信息系统审计报告之SAS 70

6.3.4  信息系统审计报告

报告撰写通常是最关键的任务之一。评估人员经常担心写下我们所做的是什么，以及它对组织的意义。这可能是将真正的安全专业人员与安全从业者区分开来的任务：专业人员了解信息系统安全在更广泛的业务环境中的作用，并能够将其传达给技术和非技术观众。常见的报告标准包括SAS70和SOC。

1.SAS 70

SAS 70是由美国注册会计师协会(American Institute of Certified Pul)lic Accountants,

AICPA)制定的用于处理服务机构的审计标准。它提供了一套基于服务组织（如提供IT艮务的服务组织）标准可以展示其内部控制的有效性，而不必允许每个客户进入并执行自己的审核。没有这个标准，服务机构将会花费大量的资源来重新审视来自每个客户的请求。根据这一标准，服务机构可以聘请经认证的独立服务审核员来形成SAS 70审核并发布报告。该报告可以反过来提交给任何需要证明服务机构内部控制有效性的客户。

自从2002年实施“萨班斯法案”404条款以来，SAS 70报告变得尤为重要，因为公司可以将其作为内部控制有效性的证明，证明其已外包的财务处理和重新转移的任何方面。没有他们，所有提供金融服务的公司都将受到来自所有客户的萨班斯一奥克斯利法案的审核的轰炸，而不是能够将每个客户的SAS 70报告都交给客户。

SAS 70服务审核员报告有两种类型：类型l和类型2。两种类型都包括对服务组织的内部控制在某个时间点的设计的描述和意见。但是，只有第2类报告包含服务审计人员在本报告所述期间控制是否有效运行的结果，以确保实现控制目标。作为审计师，您肾希望您的服务提供商提供类型2报告，因为类型1报告不提供控制措施有效运行的证据。