SOC 2 không phải chứng chỉ mà một cơ quan nào đó cấp. Đây là báo cáo kiểm toán độc lập do kiểm toán viên CPA thực hiện theo chuẩn AICPA. Để đến được báo cáo đó, tổ chức thường cần ít nhất ba loại đối tác khác nhau, mỗi loại đóng vai trò riêng biệt trong quy trình.

Bài này phân tích từng loại đối tác, tiêu chí lựa chọn, và cách kết hợp để tránh làm cùng một việc hai lần.


Ba loại đối tác trong một chương trình SOC 2

1. Đơn vị tư vấn readiness

Đây là bên giúp tổ chức chuẩn bị trước khi kiểm toán viên vào cuộc. Công việc gồm:

  • Gap assessment: so sánh trạng thái hiện tại với Trust Services Criteria
  • Xây dựng policy và procedure theo đúng chuẩn
  • Thiết kế control framework phù hợp với quy mô và ngành
  • Hỗ trợ internal readiness audit để phát hiện lỗ hổng sớm

Tư vấn readiness không thực hiện kiểm toán chính thức. Họ giúp tổ chức đến trạng thái sẵn sàng để mời kiểm toán viên vào. Điều quan trọng: đơn vị tư vấn readiness và kiểm toán viên phải là hai bên độc lập, cùng một công ty vừa tư vấn vừa kiểm toán tạo ra xung đột lợi ích và không được AICPA chấp nhận.

Tại Việt Nam, dịch vụ tư vấn readiness SOC 2 thường đến từ:

  • Các công ty tư vấn bảo mật và GRC có kinh nghiệm với thị trường Mỹ
  • Nền tảng GRC có gói dịch vụ professional services kèm theo phần mềm

Tiêu chí quan trọng khi chọn tư vấn readiness:

  • Đã hỗ trợ ít nhất 5 tổ chức hoàn thành Type II thành công
  • Có kinh nghiệm với SaaS hoặc ngành của bạn (healthcare, fintech, outsourcing)
  • Không đồng thời cung cấp dịch vụ kiểm toán SOC 2

2. Công ty kiểm toán CPA

Chỉ kiểm toán viên được cấp phép CPA (Certified Public Accountant) mới có thể phát hành báo cáo SOC 2 hợp lệ theo chuẩn AICPA. Không có ngoại lệ.

Điều này có nghĩa: các công ty tư vấn bảo mật, ISO 27001 audit bodies, hay bất kỳ tổ chức nào không phải CPA firm đều không thể phát hành báo cáo SOC 2.

Hầu hết công ty Việt Nam nhắm thị trường Mỹ sẽ làm việc với công ty CPA có trụ sở tại Mỹ hoặc có chi nhánh quốc tế được công nhận bởi PCAOB (Public Company Accounting Oversight Board) hoặc AICPA.

Một số CPA firm phổ biến trong thị trường mid-market và startup:

  • A-LIGN: Chuyên SOC 2 cho SaaS, thời gian nhanh, phổ biến trong startup từ Series A
  • Schellman: Tập trung vào security compliance, nhiều kinh nghiệm với fintech và healthcare
  • KirkpatrickPrice: Chi phí cạnh tranh, hỗ trợ tốt cho SMB và tech startup
  • Johanson Group: Phổ biến trong cộng đồng startup vì quy trình linh hoạt
  • Prescient Assurance: Thường được đề xuất cho startup giai đoạn sớm

Các công ty Big 4 (Deloitte, PwC, EY, KPMG) cũng cung cấp dịch vụ SOC 2, nhưng thường có chi phí cao hơn và phù hợp hơn với enterprise.

Tiêu chí chọn kiểm toán viên CPA:

  • Số lượng báo cáo SOC 2 đã phát hành mỗi năm (trên 50 là dấu hiệu tốt)
  • Kinh nghiệm với ngành của bạn
  • Thời gian thực hiện audit thực tế (không chỉ estimate)
  • Yêu cầu tài liệu cụ thể, kiểm toán viên thiếu kinh nghiệm thường yêu cầu nhiều tài liệu không cần thiết

3. Nền tảng GRC và compliance automation

Đây là phần mà nhiều tổ chức bỏ qua khi lập ngân sách ban đầu, nhưng lại quyết định phần lớn effort thực tế.

Một chương trình SOC 2 yêu cầu thu thập evidence liên tục, log truy cập, báo cáo vulnerability scan, bằng chứng review access, configuration change record. Làm thủ công bằng spreadsheet và email tốn từ 10 đến 20 giờ mỗi tuần của nhân sự kỹ thuật. Nền tảng GRC tự động hóa phần lớn công việc này.

Vai trò của nền tảng GRC trong chương trình SOC 2:

  • Control mapping: Ánh xạ Trust Services Criteria vào control của tổ chức, không làm từ đầu
  • Automated evidence collection: Kết nối trực tiếp với AWS, GitHub, Jira, Google Workspace để thu thập evidence tự động
  • Audit trail: Duy trì lịch sử thay đổi, tránh mất evidence khi nhân sự thay đổi
  • Readiness dashboard: Cho thấy trạng thái thực tế trước khi kiểm toán viên vào cuộc

Sự khác biệt giữa các nền tảng chủ yếu nằm ở ba điểm: số lượng integration (kết nối với tool hiện có), khả năng hỗ trợ nhiều framework song song, và mô hình giá.


Cách ba loại đối tác phối hợp

Một chương trình SOC 2 điển hình diễn ra như sau:

Giai đoạn 1, Readiness (3-6 tháng): Nền tảng GRC + tư vấn readiness (nếu cần) cùng thực hiện gap assessment, xây dựng control framework, và bắt đầu thu thập evidence. Mục tiêu: đến cuối giai đoạn này, tổ chức biết chính xác mình đang ở đâu so với TSC.

Giai đoạn 2, Observation period cho Type II (6-12 tháng sau): Nền tảng GRC tiếp tục thu thập evidence tự động. Đây là giai đoạn tốn nhiều effort nhất nếu làm thủ công. Nền tảng tốt giảm effort xuống còn 1-3 giờ mỗi tuần.

Giai đoạn 3, Kiểm toán: Kiểm toán viên CPA vào kiểm tra. Nền tảng GRC thường hỗ trợ xuất evidence trực tiếp cho kiểm toán viên, giảm thời gian fieldwork.


Các câu hỏi cần hỏi trước khi chọn đối tác

Với tư vấn readiness:

  • Tổ chức nào gần đây nhất bạn hỗ trợ hoàn thành Type II? Thời gian bao lâu?
  • Bạn có cung cấp dịch vụ kiểm toán SOC 2 không? (Nếu có, đây là xung đột lợi ích)

Với kiểm toán viên CPA:

  • Năm ngoái bạn thực hiện bao nhiêu SOC 2 audit?
  • Bạn có kinh nghiệm với [ngành của tổ chức] không?
  • Thời gian từ lúc bắt đầu đến khi nhận báo cáo là bao nhiêu tuần?

Với nền tảng GRC:

  • Có integration sẵn với [AWS/GCP/GitHub/Jira] không?
  • Hỗ trợ đồng thời ISO 27001 và SOC 2 không?
  • Mô hình giá là per-user hay per-framework?

Điểm cần lưu ý với thị trường Việt Nam

Kiểm toán viên CPA phải là bên nước ngoài được công nhận bởi AICPA. Không có công ty kiểm toán Việt Nam nào hiện tại đủ điều kiện phát hành báo cáo SOC 2 hợp lệ theo chuẩn này. Điều này không có nghĩa tổ chức Việt Nam không thể làm SOC 2, chỉ có nghĩa phần kiểm toán luôn là công ty CPA nước ngoài.

Tư vấn readiness và nền tảng GRC có thể là công ty Việt Nam hoặc quốc tế. Đây là phần linh hoạt hơn và thường dễ tìm hơn với chi phí phù hợp hơn.

Không bắt buộc phải dùng tư vấn readiness nếu đã có nền tảng GRC tốt. Nhiều tổ chức kỹ thuật tự triển khai readiness với sự hỗ trợ của nền tảng, sau đó mời kiểm toán viên CPA vào trực tiếp. Điều này rút ngắn timeline và chi phí.


Chi phí tham khảo

Chi phí của một chương trình SOC 2 Type II tại Việt Nam thường phân bổ như sau. Các con số dưới đây là chi phí của các bên bên ngoài (kiểm toán viên, tư vấn), không phải chi phí của pTrackly. Để có báo giá cho nền tảng, liên hệ qua trang đặt demo.

Hạng mụcChi phí ước tính
Kiểm toán CPA (Type I)$8,000–$15,000
Kiểm toán CPA (Type II)$15,000–$35,000
Tư vấn readiness (nếu thuê ngoài)$5,000–$20,000
Effort nội bộ (ước tính theo giờ)200–600 giờ/năm đầu

Tổ chức kỹ thuật chủ động (có DevOps và security engineer) và dùng nền tảng GRC tốt thường tiết kiệm được phần tư vấn readiness và giảm đáng kể effort nội bộ.


Tổng kết

SOC 2 không phải việc một đơn vị nào có thể làm trọn gói từ đầu đến cuối, trừ khi họ chỉ cung cấp một phần trong quy trình. Xung đột lợi ích giữa tư vấn readiness và kiểm toán viên là vấn đề cấu trúc, không phải quy tắc tùy ý.

Tổ chức chọn đúng kiểm toán viên CPA trước, sau đó chọn nền tảng GRC phù hợp với stack kỹ thuật, rồi quyết định có cần tư vấn readiness riêng không. Thứ tự đó tránh tình huống phải thay đổi công cụ giữa chừng.

pTrackly hỗ trợ tự động hóa evidence collection cho SOC 2 Type I và Type II, tích hợp trực tiếp với các CPA firm phổ biến để xuất evidence theo định dạng kiểm toán viên yêu cầu.

Thẻ:
SOC 2 Việt Namtư vấn SOC 2kiểm toán SOC 2GRC platformcompliance automationAICPA