Einblicke in die Risiken einer Organisation
Mit einem SOC-Bericht (nicht zu verwechseln mit der Abkürzung SOC für Security Operations Center) können Sie überprüfen, ob ein Unternehmen bestimmte Best Practices einhält, bevor Sie eine Geschäftsfunktion an dieses Unternehmen auslagern. Die Best Practices betreffen Finanzwesen, Sicherheit, Verarbeitungsintegrität, Datenschutz und Verfügbarkeit. Die von externen Prüfern erstellten und validierten Berichte sollen eine unabhängige Gewissheit verschaffen und potenziellen Kunden/Partnern helfen, mögliche Risiken einer Zusammenarbeit mit der bewerteten Organisation offenzulegen.
SOC-Berichte informieren über die Überprüfungen und Kontrollmechanismen, die ein Unternehmen durchführt, um Unstimmigkeiten aufzudecken, und zeigen gleichzeitig, welche Maßnahmen ergriffen werden müssen, um diese zu beseitigen. Sie machen Kunden deutlich, wie Richtlinien und Verfahren befolgt werden können. Keine Entscheidung ist jemals völlig risikofrei. Ein SOC-Bericht gibt Ihnen jedoch den nötigen Kontext, um das Ausmaß des Risikos zu bestimmen.
SOC-Berichte sind deshalb so wichtig, weil sie umfassende Überblicke in einem gängigen und einheitlichen Framework liefern, das die untersuchten Unternehmenssysteme auf logische Weise analysiert. Ganz gleich, ob Sie eine neue Partnerschaft eingehen oder Ihren derzeitigen Anbieter analysieren wollen – dieser unvoreingenommene Bericht liefert wertvolle Informationen, die in vielen Phasen der Anbieterbewertung nützlich sein werden.
Je nach den benötigten Informationen und der Art der beteiligten Unternehmen gibt es verschiedene Versionen von SOC-Berichten.
SOC 1:
Berichte über Kontrollmaßnahmen, die unmittelbare oder nachgelagerte Auswirkungen auf den Jahresabschluss einer Benutzerinstanz haben; basiert auf dem Berichtsstandard SSAE 16.
|
Typ I ● Zeigt, wie gut die internen Kontrollmaßnahmen konzipiert sind, um Fehler in Finanztransaktionen/Abrechnungsdaten zu verhindern. ● Die Tests werden zu einem bestimmten Zeitpunkt durchgeführt. Die Betriebseffektivität der Kontrollmechanismen wird nicht geprüft. |
Typ II ● Testet die Betriebseffektivität der internen Kontrollmaßnahmen (allgemeine Geschäftsprozess- und IT-Kontrollen), die das Risiko von ungenauen Finanzdaten der Benutzerinstanz mindern sollen. ● Die Tests werden über einen bestimmten Zeitraum durchgeführt; eine Stichprobenmethode dient dazu, eine genaue Darstellung der Betriebseffektivität zu erzielen. |
SOC 2:
Berichte zu Kontrollmaßnahmen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sicherheitskontrolltests sind obligatorisch, während der Rest (Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz) optional ist; basiert auf dem Berichtsstandard AT 101.
|
Typ I ● Testet den Aufbau dieser Kontrollmaßnahmen. ● Die Tests werden zu einem bestimmten Zeitpunkt durchgeführt. Die Betriebseffektivität der Kontrollmechanismen wird nicht geprüft. |
Typ II ● Testet die Betriebseffektivität dieser Kontrollmaßnahmen; soll das Risiko eines unsachgemäßen Umgangs mit Kundendaten mindern. ● Die Tests werden über einen bestimmten Zeitraum durchgeführt; eine Stichprobenmethode dient dazu, eine genaue Darstellung der Betriebseffektivität zu erzielen. |
SOC 3:
|
● Eine öffentlich zugängliche Version eines SOC 2 vom Typ II; enthält keine vertraulichen Informationen. ● Allgemeine Zusammenfassung für generelle Kunden, ohne Einzelheiten zu den internen Kontrollmaßnahmen zu gefährden oder offenzulegen. ● Wird normalerweise nur von Organisationen verwendet, die in der Vergangenheit viele SOC-Berichte erstellt haben und über eine robuste und ausgereifte Kontrollumgebung verfügen. |
Jeder SOC-Bericht enthält den Bestätigungsvermerk des Prüfers, in dem festzustellen ist, ob die Serviceorganisation die Kontrollmaßnahmen angemessen beschrieben und effektiv aufgebaut hat. Ein Bericht mit der Bewertung unqualifiziert bedeutet, dass der Prüfer zu dem Schluss gekommen ist, dass das Unternehmen seinen Aufbau und seine Betriebseffizienz angemessen dargestellt hat, während der Vermerk qualifiziert besagt, dass der Prüfer erhebliche Diskrepanzen zwischen den Aussagen des Unternehmens und der Realität festgestellt hat. Das Gutachten gilt als ungünstig, wenn mehrere Kontrollmaßnahmen fehlgeschlagen sind und dadurch ein Gesamtziel nicht erreicht wurde.
Der Bericht enthält auch eine Erklärung der Serviceorganisation, dass alle getesteten Kontrollen während der Prüfungen des Auditors aktiv waren, eine Beschreibung des Systems selbst und eine Beschreibung dessen, was der Auditor während des Betriebs des Systems beobachtet hat. Im Wesentlichen soll dem Leser aufgezeigt werden, was das System leisten sollte und was es tatsächlich geleistet hat. Der Bericht sollte den Umfang und den Zweck der durchgeführten Tests aufzeigen, inklusive Daten über die Managementstruktur, die Kommunikationsrichtlinien, das Risikomanagement für die Informationssicherheit, die Systemüberwachung, die Dokumentationsprozesse, den Systembetrieb und den physischen Zugriff auf die Kontrollen.
Wenn Sie einen SOC-Kontrollbericht von einer anderen Organisation erhalten, sollten Sie sich alle Informationen gründlich durchlesen. Ein Bericht mit der Bewertung „unqualifiziert“ heißt nicht unbedingt, dass es überhaupt keine Ausnahmen gibt, die letztendlich doch ein Warnsignal für Ihr Unternehmen darstellen könnten – unqualifiziert bedeutet nur, dass ein Ziel nicht völlig verfehlt wurde. Überprüfen Sie die Reaktionen des Managements auf alle fehlgeschlagenen Kontrollen, um festzustellen, ob es kompensierende Kontrollen gibt und welche Abhilfemaßnahmen getroffen wurden (falls vorhanden).
Berücksichtigen Sie alle vom Prüfer festgestellten Ausnahmen/Abweichungen darauf, ob Sie das damit verbundene Risiko akzeptieren können. Stellen Sie sicher, dass Sie alles verstanden und das Gefühl haben, dass Sie die Funktionsweise aller Kontrollmaßnahmen jetzt genau kennen. Besprechen Sie Bedenken mit dem Unternehmen und finden Sie heraus, ob seit dem Zeitpunkt des Berichts entsprechende Maßnahmen zur Behebung potenzieller Probleme ergriffen wurden. Nutzen Sie die Informationen, um interne Diskussionen über mögliche Risiken anzuregen, die durch die Auslagerung einer Geschäftsfunktion an die Serviceorganisation entstehen können.
Es stimmt zwar, dass keine Entscheidung jemals ganz risikofrei ist, aber SOC-Berichte helfen Unternehmen, sich ein besseres Bild vom Risikoniveau wichtiger Geschäfts- und Sicherheitsentscheidungen zu machen. Der beste Angriff ist eine herausragende Verteidigung. Und hier kommen Planung und Vorbereitung sowie die Erkenntnisse aus den SOC-Berichten ins Spiel.