Topics

Die SOC 2-Prüfung

Von Dienstleistern wird immer häufiger eine sogenannte SOC 2-Prüfung verlangt. Sie ist Teil von Ausschreibungsverfahren oder wird als begleitender Baustein der Dienstleistung vertraglich vereinbart. Doch was ist eine SOC 2-Prüfung genau und wer zieht einen Nutzen daraus? Wir zeigen Ihnen, was hinter einer solchen Prüfung steckt und fassen für Sie die wichtigsten Komponenten zusammen.

Auslagerung von (Teil-)Prozessen

In einer vernetzten Welt spielt das Outsourcing von Prozessen eine immer größere Rolle. Dienstleister (Service Provider) sind Spezialisten auf ihrem Gebiet, und daher ist es oft wirtschaftlicher, seine (Teil-)Prozesse auszulagern, als sie selbst im Unternehmen umzusetzen. Der heutige Stand der Digitalisierung ermöglicht einen hohen Grad an Modularität und Flexibilität und erleichtert das Andocken unterschiedlicher Systeme und Plattformen an die eigene Infrastruktur.
 
Es geht z.B. um die Verwaltung von Usern und Rechten über eine Portallösung für Identity Management, um das klassische Hosting von IT-Systemen oder um die Verarbeitung und Aufbewahrung von Dokumenten (Belegen). All diese Leistungen lassen sich unter den Begriffen “IaaS” (Infrastructure as a Service), “SaaS” (Software as a Service) und “PaaS” (Platform as a Service) zusammenfassen.

Was ist der Zweck einer SOC 2-Prüfung?

Ein auslagerndes Unternehmen hat selten die Möglichkeit, bei seinem Dienstleister hinter die Kulissen zu schauen. Natürlich können Audits vereinbart werden. Diese bieten aber keinen detaillierten Einblick oder stellen eine zunehmende Belastung für den Dienstleister dar, der für jedes Audit Ressourcen vorhalten muss. Es sollte also eine gemeinsame Basis geben, auf die sich beide Seiten verständigen können: das ist das interne Kontrollsystem des Dienstleisters.

Ein internes Kontrollsystem beinhaltet Vorgaben, Regelungen und Maßnahmen, die nur eines zum Ziel haben: die Risiken, die auf einen Prozess einwirken, zu beherrschen. Ein auslagerndes Unternehmen hat also großes Interesse daran, dass das interne Kontrollsystem des Dienstleisters alle wesentlichen Risiken abdeckt, die großen Einfluss auf die ausgelagerten Prozesse haben. Nicht weniger wichtig ist die Gewissheit, dass die Regelungen beim Dienstleister auch tatsächlich eingehalten werden.

Eine SOC 2-Prüfung („System and Organization Controls“) setzt genau an dieser Stelle an und bietet einen transparenten Einblick in die Abläufe beim Dienstleister. Es geht also um die Verlässlichkeit des internen Kontrollsystems beim Dienstleister. Dabei muss es sich nicht unbedingt um ein Dienstleistungsunternehmen handeln, welches Dritten gegenüber Leistungen erbringt. Es können auch Shared Service Center, Abteilungen oder sogar nur operative Einheiten sein, die in einem Unternehmen oder einer Unternehmensgruppe tätig sind.

Wie ist das interne Kontrollsystem aufgebaut?

Bei einer SOC 2-Prüfung wird ein bestimmter Kriterienkatalog zugrunde gelegt, die sogenannte Trust Services Criteria. Diese Kriterien wurden vom amerikanischen Institut der Wirtschaftsprüfer entwickelt und sind mit anderen Kriterienkatalogen wie dem ISO 27001, den COBIT oder dem C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) vergleichbar.

Die Kriterien der Trust Services Criteria sind in diese Bereiche eingeteilt:

BereichEnthält Kriterien zuBestandteilKriterien
Basis (COSO-Framework)Kontrollumfeld, Risikobeurteilung, Überwachung, Information & Kommunikation, KontrollaktivitätenPflicht12
Security (Sicherheit)Logical & Physical Access, System Operations, Change Management, Risk MitigationPflicht16
Availability (Verfügbarkeit)Processing Capacity, Environmental Protectionoptional3
Confidentiality (Vertraulichkeit)Identification, Protection, Disposaloptional2
Processing Integrity (Prozessintegrität)u.a. Evaluation, Error Detection, Output Protectionoptional5
Privacy (Datenschutz)u.a. Protection of Personal Information, Disposaloptional18


Die Kriterien geben die Ausgestaltung des internen Kontrollsystems vor. Der Kriterienkatalog macht aber keine konkreten Vorgaben an die Regelungen und Maßnahmen, sondern besagt lediglich auf allgemeiner Ebene, dass Regelungen z.B. zum User- und Rechtemanagement, zur Qualitätssicherung bei der Datenverarbeitung, bei der Absicherung von Netzwerken oder bei der Notfallkonzeption umgesetzt werden müssen.

Das Besondere an den Trust Services Criteria ist der modulare Aufbau. Es gibt einen allgemeinen Bereich (Basis) und einen Security-Bereich, deren insgesamt 28 Kriterien verpflichtend im internen Kontrollsystem umzusetzen sind. Die weiteren Bereiche sind optional. Wenn der Dienstleister z.B. keine kundenbezogene Datenverarbeitung durchführt, macht der Bereich “Processing Integrity” keinen Sinn. Die fünf Kriterien aus diesem Bereich müssen deshalb nicht im internen Kontrollsystem umgesetzt werden. Das interne Kontrollsystem passt sich an die Gegebenheiten beim Dienstleister an.

Die Bereiche der Trust Services Criteria mit den Pflichtteilen Basis und Security und den optionalen Teilen.

Der dahinterstehende Qualitätsgedanke der Trust Services Criteria macht es nochmal deutlich: Wird einer der optionalen Bereiche beim Aufbau des internen Kontrollsystems inkludiert, so sind auch für alle darin aufgezählten Kriterien entsprechende Regelungen zu implementieren. Ein internes Kontrollsystem mit den Bereichen Basis, Security und Confidentiality deckt also alle 30 geforderten Kriterien ab. Dies gibt dem auslagernden Unternehmen die Gewissheit, dass die Bereiche in ihrer Gänze erfüllt sind und ein Mindeststandard eingehalten wird.

Wie läuft eine SOC 2-Prüfung ab?

Für eine Prüfung spielt das interne Kontrollsystem die entscheidende Rolle. Es muss dokumentiert vorliegen, und zwar in einem gesonderten Dokument. Oftmals verteilen sich die Regelungen und Maßnahmen über verschiedene Dokumente, manche sind vielleicht gar nicht dokumentiert, weil solche Abläufe seit vielen Jahren einfach existieren. Die Hauptaufgabe des Dienstleisters, der sich einer solchen Prüfung unterziehen möchte, lautet also erst einmal: dokumentieren. Wenn man bedenkt, dass es meistens mehrere Regelungen und Maßnahmen braucht, um ein gefordertes Kriterium zu erfüllen, wird klar, dass das interne Kontrollsystem bei einer SOC 2-Prüfung gut und gerne über 100 Regelungen und Maßnahmen umfasst.
 
Die SOC 2-Prüfung wird von einem unabhängigen Wirtschaftsprüfer wie der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft durchgeführt. Hierbei werden nacheinander alle Regelungen und Maßnahmen begutachtet. Man spricht mit den Prozessverantwortlichen, lässt sich die Abläufe demonstrieren, nimmt Einsicht in Dokumentationen und die eingesetzten Anwendungen wie z.B. Ticketsysteme, Software Development Life Cycle Tools, ERP-Systeme oder Identity Management Tools. Der Wirtschaftsprüfer macht sich also ein Bild davon, ob die beim Dienstleister vorherrschenden Regelungen und Maßnahmen gut umgesetzt sind und die geforderten Kriterien der Trust Services Criteria erfüllen.

Zusätzlich vergewissert sich der Wirtschaftsprüfer, ob die Regelungen und Maßnahmen auch tatsächlich durchgeführt wurden, ob sie also “wirksam” sind (nur Typ 2, siehe nachfolgender Absatz). Er muss dazu vielfach Stichproben ziehen, die einen vorher festgelegten Zeitraum (meist das vergangene Jahr) abdecken. Ein gutes Beispiel sind Mitarbeiter, die aus dem Unternehmen ausscheiden. Deren User im System sollten zeitnah gesperrt werden, um Missbrauch vorzubeugen. Eine Stichprobe über ausgeschiedene Mitarbeiter des letzten Jahres und die Überprüfung von Logfiles soll dann Gewissheit darüber bringen, ob solche User wirklich umgehend gesperrt werden.

Umfasst die Prüfung einen bestimmten Zeitraum, so spricht man von einer Typ 2-Prüfung. Bezieht sie sich nur auf einen Zeitpunkt, ist das eine Typ 1-Prüfung. Geht es aus Sicht der auslagernden Unternehmen darum, Sicherheit über die Abläufe beim Dienstleister zu gewinnen, so kann dies nur eine Typ 2-Prüfung leisten.

Was sind die Vorteile der SOC 2-Prüfung?

Das Endprodukt einer SOC 2-Prüfung ist der Bericht des Wirtschaftsprüfers. Darin sind seine Prüfungshandlungen beschrieben. Eine Zusammenfassung sagt aus, ob das interne Kontrollsystem des Dienstleisters die geforderten Kriterien abdeckt und (bei einer Typ 2-Prüfung) wirksam war. Der Bericht beinhaltet auch das dokumentierte interne Kontrollsystem des Dienstleisters. Erst damit sind eine transparente Berichterstattung und ein Verständnis der Regelungen möglich.

Dienstleister, die sich einer solchen Prüfung stellen, haben mehrere Vorteile:

  • Sie zeigen (potentiellen) Kunden, dass ihre internen Abläufe einem öffentlichen Mindeststandard genügen. Jeder Adressat, der den Bericht erhält, kann sich selbst ein eingehendes Bild machen. Eine solche Transparenz schafft enormes Vertrauen.
  • Dienstleister können den Zeitpunkt und den internen Aufwand einer solchen Prüfung besser planen und müssen sich nicht zahlreichen Audits stellen. Anstelle von Kundenaudits kann der Bericht herausgegeben werden.
  • Ein internes Kontrollsystem steht niemals still. Es ist ständigen Änderungen unterworfen. Eine SOC 2-Prüfung ist ein wertvolles Feedback für den Dienstleister, um seine Abläufe weiter zu verbessern.

Die auslagernden Unternehmen haben ebenso Vorteile aus einer SOC 2-Prüfung bei ihrem Dienstleister:

  • Die Verantwortung für die ausgelagerten Prozesse verbleibt beim auslagernden Unternehmen. Die Berichterstattung des unabhängigen Wirtschaftsprüfers ist daher ein wichtiger Nachweis für die Compliance im eigenen Unternehmen.
  • Auslagernde Unternehmen können sich ein Bild von den Abläufen beim Dienstleister machen. Der Bericht dient auch dazu zu erkennen, wo das auslagernde Unternehmen selbst noch Schwächen oder Pflichten im eigenen internen Kontrollsystem hat, um seine Prozesse sicher auszugestalten.

Das Wichtigste zum Schluss

Wir von der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft beraten Sie kompetent und begleiten Sie durch eine SOC 2-Prüfung. Neben der eigentlichen Prüfung bieten wir auch Readiness Workshops an, in denen wir mit Ihnen das vorhandene interne Kontrollsystem einem Soll-Ist-Abgleich unterziehen. Kommen Sie einfach auf uns zu!

Zusammenfassung (2 min Lesezeit)

  • Eine SOC 2-Prüfung wird beim Dienstleister durchgeführt. Es können auch Shared Service Center, Abteilungen oder kleinere Einheiten sein.
  • Geprüft wird das interne Kontrollsystem des Dienstleisters.
  • Das interne Kontrollsystem muss nach dem Kriterienkatalog der Trust Services Criteria aufgebaut sein.
  • Die Trust Services Criteria enthalten einen Pflichtteil (Basis und Security) sowie optionale Bausteine zu Availability, Confidentiality, Processing Integrity und Privacy.
  • Das interne Kontrollsystem muss mit seinen Regelungen alle Kriterienvorgaben aus den einzelnen Bereichen erfüllen. Damit wird ein öffentlicher Mindeststandard erfüllt.
  • Ein internes Kontrollsystem umfasst nicht selten 100 oder mehr Regelungen und Maßnahmen.
  • Das interne Kontrollsystem muss in einem separaten Dokument dargestellt sein.
  • Die Prüfung wird von einem unabhängigen Wirtschaftsprüfer wie der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft durchgeführt.
  • Eine Typ 1-Prüfung fokussiert auf einen Zeitpunkt. Eine Typ 2-Prüfung bezieht einen längeren Zeitraum mit ein und hat damit die größere Aussagekraft.
  • Der Output der Prüfung ist ein Bericht mit einer Aussage zur Angemessenheit (Typ 1+2) und Wirksamkeit (nur Typ 2) des internen Kontrollsystems.
  • Der Bericht kann an die auslagernden Unternehmen gegeben werden, die ihre (Teil-)Prozesse auf den Dienstleister ausgelagert haben.
  • Der Bericht macht das interne Kontrollsystem des Dienstleisters transparent.
  • Der Dienstleister schafft damit Vertrauen in seine Dienste.
  • Das auslagernde Unternehmen erfüllt damit seine Compliance-Pflichten.

Diese Themen könnten Sie auch interessieren

Diese News könnten Sie auch interessieren

Audit Advisory IT Audit

Prüfungshinweise für Betreiber kritischer Infrastrukturen

Das IDW hat den Prüfungshinweis für Unternehmensprüfungen bei Betreibern von kritischen Infrastrukturen an die aktuellen gesetzlichen Vorschriften angepasst. Im Fokus stehen sogenannte Systeme zur Angriffserkennung (SzA). Betreiber von kritischen Infrastrukturen sind seit dem 01.05.2023 dazu verpflichtet, Systeme zur Angriffserkennung (sogenannte SzA) einzusetzen. Hintergrund ist eine neue Verordnung (§ 8a Abs. 1 und...
IT Audit

Effizienz im Fokus: Analyse, Optimierung und Digitalisierung von Geschäfts­prozessen

Erfahren Sie, wie Sie im Hinblick auf Ihre IT-Geschäftsprozesse Ineffizienzen und Schwachstellen aufdecken und somit verborgene Potentiale heben und Prozesse verbessern können. Die Prozessanalyse, -optimierung und -digitalisierung sind Schlüsselstrategien, um Ihr Unternehmen wettbewerbsfähig zu halten und auf die fortschreitende Digitalisierung vorbereitet zu sein. In diesem Artikel werden wir Ihnen...
IT Audit

Datenschutz im Fokus: Sichern Sie Ihre Daten und stärken Sie das Vertrauen

In einer digitalen Welt, in der Daten einen unschätzbaren Wert haben, ist Datenschutz von höchster Bedeutung. Lesen Sie, wie Sie mit robusten Datenschutzpraktiken nicht nur Ihre Daten schützen, sondern auch das Vertrauen Ihrer Kunden stärken können. Seit dem 25.05.2018 gelten die Bestimmungen der EU-Datenschutzgrundverordnung (EU-DSGVO) sowie des neuen Bundesdatenschutzgesetzes...
IT Audit

Interne Kontrollsysteme (IKS) – Optimale Prozesssteuerung und -überwachung

Erfahren Sie, wie ein optimales Internes Kontrollsystem (IKS) Ihr Unternehmen vor Risiken schützt und Prozesse effizient steuert. Entdecken Sie die zentrale Rolle von IKS im Finanzwesen und wie die Studie “The Future of Internal Control Systems 2023” Einblicke in die Entwicklung und Relevanz von IKS liefert. Unternehmen stehen vor...