Umgang mit Zulieferern
(Unterdienst-Organisationen) in 4
Schritten.
Dieser Artikel enthält 4 Schritte, mit denen Sie den Prüfungsprozess besser überwachen und effizienter arbeiten können.
Schritt 1. Gibt es eine Unterdienstorganisation?
Die so genannten Subservice-Organisationen stellen eine besondere Klasse von Anbietern dar. Diese sind definiert als „eine Dienstleistungsorganisation, die von einer anderen Dienstleistungsorganisation für die Erbringung einiger der Dienstleistungen für die nutzenden Unternehmen in Anspruch genommen wird, die wahrscheinlich für die internen Kontrollen dieser Unternehmen über die Finanzberichterstattung relevant sind.“
Subdienstleister können in einem SOC 1- oder SOC 2-Bericht auftauchen, und dies kann ausschlaggebend dafür sein, ob es sich um einen Typ 1 oder einen Typ 2-Bericht handelt. Die folgenden Anbieter sind typische Beispiele für eine Subservice-Organisation:
- Datenzentrum
- IT-Dienstleister
- -Software als Service der Plattform als Serviceprovider
Schritt 2. Geteilte oder umfassende Berichterstattung?
Wenn die Organisation erst einmal herausgefunden hat, ob es eine Unterorganisation gibt, ist das eigentlich nur die Spitze des Eisbergs. Für den Bericht muss noch entschieden werden, ob die Carve-Out-Methode oder die Inclusive-Methode verwendet werden soll.
Carve-out-Methode
Bei dieser Methode kommt CSOCS ins Spiel. Die von der untergeordneten Organisation durchgeführten Kontrollen sind nicht in dem Bericht enthalten. Nur einen Überblick darüber, was die Unterdienstorganisation für die Dienstorganisation bedeutet und wie sie in Kombination mit Ihrem System und den verschiedenen erwarteten Kontrollen mit ihr interagiert, damit Sie die Kontrollziele für Vertrauensdienste erreichen können.
Inklusive Methode
Mit dieser Methode werden die relevanten Aspekte der Geschäftstätigkeit der untergeordneten Organisation und die damit verbundenen internen Kontrollmaßnahmen bei der untergeordneten Organisation vollständig in den Bericht aufgenommen. Die Inclusive-Methode kann auch als Verschmelzung von separaten SOC-Berichten von zwei Unternehmen gesehen werden. Wichtig ist, dass das gleiche Maß an Arbeit, das für die Serviceorganisation verwendet wird, auch für die Sub-Serviceorganisation verwendet werden muss. Das kann entmutigend sein und deshalb wird die integrative Methode in der Praxis nur selten angewandt. Unternehmen des Typs Bruder/Schwester, wie z.B. eine operative Einheit, die von einer separaten IT-Abteilung unterstützt wird, die beide zur gleichen Muttergesellschaft gehören, sind ein Beispiel dafür, dass „inclusive“ verwendet werden kann. Ein weiteres Beispiel wäre, wenn die untergeordnete Dienstleistungsorganisation fast alle ihre Aktivitäten mit einer nicht verbundenen Dienstleistungsorganisation durchführt.
Schritt 3. Zeigen Sie, wie Ihr Unternehmen die aufgeteilten Unterdienstorganisationen verwaltet
Jetzt müssen Sie sicherstellen, dass die Organisation, falls es eine aufgeteilte Unterdienstorganisation gibt, genau dokumentiert, wie sie verwaltet wird. Bei Subunternehmern reicht ein typisches Lieferantenmanagementprogramm, bei dem Sie die Dienstleistungen, die Qualität, die Richtlinien und Verfahren (z.B. IT-Sicherheit) sowie den Versicherungsschutz des Lieferanten bewerten, nicht aus. Bei einer Subservice-Organisation müssen Sie als Service-Organisation Maßnahmen ergreifen, um festzustellen, ob die Arten von CSOCS, die Sie bei der Subservice-Organisation erwarten, tatsächlich vorhanden sind. Eine der einfachsten Möglichkeiten ist es, den SOC-Bericht der untergeordneten Organisation zu erhalten, vorausgesetzt, sie verfügt über einen solchen.
Wenn kein SOC-Bericht verfügbar ist, sollte die Organisation Informationen vom Management der Subdienstleistungsorganisation einholen, andere interne Berichte lesen, die die Subdienstleistungsorganisation möglicherweise erstellt, und/oder Vor-Ort-Besuche durchführen, um Ihr erforderliches CSOCS zu beurteilen.
Schritt 4. Verstehen Sie die ergänzenden Kontrollen für Benutzereinheiten und halten Sie diese ein.
Die meisten Dienstleistungsunternehmen haben Erwartungen an ihre Nutzereinheiten, die von den Prüfern auch als CUECs bezeichnet werden. CUEC steht für „Complementary User Entity Controls“. Die untergeordnete Organisation erwartet auch, dass die Organisation als Benutzereinheit bestimmte Arten von internen Kontrollmaßnahmen durchführt. Der letzte Schritt besteht nun darin, zu verstehen und zu bestimmen, wie die Organisation diese einhält.