Kategorie: Cyber-Sicherheit

Was passt besser zu Ihnen? An SOC 1 or an SOC 2?

Was passt besser zu Ihnen?

Ein SOC 1 oder ein SOC 2?

Der allgemeine Begriff für die Risikoberichterstattung von Dienstleistungsunternehmen an Nutzerunternehmen ist Systems and Organization Control Report oder SOC-Bericht. Dieser Begriff stammt vom American Institute of Certified Public Accountants (AICPA) als Ersatz für das SAS70 Framework.

Diese Berichte wurden früher Service Organization Control genannt. SOC ist eine Reihe von Berichten, die ihren Ursprung in den USA haben. ISAE 3402 orientiert sich an dem amerikanischen Standard Statement on Standards for Attestation Engagements (SSAE) 18. Ein Bericht nach ISAE 3402 bietet Sicherheit in Bezug auf die Beschreibung des Systems einer Dienstleistungsorganisation und die Eignung des Aufbaus und der Funktionsweise ihrer internen Kontrollmaßnahmen durch einen Bericht des Dienstleistungsprüfers.

ISAE 3402 | SOC 1

In einem ISAE 3402 | SOC 1-Bericht definieren Unternehmen ihre eigenen Kontrollziele und -kontrollen und richten sie an den Kundenanforderungen aus. Der Umfang eines ISAE 3402 umfasst in der Regel alle betrieblichen und finanziellen Kontrollen, die sich auf den Jahresabschluss auswirken, sowie allgemeine IT-Kontrollen (z.B. Sicherheitsmanagement, physische und logische Sicherheit, Änderungsmanagement, Vorfallsmanagement und Systemüberwachung). Mit anderen Worten: Wenn eine Organisation Finanzinformationen verwaltet, die sich auf die Finanzberichterstattung Ihres Kunden auswirken können, ist ein ISAE 3402 | SOC 1 Auditbericht für eine Organisation am logischsten und wird wahrscheinlich angefordert werden. Die ITGCs, die operativen Kontrollen und die Finanzkontrollen werden im Rahmen von ISAE 3402 | SOC 1 geprüft.

Bei einer SOC 1-Prüfung müssen die Kontrollen, die zur genauen Darstellung der internen Kontrolle über die Finanzberichterstattung (ICOFR) verwendet werden, einbezogen werden, wenn das Unternehmen in den USA der SEC-Berichtspflicht unterliegt.

Da die wichtigsten Zulieferer der Finanzinstitute IT-Dienstleister und später auch Cloud-Service-Anbieter und Anbieter von Rechenzentren/Hosting in der IT-Branche sind, haben sich SAS70, SSAE 18 SOC 1 und ISAE 3402 zum umfassendsten und transparentesten Standard für IT-Outsourcing und Risikoexzellenz entwickelt. Unternehmen, die einen ISAE 3402 | SOC 1-Bericht benötigen, ziehen häufig ISAE 3000 | SOC 2-Berichte in Betracht.

ISAE 3000 | SOC 2

ISAE 3000 | SOC 2 Berichte wenden die Trust Services Principles and Criteria (TSPs) an. Die TSPs sind eine Reihe spezifischer Anforderungen, die vom AICPA und dem Canadian Institute of Chartered Accountants (CICA) entwickelt wurden, um Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und Datenschutz zu gewährleisten. Ein Unternehmen kann die verschiedenen Aspekte auswählen, die für die Bedürfnisse seiner Kunden relevant sind. Ein ISAE 3000 | SOC 2 Bericht kann einen oder mehrere Grundsätze abdecken. Wenn Ihr Unternehmen andere Arten von Informationen für Ihre Kunden hostet oder verarbeitet, die sich nicht auf deren Finanzberichterstattung auswirken, dann ist ein ISAE 3000 | SOC 2 relevanter. In diesem Fall sind Ihre Kunden wahrscheinlich besorgt, ob Sie ihre Daten sicher behandeln und ob sie ihnen wie vereinbart zur Verfügung stehen. Ein SOC 2-Bericht bewertet, ähnlich wie ein SOC 1-Bericht, die internen Kontrollen, Richtlinien und Verfahren.

SOC 1 ODER SOC 2?

Organisationen, die Systeme oder Informationen verarbeiten, hosten oder verwalten, die sich auf die Finanzberichterstattung auswirken, müssen immer ein ISAE 3402 | SOC 1 vorlegen. ISAE 3000 | SOC 2 gilt, wenn alle Systeme und Prozesse keinen Bezug zur Finanzberichterstattung haben. Rechenzentrums-, IaaS- und PaaS-Anbieter erstellen in der Regel einen hybriden Bericht, d.h. sowohl einen ISAE 3402 | SOC 1 für Finanzprozesse und -systeme als auch einen ISAE 3000 | SOC 2 für nicht verwandte Prozesse und Systeme. Der Inhalt der beiden Berichte wird identisch sein.

Drittparteirisiko und ISAE 3402

Drittparteirisiko und ISAE 3402

Vom vollständigen Outsourcing komplexer Funktionen wie IaaS, PaaS-Services oder Komponentenherstellung bis hin zu kleinen Verträgen mit lokalen Dienstleistern und Zulieferern verlassen sich Unternehmen verschiedener Branchen und Größen in hohem Maße auf externe Dienstleistungsunternehmen.

Outsourcing-Aktivitäten führen zu Kosteneinsparungen, betrieblicher Effizienz oder erweitertem Fachwissen innerhalb des Unternehmens. Outsourcing ist auch mit einem erhöhten Risiko verbunden. Das Verstehen, Analysieren und effektive Reagieren auf Risiken als Teil eines Enterprise Risk Management (ERM)-Ansatzes ist unerlässlich, um das Risiko finanzieller Verluste, der Nichteinhaltung von Vorschriften und von Reputationsschäden zu minimieren.

Die Risiken Dritter verstehen

Das Drittparteirisiko ist nicht auf multinationale Unternehmen beschränkt, die wichtige Geschäftsfunktionen an Offshore-Lieferanten auslagern. In der heutigen Welt arbeiten die meisten Unternehmen im Rahmen ihrer regulären Geschäftstätigkeit regelmäßig mit Dienstleistern zusammen, wie im vorherigen Kapitel beschrieben. Selbst kleine Unternehmen verlassen sich bei verschiedenen Aktivitäten auf Dienstleistungsunternehmen, vom Hosting von Servern über IT-Support bis hin zur Lohnabrechnung. Die zunehmende Auslagerung an Dritte vergrößert die potenziellen Risiken für Unternehmen.

Die Analyse dieses Drittparteirisikos zu einem bestimmten Zeitpunkt ist von entscheidender Bedeutung für die Geschäftskontinuität und die Maximierung der Wirkung von Risikomanagementmaßnahmen. Da die meisten Unternehmen in hohem Maße auf Daten angewiesen sind, kann jeder Dritte, der Zugang zu sensiblen oder vertraulichen Informationen hat, ein potenzielles Risiko für die Geschäftskontinuität darstellen. Beim Outsourcing können, wie bei anderen Kategorien auch, Risikostufen und Hierarchien berücksichtigt werden. Diese Hierarchien und Ebenen bilden die Grundlage für die Festlegung von Risikoprioritäten durch das Management und die Basis für den Risikorahmen in einem ISAE 3402 | SOC1 Bericht.

Risikopriorisierung und ISAE 3402

Die Festlegung von Risikoprioritäten ist keine einmalige Angelegenheit. Alle Parameter können im Laufe der Zeit angepasst werden, abhängig von Faktoren, die von wirtschaftlichen Entwicklungen über Änderungen im regulatorischen Umfeld bis hin zu sich entwickelnden strategischen Initiativen reichen. Die Arten von Dritten, die typischerweise ein höheres Risiko für Ihr Unternehmen darstellen, sind nicht erschöpfend, aber zu ihnen gehören Dienstleistungsunternehmen wie z.B:

  • Cloud Computing / On-Demand-Computing
  • Software-as-a-Service (SaaS)
  • Internetdienstanbieter (ISPs)
  • Plattformen für die Verarbeitung von Kreditkarten
  • Online Auftragsabwicklung
  • Anbieter von Rechenzentren und Kollokation
  • Verwaltung von HR und Lohnbuchhaltung
  • Drittanbieter-Verwalter (TPAs)
  • Druck- und Postdienstleistungen
  • Logistikdienstleistungen für Dritte (3PL)
  • Debitorenbearbeitung und Inkassodienstleistungen
  • Due-Diligence-Prüfung durch Dritte

Eine gründliche Due-Diligence-Prüfung vor Abschluss eines neuen Vertrags mit einem Dritten ist nur der Anfang. Wie die Geschäftsrisiken müssen auch die Risiken von Drittanbietern während der gesamten Lebensdauer einer Lieferantenbeziehung regelmäßig und proaktiv verwaltet werden, da sich die Parameter im Laufe der Zeit anpassen. Dies beinhaltet die Einbindung der Innenrevision, der Finanzabteilung, der Rechtsabteilung und – in vielen Fällen – unabhängiger Wirtschaftsprüfer, die ein ISAE 3402-Gutachten erstellen.

Erweiterung erhält ISAE 3402 Typ II Erklärung

Expansion erhält

ISAE 3402 Typ II Erklärung

Utrecht, 25. April 2019 – Der DMS-Anbieter Expansion hat im Januar 2019 die ISAE 3402 Type II Erklärung erhalten. Mit der Unterstützung von Securance erhalten die Kunden von Expansion eine objektive Bestätigung der Zuverlässigkeit ihrer Serviceprozesse. Schließen Sie ab, dass Buchhalter die Prüfung durchgeführt haben.

Digitale Archivierung und Dokumentenverwaltung

Expansion ist ein führender Anbieter von Lösungen für die digitale Archivierung und das Dokumentenmanagement. Es bietet seine Lösungen zunehmend über die Cloud an. Die Erweiterung ermöglicht es Unternehmen, die Verwaltung ihrer wichtigen Geschäftsinformationen vollständig auszulagern. Um den Kunden und ihren Buchhaltern zu versichern, dass sie die höchsten Standards der Informationssicherheit erfüllen, hat Expansion beschlossen, eine ISAE 3402 Typ II-Erklärung einzuholen.

Implementierung & Prüfung

Securance und Conclude Accountants unterstützten Expansion in der zweiten Jahreshälfte 2018 bei der Umsetzung des ISAE 3402-Berichts und prüften verschiedene Aspekte: Ist die Beschreibung der Serviceorganisation korrekt? Sind die definierten Kontrollmaßnahmen angemessen eingerichtet? Erreichen die Kontrollmaßnahmen effektiv die Ziele der Expansion? Conclude Accountants hat während der Prüfung eine Bestätigung zu diesen Aspekten erhalten, was die Abgabe der ISAE 3402 Typ II Erklärung ermöglicht hat.

Umfassende Auswahl

Expansion wählte Securance und Conclude Accountants, um den Prozess zu leiten, vor allem wegen ihrer umfangreichen Erfahrung in diesem Bereich.

Kontinuierlicher Prozess
Expansion empfand die Zusammenarbeit als äußerst konstruktiv und trug dazu bei, seine Dienstleistungen auf ein noch höheres und konsistentes Niveau zu heben. Die Erlangung des ISAE 3402 Typ II Zertifikats ist nicht das Ende der Expansion, sondern Teil eines kontinuierlichen Verbesserungsprozesses, zu dem Securance weiterhin beitragen wird. Die ersten Vorkehrungen für die bevorstehende Prüfung wurden bereits getroffen.

Über Expansion

Mit dem Standard-DMS Xtendis ist Expansion in den Niederlanden einer der Marktführer im Bereich der digitalen Archivierung und des Dokumentenmanagements. Xtendis wird zunehmend als Cloud-Service genutzt. Xtendis wird in den Niederlanden von mehr als 650 Unternehmen für verschiedene Anwendungen eingesetzt, darunter digitale Personalakten, Auftragsakten, Rechnungsbearbeitung, Kundenakten und Postbearbeitung. Xtendis schaltet insgesamt über 2,6 Milliarden Dokumente für mehr als 4 Millionen Nutzer frei.

ISAE 3402 | SOC 1 Typ I vs. Typ II

Typ I versus Typ II

Um zu klären, welche SOC-Typen Ihr Unternehmen benötigt, finden Sie hier die wichtigsten Informationen.

Es gibt zwei Arten von ISAE 3402-Berichten: einen Typ-I-Bericht und einen Typ-II-Bericht. Beide Berichte sind inhaltlich identisch. Der Unterschied liegt in der durchgeführten Prüfung. Bei einer Prüfung vom Typ I stellt der Wirtschaftsprüfer fest, ob der Rahmen für das Risikomanagement und die Kontrollmaßnahmen den Rahmen abdecken (Konzeption) und zu einem bestimmten Zeitpunkt bestehen. Um dies festzustellen, geht der Buchhalter die Prozesse „durch“. Diese Kontrollen werden Walkthroughs genannt. Bei einer Prüfung vom Typ II stellt der Wirtschaftsprüfer über einen Zeitraum von mindestens sechs Monaten fest, ob die Kontrollmaßnahmen tatsächlich wirksam waren. Ein Bericht des Typs I bezieht sich auf einen Messpunkt und ein Bericht des Typs II auf mindestens sechs Monate.

Mit einem Bericht vom Typ II hat eine Nutzerorganisation mehr Gewissheit, dass der Dienst wie vereinbart kontrolliert wird. Der Zeitraum, in dem die ISAE Typ II Prüfung stattfindet, beträgt mindestens sechs Monate, es sei denn, es liegt eine besondere Situation vor, wie z.B. der Kauf einer neuen Organisationseinheit oder die Einführung eines neuen IT-Systems.

Die erste Prüfung erfordert immer einen gewissen Mehraufwand für die Organisation und den Prüfer, um ein gegenseitiges Verständnis aufzubauen. Durch die Umstellung von Typ I auf Typ II werden die Auswirkungen auf das Geschäft verteilt, da Typ I weniger Prüfungstests erfordert. Bei Typ I testen die Prüfer jede Stichprobe jeder Kontrollpraxis, um die Transaktionsmuster zu bestätigen. Bei Typ II wählen die Prüfer mehrere Stichproben aus den Prüferpopulationen aus und testen sie. Ein Bericht vom Typ I ebnet den Weg für Typ II, ohne alles auf einmal zu behandeln.

Ein Vorteil der Berichte vom Typ I ist die Flexibilität während der Prüfung, bei der „Probleme“ identifiziert werden können, bevor der Bericht veröffentlicht wird. Diese sind nicht als Probleme in den Bericht aufgenommen worden, da es sich um eine Momentaufnahme zum Zeitpunkt der Aufzeichnung handelt.

ISAE 3402 Beratung?

ISAE 3402-Berichte werden nicht nur von Ihren Kunden, sondern auch von deren Buchhaltern gelesen. Ein Bericht, der nicht den Best Practices entspricht oder der weniger professionell beschrieben ist, wird von Ihrem Kunden oder dem Buchhalter Ihres Kunden wahrscheinlich als weniger professionell wahrgenommen. Dank der Erfahrung der Securance mit ISAE 3402 seit 2004 sind wir in der Lage, einen professionellen Bericht zu erstellen. Wir können Sie auch entsprechend beraten, wie Sie die Maßnahmen verbessern können, damit Sie die Risiken besser kontrollieren können.

Erfahren Sie mehr über Securance und ISAE 3402.