System- und Organisationskontrollberichte (SOC) erklärt: Vertrauen in die von Ihnen erbrachten Dienstleistungen

Posted by admin Articles

System- und Organisationskontrollberichte (SOC) werden schnell zu einer Notwendigkeit, um Vertrauen zu schaffen und den Kunden (und potenziellen Kunden) einer Organisation Gewissheit über die von der Organisation erbrachten Dienstleistungen zu geben.

Die Zahl der Sicherheitsverletzungen und Vorfälle, die auf Schwachstellen im System eines Unternehmens oder bei dessen Zulieferern zurückzuführen sind, nimmt zu, und viele Unternehmen wollen sich vor kostspieliger Cyberkriminalität schützen.

Da Cybersicherheit und interne Kontrollen in der heutigen Geschäftswelt immer mehr an Bedeutung gewinnen, werden auch SOC-Berichte immer wichtiger.

Sind Sie in Zeitnot? Hören Sie zu und erfahren Sie mehr in dieser Episode unseres Podcasts: Warum ist ein SOC-Bericht für Dienstleister wichtig?

Was ist ein SOC-Bericht?

Ein SOC-Bericht ist das Ergebnis und die Ergebnisse einer SOC-Prüfung, die dazu dient, das Funktionieren der internen Kontrollen einer Organisation zu bestätigen.

Wer kann einen SOC-Bericht erstellen?

SOC-Prüfungen werden von unabhängigen Wirtschaftsprüfern (Service-Auditoren) gemäß den Bescheinigungsstandards des American Institute of Certified Public Accountants (AICPA) durchgeführt.

Was sind interne Kontrollen?

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) definiert interne Kontrollen allgemein als „ein Prozess, der vom Vorstand, der Geschäftsleitung und anderen Mitarbeitern eines Unternehmens durchgeführt wird und dazu dient, hinreichende Sicherheit hinsichtlich der Erreichung von Zielen in Bezug auf Betrieb, Berichterstattung und Einhaltung von Vorschriften zu bieten.“

Insgesamt sind interne Kontrollen die Maßnahmen, die Ihre Organisation in Bezug auf ihre eigenen internen Abläufe ergreift, um die Effizienz zu steigern, sich vor Haftungsansprüchen zu schützen und die Einhaltung von Vorschriften und Gesetzen zu gewährleisten.

Wie kann meine Organisation eine SOC-Zertifizierung erlangen?

Der Begriff „SOC-Zertifizierung“ ist eigentlich eine Fehlbezeichnung, die auf ein verbreitetes Missverständnis über SOC-Berichte zurückzuführen ist. Organisationen fragen häufig, wie sie „SOC-zertifiziert“ oder „SOC-konform“ werden können, aber es gibt keine Zertifizierung und kein Bestehen oder Durchfallen bei SOC-Berichten.

Nach Abschluss der SOC-Prüfung wird ein Berichtspaket ausgestellt, das den Bericht des unabhängigen Service-Auditors, die vom Auditor durchgeführten Tests und deren Ergebnisse sowie die Behauptung der Service-Organisation und die Beschreibung des Systems (oder die Beschreibung der Kontrollen) enthält.

In diesem Bericht des unabhängigen Service-Auditors gibt der Service-Auditor eine Stellungnahme ab. Wenn die Beschreibung des Systems in angemessener Weise (SOC 1) oder in Übereinstimmung mit den Beschreibungskriterien (SOC 2) erfolgt, die Kontrollen angemessen gestaltet sind und die Kontrollen wirksam funktionieren (Typ 2), wird der Prüfer der Dienststelle wahrscheinlich einen „unveränderten Bestätigungsvermerk“ abgeben, was in der Regel das bevorzugte Ergebnis ist.

Wenn jedoch bei der Prüfung erhebliche Probleme festgestellt werden oder die Beschreibung irreführend ist oder relevante Informationen fehlen, könnte der Dienstleistungsprüfer einen eingeschränkten oder sogar negativen Bestätigungsvermerk ausstellen, je nachdem, wie weitreichend die Probleme sind.

Wer braucht einen SOC-Bericht?

Die Entscheidung, eine SOC-Prüfung durchführen zu lassen, wird in der Regel durch Anfragen oder Anforderungen nach einem SOC-Bericht von den Kunden oder potenziellen Kunden der Dienstleistungsorganisation getroffen. Höchstwahrscheinlich wissen Sie also, dass Sie einen SOC-Bericht benötigen, weil Ihre Kunden Sie um einen solchen Bericht bitten.

Für viele Unternehmen ist die Anforderung eines SOC-Berichts von ihren Lieferanten in der Regel Teil eines guten Lieferantenmanagementprozesses und typisch für die Due-Diligence-Prüfung, die bei den Lieferanten einer Organisation durchgeführt wird, um Risiken im Zusammenhang mit der Auslagerung von Dienstleistungen an diesen Lieferanten zu behandeln.

Es ist wichtig, sich daran zu erinnern, dass Ihre Kunden oder potenziellen Kunden zwar Dienste auslagern können, aber immer noch für den Schutz ihrer eigenen Daten verantwortlich sind, und SOC-Berichte sind eine Methode, mit der sie Vertrauen in Ihr Unternehmen und die von Ihnen angebotenen Dienste aufbauen können.

Organisationen sollten einen SOC-Bericht haben, wenn sie:

  • als „Service-Organisation“ gelten (eine Organisation, die Dienstleistungen für Nutzer erbringt);
  • häufig von aktuellen oder potenziellen Kunden aufgefordert werden, einen detaillierten Fragebogen zur Sicherheit der Organisation oder zu den internen Kontrollen auszufüllen, die vorhanden sind, um Risiken anzugehen, die die Erbringung der vertraglich vereinbarten Dienstleistungen oder Systemverpflichtungen gefährden; oder
  • häufig von aktuellen oder potenziellen Kunden aufgefordert werden, einen SOC-Bericht vorzulegen. (Dies könnte der entscheidende Faktor sein, um bestehende Kunden zu halten oder das Geschäft eines potenziellen Kunden zu gewinnen.)

Wie sieht der typische Zeitrahmen für den Abschluss einer SOC-Prüfung aus?

SOC-Prüfungen können ein langwieriger Prozess sein, der manchmal mehrere Monate oder sogar ein Jahr in Anspruch nimmt, je nachdem, wie gut die Organisation auf die Erfüllung der Anforderungen vorbereitet ist.

Für Organisationen, die bereits über solide Richtlinien, Verfahren und interne Kontrollen verfügen, kann der Prozess definitiv kürzer sein.

Wenn diese Dinge nicht vorhanden sind, empfehlen wir in der Regel, dass die Organisation eine Bereitschaftsbewertung durchläuft, um die Bereitschaft festzustellen, Lücken oder verbesserungswürdige Bereiche zu ermitteln und zu vermeiden, dass sie sich zu schnell auf eine SOC-Prüfung vorbereitet. Auf diese Weise lassen sich hoffentlich erhebliche Ausnahmen oder Mängel im SOC-Bericht vermeiden, wenn dieser fertiggestellt ist.

Ob die Organisation nun einen proaktiven Ansatz wählt oder eine SOC-Prüfung als Reaktion auf eine entsprechende Anfrage durchführen lässt, wir hoffen, dass sie letztlich auch unschätzbare Erkenntnisse darüber gewinnt, wie gut ihre internen Kontrollprozesse funktionieren und in welchen Bereichen Verbesserungen von entscheidender Bedeutung sind.

Gibt es verschiedene Varianten von SOC-Prüfungen?

Ja.

Für Dienstleistungsunternehmen gibt es die Prüfungen SOC 1®, SOC 2® und SOC 3®. Zusätzlich zu diesen Prüfungen hat die AICPA auch ein SOC für Cybersicherheit und ein SOC für die Lieferkette formuliert.

Das AICPA hat die SOC-Suite von Dienstleistungen und Berichtsoptionen wie folgt gekennzeichnet:

SOC for Service Organizations
SOC 1 Examinations (Types 1 and 2)
  • Geplant, um über Kontrollen bei einer Dienstleistungsorganisation zu berichten, die für die interne Kontrolle über die Finanzberichterstattung (ICFR) eines Unternehmens relevant sind)
  • Typischerweise durchgeführt über Dienstleistungen wie z.B. Sozialleistungen oder Pensionspläne, Finanz- und Verwaltungsdienstleistungen, Lohn- und Gehaltsabrechnung, Zahlungsabwicklung, Kreditabwicklung usw.
  • Die Berichte sind auf das Management der Dienstleistungsorganisation, die Benutzereinheiten und die Benutzerprüfer beschränkt.
SOC 2-Prüfungen (Typ 1 und 2)
  • Basierend auf den TSP 100, 2017 Trust Services Criteria, die vom AICPA spezifiziert wurden und den Bedürfnissen eines breiten Benutzerkreises entsprechen sollen, um interne Kontrollen zu verstehen, die für die fünf Kategorien von Trust Services relevant sind: Sicherheit (Common Criteria), Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz
  • Typischerweise durchgeführt für Rechenzentrumskooperationen, Software-as-a-Service (SaaS)-Anbieter, Cloud-Service-Anbieter, Anbieter von Managed IT Services usw.
  • Die Berichte sind auf Benutzer des Systems, Geschäftspartner, potenzielle Benutzer und Geschäftspartner sowie Aufsichtsbehörden beschränkt, die ein Verständnis für die Serviceorganisation und ihre Kontrollen haben.
  • Weitere Themen und zusätzliche Kriterien können in SOC 2+ Prüfungen über andere interne Kontrollrahmen (z. B., SOC 2+ HIPAA).
SOC 3-Prüfungen
  • Die Prüfungen beziehen sich auf dieselben Kategorien von Vertrauensdiensten wie die SOC 2-Prüfung, der Bericht ist jedoch weniger detailliert und enthält keine Prüfergebnisse
  • Gestaltet für Unternehmen, die elektronische Verbraucherdaten unter Verwendung von E-Commerce, Software as a Service und anderen elektronischen Systemen usw. verarbeiten.
  • Berichte für den allgemeinen Gebrauch, die frei an Personen verteilt werden können, die nicht über ausreichende Kenntnisse verfügen, um SOC 2-Berichte zu verstehen
SOC für Cybersicherheit
  • Bericht über das Cybersecurity-Risikomanagementprogramm einer Organisation und die unternehmensweitenKontrollen
  • Es wird ein Test der Kontrollen durchgeführt, aber die Ergebnisse des Tests werden nicht in den Bericht aufgenommen.
  • Berichte zur allgemeinen Verwendung
SOC für die Lieferkette
  • Erfüllt die AICPA Trust Services Criteria, die sich auf die Kategorien Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz
  • Die Berichte unterstützen die Lieferketten bei der effektiven Kommunikation von Kontrollen über Produktions- und Vertriebsrisiken in ihren Systemen.
  • Entworfen, um Herstellern, Produzenten und Vertriebsunternehmen Gewissheit über die Kontrollen ihrer Zulieferer zu geben.

Da SOC 1- und SOC 2-Berichte von den Nutzern am stärksten nachgefragt werden, ist ein detaillierterer Überblick über diese beiden Berichtsoptionen gerechtfertigt.

Beide dieser Berichte haben zwei Typen: Typ 1 und Typ 2, die ebenfalls beschrieben werden.

Was ist ein SOC 1-Bericht?

Bei SOC 1-Berichten gibt es keine festgelegten Kriterien. Die Dienstleistungsorganisation entwickelt und verfasst die allgemeinen Kontrollziele und die damit verbundenen Kontrollen, die für die Erreichung der Kontrollziele spezifisch sind. Die Dienstleistungsorganisation ist auch für die Beschreibung des Systemteils des Berichts verantwortlich.

SOC 1-Berichte sollen über Kontrollen bei einer Dienstleistungsorganisation berichten, die für die interne Kontrolle der Finanzberichterstattung (ICFR) eines Unternehmens relevant sind, und sie werden typischerweise für Dienstleistungen wie Sozialleistungs- oder Altersvorsorgepläne, Finanz-/Bürodienstleistungen, Lohn- und Gehaltsabrechnungen, Zahlungsverarbeitung, Kreditabwicklung usw. durchgeführt.

SOC 1-Berichte sind auf das Management der Dienstleistungsorganisation, die Nutzer und ihre Prüfer beschränkt.

Was ist ein SOC 2-Bericht?

In den SOC 2-Berichten hat das AICPA die Kriterien für Treuhanddienste spezifiziert, die für die Bewertung der Kontrollen verwendet werden, und gibt Schwerpunkte vor, die Organisationen bei der Bestimmung der anwendbaren Kontrollen und der Kontrollsprache unterstützen können.

Die Kriterien für Vertrauensdienste lassen sich in fünf Kategorien einteilen:

  • Sicherheit;
  • Verfügbarkeit;
  • Verarbeitungsintegrität;
  • Vertraulichkeit; und
  • Datenschutz.

Wenn man sich für SOC 2-Prüfungen entscheidet, muss die Sicherheitskategorie (auch als „gemeinsame Kriterien“ bezeichnet) verwendet werden, und dann können zusätzliche Kategorien gewählt werden, die auf die Dienstleistungsverpflichtungen oder Systemanforderungen der Organisation zutreffen.

Wenn die Dienstleistungsorganisation beispielsweise in ihren Service Level Agreements festlegt, dass das System oder die Softwareplattform ihren Nutzern rund um die Uhr an 365 Tagen im Jahr zur Verfügung steht und dass Verfahren für die Geschäftskontinuität und die Wiederherstellung im Katastrophenfall vorhanden sind und mindestens einmal jährlich getestet werden, wäre die Kategorie Verfügbarkeit für ihren Bericht relevant.

Das AICPA hat außerdem bestimmte Standards entwickelt, die die Dienstleistungsorganisation bei der Erstellung der Systembeschreibung für SOC 2-Berichte anwenden muss und die in den Beschreibungskriterien (DC) in Abschnitt 200 dargelegt sind.

SOC 2-Prüfungen werden in der Regel für Rechenzentrumskooperationen, Software-as-a-Service (SaaS)-Anbieter, Cloud-Service-Anbieter, Anbieter von Managed IT Services usw. durchgeführt.

Diese Berichte sind auf Nutzer des Systems, Geschäftspartner, potenzielle Nutzer und Geschäftspartner sowie Aufsichtsbehörden beschränkt, die ein Verständnis der Serviceorganisation und ihrer Kontrollen haben.

Was ist der Unterschied zwischen einem SOC-Bericht vom Typ 1 und Typ 2?

Ein Bericht des Typs 1 bezieht sich auf ein bestimmtes Datum und gewährleistet, dass die Beschreibung des Systems angemessen dargestellt wird (SOC 1-Bericht) bzw. den Beschreibungskriterien entspricht (SOC 2-Bericht) und dass die Kontrollen zum angegebenen Datum angemessen gestaltet sind. Es werden eine Begehung der Kontrollen und ein Test einer Kontrolle durchgeführt, jedoch keine detaillierten Tests.

Ein Bericht des Typs 2 bezieht sich auf einen bestimmten Zeitraum, in der Regel nicht weniger als sechs Monate. Das Gutachten gibt Gewissheit über die Beschreibung und die Eignung der Gestaltung der Kontrollen sowie über die operative Wirksamkeit der Kontrollen. Die Prüfung des Typs 2 umfasst detaillierte Tests der Kontrollen über den gesamten Berichtszeitraum.

Wie werden SOC-Berichte formuliert?

Die Schritte zur Durchführung einer SOC-Prüfung variieren, je nachdem, wie gut die Organisation auf die Erfüllung der Anforderungen vorbereitet ist. In der Regel empfehlen wir als Prüfer für Dienstleistungen, bei der Durchführung einer SOC-Prüfung den nachstehend beschriebenen vierstufigen Prozess zu befolgen:

SOC-Prüfung Schritt 1: Durchführung eines Auftrags/Planungsgesprächs

Der Prüfer für Dienstleistungen trifft sich mit der Dienstleistungsorganisation, um den Umfang des Systems oder der Dienstleistungen, die für die Bedürfnisse der Organisation am besten geeignete SOC-Option sowie den Zeitplan, die Terminplanung und die Gebühren für den Auftrag festzulegen.

Schritt 2 der SOC-Prüfung: Durchführung einer Bereitschaftsbewertung

Besprechungen werden abgehalten, um die Richtlinien, Prozesse und Verfahren zu erörtern, die in der Organisation vorhanden sind, oder ob sie entwickelt oder verfeinert werden müssen. Der Service-Auditor führt Begehungen, Beobachtungen und Befragungen zu Prozessen und Verfahren durch.

Die Organisation ist für die Entwicklung von Kontrollzielen und zugehörigen Kontrollen (SOC 1-Bericht) oder von spezifischen Kontrollen zur Erfüllung der Kriterien des SOC 2-Berichts verantwortlich; der Service-Auditor kann jedoch Wissen weitergeben, Ratschläge erteilen oder eine geeignete Kontrollsprache empfehlen, um die Organisation bei dieser Aufgabe zu unterstützen.

Alle vom Service-Auditor identifizierten Lücken werden der Service-Organisation mitgeteilt, damit Prozesse und Kontrollen verfeinert werden können, um hinreichende Sicherheit zu geben, dass die Organisation gut vorbereitet ist, bevor die SOC-Prüfung durchgeführt wird.

SOC-Prüfung Schritt 3: Prüfung des Typs 1 und Berichterstattung (SOC 1 oder SOC 2)

Organisationen können sich dafür entscheiden, die Prüfung des Typs 1 vor der Prüfung des Typs 2 durchführen zu lassen, um sicherzustellen, dass die Kontrollen zu einem bestimmten Zeitpunkt angemessen konzipiert und implementiert sind.

Ein formeller Bericht wird weiterhin vom Dienstleistungsprüfer erstellt; Da jedoch kein detailliertes Testen der operativen Wirksamkeit der Kontrollen durchgeführt wird, werden die Kontrollen lediglich als Teil der Systembeschreibung der Organisation aufgeführt. Die Stellungnahme des Service Auditors bezieht sich auf die Angemessenheit der Darstellung der Beschreibung (SOC 1) bzw. auf die Beschreibungskriterien (SOC 2) und darauf, ob die Kontrollen angemessen gestaltet sind.

Auch wenn sich nicht alle Organisationen für die Durchführung der Typ-1-Prüfung entscheiden, ist dies auf jeden Fall eine Option, die in Betracht gezogen werden sollte, um eine Vielzahl von Ausnahmen oder Mängeln zu vermeiden, die bei einem zu schnellen Wechsel zum Typ 2 auftreten könnten.

SOC-Prüfung Schritt 4: Typ-2-Prüfung und Berichterstattung (SOC 1 oder SOC 2)

Wenn sich die Organisation für die Durchführung der Typ-2-Prüfung entscheidet, werden die detaillierten Tests durch den Service-Auditor über den gesamten Berichtszeitraum durchgeführt, wie im Planungsprozess festgelegt.

In diesem Bericht enthält der Service-Auditor eine Beschreibung der durchgeführten Tests, und der Bestätigungsvermerk erstreckt sich wiederum auf die Angemessenheit der Darstellung der Beschreibung (oder der Beschreibungskriterien), auf die Frage, ob die Kontrollen angemessen gestaltet sind, und auch darauf, ob die Kontrollen im Berichtszeitraum wirksam waren.

Wie kann meine Organisation eine SOC-Prüfung für einen SOC-Bericht durchführen lassen?

Die Risiko-, Sicherheits- und Technologieexperten von Warren Averett arbeiten eng mit dienstleistenden Organisationen zusammen, um ein umfassendes Verständnis der Anforderungen ihrer Interessengruppen zu erlangen, so dass wir die richtigen Lösungen für ihre Bedürfnisse in Bezug auf SOC-Prüfungen und Bescheinigungsdienstleistungen aufzeigen können.

Setzen Sie sich mit einem Berater von Warren Averett in Verbindung, um ein Gespräch darüber zu beginnen, wie ein SOC-Bericht für Ihr Unternehmen aussehen könnte.

Dieser Blog wurde ursprünglich am 16. Dezember 2019 veröffentlicht und zuletzt am 3. November 2020 aktualisiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.