SAS 70 = Statement on Auditing Standard 70 由美国注册会计师协会创建。

美国独立审计准则体系包括公认审计准则（gaas，相当于我国的基本准则）、审计准则说明书（sas，相当于我国的具体审计准则）及审计准则解释（对准则有关问题的解答）。从其内容来看，虽然gaas和sas是指导注册会计师执业的权威性标准，虽然公认审计标准和审计标准说明书是审计人员的权威性的指导文献，但是，它们所提供的指导却比人们所希望的要少。审计标准说明书中几乎没有要求执行的具体审计手续，也没有对审计人员的各种决策，如确定样本量，选取抽查项目和评价抽样结果等提出具体要求。很多审计人员认为，审计标准应当对如何决定应收集的审计证据数量，作出更明确、更具体的规定，以减少审计决策的困难，并保护审计人员免受“审计不当”的指责。然而，要求过于具体将使审计工作由一项专业判断性工作变成一项机械的证据收集工作。所以，美国审计准则委员会从审计职业和审计服务对象两个方面意见综合考虑，过于具体的权威性指南比过于抽象的权威性指南恐怕危害更大。

因此，审计人员应该明确，公认审计标准和审计标准说明书是执行业务的最低标准而不是最高标准或理想的标准。如果审计人员不顾具体情况，仅仅根据标准就缩小审计的范围，那他就根本没有把握标准的精神。同时建立审计标准也并不意味着审计人员任何时候都要盲目照搬照抄。如果审计人员认为某一标准的要求不切实际或不能执行，他完全可以采用一个变通的行动方案。同理，如果某个有问题的事项金额不大，也无需死守有关标准。需着重强调的是，是否违背审计标准，需要审计人员自己去判断。

从审计质量的角度考察，虽然审计准则是最佳的审计实务，但它并不意味遵守审计准则就达到了最高的审计质量，而且达到了保证审计质量的最起码要求。由于“职业谨慎”的法律概念和职业概念有时也会不一致。原因主要有两方面：一是环境变化了，审计准则没有作出相应的调整和修改；二是审计准则还有不完整或不完善的地方，即对某些审计实务例如某些特殊待业的财务报表的审计未提出明确的要求和判定准则。审计准则的这些缺陷影响了其作为衡量审计责任的最高标准的地位，正如1970年英国新南威尔士高级法庭的判决所说的：“在审查帐户时保持合理的关注和技能作为一种法律责任一直没变，但是审计中的合理性和技能必须考虑变化的环境，并应随环境的变化而变化。合理的关注和技能要求不断修订审计准则以满足和适应变化了的环境。从这一点来看，现在的审计准则比1896年时的更精确。

对于数据中心来说，与采用SAS70和SSAE16相关的挑战在于这两个标准都集中在对企业财务报告内部控制（ICFR）的关注。企业财务报告内部控制是企业必须遵守的《萨班斯-奥克斯利法案（Sarbanes-OxleyAct）》的关键内容。然而，在大多数情况下，财务报告内部控制仅仅局限于关注为数据中心的客户提供服务。有限的报告选项使得有些数据中心进退两难。

服务性机构控制体系鉴证

美国注册公共会计师协会意识到了这个问题，并创造了一套报告选项给服务提供商称为：服务性机构控制体系鉴证（SOC，ServiceOrganizationControls）报告，这正好过渡到SSAE16。SOC报告的目的是给服务提供商选项，方便他们提供更多的相关报告给客户。

SOC1是基于SSAE16，类似于其前身SAS70，重点聚焦在对企业财务报告内部控制的关注。SOC1与那些服务的客户对于财务报告内部控制有需求的数据中心最为相关。

SOC2和SOC3报告是基于AICPA的信托原则：

SOC3是一个一般用途的报告，只包括一个审计师的意见，即是否达到了服务性机构控制体系鉴证的标准。SOC3不包括配套的细节，对于有目的的营销是最有用的。

不过，SOC2应该对于那些要履行客户审计要求的数据中心是非常有用的。大多数数据中心服务供应商都认识到：安全性、可用性、处理的完整性、保密和隐私等概念比他们所提供的企业财务报告内部控制更为重要的。SOC2报告包括描述数据中心的系统，以及审计师对于公平性的描述和设计的适宜度的意见。报告还包括一个业务审计员进行测试的描述以及测试结果。

SOC2的范围可以包括任何组合的信托服务原则。例如，托管设施的客户可能会觉得安全是与他们提供的服务一致唯一的原则。然而，管理的托管服务的供应商可能觉得安全性与可用性和保密原则是有关的。