SOC 1, 2 oder 3: Was ist das Beste für Sie?
Fast ein Jahrzehnt nach der Einführung von Service Organization Controls (SOC) herrscht immer noch Verwirrung über die Vielfalt und die Zusammenhänge von SOC-Audits.
Oberflächlich betrachtet scheint es drei Arten von SOC-Berichten zu geben, und innerhalb dieser drei Arten gibt es zwei Untertypen. Wenn einige kritische oder risikoreiche Anbieter ein SOC 1 und andere ein SOC 2 oder sogar ein SOC 3 vorlegen, wie können Sie dann den Unterschied erkennen? Und woher wissen Sie, wann und warum Sie die einzelnen Berichte verwenden sollten?
Die Unterschiede zwischen SOC 1, 2 und 3
Ein SOC-1-Audit ist ein vertraulicher Bericht, der die Wirksamkeit der internen Kontrollen eines Drittanbieters detailliert beschreibt, die für die interne Kontrolle der Finanzberichterstattung des Kunden von Bedeutung sein können.
SOC 1-Audits können entweder vom Typ 1 (die sich auf die Kontrollen eines Anbieters konzentrieren) oder vom Typ 2 (die die Konzeption und die operative Wirksamkeit der wichtigsten internen Kontrollen über einen Zeitraum von in der Regel nicht weniger als sechs Monaten testen) sein.
Die SOC 1-Prüfung basiert auf dem SSAE 18-Standard, einem neuen Prüfungsstandard mit einem breiteren Anwendungsbereich, der wichtige Erkenntnisse über vierte Parteien enthält.
Bei einer SOC-2-Prüfung werden interne Kontrollen, Richtlinien und Verfahren bewertet, die sich direkt auf die Sicherheit von Systemen bei Dritt- und Viertanbietern beziehen. Das SOC 2 ist ein vertraulicher Bericht, der die Einhaltung der Trust Services Criteria durch den Anbieter feststellt:
- Sicherheit
- Verfügbarkeit
- Integrität der Verarbeitung
- Vertraulichkeit
- Datenschutz
Ein SOC 3-Bericht basiert ebenfalls auf den Kriterien für Vertrauensdienste. Er kann frei verteilt werden und ist nicht vertraulich. Ein SOC 3-Bericht enthält keine Beschreibung des Systems des Dienstleistungsunternehmens. Stattdessen enthält er eine Zusammenfassung des Berichts des Wirtschaftsprüfers.
Implementierung einer einzigen Quelle der Wahrheit
SOC-Berichte können zwischen 50 und 250 Seiten lang sein. Wenn Sie nicht über das Fachwissen oder die Zeit verfügen, die umfangreichen Ergebnisse Ihrer SOC-Berichte zu prüfen, zu verstehen und zu belegen, kann ein Anbieter-Risikomanagement-System (VRM) diese Arbeit für Sie automatisieren.
VRM-Lösungen können SOC-Kontrollprüfungsberichte nach Vorlage Ihres Unternehmens oder auf direkte Anfrage beim Anbieter überprüfen. Ein Team erstellt dann einen Abschlussbericht, der die Risikoanalyse und die Ergebnisse zusammenfasst.
Als Teil der Zusammenarbeit mit einer VRM-Lösung erhalten Sie eine einzige Referenzquelle mit allem, was Sie brauchen, an einem Ort. Die Bewertung und der Abschlussbericht, Ihre dokumentierte Überprüfung unserer Ergebnisse und die Bescheinigung über ergänzende Kontrollen sowie die Dokumente des Lieferanten werden in Ihre elektronischen Lieferantenordner hochgeladen.
Wenn Sie überlegen, welche Berichte Ihrer Dritt- und Viertanbieter den Anforderungen Ihres Unternehmens entsprechen, müssen Sie zunächst die verschiedenen Arten von SOC-Audits verstehen. Mehr über die Unterschiede zwischen SOC 1, 2 und 3, Herunterladen und Lesen das Whitepaper "SOC 1, 2 oder 3: Was ist das Beste für Sie?".
Verteidigen Sie sich gegen Anbieter- und Unternehmensrisiken
Erfahren Sie mehr über unsere branchenführenden VRM/ERM-Lösungen.