Kategorie: Beratung

ISAE 3402 | SOC 1 an eine Organisation angepasst?

ISAE 3402 | SOC 1

Angepasst an eine Organisation?


Systeme und Kontrollen – Die SOC-Berichterstattung dreht sich um Kontrollen. Ein ISAE 3402 | SOC 1-Bericht konzentriert sich auf Finanz-Outsourcing, einschließlich Vermögensverwaltung, SaaS-Anbieter (Finanzsoftware), Rechenzentren (Speicherung von Finanzdaten). Der SOC 2-Bericht zielt auf einen breiteren Anwendungsbereich für Benutzerorganisationen mit zusätzlichen Anforderungen an Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Unsere Berater unterstützen viele Organisationen dabei, das ultimative Ziel zu erreichen: einen professionellen SOC-Bericht und eine zustimmende Erklärung. Welche Schritte sind dafür notwendig?

Die Methode

Die ersten Schritte bestehen darin, die Kriterien zu verstehen, den richtigen Prüfungsumfang auszuwählen und einen strukturierten Ansatz für die Umsetzung zu verfolgen. In diesem Artikel skizzieren wir, wie dieser Prozess abläuft. Die Erlangung einer genehmigten Zuverlässigkeitserklärung hängt von verschiedenen Faktoren ab und erfordert von Ihren Mitarbeitern ein hohes Maß an Disziplin bei der Einhaltung von Verfahren und der Durchführung von Kontrollen. Eine effektive Strukturierung und Planung kann jedoch sehr hilfreich sein!

Kriterien

Die Kriterien für einen ISAE 3402 | SOC 1-Bericht hängen hauptsächlich von den Berichtsverfahren der Nutzerorganisation, der SLA-Vereinbarung und anderen Anforderungen der Nutzerorganisation ab. Die Kriterien für einen ISAE 3000 | SOC 2 Bericht werden vom American Institute of Certified Public Accountants (AICPA) entwickelt. Das AICPA hat Kriterien für Treuhanddienstleistungen entwickelt, die beschreibender sind und das Kontrollumfeld, das Risikomanagement, die Kommunikation, detaillierte Kontrollen und detaillierte technische Kriterien umfassen.

Mit anderen Worten: Die Kriterien des Vertrauensdienstes umreißen im Großen und Ganzen, was getan werden muss, aber es liegt an den Unternehmen, Kontrollen zu entwickeln. Prüfer, die die Kontrollen der Organisation durch SOC-Audits verifizieren, beobachten und formulieren die Kontrollen neu, um festzustellen, ob sie gut etabliert sind, existieren und effektiv funktionieren, um das gewünschte Ergebnis zu erzielen. Der erste Schritt im SOC-Implementierungsprozess ist die Festlegung des Prüfungsumfangs.

Umfang der Kontrolle

Ein Überblick über die Umgebung und die Systeme ist entscheidend für die Festlegung des Umfangs. Deshalb beginnen die SOC-Implementierungsprojekte von Risklane mit einer gründlichen Analyse der Organisation, der Infrastruktur, der angebotenen Dienste und der Prozesse. Ohne diese Analyse ist die Qualität des SOC-Berichts möglicherweise nicht optimal, was letztendlich zu einem eingeschränkten Bestätigungsvermerk oder zumindest zu einer unwirksamen ISAE 3402- oder ISAE 3000-Prüfung führt. Für einen ISAE 3000 | SOC 2-Bericht ist der nächste Schritt das Verständnis der Trust Service-Kriterien.

Verstehen der Kriterien für den Vertrauensdienst
Der erste Schritt zum Verständnis der Kriterien besteht darin, sie von der AICPA-Website zu beziehen und sie in Bezug auf den definierten Umfang zu studieren. Die Treuhandservice-Kriterien sind in einem umfangreichen Dokument enthalten, und die spezifische Sprache kann manchmal schwer zu verstehen sein, aber die Investition von Zeit in das Studium der Kriterien wird sich in späteren Phasen der Prüfung auszahlen. Die Kriterien für den Treuhandservice enthalten für jedes Kriterium Beispiele für die Risiken und Kontrollen, die diese Risiken in der Regel mindern. Nachdem Sie die Kriterien verstanden haben, müssen die Kontrollen den Risiken zugeordnet werden und andersherum.

Kartierung von Risiken und Kontrollen

Die häufigsten Fehler, die wir in bestehenden Frameworks feststellen, sind nicht abgestimmte oder redundante Kontrollen. Unangepasste interne Kontrollmaßnahmen sind solche, die ein definiertes Risiko oder Risiken, für die interne Kontrollmaßnahmen fehlen, nicht wirksam abdecken (unangepasste interne Kontrollmaßnahmen). Redundante interne Kontrollmaßnahmen sind definiert als interne Kontrollmaßnahmen, die von anderen internen Kontrollmaßnahmen abgedeckt werden oder überhaupt kein Risiko abdecken. Diese überflüssigen Kontrollen existieren im Grunde ohne wirklichen Zweck. Nach dieser Analyse und dem Abgleich ist der nächste Schritt die Erstellung einer Kontrollmatrix.

Erstellen einer Kontrollmatrix

Die Dokumentation der Kontrollziele und der damit verbundenen Kontrollen in einer strukturierten Kontrollmatrix ist aus mehr als einem Grund von Vorteil: Sie wird zur Quelle dafür, wie die Risikokontrollen strukturiert und implementiert werden, und sie wird ein wichtiges Referenzdokument für Ihre SOC-Auditoren sein.

Daher sind die Kriterien des Treuhanddienstes in Bezug auf die Überwachungskontrollen mit einer Liste positiver Kontrollen verknüpft, die zeigen, wie diese Kontrollen das entsprechende Risiko mindern, gut konzipiert und wirksam sind. Unserer Erfahrung nach sollten diese so detailliert wie möglich sein: Wer führt die Kontrolle durch? Welche Informationen werden verwendet? Was ist das Ergebnis? Wie wird dies dokumentiert? Die Beantwortung dieser Fragen wird für Ihren Prüfer sehr hilfreich sein, um zu bestätigen, dass die aufgeführten internen Kontrollmaßnahmen vorhanden, auf die Erreichung der Kontrollziele ausgerichtet und wirksam sind. In künftigen Artikeln werden wir uns eingehender mit der Strukturierung Ihres Kontrollrahmens befassen. Im Anschluss an diese Phase folgt die Bereitschaftsbewertung (Pre-Audit), nach der die Berichterstattung angepasst wird und die Abschlussprüfung vorbereitet werden kann.


Audit-Vorbereitung

Der oben beschriebene Prozess mag ein wenig entmutigend erscheinen, aber keine Panik. Wir können Sie in dieser Hinsicht unterstützen. Wir können Ihnen dabei helfen, die Trust Service Criteria zu verstehen und Sie beraten, wie Sie die Kontrollen effektiv auf die Risiken abstimmen und überflüssige Kontrollen entfernen können. Natürlich können Sie auch eine ControlReports-Lizenz für ISAE 3402 | SOC 1-Implementierung oder ISAE 3000 | SOC 2-Implementierung erwerben, die einen genau definierten Ansatz und einen effektiven Arbeitsablauf für die Prüfung, das Verständnis und die Definition der verschiedenen Elemente bietet. Beides führt letztendlich zu einer SOC-Berichterstattung in Übereinstimmung mit unseren branchenüblichen Best Practices, die auf jahrelanger Erfahrung basieren. Kontaktieren Sie Securance (+31) 30 2800888.

Outsourcing im Laufe der Geschichte

Outsourcing im Laufe der Geschichte

Größenvorteile

Seit der industriellen Revolution haben Unternehmen darüber nachgedacht, wie sie ihre Wettbewerbsvorteile nutzen können, um ihre Märkte zu erweitern und ihre Gewinne zu steigern. Das vorherrschende Modell im 19. und 20. Jahrhundert war die große integrierte Organisation. In den 1950er und 1960er Jahren verbreiterten die Unternehmen ihre Basis, um von Größenvorteilen zu profitieren.

Das große integrierte Unternehmen diversifizierte seine Produktpalette, so dass mehr Managementebenen für Expansionen erforderlich waren. Technologische Fortschritte wie das Internet in den 1980er und 1990er Jahren zwangen die Unternehmen zu einer stärkeren Globalisierung und wurden durch unflexible, aufgeblähte Managementstrukturen behindert. Um die Agilität zu verbessern, haben viele große Unternehmen eine Strategie entwickelt, die sich auf ihre Kernaktivitäten und Kernprozesse konzentriert.

Prinzipal-Agent-Problem

Die Konzentration auf die Kernprozesse löste Diskussionen darüber aus, welche Prozesse für die Geschäftskontinuität wesentlich und entscheidend sind und welche an externe Dienstleister ausgelagert werden können. Prozesse oder Funktionen, für die es keine internen Ressourcen gab, wurden an spezialisierte Agenturen oder Dienstleister ausgelagert. Folglich entwickelte sich das Prinzipal-Agent-Problem zwischen Nutzerorganisationen und Dienstleistungsunternehmen, und die Prinzipal-Agent-Theorie und die damit verbundene Informationsasymmetrie gewannen im Zuge des Outsourcing-Wachstums an Bedeutung.

Informationsasymmetrie

Die häufigste Agenturbeziehung im Finanzbereich besteht zwischen Investoren (oder Aktionären) und dem Management eines Unternehmens. Es kann sein, dass der Auftraggeber keine Kenntnis von den Aktivitäten des Agenten hat oder dass der Agent es ihm untersagt, Informationen zu erhalten. Das Ergebnis ist eine Informationsasymmetrie zwischen dem Prinzipal und dem Agenten. Zum Beispiel könnte das Management in Schwellenländer investieren wollen, während die Risikotoleranz des Auftraggebers ungünstig ist. Diese Managementstrategie könnte die kurzfristige Rentabilität beeinträchtigen, die Risiken des Unternehmens erhöhen und möglicherweise zu höheren zukünftigen Renditen führen. Anleger, die hohe laufende Kapitalerträge bei geringen Risiken suchen, kennen diese Managementpläne möglicherweise nicht. Wenn die Konsequenz dieser Managementstrategie zu gewissen Verlusten führt, könnte das Management geneigt sein, diese Informationen nicht an die Aktionäre weiterzugeben. Die Entwicklung des Berufsstandes der Buchhalter war eine bedeutende globale Entwicklung zur Abschwächung des Agency-Problems.

Risiko- und Ressourcenplanung

Wie bereits erwähnt, kann es zu Situationen kommen, in denen der Vermittler beabsichtigt, bestimmte Mittel der Anleger in risikoreiche Anlagen zu investieren. Der Agent ist der Entscheidungsträger und trägt wenig bis gar kein Risiko, da alle Verluste vom Auftraggeber getragen werden. Diese Situation kann eintreten, wenn Aktionäre einem Unternehmen finanzielle Unterstützung zukommen lassen, die das Management nach eigenem Ermessen verwendet. Der Agent kann aufgrund einer ungleichen Risikoverteilung eine andere Risikotoleranz haben als die Anleger. Oder die Mitarbeiter entscheiden sich, ihre Energie in ein Projekt zu investieren, das langfristig keinen Nutzen für das Unternehmen hat. Das Management ist für die finanzielle Situation des Unternehmens verantwortlich und ist sich möglicherweise nicht bewusst, dass die Mitarbeiter sich auf die falschen Ziele konzentrieren.

Finanzielle Folgen

Wenn der Auftraggeber ein Investor oder Aktionär einer Organisation ist, konzentrieren sich die Interessen des Auftraggebers auf die Optimierung der Rendite seiner Investitionen. Die Erträge aus Investitionen werden kurz- oder langfristig als Dividenden an die Anleger ausgeschüttet. Die Prinzipien sind auf die Optimierung der (langfristigen) Dividendenrendite ausgerichtet. Die Ausschüttung hoher Dividenden an die Aktionäre schränkt die Investitionsmöglichkeiten ein oder kann zu Cashflow-Problemen für das Management des Unternehmens führen. Auftraggeber und Vermittler haben in dieser Hinsicht gegensätzliche finanzielle Interessen.

Die Agency-Theorie ist auch für die Beziehung zwischen Management und Arbeitnehmern relevant. Die Mitarbeiter haben ein Interesse daran, ihr persönliches Gehalt und ihre persönliche Zufriedenheit mit minimalem Aufwand zu steigern. Das Management ist bestrebt, das Produktions- oder Verkaufsvolumen zu den niedrigsten Arbeitskosten zu optimieren. In diesem Zusammenhang besteht auch eine Informationsasymmetrie in Form eines unvollständigen Verständnisses der täglichen Arbeit der Mitarbeiter durch das Management. Das Management wird wahrscheinlich Budgetierungsmechanismen und Kontrollen einführen, um die Aktivitäten der Mitarbeiter für den Zweck des Unternehmens zu optimieren. Die Agency-Theorie ist auch in Outsourcing-Situationen relevant.

Agenturtheorie beim Outsourcing

Im Allgemeinen bezieht sich die Agenturtheorie auf alle Beziehungen zwischen zwei Parteien, bei denen eine Partei der Auftraggeber ist und die andere der Agent, der den Auftraggeber bei Transaktionen mit Dritten vertritt. Eine Agenturbeziehung liegt vor, wenn ein Auftraggeber einen Agenten beauftragt, eine Dienstleistung im Namen des Auftraggebers zu erbringen. Prinzipale delegieren in der Regel Entscheidungsbefugnisse an Agenten. Da der Bevollmächtigte Verträge und Entscheidungen mit Dritten trifft, die sich auf den Auftraggeber auswirken, kann es zu Agenturproblemen kommen.

In der Situation, in der Aktivitäten von einer Nutzerorganisation an eine Dienstleistungsorganisation ausgelagert werden, ist die Agenturtheorie für alle beschriebenen Aspekte relevant: Informationsasymmetrie, Risikotoleranz und gebundene Ressourcen. Ein Finanzinstitut lagert zum Beispiel IT-Dienste an einen Anbieter von Managed Services aus. Der Managed Service Provider hat keinen Einblick in die Risikotoleranz des Instituts und kann entscheiden, dass wöchentliche Backups akzeptabel sind oder dass die Speicherung von Daten außerhalb der EU akzeptabel ist. Der Dienstanbieter informiert die Organisation möglicherweise nicht über den Ausfall bestimmter Server, wenn dieser Netzwerkausfall nicht vom Finanzinstitut erkannt wird. Die Serviceorganisation könnte auch dazu neigen, die Ressourcen für die Durchführung von Aktivitäten zu minimieren und gleichzeitig zu versuchen, die Gebühreneinnahmen zu erhöhen. Eine Dienstleistungsorganisation hat möglicherweise eine andere Toleranz gegenüber Betrug oder ist selbst an Betrug beteiligt. Im Rentensektor können Vermögensverwalter davon profitieren, indem sie Transaktionen von Rentenfonds vorwegnehmen. Dies führt zu dem oben beschriebenen Prinzipal-Agent-Problem.

Vorteile: Verbesserung des Risikomanagements und der Transparenz

Vorteile: Verbesserung des Risikomanagements

und Transparenz

Unternehmen werden häufig von (potenziellen) Kunden nach Sicherheitsstandards gefragt. Was sind die Unterschiede zwischen einem ISAE 3402 | SOC1, ISAE 3000 | SOC2 und einem ISO 27001-Audit? Welcher Standard ist für unser Unternehmen besser geeignet, ISAE oder ISO 27001? Was sind die Vor- und Nachteile von ISAE gegenüber ISO 27001? Bei ISAE 3402 und ISO 27001 handelt es sich um grundlegend verschiedene Arten von Standards mit ebenso unterschiedlichen Verwendungszwecken. Die Hauptunterschiede liegen im Berichtsformat und in der durchgeführten Prüfung.

Greifbare Vorteile

  • Risiko-Intelligenz
  • Vertrauen in den Markt
  • Audit Effizienz
  • Verbesserte Kontrolle

ISAE und Sicherheit

ISAE 3402 ist eine Bescheinigung eines unabhängigen Wirtschaftsprüfers, der die Informationen über System- und Organisationskontrollen (SOC) mit den Prüfungszielen oder -kriterien vergleicht. In einem ISAE 3402 (SOC1)-Bericht sind allgemeine IT-Kontrollen (ITGCs) und damit auch die Sicherheit enthalten, aber der primäre Anwendungsbereich sind Finanzverfahren und -kontrollen. Ein ISAE 3000 (SOC2)-Bericht konzentriert sich auf die Kriterien für vertrauenswürdige Dienste, einschließlich Sicherheit, Verfügbarkeit und Datenschutz, und hat mehr Überschneidungen mit ISO 27001. Ein wichtiger Unterschied ist, dass ISAE 3402 und ISAE 3000 (SOC 2) Berichte bieten eine Zuverlässigkeitserklärung, während ISO 27001 eine Zertifizierung ist.

ISO 27001

ISO 27001 ist ein risikobasierter Standard für die Einrichtung, Umsetzung und Verbesserung des Informationssicherheitsmanagementsystems (ISMS) einer Organisation. Dieser Standard-Sicherheitsrahmen wird von ISO und IEC gepflegt. Das implementierte ISO 27001-Rahmenwerk wird von unabhängigen Zertifizierungsstellen zertifiziert. Die Organisation muss über die in der High Level Structure (HLS) und in Anhang A des ISO 27001-Rahmenwerks beschriebenen Verfahren und Kontrollen verfügen. Der daraus resultierende Sicherheitsrahmen mindert die Risiken durch die Implementierung von Verfahren und Kontrollen. ISO 27001 ist ein umfassendes System zur Gewährleistung der Informationssicherheit. Alle Organisationen, die ISO 27001 implementiert haben, müssen mindestens über ein Managementsystem für Informationssicherheit verfügen.

ISO 27001 oder ISAE 3402?

Die Welt hat sich verändert. ISO 27001 war früher der Maßstab für die Informationssicherheit. Da sich die Risiken für die Informationssicherheit jedoch ständig weiterentwickeln, benötigen viele Unternehmen eine größere Gewissheit in Bezug auf die Informationssicherheit. ISO 27001 ist eine vorgeschriebene Reihe von Kontrollen, während die Standards ISAE 3402 und 3000 auf Prinzipien beruhen. Das bedeutet, dass die Kontrollen nicht formell umgesetzt werden können, aber effektiv funktionieren. Wenn dies der Fall ist, schränkt der Prüfer sein Prüfungsurteil nach ISAE 3402 ein. Eine Prüfung nach ISAE 3402/3000 ist eine eingehende Prüfung, die sich auf die Wirksamkeit des Risikorahmens bei der Risikokontrolle konzentriert. Wenn die Risiken nicht wirksam kontrolliert werden, wird dies im ISAE 3402-Bericht offengelegt. Dieses Maß an Transparenz ist in der globalen Wirtschaft und der sich ständig weiterentwickelnden Bedrohungslandschaft erforderlich.

Was passt besser zu Ihnen? An SOC 1 or an SOC 2?

Was passt besser zu Ihnen?

Ein SOC 1 oder ein SOC 2?

Der allgemeine Begriff für die Risikoberichterstattung von Dienstleistungsunternehmen an Nutzerunternehmen ist Systems and Organization Control Report oder SOC-Bericht. Dieser Begriff stammt vom American Institute of Certified Public Accountants (AICPA) als Ersatz für das SAS70 Framework.

Diese Berichte wurden früher Service Organization Control genannt. SOC ist eine Reihe von Berichten, die ihren Ursprung in den USA haben. ISAE 3402 orientiert sich an dem amerikanischen Standard Statement on Standards for Attestation Engagements (SSAE) 18. Ein Bericht nach ISAE 3402 bietet Sicherheit in Bezug auf die Beschreibung des Systems einer Dienstleistungsorganisation und die Eignung des Aufbaus und der Funktionsweise ihrer internen Kontrollmaßnahmen durch einen Bericht des Dienstleistungsprüfers.

ISAE 3402 | SOC 1

In einem ISAE 3402 | SOC 1-Bericht definieren Unternehmen ihre eigenen Kontrollziele und -kontrollen und richten sie an den Kundenanforderungen aus. Der Umfang eines ISAE 3402 umfasst in der Regel alle betrieblichen und finanziellen Kontrollen, die sich auf den Jahresabschluss auswirken, sowie allgemeine IT-Kontrollen (z.B. Sicherheitsmanagement, physische und logische Sicherheit, Änderungsmanagement, Vorfallsmanagement und Systemüberwachung). Mit anderen Worten: Wenn eine Organisation Finanzinformationen verwaltet, die sich auf die Finanzberichterstattung Ihres Kunden auswirken können, ist ein ISAE 3402 | SOC 1 Auditbericht für eine Organisation am logischsten und wird wahrscheinlich angefordert werden. Die ITGCs, die operativen Kontrollen und die Finanzkontrollen werden im Rahmen von ISAE 3402 | SOC 1 geprüft.

Bei einer SOC 1-Prüfung müssen die Kontrollen, die zur genauen Darstellung der internen Kontrolle über die Finanzberichterstattung (ICOFR) verwendet werden, einbezogen werden, wenn das Unternehmen in den USA der SEC-Berichtspflicht unterliegt.

Da die wichtigsten Zulieferer der Finanzinstitute IT-Dienstleister und später auch Cloud-Service-Anbieter und Anbieter von Rechenzentren/Hosting in der IT-Branche sind, haben sich SAS70, SSAE 18 SOC 1 und ISAE 3402 zum umfassendsten und transparentesten Standard für IT-Outsourcing und Risikoexzellenz entwickelt. Unternehmen, die einen ISAE 3402 | SOC 1-Bericht benötigen, ziehen häufig ISAE 3000 | SOC 2-Berichte in Betracht.

ISAE 3000 | SOC 2

ISAE 3000 | SOC 2 Berichte wenden die Trust Services Principles and Criteria (TSPs) an. Die TSPs sind eine Reihe spezifischer Anforderungen, die vom AICPA und dem Canadian Institute of Chartered Accountants (CICA) entwickelt wurden, um Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und Datenschutz zu gewährleisten. Ein Unternehmen kann die verschiedenen Aspekte auswählen, die für die Bedürfnisse seiner Kunden relevant sind. Ein ISAE 3000 | SOC 2 Bericht kann einen oder mehrere Grundsätze abdecken. Wenn Ihr Unternehmen andere Arten von Informationen für Ihre Kunden hostet oder verarbeitet, die sich nicht auf deren Finanzberichterstattung auswirken, dann ist ein ISAE 3000 | SOC 2 relevanter. In diesem Fall sind Ihre Kunden wahrscheinlich besorgt, ob Sie ihre Daten sicher behandeln und ob sie ihnen wie vereinbart zur Verfügung stehen. Ein SOC 2-Bericht bewertet, ähnlich wie ein SOC 1-Bericht, die internen Kontrollen, Richtlinien und Verfahren.

SOC 1 ODER SOC 2?

Organisationen, die Systeme oder Informationen verarbeiten, hosten oder verwalten, die sich auf die Finanzberichterstattung auswirken, müssen immer ein ISAE 3402 | SOC 1 vorlegen. ISAE 3000 | SOC 2 gilt, wenn alle Systeme und Prozesse keinen Bezug zur Finanzberichterstattung haben. Rechenzentrums-, IaaS- und PaaS-Anbieter erstellen in der Regel einen hybriden Bericht, d.h. sowohl einen ISAE 3402 | SOC 1 für Finanzprozesse und -systeme als auch einen ISAE 3000 | SOC 2 für nicht verwandte Prozesse und Systeme. Der Inhalt der beiden Berichte wird identisch sein.