SOC 2对没有IT部门的小型企业(6名雇员)的审计

Question

我们的客户之一要求我们完成SOC 2第二类审计。我们不可能达到这个标准，而且，考虑到我们只处理公开的数据，他们要求提供一个数据是荒谬的。我们讨论的是每年6-8个Excel文件，它们代表着我们业务中一个非常小但很关键的部分。不幸的是，我们别无选择，只能服从。

我正在寻找一些指导如何使我们的系统达到标准。我通过google搜索来处理我们的内部IT，我们的大部分服务都是基于云的，我们在我们的内部服务器上根据需要提供支持。

我们需要有人为审计师管理我们的系统的变更和文档。与我们签约的IT支持公司不想参与其中。我们不能雇用全职IT人员，但我们可以雇佣一名合同雇员来帮助我们完成这一过程。

以合约方式聘用个人，还是与资讯科技公司签订合约，是否更好？我在哪里能找到一家公司来处理这类事情呢？任何帮助都是非常感谢的。

Answer 1

当我启动SOC2审计时，我会根据以下标准筛选至少三个供应商：

• 审计期限
• 他们是否提供了评估前清单/自我评估？
• 从审计结束到提交报告的期限
• 成本
• 样品工作产品