Un professionnel tient, entre ses mains, un écran invisible sur lequel sont affichés plusieurs pictogrammes qui représentent la sécurité et les processus d’audit.

Guide SOC 2 : rapport sur les contrôles d’une société de services

Consultez la nouvelle édition du guide SOC 2 (en anglais), une ressource ne faisant pas autorité basée sur la version 2022 de l’AICPA et adaptée en fonction des normes canadiennes.

Ce guide (disponible en anglais seulement sous le titre CPA Canada Guide SOC 2® Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy) est destiné aux professionnels devant délivrer un rapport sur les contrôles d’une société de services pertinents pour la sécurité, l’accessibilité, l’intégrité du traitement, la confidentialité ou la protection des renseignements personnels.

Nouveautés

Le guide, révisé en 2024, intègre :

  • les mises à jour contenues dans l’édition d’octobre 2022 du guide de l’AICPA intitulé SOC 2® Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy;
  • les indications supplémentaires incluses dans le guide de l’AICPA pour la chaîne d’approvisionnement, intitulé AICPA Guide SOC for Supply Chain: Reporting on an Examination of Controls Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy in a Production, Manufacturing or Distribution System, notamment des indications mises à jour sur l’évaluation des risques;
  • des mises à jour apportées en fonction des nouvelles normes canadiennes sur la gestion de la qualité, dont la Norme canadienne de gestion de la qualité (NCGQ) 1, qui remplace la Norme canadienne de contrôle qualité (NCCQ) 1;
  • des mises à jour supplémentaires portant sur les questions suivantes :
    • appréciations qualitatives du seuil de signification,
    • utilisation d’applications et d’outils logiciels par la société de services,
    • fonctionnement des contrôles périodiques exercés avant la période visée par la mission,
    • recours à des experts par la direction,
    • réalisation de missions SOC 2+ et délivrance de rapports connexes (y compris un exemple mis à jour de rapport de l’auditeur de la société de services), et prise en compte des considérations applicables lorsque la société de services a identifié, pour un engagement de service ou à l’égard de son système, une exigence de conformité à un processus ou à un cadre de contrôle [comme ceux de la Health Insurance Portability and Accountability Act (HIPAA), de l’Organisation internationale de normalisation (ISO) ou du National Institute of Standards and Technology (NIST)].

Qu’est-ce que le guide SOC 2?

Le guide SOC 2® est un outil pratique destiné aux professionnels devant délivrer un rapport sur les contrôles d’une société de services pertinents pour la sécurité, l’accessibilité, l’intégrité du traitement, la confidentialité ou la protection des renseignements personnels. La mission décrite dans ce guide repose sur les exigences et les modalités d’application énoncées dans le Manuel de CPA Canada – Certification, et plus particulièrement la Norme canadienne de missions de certification (NCMC) 3000, Missions d’attestation autres que les audits ou examens d’informations financières historiques, qui traite des missions de certification autres que les audits d’états financiers ou d’autres informations financières historiques menées par un professionnel en exercice.

Ce guide, qui ne fait pas autorité, est basé sur la version de l’AICPA et adapté en fonction des normes canadiennes par CPA Canada. Les missions SOC 2 visent à aider les professionnels en exercice canadiens qui sont appelés à délivrer un rapport sur les contrôles d’une société de services visant un ou plusieurs des aspects suivants :

  • la sécurité du système de la société de services
  • l’accessibilité du système de la société de services
  • l’intégrité du traitement du système de la société de services
  • la confidentialité des renseignements que le système de la société de services traite ou conserve pour les entités utilisatrices
  • la protection des renseignements personnels que la société de services recueille, utilise, conserve, communique et supprime pour les entités utilisatrices

Que contient ce guide?

Principaux sujets :

  • indications ne faisant pas autorité sur la réalisation des missions SOC 2 et SOC 3 et sur la délivrance de rapports connexes
  • différence entre les rapports SOC 2 de type 1 et de type 2
  • exemples de déclarations et de lettres de déclaration de la direction
  • exemples de rapports d’auditeur de sociétés de services, y compris de rapports conformes aux normes canadiennes et internationales, ou aux normes canadiennes et américaines
  • critères 2018 pour la description du système d’une société de services dans un rapport SOC 2
  • critères de services Trust 2018 pour la sécurité, l’accessibilité, l’intégrité du traitement, la confidentialité et la protection des renseignements personnels

Le guide contient quatre documents d’accompagnement assortis d’exemples :

  • exemple de rapport SOC 2® de type 2 (y compris la déclaration de la direction, le rapport de l’auditeur de la société de services et la description du système)
  • exemple de lettre de déclaration de la direction pour une mission SOC 2® de type 2
  • exemple de lettre de déclaration de la direction pour une mission SOC 2® de type 1
  • exemple de déclaration de la direction et de rapport de l’auditeur de la société de services pour une mission SOC 3®