https://www.kleeberg.de/en/team/andreas-ertl/
https://www.kleeberg.de/en/team/julian-liebmann/
https://www.kleeberg.de/en/team/nils-klaube/
https://www.kleeberg.de/en/team/hannes-blum/
https://www.kleeberg.de/en/team/mario-karstens/
https://www.kleeberg.de/team/julia-zehetmaier/
https://www.kleeberg.de/en/team/alexander-weyer/
https://www.kleeberg.de/en/team/anna-guenther/
https://www.kleeberg.de/en/team/sebastian-schoffel/
https://www.kleeberg.de/en/team/meltem-minkan/
https://www.kleeberg.de/en/team/alexander-gressierer/
https://www.kleeberg.de/en/team/lisa-spirkl/
https://www.kleeberg.de/en/team/arzum-esterhammer/
https://www.kleeberg.de/en/team/nepomuk-graf-von-hundt-zu-lautterbach/
https://www.kleeberg.de/en/team/magdalena-wimmer-2/
https://www.kleeberg.de/en/team/paul-grimm/
https://www.kleeberg.de/en/team/karolin-knipfer/
https://www.kleeberg.de/en/team/tim-zumbach/
https://www.kleeberg.de/en/team/amelie-merath/
https://www.kleeberg.de/en/team/aylin-oezcan/
https://www.kleeberg.de/en/team/annika-ruettgers/
https://www.kleeberg.de/en/team/volker-blau/
https://www.kleeberg.de/en/team/kathrin-hamann/
https://www.kleeberg.de/en/team/angela-popp/
https://www.kleeberg.de/en/team/sebastian-sieber/
https://www.kleeberg.de/en/team/stefan-reutin/
https://www.kleeberg.de/en/team/jacqueline-goldberg/
https://www.kleeberg.de/en/team/stefan-latteyer/
https://www.kleeberg.de/en/team/lorenz-neu/
https://www.kleeberg.de/en/team/frank-straser/
https://www.kleeberg.de/en/team/jasmin-morz/
https://www.kleeberg.de/en/team/karl-nagengast/
https://www.kleeberg.de/en/team/katharina-monius/
https://www.kleeberg.de/en/team/joana-maria-ordinas-ordinas/
https://www.kleeberg.de/en/team/sanja-mitrovic/
https://www.kleeberg.de/en/team/karl-petersen/
https://www.kleeberg.de/en/team/katharina-julia-missio/
https://www.kleeberg.de/en/team/hermann-plankensteiner/
https://www.kleeberg.de/en/team/ronald-mayer/
https://www.kleeberg.de/en/team/dieter-mann/
https://www.kleeberg.de/en/team/stefan-prechtl/
https://www.kleeberg.de/en/team/lars-ludemann/
https://www.kleeberg.de/en/team/sabine-lentz/
https://www.kleeberg.de/en/team/katharina-lauschke/
https://www.kleeberg.de/en/team/daniel-lauschke/
https://www.kleeberg.de/en/team/philipp-rinke/
https://www.kleeberg.de/en/team/kai-peter-kunkele/
https://www.kleeberg.de/en/team/alexander-kruger/
https://www.kleeberg.de/en/team/yasemin-roth/
https://www.kleeberg.de/en/team/hans-martin-sandleben/
https://www.kleeberg.de/en/team/beate-konig/
https://www.kleeberg.de/en/team/anna-maria-scheidl-klose/
https://www.kleeberg.de/en/team/andreas-knatz/
https://www.kleeberg.de/en/team/christian-klose/
https://www.kleeberg.de/en/team/reinhard-schmid/
https://www.kleeberg.de/en/team/jurgen-schmidt/
https://www.kleeberg.de/en/team/thea-schopf/
https://www.kleeberg.de/en/team/steffen-sieber/
https://www.kleeberg.de/en/team/sandra-inioutis/
https://www.kleeberg.de/en/team/martina-strobel/
https://www.kleeberg.de/en/team/michael-h-thiel/
https://www.kleeberg.de/en/team/michael-vodermeier/
https://www.kleeberg.de/en/team/robert-hortnagl/
https://www.kleeberg.de/en/team/monika-walke/
https://www.kleeberg.de/en/team/birgit-hofmann/
https://www.kleeberg.de/en/team/erwin-herzing/
https://www.kleeberg.de/en/team/martina-hermes/
https://www.kleeberg.de/en/team/stephanie-gruber-jorg/
https://www.kleeberg.de/en/team/thomas-gottler/
https://www.kleeberg.de/en/team/kristin-fichter/
https://www.kleeberg.de/en/team/juliana-engesser/
https://www.kleeberg.de/en/team/tobias-ehrich/
https://www.kleeberg.de/en/team/gerhard-de-la-paix/
https://www.kleeberg.de/en/team/bettina-wegener/
https://www.kleeberg.de/en/team/markus-wittmann/
https://www.kleeberg.de/en/team/julia-busch/
https://www.kleeberg.de/en/team/corinna-boecker/
https://www.kleeberg.de/en/team/christoph-bode/
https://www.kleeberg.de/en/team/christian-binder/
https://www.kleeberg.de/en/team/frank-behrenz/
https://www.kleeberg.de/en/team/hannes-zieglmaier/
https://www.kleeberg.de/en/team/christian-zwirner/
https://www.kleeberg.de/en/team/dirk-baum/
https://www.kleeberg.de/en/team/teresa-ammer/
Search
Close this search box.

If you would like to arrange an appointment or receive further information about our firm, or if you have any questions, comments or suggestions for improvement, please do not hesitate to contact us. We look forward to hearing from you!

Dr. Kleeberg & Partner Gmbh
Audit & Accountancy Company
Tax Advisory Company

Augustenstraße 10
80333 Munich
Germany

Phone +49(0)89-55983-0
Fax +49(0)89-55983-280

E-Mail 

Your way to our office:
Arrival (Google Maps)

If you arrive by car, reserved parking spaces are available in our underground car park.

Zurück zum Kleeberg Blog

Die SOC 2-Prüfung

Von Dienstleistern wird immer häufiger eine sogenannte SOC 2-Prüfung verlangt. Sie ist Teil von Ausschreibungsverfahren oder wird als begleitender Baustein der Dienstleistung vertraglich vereinbart. Doch was ist eine SOC 2-Prüfung genau und wer zieht einen Nutzen daraus? Wir zeigen Ihnen, was hinter einer solchen Prüfung steckt und fassen für Sie die wichtigsten Komponenten zusammen.

Auslagerung von (Teil-)Prozessen

In einer vernetzten Welt spielt das Outsourcing von Prozessen eine immer größere Rolle. Dienstleister (Service Provider) sind Spezialisten auf ihrem Gebiet, und daher ist es oft wirtschaftlicher, seine (Teil-)Prozesse auszulagern, als sie selbst im Unternehmen umzusetzen. Der heutige Stand der Digitalisierung ermöglicht einen hohen Grad an Modularität und Flexibilität und erleichtert das Andocken unterschiedlicher Systeme und Plattformen an die eigene Infrastruktur.
 
Es geht z.B. um die Verwaltung von Usern und Rechten über eine Portallösung für Identity Management, um das klassische Hosting von IT-Systemen oder um die Verarbeitung und Aufbewahrung von Dokumenten (Belegen). All diese Leistungen lassen sich unter den Begriffen “IaaS” (Infrastructure as a Service), “SaaS” (Software as a Service) und “PaaS” (Platform as a Service) zusammenfassen.

Was ist der Zweck einer SOC 2-Prüfung?

Ein auslagerndes Unternehmen hat selten die Möglichkeit, bei seinem Dienstleister hinter die Kulissen zu schauen. Natürlich können Audits vereinbart werden. Diese bieten aber keinen detaillierten Einblick oder stellen eine zunehmende Belastung für den Dienstleister dar, der für jedes Audit Ressourcen vorhalten muss. Es sollte also eine gemeinsame Basis geben, auf die sich beide Seiten verständigen können: das ist das interne Kontrollsystem des Dienstleisters.

Ein internes Kontrollsystem beinhaltet Vorgaben, Regelungen und Maßnahmen, die nur eines zum Ziel haben: die Risiken, die auf einen Prozess einwirken, zu beherrschen. Ein auslagerndes Unternehmen hat also großes Interesse daran, dass das interne Kontrollsystem des Dienstleisters alle wesentlichen Risiken abdeckt, die großen Einfluss auf die ausgelagerten Prozesse haben. Nicht weniger wichtig ist die Gewissheit, dass die Regelungen beim Dienstleister auch tatsächlich eingehalten werden.

Eine SOC 2-Prüfung („System and Organization Controls“) setzt genau an dieser Stelle an und bietet einen transparenten Einblick in die Abläufe beim Dienstleister. Es geht also um die Verlässlichkeit des internen Kontrollsystems beim Dienstleister. Dabei muss es sich nicht unbedingt um ein Dienstleistungsunternehmen handeln, welches Dritten gegenüber Leistungen erbringt. Es können auch Shared Service Center, Abteilungen oder sogar nur operative Einheiten sein, die in einem Unternehmen oder einer Unternehmensgruppe tätig sind.

Wie ist das interne Kontrollsystem aufgebaut?

Bei einer SOC 2-Prüfung wird ein bestimmter Kriterienkatalog zugrunde gelegt, die sogenannte Trust Services Criteria. Diese Kriterien wurden vom amerikanischen Institut der Wirtschaftsprüfer entwickelt und sind mit anderen Kriterienkatalogen wie dem ISO 27001, den COBIT oder dem C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) vergleichbar.

Die Kriterien der Trust Services Criteria sind in diese Bereiche eingeteilt:

BereichEnthält Kriterien zuBestandteilKriterien
Basis (COSO-Framework)Kontrollumfeld, Risikobeurteilung, Überwachung, Information & Kommunikation, KontrollaktivitätenPflicht12
Security (Sicherheit)Logical & Physical Access, System Operations, Change Management, Risk MitigationPflicht16
Availability (Verfügbarkeit)Processing Capacity, Environmental Protectionoptional3
Confidentiality (Vertraulichkeit)Identification, Protection, Disposaloptional2
Processing Integrity (Prozessintegrität)u.a. Evaluation, Error Detection, Output Protectionoptional5
Privacy (Datenschutz)u.a. Protection of Personal Information, Disposaloptional18


Die Kriterien geben die Ausgestaltung des internen Kontrollsystems vor. Der Kriterienkatalog macht aber keine konkreten Vorgaben an die Regelungen und Maßnahmen, sondern besagt lediglich auf allgemeiner Ebene, dass Regelungen z.B. zum User- und Rechtemanagement, zur Qualitätssicherung bei der Datenverarbeitung, bei der Absicherung von Netzwerken oder bei der Notfallkonzeption umgesetzt werden müssen.

Das Besondere an den Trust Services Criteria ist der modulare Aufbau. Es gibt einen allgemeinen Bereich (Basis) und einen Security-Bereich, deren insgesamt 28 Kriterien verpflichtend im internen Kontrollsystem umzusetzen sind. Die weiteren Bereiche sind optional. Wenn der Dienstleister z.B. keine kundenbezogene Datenverarbeitung durchführt, macht der Bereich “Processing Integrity” keinen Sinn. Die fünf Kriterien aus diesem Bereich müssen deshalb nicht im internen Kontrollsystem umgesetzt werden. Das interne Kontrollsystem passt sich an die Gegebenheiten beim Dienstleister an.

Die Bereiche der Trust Services Criteria mit den Pflichtteilen Basis und Security und den optionalen Teilen.

Der dahinterstehende Qualitätsgedanke der Trust Services Criteria macht es nochmal deutlich: Wird einer der optionalen Bereiche beim Aufbau des internen Kontrollsystems inkludiert, so sind auch für alle darin aufgezählten Kriterien entsprechende Regelungen zu implementieren. Ein internes Kontrollsystem mit den Bereichen Basis, Security und Confidentiality deckt also alle 30 geforderten Kriterien ab. Dies gibt dem auslagernden Unternehmen die Gewissheit, dass die Bereiche in ihrer Gänze erfüllt sind und ein Mindeststandard eingehalten wird.

Wie läuft eine SOC 2-Prüfung ab?

Für eine Prüfung spielt das interne Kontrollsystem die entscheidende Rolle. Es muss dokumentiert vorliegen, und zwar in einem gesonderten Dokument. Oftmals verteilen sich die Regelungen und Maßnahmen über verschiedene Dokumente, manche sind vielleicht gar nicht dokumentiert, weil solche Abläufe seit vielen Jahren einfach existieren. Die Hauptaufgabe des Dienstleisters, der sich einer solchen Prüfung unterziehen möchte, lautet also erst einmal: dokumentieren. Wenn man bedenkt, dass es meistens mehrere Regelungen und Maßnahmen braucht, um ein gefordertes Kriterium zu erfüllen, wird klar, dass das interne Kontrollsystem bei einer SOC 2-Prüfung gut und gerne über 100 Regelungen und Maßnahmen umfasst.
 
Die SOC 2-Prüfung wird von einem unabhängigen Wirtschaftsprüfer wie der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft durchgeführt. Hierbei werden nacheinander alle Regelungen und Maßnahmen begutachtet. Man spricht mit den Prozessverantwortlichen, lässt sich die Abläufe demonstrieren, nimmt Einsicht in Dokumentationen und die eingesetzten Anwendungen wie z.B. Ticketsysteme, Software Development Life Cycle Tools, ERP-Systeme oder Identity Management Tools. Der Wirtschaftsprüfer macht sich also ein Bild davon, ob die beim Dienstleister vorherrschenden Regelungen und Maßnahmen gut umgesetzt sind und die geforderten Kriterien der Trust Services Criteria erfüllen.

Zusätzlich vergewissert sich der Wirtschaftsprüfer, ob die Regelungen und Maßnahmen auch tatsächlich durchgeführt wurden, ob sie also “wirksam” sind (nur Typ 2, siehe nachfolgender Absatz). Er muss dazu vielfach Stichproben ziehen, die einen vorher festgelegten Zeitraum (meist das vergangene Jahr) abdecken. Ein gutes Beispiel sind Mitarbeiter, die aus dem Unternehmen ausscheiden. Deren User im System sollten zeitnah gesperrt werden, um Missbrauch vorzubeugen. Eine Stichprobe über ausgeschiedene Mitarbeiter des letzten Jahres und die Überprüfung von Logfiles soll dann Gewissheit darüber bringen, ob solche User wirklich umgehend gesperrt werden.

Umfasst die Prüfung einen bestimmten Zeitraum, so spricht man von einer Typ 2-Prüfung. Bezieht sie sich nur auf einen Zeitpunkt, ist das eine Typ 1-Prüfung. Geht es aus Sicht der auslagernden Unternehmen darum, Sicherheit über die Abläufe beim Dienstleister zu gewinnen, so kann dies nur eine Typ 2-Prüfung leisten.

Was sind die Vorteile der SOC 2-Prüfung?

Das Endprodukt einer SOC 2-Prüfung ist der Bericht des Wirtschaftsprüfers. Darin sind seine Prüfungshandlungen beschrieben. Eine Zusammenfassung sagt aus, ob das interne Kontrollsystem des Dienstleisters die geforderten Kriterien abdeckt und (bei einer Typ 2-Prüfung) wirksam war. Der Bericht beinhaltet auch das dokumentierte interne Kontrollsystem des Dienstleisters. Erst damit sind eine transparente Berichterstattung und ein Verständnis der Regelungen möglich.

Dienstleister, die sich einer solchen Prüfung stellen, haben mehrere Vorteile:

  • Sie zeigen (potentiellen) Kunden, dass ihre internen Abläufe einem öffentlichen Mindeststandard genügen. Jeder Adressat, der den Bericht erhält, kann sich selbst ein eingehendes Bild machen. Eine solche Transparenz schafft enormes Vertrauen.
  • Dienstleister können den Zeitpunkt und den internen Aufwand einer solchen Prüfung besser planen und müssen sich nicht zahlreichen Audits stellen. Anstelle von Kundenaudits kann der Bericht herausgegeben werden.
  • Ein internes Kontrollsystem steht niemals still. Es ist ständigen Änderungen unterworfen. Eine SOC 2-Prüfung ist ein wertvolles Feedback für den Dienstleister, um seine Abläufe weiter zu verbessern.

Die auslagernden Unternehmen haben ebenso Vorteile aus einer SOC 2-Prüfung bei ihrem Dienstleister:

  • Die Verantwortung für die ausgelagerten Prozesse verbleibt beim auslagernden Unternehmen. Die Berichterstattung des unabhängigen Wirtschaftsprüfers ist daher ein wichtiger Nachweis für die Compliance im eigenen Unternehmen.
  • Auslagernde Unternehmen können sich ein Bild von den Abläufen beim Dienstleister machen. Der Bericht dient auch dazu zu erkennen, wo das auslagernde Unternehmen selbst noch Schwächen oder Pflichten im eigenen internen Kontrollsystem hat, um seine Prozesse sicher auszugestalten.

Das Wichtigste zum Schluss

Wir von der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft beraten Sie kompetent und begleiten Sie durch eine SOC 2-Prüfung. Neben der eigentlichen Prüfung bieten wir auch Readiness Workshops an, in denen wir mit Ihnen das vorhandene interne Kontrollsystem einem Soll-Ist-Abgleich unterziehen. Kommen Sie einfach auf uns zu!

Zusammenfassung (2 min Lesezeit)

  • Eine SOC 2-Prüfung wird beim Dienstleister durchgeführt. Es können auch Shared Service Center, Abteilungen oder kleinere Einheiten sein.
  • Geprüft wird das interne Kontrollsystem des Dienstleisters.
  • Das interne Kontrollsystem muss nach dem Kriterienkatalog der Trust Services Criteria aufgebaut sein.
  • Die Trust Services Criteria enthalten einen Pflichtteil (Basis und Security) sowie optionale Bausteine zu Availability, Confidentiality, Processing Integrity und Privacy.
  • Das interne Kontrollsystem muss mit seinen Regelungen alle Kriterienvorgaben aus den einzelnen Bereichen erfüllen. Damit wird ein öffentlicher Mindeststandard erfüllt.
  • Ein internes Kontrollsystem umfasst nicht selten 100 oder mehr Regelungen und Maßnahmen.
  • Das interne Kontrollsystem muss in einem separaten Dokument dargestellt sein.
  • Die Prüfung wird von einem unabhängigen Wirtschaftsprüfer wie der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft durchgeführt.
  • Eine Typ 1-Prüfung fokussiert auf einen Zeitpunkt. Eine Typ 2-Prüfung bezieht einen längeren Zeitraum mit ein und hat damit die größere Aussagekraft.
  • Der Output der Prüfung ist ein Bericht mit einer Aussage zur Angemessenheit (Typ 1+2) und Wirksamkeit (nur Typ 2) des internen Kontrollsystems.
  • Der Bericht kann an die auslagernden Unternehmen gegeben werden, die ihre (Teil-)Prozesse auf den Dienstleister ausgelagert haben.
  • Der Bericht macht das interne Kontrollsystem des Dienstleisters transparent.
  • Der Dienstleister schafft damit Vertrauen in seine Dienste.
  • Das auslagernde Unternehmen erfüllt damit seine Compliance-Pflichten.

Weitere interessante Themen

Entwicklung der Rechnungslegung am deutschen Kapitalmarkt von 1997 bis 2023

Im Folgenden wird die Entwicklung der prozentualen Anzahl von nach IFRS bilanzierenden Unternehmen am deutschen Kapitalmarkt – in DAX, MDAX, SDAX und TecDAX – in der Zeit von 1997 bis 2023 dargestellt. Aufgrund von europarechtlichen Vorgaben bilanziert spätestens seit dem Jahr 2005 die überwiegende Mehrheit der bezeichneten Unternehmen nach IFRS. Die IFRS sind bis heute […]
to the post
Tax

Besteuerung von Private Equity Fonds

Die Anlageklasse Private Equity erfreut sich in den letzten Jahren und Jahrzehnten einer wachsenden Beliebtheit bei privaten und institutionellen Anlegern. Mit dem Investment in PE-Fonds können zum einen Überrenditen erzielt werden, zum anderen ist hierbei erhöhte steuerliche Vorsicht geboten. Neben der Feststellung des zutreffenden steuerlichen Ergebnisses ist auch der deutschen Hinzurechnungsbesteuerung erhöhte Aufmerksamkeit zu schenken. […]
to the post

Umsatzsteuerliche Unternehmereigenschaft von Aufsichtsratsmitgliedern

Die Frage, inwieweit Aufsichtsratsmitgliedern eine umsatzsteuerliche Unternehmereigenschaft zukommt, wurde in der Vergangenheit nicht einheitlich beantwortet. Die Finanzverwaltung stellt hierzu darauf ab, ob die entsprechende Vergütung variable Bestandteile beinhaltet. Neue Rechtsprechung legt derweil nahe, dass dies nur einer von vielen Beurteilungskriterien darstellt und dass Aufsichtsratsmitglieder in Deutschland vor diesem Hintergrund wohl nicht als selbstständig und als […]
to the post