Was passt besser zu Ihnen?
Ein
SOC 1 oder ein SOC 2?
Der allgemeine Begriff für die Risikoberichterstattung von Dienstleistungsunternehmen an Nutzerunternehmen ist Systems and Organization Control Report oder SOC-Bericht. Dieser Begriff stammt vom American Institute of Certified Public Accountants (AICPA) als Ersatz für das SAS70 Framework.
Diese Berichte wurden früher Service Organization Control genannt. SOC ist eine Reihe von Berichten, die ihren Ursprung in den USA haben. ISAE 3402 orientiert sich an dem amerikanischen Standard Statement on Standards for Attestation Engagements (SSAE) 18. Ein Bericht nach ISAE 3402 bietet Sicherheit in Bezug auf die Beschreibung des Systems einer Dienstleistungsorganisation und die Eignung des Aufbaus und der Funktionsweise ihrer internen Kontrollmaßnahmen durch einen Bericht des Dienstleistungsprüfers.
ISAE 3402 | SOC 1
In einem ISAE 3402 | SOC 1-Bericht definieren Unternehmen ihre eigenen Kontrollziele und -kontrollen und richten sie an den Kundenanforderungen aus. Der Umfang eines ISAE 3402 umfasst in der Regel alle betrieblichen und finanziellen Kontrollen, die sich auf den Jahresabschluss auswirken, sowie allgemeine IT-Kontrollen (z.B. Sicherheitsmanagement, physische und logische Sicherheit, Änderungsmanagement, Vorfallsmanagement und Systemüberwachung). Mit anderen Worten: Wenn eine Organisation Finanzinformationen verwaltet, die sich auf die Finanzberichterstattung Ihres Kunden auswirken können, ist ein ISAE 3402 | SOC 1 Auditbericht für eine Organisation am logischsten und wird wahrscheinlich angefordert werden. Die ITGCs, die operativen Kontrollen und die Finanzkontrollen werden im Rahmen von ISAE 3402 | SOC 1 geprüft.
Bei einer SOC 1-Prüfung müssen die Kontrollen, die zur genauen Darstellung der internen Kontrolle über die Finanzberichterstattung (ICOFR) verwendet werden, einbezogen werden, wenn das Unternehmen in den USA der SEC-Berichtspflicht unterliegt.
Da die wichtigsten Zulieferer der Finanzinstitute IT-Dienstleister und später auch Cloud-Service-Anbieter und Anbieter von Rechenzentren/Hosting in der IT-Branche sind, haben sich SAS70, SSAE 18 SOC 1 und ISAE 3402 zum umfassendsten und transparentesten Standard für IT-Outsourcing und Risikoexzellenz entwickelt. Unternehmen, die einen ISAE 3402 | SOC 1-Bericht benötigen, ziehen häufig ISAE 3000 | SOC 2-Berichte in Betracht.
ISAE 3000 | SOC 2
ISAE 3000 | SOC 2 Berichte wenden die Trust Services Principles and Criteria (TSPs) an. Die TSPs sind eine Reihe spezifischer Anforderungen, die vom AICPA und dem Canadian Institute of Chartered Accountants (CICA) entwickelt wurden, um Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und Datenschutz zu gewährleisten. Ein Unternehmen kann die verschiedenen Aspekte auswählen, die für die Bedürfnisse seiner Kunden relevant sind. Ein ISAE 3000 | SOC 2 Bericht kann einen oder mehrere Grundsätze abdecken. Wenn Ihr Unternehmen andere Arten von Informationen für Ihre Kunden hostet oder verarbeitet, die sich nicht auf deren Finanzberichterstattung auswirken, dann ist ein ISAE 3000 | SOC 2 relevanter. In diesem Fall sind Ihre Kunden wahrscheinlich besorgt, ob Sie ihre Daten sicher behandeln und ob sie ihnen wie vereinbart zur Verfügung stehen. Ein SOC 2-Bericht bewertet, ähnlich wie ein SOC 1-Bericht, die internen Kontrollen, Richtlinien und Verfahren.
SOC 1 ODER SOC 2?
Organisationen, die Systeme oder Informationen verarbeiten, hosten oder verwalten, die sich auf die Finanzberichterstattung auswirken, müssen immer ein ISAE 3402 | SOC 1 vorlegen. ISAE 3000 | SOC 2 gilt, wenn alle Systeme und Prozesse keinen Bezug zur Finanzberichterstattung haben. Rechenzentrums-, IaaS- und PaaS-Anbieter erstellen in der Regel einen hybriden Bericht, d.h. sowohl einen ISAE 3402 | SOC 1 für Finanzprozesse und -systeme als auch einen ISAE 3000 | SOC 2 für nicht verwandte Prozesse und Systeme. Der Inhalt der beiden Berichte wird identisch sein.
