Allgemeine IT Kontrolle
Immer mehr Unternehmen lagern die IT oder andere Prozesse aus. Dieses Outsourcing bringt Effizienz, aber auch Risiken mit sich. Wird die Informationssicherheit gut verwaltet? Wie wird der Datenschutz gehandhabt? Der Standard ISAE 3402 ist der Standard für zuverlässiges Outsourcing und gibt Antworten. Dieser Standard stellt sicher, dass Aspekte wie Risikomanagement, Informationssicherheit, Datenschutz, Maßnahmen zur Betrugsbekämpfung und Kontinuität kontrolliert werden. Ein ISAE 3402 | SOC 1-Bericht beschreibt, wie Risiken verwaltet werden. Ein Service-Auditor prüft dann, ob dies tatsächlich der Fall ist. Welche Schritte müssen Sie unternehmen, um einen solchen Bericht zu erhalten?
Erstens müssen Sie in einem Bericht das Risikomanagement und die internen Kontrollmaßnahmen der Organisation beschreiben. Diese internen Kontrollmaßnahmen werden auch als Kontrollen bezeichnet. Der Bericht wird als Service Organization Control Report (SOC) bezeichnet; ein Begriff aus den Vereinigten Staaten. Wenn sich der SOC-Bericht auf die Auslagerung von (Finanz-)Prozessen bezieht, dann wird dieser Bericht als SOC 1 oder ISAE 3402-Bericht bezeichnet. Wenn sich der Bericht auf Prozesse bezieht, die sich nicht auf den Jahresabschluss auswirken (und z.B. auf den Trust Service Principles basieren), dann wird der Bericht als SOC 2 oder ISAE 3000 Bericht bezeichnet. Das mag kompliziert erscheinen, aber man könnte sagen, dass, sobald Ihr Unternehmen Dienstleistungen erbringt, die den Jahresabschluss Ihres Kunden „berühren“, ein SOC 1 gilt, und wenn es keine Auswirkungen auf den Jahresabschluss gibt, dann gilt ein SOC 2.
Allgemeine IT-Kontrolle
Es werden keine finanziellen Informationen von der Serviceorganisation verarbeitet. Wenn das Netzwerk jedoch ausfällt, könnte sich dies auf die Finanzberichte auswirken, da das ERP-System über das Netzwerk läuft. Daher sind die allgemeinen IT-Kontrollen (ITGC) wichtig. Die allgemeinen IT-Kontrollen (ITGC) sind die Kontrollmaßnahmen, die eine Organisation implementiert hat, um sicherzustellen, dass die IT-Systeme zuverlässig und integral sind. Diese allgemeinen IT-Kontrollen werden im SOC 1(ISAE 3402)-Bericht des Anbieters der verwalteten Server beschrieben. Darüber hinaus sind eine Beschreibung der Organisation und eine Beschreibung des Risikomanagements enthalten, damit der Kunde diese Kontrollen aus der richtigen Perspektive betrachten kann.