SOC 1 & SOC 2

Der primäre und weit verbreitete Begriff für die Berichterstattung von Dienstleistungsunternehmen über die Risiken von Drittanbietern an Nutzerunternehmen ist der System- und Organisationskontrollbericht, der oft auch als SOC-Bericht bezeichnet wird. Dieser Begriff wurde vom American Institute of Certified Public Accountants (AICPA) als Ersatz für das SAS70 Framework eingeführt.

Zuvor waren diese Berichte als Service Organization Control bekannt. SOC umfasst eine Reihe von Berichten, die ihren Ursprung in den Vereinigten Staaten haben. ISAE 3402 ist an den US-Standard Statement on Standards for Attestation Engagements (SSAE) 18 angeglichen. Ein ISAE 3402-Bericht liefert Sicherheit in Bezug auf die Systembeschreibung einer Dienstleistungsorganisation und die Angemessenheit ihres Kontrollkonzepts und ihrer operativen Effektivität, wie sie in einem Bericht des Dienstleistungsprüfers dargestellt wird.

ISAE 3402 | SOC 1: In einem ISAE 3402 | SOC 1-Bericht legen Unternehmen ihre eigenen Kontrollziele und -kontrollen fest und stimmen sie mit den Kundenanforderungen ab. Der Umfang eines ISAE 3402-Berichts umfasst in der Regel alle betrieblichen und finanziellen Kontrollen, die sich auf den Jahresabschluss auswirken, sowie allgemeine IT-Kontrollen (z.B. Sicherheitsmanagement, physische und logische Sicherheit, Änderungsmanagement, Vorfallsmanagement und Systemüberwachung). Wenn ein Unternehmen Finanzinformationen verwaltet, die sich auf die Finanzberichterstattung des Kunden auswirken könnten, ist ein ISAE 3402 | SOC 1 Auditbericht die logischste Wahl und wird häufig angefordert. ITGCs, Betriebskontrollen und Finanzkontrollen fallen in den Geltungsbereich einer ISAE 3402 | SOC 1 Prüfung.

SOC 1: Bei einer SOC 1-Prüfung sind Kontrollziele erforderlich, die für eine genaue Darstellung der internen Kontrolle über die Finanzberichterstattung (ICOFR) wesentlich sind. Organisationen, die in den Vereinigten Staaten bei der SEC Bericht erstatten müssen, enthalten in der Regel diese Ziele.

Angesichts der Bedeutung von IT-Dienstleistern, Cloud-Service-Anbietern und Anbietern von Rechenzentren/Gehäusen als wichtige Lieferanten für Finanzinstitute haben Standards wie SAS70, SSAE 18 SOC 1 und ISAE 3402 in der IT-Branche erheblich an Bedeutung gewonnen. Sie haben sich zu den umfassendsten und transparentesten Standards für effektives IT-Outsourcing und Risikomanagement entwickelt. Unternehmen, die einen ISAE 3402 | SOC 1-Bericht anstreben, ziehen häufig ISAE 3000 | SOC 2-Berichte in Betracht.

ISAE 3000 | SOC 2: In ISAE 3000 | SOC 2-Berichten werden die Trust Services Principles and Criteria (TSPs) angewendet. Diese TSPs bestehen aus spezifischen Anforderungen, die von der AICPA und dem Canadian Institute of Chartered Accountants (CICA) entwickelt wurden, um Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und Datenschutz zu gewährleisten. Ein Unternehmen kann die spezifischen Aspekte auswählen, die auf die Bedürfnisse seiner Kunden abgestimmt sind. Ein ISAE 3000 | SOC 2 Bericht kann einen oder mehrere Grundsätze umfassen. Wenn eine Organisation verschiedene Arten von Informationen für Kunden bearbeitet, die keinen Einfluss auf die Finanzberichterstattung haben, ist ein ISAE 3000 | SOC 2 Bericht relevanter. In solchen Fällen geht es den Kunden in erster Linie um den sicheren Umgang mit ihren Daten und deren Verfügbarkeit, wie sie in ihren Verträgen festgelegt sind. Ein SOC 2-Bericht bewertet, wie ein SOC 1-Bericht, interne Kontrollen, Richtlinien und Verfahren.

SOC 1 oder SOC 2: Organisationen, die Systeme oder Informationen verwalten, verarbeiten oder hosten, die sich auf die Finanzberichterstattung auswirken, sollten immer einen ISAE 3402 | SOC 1 Bericht vorlegen. ISAE 3000 | SOC 2 ist geeignet, wenn alle Systeme und Prozesse keinen Bezug zur Finanzberichterstattung haben. Anbieter von Rechenzentren, Infrastructure as a Service (IaaS)-Anbietern und Platform as a Service (PaaS)-Anbietern erstellen häufig hybride Berichte, die sowohl einen ISAE 3402 | SOC 1 für finanzbezogene Prozesse und Systeme als auch einen ISAE 3000 | SOC 2 für nicht finanzbezogene Prozesse und Systeme enthalten. Der Inhalt der beiden Berichte ist in der Regel identisch.