Was passt besser zu
meiner Organisation?
SOC 1 oder SOC 2?
Der SSAE18-Standard (AICPA) aus den Vereinigten Staaten umfasst zwei Arten von Berichten: einen Service Organization Control Report 1(SOC 1) und einen Service Organization Control Report 2(SOC 2). Diese Terminologie wird zunehmend international verwendet. Ein ISAE 3402 Bericht ist in dieser Terminologie ein SOC 1 Bericht, ein ISAE 3000 Bericht ist ein SOC 2 Bericht.
Ein ISAE 3402 Bericht ist ein Bericht darüber, wie der Dienstleister die Risiken der ausgelagerten Prozesse verwaltet. Outsourcing und insbesondere Finanzprozesse bilden den Rahmen für diesen Bericht. Eine Alternative zu diesem Bericht ist der SOC 2-Bericht, bei dem das Outsourcing nicht der primäre Rahmen ist, sondern die Informationssicherheit. Die Kriterien für Informationssicherheit und Datenschutz sind in den Kriterien für den Vertrauensdienst enthalten. Kriterien in Bezug auf Sicherheit, Datenschutz, Verfügbarkeit und Vertraulichkeit. Außerdem gibt es einen SOC 3-Bericht.
Brauche ich ein SOC 1?
Eine Service-Organisationskontrolle 1 ist eine Prüfung der internen Kontrollen, die sich auf die Sicherung von Kundendaten konzentriert. SOC 1-Prüfungen werden gemäß dem Statement on Standards for Attestation Engagements No. 16 (SSAE 16) durchgeführt. Ein SOC 1 beinhaltet Kontrollziele, die für die interne Kontrolle der Finanzberichterstattung verwendet werden. Die Jahresabschlüsse bilden somit den Rahmen für diesen Bericht. Das bedeutet, dass alle Prozesse darauf ausgerichtet sind, sicherzustellen, dass alle Daten in den Finanzberichten korrekt und vollständig sind.
Mit anderen Worten: Wenn Sie Daten im Zusammenhang mit einem Finanzprozess verarbeiten oder hosten, dann ist SOC 1 anwendbar.
Brauche ich ein SOC 2?
Wenn Sie Daten verarbeiten oder hosten, die keinen Einfluss auf die Finanzberichte Ihrer Kunden haben, dann ist SOC 2 anwendbar. In diesem Fall sind Ihre Kunden vor allem daran interessiert, ob Sie die Informationssicherheit und den Datenschutz richtig handhaben.
In einem SOC 2-Bericht sind, ähnlich wie in einem SOC 1-Bericht, interne Kontrollmaßnahmen enthalten.
Welche Art von Bericht ist für mich jetzt am besten geeignet: SOC 1 oder SOC 2?
Ein wichtiger Unterschied besteht darin, dass der Datenschutz bei einem SOC 1 nicht zwingend vorgeschrieben ist, während er bei einem SOC 2, das auf den Trust Service Criteria basiert, sehr wohl vorgeschrieben ist. Wenn Sie Kunden haben, die in beide Kategorien fallen, ist die Wahrscheinlichkeit groß, dass Sie gebeten werden, beides zu liefern. Sie können bestimmen, ob Sie einen SOC 1- oder einen SOC 2-Bericht benötigen, um die Anforderungen einer Vielzahl von Kunden zu erfüllen. Risklane bietet ein einzigartiges Online-Audit-Tool (ControlReports), das Sie bei der Integration der SOC 1- und SOC 2-Audits unterstützt, was zu zwei separaten Berichten führt. Ohne zusätzliche Kosten.
Wenn Sie mehr über die Auswirkungen von SOC 1(ISAE 3402), SOC 2(ISAE3000) auf Ihr Unternehmen erfahren möchten, kontaktieren Sie bitte Securance (+31) 030 2800888.
