Was sind die Anforderungen
für einen SOC 1-Bericht?
Für die Zertifizierung benötigt Ihre Organisation einen Bericht, der ihr Risikomanagement und ihre internen Kontrollen beschreibt. Dieser Bericht wird auch als Service Organization Control Report (SOC) bezeichnet, eine Terminologie, die aus den Vereinigten Staaten (AICPA) stammt. Wenn ein SOC-Bericht ausgelagerte Aktivitäten betrifft, wird er als SOC 1 (US) oder ISAE 3402 Bericht bezeichnet. Bezieht sich der Bericht auf die Zertifizierung nach einem bestimmten Standard (z.B. Trust Service Principles), wird er als SOC 2 oder ISAE 3000 Bericht bezeichnet. Ein ISAE 3000-Bericht kann auch für die Einhaltung der General Data Protection Regulation (GDPR) erstellt werden.
Die Anforderungen sind in dem Standard aufgeführt, der von der IFAC-Website heruntergeladen werden kann.
Im Großen und Ganzen besteht der Standard aus den folgenden Teilen.
Um nach ISAE 3402 ‚zertifiziert‘ zu werden, muss eine Organisation über einen Service Organization Control Report (SOC) verfügen. Eine SOC ist formfrei, d.h. der Standard schreibt keinen bestimmten Inhalt vor. Es haben sich jedoch verschiedene ‚Praktiken‘ herausgebildet. Es gibt auch Anforderungen für Berichte von Einrichtungen wie der De Nederlandsche Bank, sektoralen Instituten oder den Dienstleistungsorganisationen selbst. Ein SOC-Bericht ist in der Regel in zwei Teile gegliedert: einen allgemeinen Teil mit einer Beschreibung der Organisation, des Risikomanagements und des internen Kontrollsystems sowie eine ‚Kontrollmatrix‘. Die Kontrollmatrix enthält die Kontrollziele und eine Beschreibung der Kontrollmaßnahmen, die diese Ziele gewährleisten. Der ultimative Rahmen für den ISAE 3402-Bericht ist der Finanzbericht. Alle Prozesse, die sich erheblich auf die Finanzprozesse auswirken, müssen einbezogen werden. Im Allgemeinen handelt es sich dabei um alle betrieblichen und finanziellen Prozesse sowie um die allgemeinen IT-Kontrollen.
ISAE 3402 Typ I oder Typ II?
Es gibt zwei Arten von Berichten: einen Typ I und einen Typ II Bericht. Ein Bericht vom Typ I liefert eine Momentaufnahme der Kontrollorganisation zu einem einzigen Zeitpunkt. Während der Prüfung bewertet der Wirtschaftsprüfer die Kontrollmaßnahmen nur hinsichtlich ihrer Gestaltung und Existenz. Das bedeutet, dass der Buchhalter den gesamten Bericht (SOC) überprüft und die Prozesse einmal durchläuft. In einem Bericht des Typs II wird neben der Konzeption und dem Vorhandensein auch die wirksame Durchführung der Kontrollmaßnahmen vom Wirtschaftsprüfer geprüft. Aufgrund der Auswirkungen von ISAE 3402 auf eine Organisation wird in der Regel mit einem Typ-I-Bericht begonnen und in der Folgezeit ein Typ-II-Bericht eingeführt.
