SAS70

美國獨立審計準則體系包括公認審計準則（gaas，相當於我國的基本準則）、審計準則說明書（sas，相當於我國的具體審計準則）及審計準則解釋（對準則有關問題的解答）。從其內容來看，雖然gaas和sas是指導註冊會計師執業的權威性標準，雖然公認審計標準和審計標準說明書是審計人員的權威性的指導文獻，但是，它們所提供的指導卻比人們所希望的要少。審計標準說明書中幾乎沒有要求執行的具體審計手續，也沒有對審計人員的各種決策，如確定樣本量，選取抽查項目和評價抽樣結果等提出具體要求。很多審計人員認為，審計標準應當對如何決定應收集的審計證據數量，作出更明確、更具體的規定，以減少審計決策的困難，並保護審計人員免受“審計不當”的指責。然而，要求過於具體將使審計工作由一項專業判斷性工作變成一項機械的證據收集工作。所以，美國審計準則委員會從審計職業和審計服務對象兩個方面意見綜合考慮，過於具體的權威性指南比過於抽象的權威性指南恐怕危害更大。

因此，審計人員應該明確，公認審計標準和審計標準說明書是執行業務的最低標準而不是最高標準或理想的標準。如果審計人員不顧具體情況，僅僅根據標準就縮小審計的範圍，那他就根本沒有把握標準的精神。同時建立審計標準也並不意味著審計人員任何時候都要盲目照搬照抄。如果審計人員認為某一標準的要求不切實際或不能執行，他完全可以採用一個變通的行動方案。同理，如果某個有問題的事項金額不大，也無需死守有關標準。需著重強調的是，是否違背審計標準，需要審計人員自己去判斷。

從審計質量的角度考察，雖然審計準則是最佳的審計實務，但它並不意味遵守審計準則就達到了最高的審計質量，而且達到了保證審計質量的最起碼要求。由於“職業謹慎”的法律概念和職業概念有時也會不一致。原因主要有兩方面：一是環境變化了，審計準則沒有作出相應的調整和修改；二是審計準則還有不完整或不完善的地方，即對某些審計實務例如某些特殊待業的財務報表的審計未提出明確的要求和判定準則。審計準則的這些缺陷影響了其作為衡量審計責任的最高標準的地位，正如1970年英國新南威爾斯高級法庭的判決所說的：“在審查帳戶時保持合理的關注和技能作為一種法律責任一直沒變，但是審計中的合理性和技能必須考慮變化的環境，並應隨環境的變化而變化。合理的關注和技能要求不斷修訂審計準則以滿足和適應變化了的環境。從這一點來看，現在的審計準則比1896年時的更精確。

對於數據中心來說，與採用SAS70和SSAE16相關的挑戰在於這兩個標準都集中在對企業財務報告內部控制（ICFR）的關注。企業財務報告內部控制是企業必須遵守的《薩班斯-奧克斯利法案（Sarbanes-OxleyAct）》的關鍵內容。然而，在大多數情況下，財務報告內部控制僅僅局限於關注為數據中心的客戶提供服務。有限的報告選項使得有些數據中心進退兩難。

服務性機構控制體系鑑證

美國註冊公共會計師協會意識到了這個問題，並創造了一套報告選項給服務提供商稱為：服務性機構控制體系鑑證（SOC，ServiceOrganizationControls）報告，這正好過渡到SSAE16。SOC報告的目的是給服務提供商選項，方便他們提供更多的相關報告給客戶。

SOC1是基於SSAE16，類似於其前身SAS70，重點聚焦在對企業財務報告內部控制的關注。SOC1與那些服務的客戶對於財務報告內部控制有需求的數據中心最為相關。

SOC2和SOC3報告是基於AICPA的信託原則：

SOC3是一個一般用途的報告，只包括一個審計師的意見，即是否達到了服務性機構控制體系鑑證的標準。SOC3不包括配套的細節，對於有目的的行銷是最有用的。

不過，SOC2應該對於那些要履行客戶審計要求的數據中心是非常有用的。大多數數據中心服務供應商都認識到：安全性、可用性、處理的完整性、保密和隱私等概念比他們所提供的企業財務報告內部控制更為重要的。SOC2報告包括描述數據中心的系統，以及審計師對於公平性的描述和設計的適宜度的意見。報告還包括一個業務審計員進行測試的描述以及測試結果。

SOC2的範圍可以包括任何組合的信託服務原則。例如，託管設施的客戶可能會覺得安全是與他們提供的服務一致唯一的原則。然而，管理的託管服務的供應商可能覺得安全性與可用性和保密原則是有關的。