Kategorie: Asssurance

Home / Asssurance
Sep152019

SOC 2 vs. SOC 1 Typ 2

SOC 2 vs. SOC 1 Typ 2

Ein ISAE 3000 | SOC 2 Bericht und ein ISAE 3402 | SOC 1 Typ 2 Bericht sind ähnlich aufgebaut. Der größte Unterschied liegt jedoch im Umfang (Testrahmen)

Ein ISAE Typ 2 Bericht

Ein ISAE 3402 | SOC 1 Bericht ist eine Bescheinigung, die einer Organisation ausgestellt wird. In einem ISAE 3402 | SOC 1 Typ 2-Bericht wird erörtert, wie der Dienstleister Risiken im Zusammenhang mit ausgelagerten Prozessen verwaltet. Der Bewertungsrahmen wird durch das Outsourcing selbst und die Finanzprozesse gebildet (besteht ein Zusammenhang mit dem Jahresabschluss?). Insbesondere in der Finanzwelt ist es üblich, eine Bescheinigung nach ISAE 3042 | SOC 1 vorweisen zu können. Ein Finanzinstitut wird zum Beispiel immer einen ISAE 3402 | SOC 1-Bericht von den Lieferanten verlangen, bevor der Lieferant die Dienstleistungen erbringen darf.

ISAE 3402 | SOC 1 basiert auf der Anforderung, dass sich die Ziele auf die Bedürfnisse des Kontos der Organisation beziehen müssen, die die Dienstleistung erwirbt. Mit anderen Worten: Der Kontrollrahmen (Kontrollziele und -maßnahmen) kann bei ISAE selbst zusammengestellt werden. Die Idee dahinter ist, dass die Risiken der Auslagerung von Aktivitäten von der jeweiligen Situation abhängen. Die darauf basierenden Managementziele und -maßnahmen sind also ein Stück Maßarbeit.

Ein ISAE 3000 | SOC 2 Bericht

In einem ISAE 3000| SOC 2-Bericht wird der Bewertungsrahmen nicht durch das Outsourcing selbst, sondern durch die Informationssicherheit gebildet. ISAE 3000 | SOC 2 Berichte konzentrieren sich daher nicht auf Finanzprozesse, sondern auf Trust Services Kriterien wie Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz in einer Dienstleistungsorganisation. In einem ISAE 3000 | SOC 2 Bericht wird der Umfang daher durch diese vordefinierten Managementziele (Trust Service Criteria) bestimmt.

Bei ISAE 3000| SOC 2 geht es vor allem darum, sicherzustellen, dass die verarbeiteten oder gehosteten Daten keine Auswirkungen auf die Jahresabschlüsse der Kunden haben. Diese Kunden sind besonders daran interessiert, ob die Informationssicherheit und der Datenschutz korrekt gehandhabt werden. Bei einem ISAE 3000| SOC 2-Bericht kann man zum Beispiel daran denken, Gewissheit über externe Cloud-Dienste zu erhalten.

Jul212019

Die Beziehung zwischen ISAE 3402 und ISA 402

Die Beziehung zwischen:

ISAE 3402 und ISA 402

Der Standard ISAE 3402 besagt, dass Berichte, die in Übereinstimmung mit ISAE 3402 erstellt wurden, bereits ausreichende Nachweise gemäß ISA 402, Prüfungserwägungen in Bezug auf ein Unternehmen, das eine Dienstleistungsorganisation nutzt, liefern. Mit anderen Worten: ISA 402 konzentriert sich auf die Verantwortung der Nutzerorganisation, angemessene und geeignete Kontrollinformationen zu erhalten, wenn eine Nutzerorganisation eine oder mehrere Serviceorganisationen nutzt. Es ist wichtig anzumerken, dass viele Rechnungslegungsstandards sowie eine Reihe von unterstützenden Standards auch eine Rolle bei der Interpretation, dem Verständnis und der Erleichterung des Standards selbst spielen, wie es beim Standard ISAE 3402 der Fall ist.

Jul212019

Wie bereitet sich eine Dienstleistungsorganisation auf ISAE 3402 vor?

Wie funktioniert eine Dienstleistungsorganisation

Bereiten Sie sich auf ISAE 3402 vor?

Der Standard ISAE 3402 verlangt von Dienstleistungsunternehmen einen proaktiven Ansatz bei der Erfüllung der von den Prüfern (Buchhaltern) der Dienststelle gestellten Anforderungen. Daher können Dienstleistungsunternehmen von der Durchführung eines ISAE ‚Readiness Assessment‘ sehr profitieren, das ihnen hilft, die Anforderungen an die Berichterstattung zu verstehen.

Diese Meldepflichten umfassen:

  1. Erstellung einer Beschreibung des Systems der Serviceorganisation.
  2. Erstellung einer schriftlichen Erklärung der Geschäftsleitung, die in den endgültigen ISAE 3402-Bericht aufgenommen wird.

Zusätzlich kann eine interne Revision innerhalb der Dienstleistungsorganisation in den gesamten Prüfprozess einbezogen werden, wenn der Prüfer der Dienstleistungsorganisation deren Objektivität und Professionalität für akzeptabel hält. Daher ist die Durchführung eines ISAE 3402 ‚Readiness Assessment‘ für Dienstleistungsunternehmen von entscheidender Bedeutung, um den Umfang der Aufgabe zu verstehen und die Anforderungen an die Berichterstattung nach dem ISAE 3402 Standard zu erfassen.

Jul212019

Risikomanagement für Unternehmen

Risikomanagement für Unternehmen

Wenn eine Organisation ihre Ziele erreichen will, muss sie die Risiken, die diese Ziele bedrohen, verwalten und kontrollieren. Zu diesem Zweck hat COSO die verschiedenen Elemente eines internen Kontrollsystems definiert.

Das COSO-Modell veranschaulicht die direkte Beziehung zwischen:

  1. Die Ziele der Organisation;
  2. Die Kontrollkomponenten;
  3. Die Aktivitäten/Einheiten, die eine interne Kontrolle erfordern.
  4. COSO identifiziert die Beziehungen zwischen Unternehmensrisiken und dem internen Kontrollsystem. COSO betrachtet die interne Kontrolle als einen Prozess, der darauf abzielt, Sicherheit hinsichtlich der Erreichung von Zielen in den folgenden Kategorien zu bieten:
  5. Erreichen strategischer Ziele (Strategisch);
  6. Effektivität und Effizienz von Geschäftsprozessen (Operations);
  7. Verlässlichkeit der Finanzberichterstattung (Reporting);
  8. Einhaltung der einschlägigen Gesetze und Vorschriften (Compliance).

Unternehmen müssen auch gegenüber Investoren und anderen Stakeholdern nachweisen, dass sie mit Unsicherheiten richtig umgehen (Code Tabaksblat und Sarbanes-Oxley Act). In Securance’s Ansatz zum Enterprise Risk Management (ERM) werden die Risiken identifiziert und ihre Konsequenzen detailliert beschrieben. Securance verwendet die neuesten Standards, Methoden und Techniken im Risikomanagement.

Was bietet das Enterprise Risk Management?

  • Einblicke in die wesentlichen Risiken Ihres Unternehmens;
  • Qualitative und quantitative Bewertung der identifizierten Risiken;
  • Einblicke und Ratschläge zur aktuellen Kontrolle von Risiken;
  • Einblicke in die Risikokosten Ihres Unternehmens;
  • Eine Grundlage für die Gestaltung und Umsetzung des Risikomanagements in Ihrer Organisation;
  • Unterstützung bei der Verantwortlichkeit für das Risikomanagement.