ISAE 3402 | SOC 1
Angepasst an eine Organisation?
Systeme und Kontrollen – Die SOC-Berichterstattung dreht sich um Kontrollen. Ein ISAE 3402 | SOC 1-Bericht konzentriert sich auf Finanz-Outsourcing, einschließlich Vermögensverwaltung, SaaS-Anbieter (Finanzsoftware), Rechenzentren (Speicherung von Finanzdaten). Der SOC 2-Bericht zielt auf einen breiteren Anwendungsbereich für Benutzerorganisationen mit zusätzlichen Anforderungen an Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Unsere Berater unterstützen viele Organisationen dabei, das ultimative Ziel zu erreichen: einen professionellen SOC-Bericht und eine zustimmende Erklärung. Welche Schritte sind dafür notwendig?
Die Methode
Die ersten Schritte bestehen darin, die Kriterien zu verstehen, den richtigen Prüfungsumfang auszuwählen und einen strukturierten Ansatz für die Umsetzung zu verfolgen. In diesem Artikel skizzieren wir, wie dieser Prozess abläuft. Die Erlangung einer genehmigten Zuverlässigkeitserklärung hängt von verschiedenen Faktoren ab und erfordert von Ihren Mitarbeitern ein hohes Maß an Disziplin bei der Einhaltung von Verfahren und der Durchführung von Kontrollen. Eine effektive Strukturierung und Planung kann jedoch sehr hilfreich sein!
Kriterien
Die Kriterien für einen ISAE 3402 | SOC 1-Bericht hängen hauptsächlich von den Berichtsverfahren der Nutzerorganisation, der SLA-Vereinbarung und anderen Anforderungen der Nutzerorganisation ab. Die Kriterien für einen ISAE 3000 | SOC 2 Bericht werden vom American Institute of Certified Public Accountants (AICPA) entwickelt. Das AICPA hat Kriterien für Treuhanddienstleistungen entwickelt, die beschreibender sind und das Kontrollumfeld, das Risikomanagement, die Kommunikation, detaillierte Kontrollen und detaillierte technische Kriterien umfassen.
Mit anderen Worten: Die Kriterien des Vertrauensdienstes umreißen im Großen und Ganzen, was getan werden muss, aber es liegt an den Unternehmen, Kontrollen zu entwickeln. Prüfer, die die Kontrollen der Organisation durch SOC-Audits verifizieren, beobachten und formulieren die Kontrollen neu, um festzustellen, ob sie gut etabliert sind, existieren und effektiv funktionieren, um das gewünschte Ergebnis zu erzielen. Der erste Schritt im SOC-Implementierungsprozess ist die Festlegung des Prüfungsumfangs.
Umfang der Kontrolle
Ein Überblick über die Umgebung und die Systeme ist entscheidend für die Festlegung des Umfangs. Deshalb beginnen die SOC-Implementierungsprojekte von Risklane mit einer gründlichen Analyse der Organisation, der Infrastruktur, der angebotenen Dienste und der Prozesse. Ohne diese Analyse ist die Qualität des SOC-Berichts möglicherweise nicht optimal, was letztendlich zu einem eingeschränkten Bestätigungsvermerk oder zumindest zu einer unwirksamen ISAE 3402- oder ISAE 3000-Prüfung führt. Für einen ISAE 3000 | SOC 2-Bericht ist der nächste Schritt das Verständnis der Trust Service-Kriterien.
Verstehen der Kriterien für den Vertrauensdienst
Der erste Schritt zum Verständnis der Kriterien besteht darin, sie von der AICPA-Website zu beziehen und sie in Bezug auf den definierten Umfang zu studieren. Die Treuhandservice-Kriterien sind in einem umfangreichen Dokument enthalten, und die spezifische Sprache kann manchmal schwer zu verstehen sein, aber die Investition von Zeit in das Studium der Kriterien wird sich in späteren Phasen der Prüfung auszahlen. Die Kriterien für den Treuhandservice enthalten für jedes Kriterium Beispiele für die Risiken und Kontrollen, die diese Risiken in der Regel mindern. Nachdem Sie die Kriterien verstanden haben, müssen die Kontrollen den Risiken zugeordnet werden und andersherum.
Kartierung von Risiken und Kontrollen
Die häufigsten Fehler, die wir in bestehenden Frameworks feststellen, sind nicht abgestimmte oder redundante Kontrollen. Unangepasste interne Kontrollmaßnahmen sind solche, die ein definiertes Risiko oder Risiken, für die interne Kontrollmaßnahmen fehlen, nicht wirksam abdecken (unangepasste interne Kontrollmaßnahmen). Redundante interne Kontrollmaßnahmen sind definiert als interne Kontrollmaßnahmen, die von anderen internen Kontrollmaßnahmen abgedeckt werden oder überhaupt kein Risiko abdecken. Diese überflüssigen Kontrollen existieren im Grunde ohne wirklichen Zweck. Nach dieser Analyse und dem Abgleich ist der nächste Schritt die Erstellung einer Kontrollmatrix.
Erstellen einer Kontrollmatrix
Die Dokumentation der Kontrollziele und der damit verbundenen Kontrollen in einer strukturierten Kontrollmatrix ist aus mehr als einem Grund von Vorteil: Sie wird zur Quelle dafür, wie die Risikokontrollen strukturiert und implementiert werden, und sie wird ein wichtiges Referenzdokument für Ihre SOC-Auditoren sein.
Daher sind die Kriterien des Treuhanddienstes in Bezug auf die Überwachungskontrollen mit einer Liste positiver Kontrollen verknüpft, die zeigen, wie diese Kontrollen das entsprechende Risiko mindern, gut konzipiert und wirksam sind. Unserer Erfahrung nach sollten diese so detailliert wie möglich sein: Wer führt die Kontrolle durch? Welche Informationen werden verwendet? Was ist das Ergebnis? Wie wird dies dokumentiert? Die Beantwortung dieser Fragen wird für Ihren Prüfer sehr hilfreich sein, um zu bestätigen, dass die aufgeführten internen Kontrollmaßnahmen vorhanden, auf die Erreichung der Kontrollziele ausgerichtet und wirksam sind. In künftigen Artikeln werden wir uns eingehender mit der Strukturierung Ihres Kontrollrahmens befassen. Im Anschluss an diese Phase folgt die Bereitschaftsbewertung (Pre-Audit), nach der die Berichterstattung angepasst wird und die Abschlussprüfung vorbereitet werden kann.
Audit-Vorbereitung
Der oben beschriebene Prozess mag ein wenig entmutigend erscheinen, aber keine Panik. Wir können Sie in dieser Hinsicht unterstützen. Wir können Ihnen dabei helfen, die Trust Service Criteria zu verstehen und Sie beraten, wie Sie die Kontrollen effektiv auf die Risiken abstimmen und überflüssige Kontrollen entfernen können. Natürlich können Sie auch eine ControlReports-Lizenz für ISAE 3402 | SOC 1-Implementierung oder ISAE 3000 | SOC 2-Implementierung erwerben, die einen genau definierten Ansatz und einen effektiven Arbeitsablauf für die Prüfung, das Verständnis und die Definition der verschiedenen Elemente bietet. Beides führt letztendlich zu einer SOC-Berichterstattung in Übereinstimmung mit unseren branchenüblichen Best Practices, die auf jahrelanger Erfahrung basieren. Kontaktieren Sie Securance (+31) 30 2800888.