As a benefit plan auditor 十多年来,我发现我的许多客户都不知道他们的记录管理员有一个 SOC 1 report更不用说他们拿到审计用的钱后该怎么处理了. 真相是美国劳工部(DOL)公布的 Meeting your Fiduciary Responsibility 提供适用于退休计划的基本受托责任的概述 就业退休收入保障法(ERISA) 监控服务组织和控制就是其中之一.

记录保存服务的外包是非常普遍的,这是一种降低成本和提高管理员工福利计划效率的方法. 虽然选择记录保管人很重要,但受托责任并不止于此. 管理层应定期监督服务组织,以确保他们符合与计划相关的商定程序.

以下是计划管理者可以采取的一些步骤,以便每年履行这一职责:

Review of audit report

Once the SOC 1 Report is received, 管理层应阅读审核报告并查找以下内容:

  • Dates
    • 检查所涵盖的日期,并核实报告是否正确地涵盖了计划年度,如果没有, 在计划年度结束前,有适用的过桥函支持审计意见.
  • Audit opinion
    • 寻找一个未经修改的,干净的报告意见,没有任何修改.
    • If a qualified, disclaimer, or adverse opinion is noted, 管理层需要确定它对计划的影响. See below on evaluating any deviations.
  • Carve-outs
    • 作为协议的一部分,一些服务组织可能使用另一个服务组织来处理某些事务. 如果事务对计划操作很重要, 计划管理也应该获得其他服务组织的SOC 1报告.

Evaluate any deviations identified

你已阅读报告,并确定该意见已注意到偏差. Now what? 计划管理必须了解被识别为具有偏差的控制,并分析它们对计划操作的影响. 审查服务机构的响应,以及偏差如何影响服务机构的控制.

Continued, 重大偏差可能是计划管理需要评估是否需要另一个记录管理员的信号.

在计划级别验证并记录补充的用户控制

服务组织的控制本身不足以确保对计划操作的控制. 每个SOC 1报告都有所谓的补充用户控制. 这些是由服务组织确定的控制,应该在计划级别上到位,以确保服务组织控制是有效的. 这些控制被定义并包含在SOC 1报告中. 计划管理人员负责审查这些控制, 验证它们的设计和实现是否正确, and then operating them effectively.

To do this, 管理层应将涵盖每个用户控制的计划控制编制成文档, who performs it and how often. 管理层应该把注意力集中在“关键用户”控制上, 哪些因素会影响参与者的福利, data, and elections. 管理层还应注意,一个计划控制可以涵盖多个用户控制.

下面是一个在计划级别记录用户控制的例子:

最终,计划管理部门负责监督外包计划的记录保存 DOL and ERISA. 在选择服务机构提供记录保存服务时, 管理层应该寻找拥有II型SOC 1报告的供应商, 要求每年在其监测过程中使用本报告, 审核审计报告并评估偏差, 然后在计划级别验证所有补充的用户控件是否到位.

有关SOC 1报告的更多信息或LBMC的审计和保证实践如何提供帮助,请 contact our team today.

内容由LBMC审计专家Kayla Carr提供.