考資料:SAS 70 OVERVIEW
1 則留言:
https://www.otava.com/reference/sas-70-ssae-16-and-soc-comparison/
張貼留言