Erfüllung der AICPA SOC 2-Anforderungen für das Risikomanagement von Drittanbietern

Prüfung und Berichterstattung gemäß SOC 2 und den Trust Service Principles mit Risikomanagementlösungen von Dritten

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter März 16, 2022 12 min gelesen

In diesem Beitrag werden Überlegungen zum Risikomanagement von Drittanbietern gemäß AICPA SOC 2 vorgestellt und erläutert, wie Sie die SOC-Anforderungen durch eine kombinierte Risikobewertung von Anbietern und die Überwachung von Drittanbietern erfüllen können.

AICPA-Kriterien für Treuhanddienste und Risikomanagement für Dritte

Das American Institute of Certified Public Accountants (AICPA) Assurance Services Executive Committee (ASEC) hat Kriterien für Vertrauensdienste entwickelt, die Unternehmen als Rahmen für den Nachweis der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten dienen sollen.

Organisationen, die mit System- und Organisationskontrollen (SOC) 2-Audits vertraut sind, werden erkennen, dass diese Trust Services-Kriterien verwendet werden, um über die Effektivität ihrer internen Kontrollen und Sicherheitsvorkehrungen in Bezug auf Infrastruktur, Software, Mitarbeiter, Verfahren und Daten zu berichten.

Kriterien für Vertrauensdienste in SOC 2

SOC 2-Audits bieten einen umfassenden Einblick in die folgenden AICPA-Kategorien für Treuhanddienste:

  • Sicherheit: Schutz von Informationen und Systemen gegen unbefugten Zugriff, unbefugte Offenlegung von Informationen und Beschädigung von Systemen, die die Verfügbarkeit, die Integrität, die Vertraulichkeit und den Datenschutz von Informationen oder Systemen gefährden und die Fähigkeit der Einrichtung beeinträchtigen könnten, ihre Ziele zu erreichen.
  • Verfügbarkeit: Sicherstellung der Verfügbarkeit von Informationen und Systemen für den Betrieb und die Nutzung, um die Ziele der Organisation zu erreichen.
  • Integrität der Verarbeitung: Sicherstellung, dass die Systemverarbeitung vollständig, gültig, genau, zeitgerecht und autorisiert ist, um die Ziele der Organisation zu erreichen.
  • Vertraulichkeit: Schutz von Informationen, die als vertraulich eingestuft werden, um die Ziele der Einrichtung zu erreichen.
  • Datenschutz: Sicherstellen, dass personenbezogene Daten, die gesammelt, verwendet, aufbewahrt, weitergegeben und entsorgt werden, den Zielen der Einrichtung entsprechen.

Arten von SOC-Berichten

Nach Abschluss der Kontrollprüfung können zwei Arten von Berichten erstellt werden:

  • Typ-1-Bericht: untersucht das System eines Dienstleistungsanbieters und die Eignung der Gestaltung der Kontrollen zu einem bestimmten Zeitpunkt
  • Typ-2-Bericht: ergänzt den Typ-1-Bericht, indem auch die operative Wirksamkeit der Kontrollen über einen bestimmten Zeitraum untersucht wird

Wie SOC-Berichte verwendet werden

Unternehmen aus verschiedenen Branchen nutzen SOC-2-Berichte, um ihren Kunden gegenüber ihre Sorgfaltspflicht zu demonstrieren, sich von ihren Mitbewerbern durch ihre Sicherheitslage zu unterscheiden oder um gegenüber Prüfern proaktiv die Einhaltung von Datenschutzbestimmungen zu messen.

 

SOC 2-Anforderungen, die für das Risikomanagement von Drittanbietern relevant sind

Mit Risikomanagementlösungen von Drittanbietern können Sie die folgenden Kriterien für Vertrauensdienste erfüllen:

CC2.3: Die Organisation kommuniziert mit externen Parteien über Angelegenheiten, die das Funktionieren der internen Kontrolle betreffen.

Die Prevalent Third-Party Risk Management (TPRM)-Plattform verwaltet zentral den Dialog über Risiken, Berichterstattung und Abhilfemaßnahmen zwischen Unternehmen und ihren Drittanbietern, Lieferanten und Partnern. Darüber hinaus ermöglicht die Plattform die Speicherung von Berichten, Richtliniendokumenten, Verträgen und unterstützenden Nachweisen für den Dialog, die Bescheinigung und die gemeinsame Nutzung. Zusammen gewährleisten diese Funktionen, dass Unternehmen über ein einziges Repository für die Visualisierung und Verwaltung von Risiken, Anbieterdokumentation und Abhilfemaßnahmen verfügen.

CC3.2: Die Organisation identifiziert die Risiken für die Erreichung ihrer Ziele in der gesamten Organisation und analysiert die Risiken als Grundlage für die Entscheidung, wie die Risiken gesteuert werden sollen.

Die Prevalent TPRM-Plattform ermöglicht es Unternehmen, die kritischen Aufgaben zu automatisieren, die für die Bewertung, Verwaltung, kontinuierliche Überwachung und Behebung von Sicherheits-, Datenschutz-, Compliance-, Lieferketten- und beschaffungsbezogenen Risiken von Drittanbietern in jeder Phase des Lieferantenlebenszyklus erforderlich sind - vom Onboarding bis zum Offboarding.

Die Lösung bietet die Möglichkeit, punktuelle Risikobewertungen unter Verwendung von mehr als 125 verschiedenen Vorlagen zu erstellen und zu verwalten, die Ergebnisse zu analysieren sowie Cyber-, Geschäfts-, Reputations- und Finanzrisiken Dritter kontinuierlich zu überwachen, um einen ganzheitlichen Überblick über Dritte zu erhalten. Integrierte Berichtsvorlagen sorgen dafür, dass Sicherheits- und Risikomanagementteams die Ergebnisse von Risikobewertungen an Führungskräfte und andere Entscheidungsträger und Stakeholder weitergeben können.

CC3.4: Die Organisation identifiziert und bewertet Änderungen, die sich erheblich auf das interne Kontrollsystem auswirken könnten.

Die Prevalent-Plattform nutzt anpassbare Umfragen und Workflows, um während des Offboardings Berichte über den Systemzugriff, die Datenvernichtung, die Zugriffsverwaltung, die Einhaltung aller relevanten Gesetze, die Abschlusszahlungen und vieles mehr zu erstellen, um sicherzustellen, dass sich mit der Änderung von Vereinbarungen auch die Verantwortlichkeiten ändern.

Darüber hinaus bietet Prevalent Contract Essentials an, eine Lösung, die die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen zentralisiert. Sie umfasst Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.

CC9.2: Die Organisation bewertet und steuert die Risiken im Zusammenhang mit Anbietern und Geschäftspartnern.

Die Prevalent-Plattform ermöglicht es Unternehmen, die kritischen Aufgaben zu automatisieren, die für die Bewertung, Verwaltung, kontinuierliche Überwachung und Behebung von Sicherheits-, Datenschutz-, Compliance-, Lieferketten- und Beschaffungsrisiken von Drittanbietern in jeder Phase des Lieferantenlebenszyklus erforderlich sind - vom Onboarding bis zum Offboarding einschließlich:

  • Beschaffung & Auswahl: Prevalent Contract Essentials unterstützt das Lieferantenmanagement, die Beschaffung und die Rechtsabteilung bei der Vereinfachung des Prozesses der Erstellung und Verhandlung von Vertragsbedingungen und SLAs, der Verwaltung von Redlines und der Sicherstellung von Genehmigungen durch Workflow. Die Lösung ist vollständig in die TPRM-Plattform integriert und stellt sicher, dass Unternehmen Lieferantenverträge mit der gleichen Disziplin verwalten können, mit der sie auch Lieferantenrisiken managen. Erfahren Sie mehr über unsere Lösung für die Beschaffung und Auswahl von Lieferanten.
  • Intake & Onboarding / Inhärentes Risiko-Scoring: Die Prevalent-Plattform verfügt über ein Berichtswesen, das Risikotrends, Status und Ausnahmen von allgemeinem Verhalten für einzelne Anbieter oder Gruppen mit eingebetteten Erkenntnissen des maschinellen Lernens aufzeigt. Mit dieser Funktion können Teams schnell Ausreißer bei Bewertungen, Aufgaben, Risiken usw. erkennen, die eine weitere Untersuchung rechtfertigen könnten. Erfahren Sie mehr über unsere Lösung für das Vendor Onboarding und die inhärente Risiko-Scoring-Lösung.
  • Bewertung und Überwachung: Mit der Prevalent-Plattform können Sicherheits- und Risikomanagement-Teams Aufgaben im Zusammenhang mit der Verwaltung von Bewertungen manuell zuweisen oder eine vorgefertigte Bibliothek von ActiveRules nutzen, um eine Reihe von Aufgaben zu automatisieren, die normalerweise als Teil der Bewertungs- und Überprüfungsprozesse durchgeführt werden - wie z. B. das Aktualisieren von Anbieterprofilen und Risikoattributen, das Senden von Benachrichtigungen oder das Aktivieren von Arbeitsabläufen - unter Verwendung einer Wenn-dann-dass-Logik. Erfahren Sie mehr über unsere Lösung zur Risikobewertung und kontinuierlichen Überwachung.
  • SLA- und Leistungsmanagement: Die Prevalent-Plattform ermöglicht es den Managementteams von Anbietern, die zu verfolgenden Anforderungen festzulegen und die SLA- und Leistungsberichte zu diesen Anforderungen über ein einziges Berichts- und Analyse-Dashboard zu zentralisieren. Erfahren Sie mehr über unsere SLA- und Leistungsmanagement-Lösung.
  • Ausgliederung und Beendigung: Die Prevalent-Plattform nutzt anpassbare Umfragen und Arbeitsabläufe, um während des Offboardings Berichte über den Systemzugriff, die Datenvernichtung, die Zugriffsverwaltung, die Einhaltung aller relevanten Gesetze, Abschlusszahlungen und mehr zu erstellen. Erfahren Sie mehr über unsere Lösung zum Offboarding von Lieferanten.

P6.4: Die Organisation holt von Anbietern und anderen Dritten, die Zugang zu personenbezogenen Daten haben, Datenschutzzusagen ein, um die Ziele der Organisation in Bezug auf den Datenschutz zu erreichen. Die Organisation bewertet die Einhaltung dieser Verpflichtungen durch diese Parteien regelmäßig und bei Bedarf und ergreift gegebenenfalls Korrekturmaßnahmen.

Prevalent enthält integrierte Bewertungen für Datenschutzvorschriften wie GDPR, CCPA, HIPAA und NYDFS. Die Ergebnisse dieser Bewertungen werden in ein zentrales Risikoregister aufgenommen, in dem Sicherheits- und Risikomanagementteams potenzielle Risiken für Daten visualisieren und Maßnahmen ergreifen sowie die Maßnahmen eines Anbieters mit seinen vertraglichen Verpflichtungen vergleichen können.

Die Prevalent-Plattform enthält integrierte Anleitungen und Empfehlungen für Abhilfemaßnahmen. Sicherheits- und Risikomanagementteams können über die Plattform effizient mit Anbietern kommunizieren und Abhilfemaßnahmen koordinieren, Gespräche erfassen und prüfen sowie voraussichtliche Fertigstellungstermine aufzeichnen.

P6.5: Die Stelle lässt sich von Anbietern und anderen Dritten, die Zugang zu personenbezogenen Daten haben, verpflichten, die Stelle im Falle einer tatsächlichen oder vermuteten unbefugten Weitergabe personenbezogener Daten zu benachrichtigen. Solche Meldungen werden an das zuständige Personal weitergeleitet und gemäß den festgelegten Verfahren für die Reaktion auf Vorfälle bearbeitet, um die Ziele der Stelle in Bezug auf den Datenschutz zu erreichen.

Der Prevalent Third-Party Incident Response Service ermöglicht es Sicherheits- und Risikomanagement-Teams, die Auswirkungen von Datenschutzvorfällen schnell zu erkennen und zu mindern, indem sie Anbieter zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen.

SOC 2-Anforderungen, die für das Risikomanagement von Drittanbietern relevant sind
Mit den gängigen Risikomanagementlösungen für Dritte können Sie die folgenden Kriterien für Treuhanddienste erfüllen:
CC2.3: Die Organisation kommuniziert mit externen Parteien über Angelegenheiten, die das Funktionieren der internen Kontrolle betreffen. Die vorherrschende Plattform für Risikomanagement durch Dritte (TPRM) steuert zentral den Dialog über Risiken, Berichterstattung und Abhilfemaßnahmen zwischen Unternehmen und ihren Drittanbietern, Lieferanten und Partnern.

Darüber hinaus ermöglicht die Plattform die Speicherung von Berichten, Grundsatzdokumenten, Verträgen und Belegen für den Dialog, die Bescheinigung und den Austausch.

Zusammen gewährleisten diese Funktionen, dass Unternehmen über ein einziges Repository zur Visualisierung und Verwaltung von Risiken, Anbieterdokumentation und Abhilfemaßnahmen verfügen.
CC3.2: Die Organisation identifiziert die Risiken für die Erreichung ihrer Ziele in der gesamten Organisation und analysiert die Risiken als Grundlage für die Entscheidung, wie die Risiken gesteuert werden sollen. Die Prevalent TPRM-Plattform ermöglicht es Unternehmen, die kritischen Aufgaben zu automatisieren, die für die Bewertung, Verwaltung, kontinuierliche Überwachung und Behebung von Sicherheits-, Datenschutz-, Compliance-, Lieferketten- und beschaffungsbezogenen Risiken von Drittanbietern in jeder Phase des Lieferantenlebenszyklus erforderlich sind - vom Onboarding bis zum Offboarding.

Die Lösung bietet die Möglichkeit, punktuelle Risikobewertungen unter Verwendung von mehr als 125 verschiedenen Vorlagen zu erstellen und zu verwalten, die Ergebnisse zu analysieren sowie Cyber-, Geschäfts-, Reputations- und Finanzrisiken Dritter kontinuierlich zu überwachen, um einen ganzheitlichen Überblick über Dritte zu erhalten.

Integrierte Berichtsvorlagen sorgen dafür, dass Sicherheits- und Risikomanagementteams die Ergebnisse der Risikobewertung an Führungskräfte und andere Entscheidungsträger und Interessengruppen weitergeben können.
CC3.4: Die Organisation identifiziert und bewertet Änderungen, die sich erheblich auf das interne Kontrollsystem auswirken könnten. Die Prevalent-Plattform nutzt anpassbare Umfragen und Workflows, um während des Offboardings Berichte über den Systemzugriff, die Datenvernichtung, die Zugriffsverwaltung, die Einhaltung aller relevanten Gesetze, die Abschlusszahlungen und vieles mehr zu erstellen, um sicherzustellen, dass sich mit der Änderung von Vereinbarungen auch die Verantwortlichkeiten ändern.

Darüber hinaus bietet Prevalent Contract Essentials an, eine Lösung, die die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen zentralisiert. Sie umfasst Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.
CC9.2: Die Organisation bewertet und steuert die Risiken im Zusammenhang mit Anbietern und Geschäftspartnern. CC9.2: Die Organisation bewertet und steuert die Risiken im Zusammenhang mit Anbietern und Geschäftspartnern.

Die Prevalent-Plattform ermöglicht es Unternehmen, die kritischen Aufgaben zu automatisieren, die für die Bewertung, Verwaltung, kontinuierliche Überwachung und Behebung von Sicherheits-, Datenschutz-, Compliance-, Lieferketten- und Beschaffungsrisiken von Drittanbietern in jeder Phase des Lieferantenlebenszyklus erforderlich sind - vom Onboarding bis zum Offboarding einschließlich:

Beschaffung & Auswahl: Prevalent Contract Essentials unterstützt das Lieferantenmanagement, die Beschaffung und die Rechtsabteilung bei der Vereinfachung des Prozesses der Erstellung und Verhandlung von Vertragsbedingungen und SLAs, der Verwaltung von Redlines und der Sicherstellung von Genehmigungen durch Workflow. Die Lösung ist vollständig in die TPRM-Plattform integriert und stellt sicher, dass Unternehmen Lieferantenverträge mit der gleichen Disziplin verwalten können, mit der sie auch Lieferantenrisiken managen. Erfahren Sie mehr über unsere Lösung für die Beschaffung und Auswahl von Lieferanten.

Intake & Onboarding / Inhärentes Risiko-Scoring: Die Prevalent-Plattform verfügt über ein Berichtswesen, das Risikotrends, Status und Ausnahmen von allgemeinem Verhalten für einzelne Anbieter oder Gruppen mit eingebetteten Erkenntnissen des maschinellen Lernens aufzeigt. Mit dieser Funktion können Teams schnell Ausreißer bei Bewertungen, Aufgaben, Risiken usw. erkennen, die eine weitere Untersuchung rechtfertigen könnten. Erfahren Sie mehr über unsere Lösung für das Vendor Onboarding und die inhärente Risiko-Scoring-Lösung.

Bewertung und Überwachung: Mit der Prevalent-Plattform können Sicherheits- und Risikomanagement-Teams Aufgaben im Zusammenhang mit der Verwaltung von Bewertungen manuell zuweisen oder eine vorgefertigte Bibliothek von ActiveRules nutzen, um eine Reihe von Aufgaben zu automatisieren, die normalerweise als Teil der Bewertungs- und Überprüfungsprozesse durchgeführt werden - wie z. B. das Aktualisieren von Anbieterprofilen und Risikoattributen, das Versenden von Benachrichtigungen oder das Aktivieren von Workflows - unter Verwendung einer Wenn-dann-dass-Logik. Erfahren Sie mehr über unsere Lösung zur Risikobewertung und kontinuierlichen Überwachung.

SLA- und Leistungsmanagement: Die Prevalent-Plattform ermöglicht es den Managementteams von Anbietern, die zu verfolgenden Anforderungen festzulegen und die SLA- und Leistungsberichte zu diesen Anforderungen über ein einziges Berichts- und Analyse-Dashboard zu zentralisieren. Erfahren Sie mehr über unsere SLA- und Leistungsmanagement-Lösung.

Ausgliederung und Beendigung: Die Prevalent-Plattform nutzt anpassbare Umfragen und Workflows, um während des Offboardings über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und mehr zu berichten. Erfahren Sie mehr über unsere Lösung zum Offboarding von Lieferanten.
P6.4: Die Organisation holt von Anbietern und anderen Dritten, die Zugang zu personenbezogenen Daten haben, Datenschutzzusagen ein, um die Ziele der Organisation in Bezug auf den Datenschutz zu erreichen. Die Organisation bewertet die Einhaltung dieser Verpflichtungen durch diese Parteien regelmäßig und bei Bedarf und ergreift gegebenenfalls Korrekturmaßnahmen. Prevalent enthält integrierte Bewertungen für Datenschutzbestimmungen wie GDPR, CCPA, HIPAA und NYDFS. Die Ergebnisse dieser Bewertungen werden in ein zentrales Risikoregister aufgenommen, in dem die Sicherheits- und Risikomanagementteams potenzielle Risiken für die Daten visualisieren und Maßnahmen ergreifen sowie die Maßnahmen eines Anbieters mit seinen vertraglichen Verpflichtungen vergleichen können.

Die Prevalent-Plattform enthält integrierte Anleitungen und Empfehlungen für Abhilfemaßnahmen. Sicherheits- und Risikomanagementteams können über die Plattform effizient mit Anbietern kommunizieren und Abhilfemaßnahmen koordinieren, Gespräche erfassen und prüfen sowie voraussichtliche Fertigstellungstermine aufzeichnen.
P6.5: Die Stelle lässt sich von Anbietern und anderen Dritten, die Zugang zu personenbezogenen Daten haben, verpflichten, die Stelle im Falle einer tatsächlichen oder vermuteten unbefugten Weitergabe personenbezogener Daten zu benachrichtigen. Solche Meldungen werden an das zuständige Personal weitergeleitet und gemäß den festgelegten Verfahren für die Reaktion auf Vorfälle bearbeitet, um die Ziele der Stelle in Bezug auf den Datenschutz zu erreichen. Der Prevalent Third-Party Incident Response Service ermöglicht es Sicherheits- und Risikomanagement-Teams, die Auswirkungen von Datenschutzvorfällen schnell zu erkennen und zu mindern, indem sie Anbieter zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen.

Umgang mit SOC 2 mit Prevalent

Der SOC 2-Bericht des AICPA ist ein branchenübliches Rahmenwerk für IT-Dienstleistungsunternehmen zur Bewertung ihrer Kontrollen von Kundendaten. Da einige Unternehmen, denen es an internen Ressourcen für die Beantwortung von Sicherheitsbewertungen mangelt, ihren Kunden stattdessen einen SOC-2-Bericht vorlegen, kann es für die Teams zeitaufwändig und komplex sein, die Ergebnisse des SOC-2-Berichts in eine Risikomanagementlösung zu übertragen, um die Risiken ordnungsgemäß zu verfolgen.

Mit Prevalent können Sie die Anforderungen des SOC 2-Risikomanagements für Dritte erfüllen:

  • Bewertung von Drittparteien mit einem umfassenden SOC 2-basierten Fragebogen
  • Automatische Erstellung eines Risikoregisters nach Abschluss der Erhebung, um potenzielle Problembereiche aufzuspüren
  • Erstellung eines Prüfpfads, der die Dokumentation und die Nachweise den Risiken und Anbietern zuordnet
  • Berichterstattung zur Einhaltung von SOC 2

Wir bieten auch einen SOC 2-Ausnahme-Analyse-Service an, einen verwalteten Service, der vom Prevalent Risk Operations Center (ROC) erbracht wird und der die Kontrollausnahmen des SOC 2-Berichts in Risiken in der Prevalent Third-Party Risk Management Platform umsetzt. Das daraus resultierende einheitliche Risikoregister ermöglicht eine koordinierte Risikoreaktion und -behebung nach einem standardisierten Ansatz und stellt sicher, dass Sie über ein umfassendes Profil aller Anbieter verfügen - auch derjenigen, die einen SOC 2-Bericht anstelle einer vollständigen Sicherheitsbewertung einreichen.

Wenn Sie mehr erfahren möchten, besuchen Sie unsere SOC 2-Lösungsseite oder fordern Sie noch heute eine Demo an.

 

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. All rights reserved.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. All rights reserved.