向下一家SOC 2审计公司提出的20个合同前问题

在SOC 2审核之前，您需要了解哪些信息?

到了SOC 2报告的时候, 在选择一家公司之前，有几件事你必须知道. 在签订合同前未能建立共同的期望可能会导致沟通不畅, process errors and, ultimately, 审计效率低下.

这就是为什么事先确定公司的方法是否适合你的组织是很重要的. 以下是20个问题和子问题，你可以在签约前问任何潜在的审计公司:

1. Experience: 你们公司在SOC报告方面有什么经验? 在过去的一年里，你做了多少次，你能提供我们行业的推荐信吗?
2. Industry Expertise: 你了解我们行业的细微差别吗?
3. Scope: 你能帮我界定一下报告的范围吗? 哪些区域应该/不应该被覆盖，哪些控制将被测试?
4. Team: 谁将领导这次订婚? 他们的资格、证书和经验是什么? 他/她会在整个订婚过程中成为专门的联系人吗?
5. Resources: 你会利用任何分包商来执行合同吗? 如果是，它们位于何处，它们是否保持相同级别的安全控制?
6. Timeline: 报告的预计时间是什么时候? 你能有多大的灵活性来满足我们的需求?
7. Remote/On-site你能远程执行整个订婚吗? 在效率和成本方面，这与现场工作相比如何?
8. Communication你最喜欢的通讯协议是什么? 如何传达调查结果?
9. Issue Resolution: 如果在聘用过程中出现问题，你将如何帮助解决这些问题?
10. Cost哪些因素决定了审计业务的成本? 是否有我们需要注意的潜在额外费用? 该报告在随后几年的成本是多少?
11. Conflicts of interest你或你公司的任何人是否有任何利益冲突会损害你的独立性?
12. Continuous Monitoring:您是否提供任何持续监控bet9平台游戏或与任何工具/解决方案合作，以帮助我们保持合规性并有效地运行控制?
13. Technology:贵公司如何跟上我们拥有或可能采用的新兴技术，以确保您能够胜任测试我们的控制?
14. Data Protection你们公司是如何确保安全的, Availability, Confidentiality, Privacy, 以及数据处理的完整性? 你能提供处理我们数据的系统的SOC 2 Type 2报告吗?
15. Approach你能给我们介绍一下你们的方法论和方法吗?
16. Questionnaires这份报告最终会减少我们收到的安全调查问卷的数量吗?
17. Results:当你也执行准备评估时，你发布带有保留意见或反对意见的报告的频率是多少?
18. Future这份报告的有效期是多长? 你能帮我们写结业信吗? 续签手续是怎样的?
19. Contract当前位置你能在合同中加入上述条款吗?
20. The Closer有什么问题我们应该问而没有问?

一个伟大的SOC 2审计事务所应该是一个合作伙伴关系-不断发展的合作，以提高您的bet9平台游戏的安全性和可信度. 这些前期问题将帮助您建立成功的合作伙伴关系，并确保审计过程的彻底和有效.

这些问题大多适用于其他网络安全风险和合规bet9平台游戏, too, such as ISO 27001/2, PCI-DSS, NIST 800 Series, CMMC, HIPAA, HITRUST, Privacy frameworks, and everything in between.

How Can Schneider Downs Help?

如果您对SOC合规性、评估和准备情况有任何疑问，请bet9平台游戏 [email protected] or visit our dedicated SOC page. 

关于施耐德唐斯IT风险咨询

施耐德唐斯经验丰富的风险咨询专业团队专注于与您的组织合作，以识别并有效降低风险. 我们的目标不仅是了解与组织潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案，并就机会提供建议，以确保对您的业务造成最小的干扰.  

要了解更多信息，请访问我们专门的 IT Risk Advisory 和第三方风险管理页面.