Themen

Die SOC 2-Prüfung

Von Dienstleistern wird immer häufiger eine sogenannte SOC 2-Prüfung verlangt. Sie ist Teil von Ausschreibungsverfahren oder wird als begleitender Baustein der Dienstleistung vertraglich vereinbart. Doch was ist eine SOC 2-Prüfung genau und wer zieht einen Nutzen daraus? Wir zeigen Ihnen, was hinter einer solchen Prüfung steckt und fassen für Sie die wichtigsten Komponenten zusammen.

Auslagerung von (Teil-)Prozessen

In einer vernetzten Welt spielt das Outsourcing von Prozessen eine immer größere Rolle. Dienstleister (Service Provider) sind Spezialisten auf ihrem Gebiet, und daher ist es oft wirtschaftlicher, seine (Teil-)Prozesse auszulagern, als sie selbst im Unternehmen umzusetzen. Der heutige Stand der Digitalisierung ermöglicht einen hohen Grad an Modularität und Flexibilität und erleichtert das Andocken unterschiedlicher Systeme und Plattformen an die eigene Infrastruktur.
 
Es geht z.B. um die Verwaltung von Usern und Rechten über eine Portallösung für Identity Management, um das klassische Hosting von IT-Systemen oder um die Verarbeitung und Aufbewahrung von Dokumenten (Belegen). All diese Leistungen lassen sich unter den Begriffen „IaaS“ (Infrastructure as a Service), „SaaS“ (Software as a Service) und „PaaS“ (Platform as a Service) zusammenfassen.

Was ist der Zweck einer SOC 2-Prüfung?

Ein auslagerndes Unternehmen hat selten die Möglichkeit, bei seinem Dienstleister hinter die Kulissen zu schauen. Natürlich können Audits vereinbart werden. Diese bieten aber keinen detaillierten Einblick oder stellen eine zunehmende Belastung für den Dienstleister dar, der für jedes Audit Ressourcen vorhalten muss. Es sollte also eine gemeinsame Basis geben, auf die sich beide Seiten verständigen können: das ist das interne Kontrollsystem des Dienstleisters.

Ein internes Kontrollsystem beinhaltet Vorgaben, Regelungen und Maßnahmen, die nur eines zum Ziel haben: die Risiken, die auf einen Prozess einwirken, zu beherrschen. Ein auslagerndes Unternehmen hat also großes Interesse daran, dass das interne Kontrollsystem des Dienstleisters alle wesentlichen Risiken abdeckt, die großen Einfluss auf die ausgelagerten Prozesse haben. Nicht weniger wichtig ist die Gewissheit, dass die Regelungen beim Dienstleister auch tatsächlich eingehalten werden.

Eine SOC 2-Prüfung („System and Organization Controls“) setzt genau an dieser Stelle an und bietet einen transparenten Einblick in die Abläufe beim Dienstleister. Es geht also um die Verlässlichkeit des internen Kontrollsystems beim Dienstleister. Dabei muss es sich nicht unbedingt um ein Dienstleistungsunternehmen handeln, welches Dritten gegenüber Leistungen erbringt. Es können auch Shared Service Center, Abteilungen oder sogar nur operative Einheiten sein, die in einem Unternehmen oder einer Unternehmensgruppe tätig sind.

Wie ist das interne Kontrollsystem aufgebaut?

Bei einer SOC 2-Prüfung wird ein bestimmter Kriterienkatalog zugrunde gelegt, die sogenannte Trust Services Criteria. Diese Kriterien wurden vom amerikanischen Institut der Wirtschaftsprüfer entwickelt und sind mit anderen Kriterienkatalogen wie dem ISO 27001, den COBIT oder dem C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) vergleichbar.

Die Kriterien der Trust Services Criteria sind in diese Bereiche eingeteilt:

BereichEnthält Kriterien zuBestandteilKriterien
Basis (COSO-Framework)Kontrollumfeld, Risikobeurteilung, Überwachung, Information & Kommunikation, KontrollaktivitätenPflicht12
Security (Sicherheit)Logical & Physical Access, System Operations, Change Management, Risk MitigationPflicht16
Availability (Verfügbarkeit)Processing Capacity, Environmental Protectionoptional3
Confidentiality (Vertraulichkeit)Identification, Protection, Disposaloptional2
Processing Integrity (Prozessintegrität)u.a. Evaluation, Error Detection, Output Protectionoptional5
Privacy (Datenschutz)u.a. Protection of Personal Information, Disposaloptional18


Die Kriterien geben die Ausgestaltung des internen Kontrollsystems vor. Der Kriterienkatalog macht aber keine konkreten Vorgaben an die Regelungen und Maßnahmen, sondern besagt lediglich auf allgemeiner Ebene, dass Regelungen z.B. zum User- und Rechtemanagement, zur Qualitätssicherung bei der Datenverarbeitung, bei der Absicherung von Netzwerken oder bei der Notfallkonzeption umgesetzt werden müssen.

Das Besondere an den Trust Services Criteria ist der modulare Aufbau. Es gibt einen allgemeinen Bereich (Basis) und einen Security-Bereich, deren insgesamt 28 Kriterien verpflichtend im internen Kontrollsystem umzusetzen sind. Die weiteren Bereiche sind optional. Wenn der Dienstleister z.B. keine kundenbezogene Datenverarbeitung durchführt, macht der Bereich „Processing Integrity“ keinen Sinn. Die fünf Kriterien aus diesem Bereich müssen deshalb nicht im internen Kontrollsystem umgesetzt werden. Das interne Kontrollsystem passt sich an die Gegebenheiten beim Dienstleister an.

Die Bereiche der Trust Services Criteria mit den Pflichtteilen Basis und Security und den optionalen Teilen.

Der dahinterstehende Qualitätsgedanke der Trust Services Criteria macht es nochmal deutlich: Wird einer der optionalen Bereiche beim Aufbau des internen Kontrollsystems inkludiert, so sind auch für alle darin aufgezählten Kriterien entsprechende Regelungen zu implementieren. Ein internes Kontrollsystem mit den Bereichen Basis, Security und Confidentiality deckt also alle 30 geforderten Kriterien ab. Dies gibt dem auslagernden Unternehmen die Gewissheit, dass die Bereiche in ihrer Gänze erfüllt sind und ein Mindeststandard eingehalten wird.

Wie läuft eine SOC 2-Prüfung ab?

Für eine Prüfung spielt das interne Kontrollsystem die entscheidende Rolle. Es muss dokumentiert vorliegen, und zwar in einem gesonderten Dokument. Oftmals verteilen sich die Regelungen und Maßnahmen über verschiedene Dokumente, manche sind vielleicht gar nicht dokumentiert, weil solche Abläufe seit vielen Jahren einfach existieren. Die Hauptaufgabe des Dienstleisters, der sich einer solchen Prüfung unterziehen möchte, lautet also erst einmal: dokumentieren. Wenn man bedenkt, dass es meistens mehrere Regelungen und Maßnahmen braucht, um ein gefordertes Kriterium zu erfüllen, wird klar, dass das interne Kontrollsystem bei einer SOC 2-Prüfung gut und gerne über 100 Regelungen und Maßnahmen umfasst.
 
Die SOC 2-Prüfung wird von einem unabhängigen Wirtschaftsprüfer wie der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft durchgeführt. Hierbei werden nacheinander alle Regelungen und Maßnahmen begutachtet. Man spricht mit den Prozessverantwortlichen, lässt sich die Abläufe demonstrieren, nimmt Einsicht in Dokumentationen und die eingesetzten Anwendungen wie z.B. Ticketsysteme, Software Development Life Cycle Tools, ERP-Systeme oder Identity Management Tools. Der Wirtschaftsprüfer macht sich also ein Bild davon, ob die beim Dienstleister vorherrschenden Regelungen und Maßnahmen gut umgesetzt sind und die geforderten Kriterien der Trust Services Criteria erfüllen.

Zusätzlich vergewissert sich der Wirtschaftsprüfer, ob die Regelungen und Maßnahmen auch tatsächlich durchgeführt wurden, ob sie also „wirksam“ sind (nur Typ 2, siehe nachfolgender Absatz). Er muss dazu vielfach Stichproben ziehen, die einen vorher festgelegten Zeitraum (meist das vergangene Jahr) abdecken. Ein gutes Beispiel sind Mitarbeiter, die aus dem Unternehmen ausscheiden. Deren User im System sollten zeitnah gesperrt werden, um Missbrauch vorzubeugen. Eine Stichprobe über ausgeschiedene Mitarbeiter des letzten Jahres und die Überprüfung von Logfiles soll dann Gewissheit darüber bringen, ob solche User wirklich umgehend gesperrt werden.

Umfasst die Prüfung einen bestimmten Zeitraum, so spricht man von einer Typ 2-Prüfung. Bezieht sie sich nur auf einen Zeitpunkt, ist das eine Typ 1-Prüfung. Geht es aus Sicht der auslagernden Unternehmen darum, Sicherheit über die Abläufe beim Dienstleister zu gewinnen, so kann dies nur eine Typ 2-Prüfung leisten.

Was sind die Vorteile der SOC 2-Prüfung?

Das Endprodukt einer SOC 2-Prüfung ist der Bericht des Wirtschaftsprüfers. Darin sind seine Prüfungshandlungen beschrieben. Eine Zusammenfassung sagt aus, ob das interne Kontrollsystem des Dienstleisters die geforderten Kriterien abdeckt und (bei einer Typ 2-Prüfung) wirksam war. Der Bericht beinhaltet auch das dokumentierte interne Kontrollsystem des Dienstleisters. Erst damit sind eine transparente Berichterstattung und ein Verständnis der Regelungen möglich.

Dienstleister, die sich einer solchen Prüfung stellen, haben mehrere Vorteile:

  • Sie zeigen (potentiellen) Kunden, dass ihre internen Abläufe einem öffentlichen Mindeststandard genügen. Jeder Adressat, der den Bericht erhält, kann sich selbst ein eingehendes Bild machen. Eine solche Transparenz schafft enormes Vertrauen.
  • Dienstleister können den Zeitpunkt und den internen Aufwand einer solchen Prüfung besser planen und müssen sich nicht zahlreichen Audits stellen. Anstelle von Kundenaudits kann der Bericht herausgegeben werden.
  • Ein internes Kontrollsystem steht niemals still. Es ist ständigen Änderungen unterworfen. Eine SOC 2-Prüfung ist ein wertvolles Feedback für den Dienstleister, um seine Abläufe weiter zu verbessern.

Die auslagernden Unternehmen haben ebenso Vorteile aus einer SOC 2-Prüfung bei ihrem Dienstleister:

  • Die Verantwortung für die ausgelagerten Prozesse verbleibt beim auslagernden Unternehmen. Die Berichterstattung des unabhängigen Wirtschaftsprüfers ist daher ein wichtiger Nachweis für die Compliance im eigenen Unternehmen.
  • Auslagernde Unternehmen können sich ein Bild von den Abläufen beim Dienstleister machen. Der Bericht dient auch dazu zu erkennen, wo das auslagernde Unternehmen selbst noch Schwächen oder Pflichten im eigenen internen Kontrollsystem hat, um seine Prozesse sicher auszugestalten.

Das Wichtigste zum Schluss

Wir von der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft beraten Sie kompetent und begleiten Sie durch eine SOC 2-Prüfung. Neben der eigentlichen Prüfung bieten wir auch Readiness Workshops an, in denen wir mit Ihnen das vorhandene interne Kontrollsystem einem Soll-Ist-Abgleich unterziehen. Kommen Sie einfach auf uns zu!

Zusammenfassung (2 min Lesezeit)

  • Eine SOC 2-Prüfung wird beim Dienstleister durchgeführt. Es können auch Shared Service Center, Abteilungen oder kleinere Einheiten sein.
  • Geprüft wird das interne Kontrollsystem des Dienstleisters.
  • Das interne Kontrollsystem muss nach dem Kriterienkatalog der Trust Services Criteria aufgebaut sein.
  • Die Trust Services Criteria enthalten einen Pflichtteil (Basis und Security) sowie optionale Bausteine zu Availability, Confidentiality, Processing Integrity und Privacy.
  • Das interne Kontrollsystem muss mit seinen Regelungen alle Kriterienvorgaben aus den einzelnen Bereichen erfüllen. Damit wird ein öffentlicher Mindeststandard erfüllt.
  • Ein internes Kontrollsystem umfasst nicht selten 100 oder mehr Regelungen und Maßnahmen.
  • Das interne Kontrollsystem muss in einem separaten Dokument dargestellt sein.
  • Die Prüfung wird von einem unabhängigen Wirtschaftsprüfer wie der Crowe Kleeberg IT Audit GmbH Wirtschaftsprüfungsgesellschaft durchgeführt.
  • Eine Typ 1-Prüfung fokussiert auf einen Zeitpunkt. Eine Typ 2-Prüfung bezieht einen längeren Zeitraum mit ein und hat damit die größere Aussagekraft.
  • Der Output der Prüfung ist ein Bericht mit einer Aussage zur Angemessenheit (Typ 1+2) und Wirksamkeit (nur Typ 2) des internen Kontrollsystems.
  • Der Bericht kann an die auslagernden Unternehmen gegeben werden, die ihre (Teil-)Prozesse auf den Dienstleister ausgelagert haben.
  • Der Bericht macht das interne Kontrollsystem des Dienstleisters transparent.
  • Der Dienstleister schafft damit Vertrauen in seine Dienste.
  • Das auslagernde Unternehmen erfüllt damit seine Compliance-Pflichten.

Diese Themen könnten Sie auch interessieren

Diese News könnten Sie auch interessieren

Advisory Audit Corona IT Audit

5. IDW-Update vom 06.04.2021 zum dritten Corona-Hinweis

Zu den Auswirkungen der Corona-Pandemie auf die Rechnungslegung, Berichterstattung und Prüfung von Unternehmen bezog das IDW mit seinen fachlichen Hinweisen vom 04.03.2020, vom 25.03.2020 und vom 08.04.2020 Stellung. Der Hinweis vom 08.04.2020 wurde zudem mehrmals aktualisiert und erweitert. Kürzlich veröffentlichte das IDW im April 2021 ein mittlerweile fünftes Update...
IT Audit Tax

Fragen und Antworten zum Kassengesetz

Das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen vom 22.12.2016, das „Kassengesetz“, hat in den letzten Jahren für viel Wirbel gesorgt. Nun hat das Bundesfinanzministerium einen Fragen- und Antwortenkatalog veröffentlicht, um Klarheit zu bringen. Wir haben hineingesehen und fassen die wichtigsten Punkte für Sie zusammen. Mit dem Kassengesetz...
Audit IT Audit

IDW Prüfungs­standard PS 860

Der neu veröffentlichte Prüfungs­standard 860 des Instituts der Wirtschafts­prüfer (IDW PS 860) zur IT-Prüfung außerhalb der Abschluss­prüfung richtet sich an Unternehmen, die die Ordnungs­mäßigkeit, Sicherheit, Risikomanagement sowie Compliance ihrer IT-Systeme und Prozesse auch außerhalb der Abschluss­prüfung sicherstellen möchten. Gründe hierfür können Veränderungen an den IT-Systemen oder gesetzliche Anforderungen wie...
IT Audit Tax

Kassensysteme müssen TSE nachrüsten

Kassensysteme müssen TSE nachrüsten – Nicht­bean­standungs­regelung läuft Ende September aus Die Pflicht zur Aufrüstung elektronischer Kassensysteme mit einer TSE (Technische Sicherheitseinrichtung) sorgt bei vielen Steuerpflichtigen für ratlose Gesichter. Während einzelne Bundesländer eine pauschale Fristverlängerung zur Umrüstung bis zum 31.03.2021 in Aussicht stellen, erteilt das Bundesfinanzministerium dieser Vorgehensweise nun eine...