EY安永是指 Ernst & Young Global Limited 的全球組織,也可指其中一個或多個成員機構,各成員機構都是獨立的法人個體。Ernst & Young Global Limited 是英國一家擔保有限公司,並不向客戶提供服務。
相關服務
-
服務組織控制報告(SOCR)使作為服務供應商的企業能夠展示對於風險的控制現況,從SOC報告中獲得的透明度對於與所有利害關係人溝通信任並建立信心至關重要。
閱讀更多
串聯多層供應鏈的風險管理
在現代科技服務中,多層次的供應鏈結構相當常見。張騰龍舉例:「比如說一個零售平臺商,他的底層環境可能是使用Google或AWS的服務。這就是一個多層次的委外情況。」
「SOC報告的優勢在於可以串聯不同層級供應商的稽核結果,」黃誌緯補充,「當用戶看到這些串聯起來的報告,就能完整掌握整個供應鏈的風險控管狀況,了解每個環節中誰負責什麼,以及做得如何。」
SOC報告的一大特色是明確區分供應商與用戶的責任範圍。張騰龍以IDC服務為例,「報告中會清楚說明IDC業者的責任範圍,同時也會列出用戶需要配合的事項,例如管理進出權限等。這樣的區分有助於釐清責任歸屬。」
「而且SOC報告需要每年更新,」黃誌緯補充,「這確保了風險管理的持續性。每次更新時都會檢視服務內容有無變更,確保控制機制持續有效。」
首次導入SOC報告通常需要較長時間。「第一年大約需要半年時間,」張騰龍解釋,「主要工作在於清楚描述服務內容、IT環境、作業流程等。這些描述必須準確且不涉及商業機密,同時又要讓讀者充分理解風險控管狀況。」
「後續年度的更新則相對單純,」黃誌緯補充,「主要是檢視控制的執行成效,以及確認服務內容是否有重大變更。」
臺灣市場SOC報告採用現況
在臺灣市場,目前企業絕大部分採用SOC 2報告,主要關注資訊服務的安全性、可用性及隱私保護等面向。SOC 1的應用較為特定,如中華電信同時具備SOC 1和SOC 2報告,主要考量是有國外大客戶在其機房運行財務相關系統,需要針對財務報告相關的內部控制進行評估。
而SOC2 下的Type 1、2,臺灣已走到Type 2報告。張騰龍解釋,「Type 1主要作為過渡期使用。例如當企業與國外客戶簽約時,可能要求在三個月內提供SOC報告。由於時間緊迫,企業可能先提供Type 1報告,之後再補上完整的Type 2報告。」企業普遍認知到Type 2報告比Type 1更具意義,因為Type 1僅評估控制設計面的有效性,而Type 2能夠證明控制機制的實際執行成效。
採用SOC報告的企業主要集中在科技服務領域,包括IDC業者、電商平臺、金融科技業者、雲端服務提供商,以及AI服務平臺等。這反映出SOC報告在臺灣市場的應用已逐漸成熟,特別是在需要強化供應商風險管理的產業中,更受到重視。