[ISC]Auditor's Reporting on SOC Engagements

 

subject matter : form an opinion
- evaluate : sufficient and appropriate evidence
- fairly stated  in all material respects
- Fair presentation of Mgt's description
- suitability of the design

SOC2 engagement - 5 criteria
- confidentiality
- availability
- processing integrity
- privacy
- security

foaming opinion
- present faily by mgt
- design effectively
- Type 2 : specified period of time

what kind of opinion? unmodified(unqualified) opinion, qualified opinion, adverse opinion, disclaimer of an opinion
1. unmodified(unqualified) opinion
-- Type 1 : a specified date
-- Type 2 : throughout period ( over period time)
- suitable designed to provide reasonable assurance
-- SOC1 : fairly presents the service organization's system
-- SOC2 : designed and implemented
-CUECs : Complementary user entity controls 
-CSOCs : Complementary subservice organization controls

2. Modified service auditor's opinion
-SOC1
--Mgt's description of the service organization's system is not fairly presented
-- Type 2 : The controls did not operate effectively throuhout the specified period

3 types of modified opinions
- Qulified opininons : 
- Adverse opinions : 
- Disclaimer of opinions : 

Material but not pervasive : Qualified
Material and pervasice : Adverse

SOC report - key component
- Mgt's description
- Mgt's assertion
- Independent service auditor's rerpot
- Auditors

Subservice organizations
-Carve-out method
-Inclusive method

SOC2
- a service's orgnization
-suitability of the design of controls
- prepared in accordance with specific criteria
- identified system incidents
Type1 : day of description
Type2 : thoughout
-CUECs : Complementary user entity controls 

-Inclusive method : Nature of the service provided, controls with clear differntiation between controls at the service organization and subservice organization

-Carve-out method :
- Mgt does not include a description of the controls that operate only or primarily at the subservice organization
-- met by CSOCs : Complementary subservice organization controls

- Irrelevant specific criteria : explanation for why specific turst services criteria are not relevant for the service organization's system

Cybersecurity Risk Management
-Mgt responsibiltiy : developing and presenting a description of the entity's cybersecurity risk mgt program


SOC report : independent service auditor's  SOC report
scope / service organization's reponsibilities / service auditor's responsibilities / inherent limitation / other matter / opinion / restricted use / service auditor's signature, city and state, date

Deviation
- the number of items
- the number and nature of deviations
- causative factors(optional)