Prüfungsstandard für Outsourcing - Service Organization Control Report

Service Organization Control (SOC) Berichte, auch bekannt als SOC 1, SOC 2, und SOC 3 Berichte sind übergreifende Rahmenwerke (frameworks) die das amerikanische Institut für Wirtschaftsprüfer (AICPA) de facto als Standard zur Verfügung stellt, um Dienstleister bzw. Serviceorganisationen nach festgesetzten Regeln zu prüfen/zu auditieren. Zielsetzung ist es eine transparente, unabhängige und vor allem vergleichbare Prüf-/Auditberichte zu ermöglichen.

SOC

Es ist sicherlich notwendig herauszustellen, dass jeder der drei SOC-Berichte auf sehr spezifische Bedürfnisse bei der Beurteilung der Prüfungsergebnisse selbst gerichtet ist, welche im Nachfolgenden näher erläutert werden. Outsourcing, speziell im IT-Bereich, nimmt seit Jahren kontinuierlich zu. Somit ist die Notwendigkeit von effektiven, aussagefähigen und unabhängigen Prüfungsergebnissen speziell bei Dienstleistungsorganisationen absolut notwendig geworden. Die SOC-Prüfberichte schließen die Lücke zwischen kontinuierlich wachsenden Outsourcingnehmern einerseits und dem Kontrolldefizit der meisten Outsourcinggeber andererseits durch die Vorgabe von effektiven, aussagefähigen und unabhängigen Prüfverfahren für diese Organisationen.

 

SOC 1 Reports:  Durch diesen Berichtstyp werden die relevanten Kontrollen beim beauftragten Dienstleister in Bezug auf die „internen Kontrollen im Rahmen der Finanzberichts­erstattung“ (ICFR) betrachtet. Der SOC 1 Bericht ist vollständig äquivalent zu  den standardisierten Prüfungs­grundlagen des SSAE 16 (ehemals SAS 70 von der AICPA), der Anfang 2011 veröffentlicht wurde. Es gibt nach wie vor zwei Arten der Prüfung: 

Typ I:   Bei dieser Art der Prüfung wird die Darstellung des Managements in
Bezug auf die internen Kontrollen und das Erreichen der Kontrollziele
anhand des Kontrolldesigns beurteilt. Typ I ist somit eine Zeitpunktbe-
trachtung in Bezug auf die Kontrollen.

Typ II:   Eine Prüfung nach Typ II prüft darüber hinaus auch jeweils die Wirk-
samkeit der implementierten Kontrollen über einen definierten Zeit-
raum (Mind. 6 Monate vor Berichtserstellung). Typ II ist somit einen
Zeitraumbetrachtung in Bezug auf die Wirksamkeit der Kontrollen. 

 

SOC 2 Reports:  Bei diesen Reports geht es um interne Kontrollen in Bezug auf Sicherheit, Ver­füg­barkeit, Integrität, bzw. Vertraulichkeit (Datenschutz) in Bezug auf IT-Rechenzentren. Der SOC 2 Bericht steht in voller Überein­stimmung mit den in „AT Section 101“ der AICPA festgelegten Richtlinien. Diese Richtlinien sind unter dem Titel "Reports on Controls at a Service Organization over Security, Availability, Processing, Integrity Confidentiality, or Privacy" ebenfalls Anfang 2011 veröffentlicht worden. Weitere Information zur AT Section 101 finden Sie unter: http://pcaobus.org/Standards/Attestation/Pages/AT101.aspx

Erwähnenswert ist an dieser Stelle die Tatsache, dass durch die Einführung der SOC Reports nun erstmalig die Möglichkeit besteht, Dienstleister miteinander zu vergleichen. Dies wird dadurch gewährleistet, dass der Kontrollbezug sich auf vordefinierte Kriterien bezieht und vor allem auch der Kontrollzeitpunkt festgelegt wurde.  Es findet eine Beurteilung und Berichterstattung zum Kontrolldesign im Hinblick auf die Angemessenheit der Definition der Ziele und der zugehörigen Kontrollen (Typ I) statt. Eine Prüfung nach Typ II prüft darüber hinaus auch noch die Wirksamkeit der eingerichteten Kontrollen und beinhaltet die Testszenarien und das Ergebnis dieser Tests im Bericht.

 

Folgende Kriterien und Richtlinien für diese Vereinbarungen sind  in den  Vertragsrahmenbedingungen festzuhalten:

Sicherheit:                          Dass das System gegen den nicht autorisierten Zugang geschützt ist.

Verfügbarkeit:                  Dass das System wie vertraglich vereinbart zur Verfügung steht.

Datenverarbeitung:       Die Verarbeitung von Daten ist vollständig, exakt, rechtzeitig und entsprechend autorisiert.

Vertraulichkeit:                Dass die von einer Organisation gehaltene vertraulichen Information sicher geschützt ist.

Datenschutz:                     Das personenbezogene Daten spezifisch geschützt sind.

 

SOC 3 Reports:  Bei diesen Reporttyp geht es, wie auch schon in den SOC 2 Reports,  um interne Kontrollen in Bezug auf Sicherheit, Ver­füg­barkeit, Integrität, bzw. Vertraulichkeit (Datenschutz). Auch der SOC 3 Bericht ist nach den festgelegten Richtlinien der  „AT Section 101“ aufgebaut.  Diese Richtlinien sind ebenfalls wie in den SOC 2 Reports unter dem Titel "Reports on Controls at a Service Organization over Security, Availability, Processing, Integrity Confidentiality, or Privacy" veröffentlicht. Die SOC 3 Reports enthalten keine Informationen über die im Einzelnen geprüften Kontrollen und deren Ergebnisse. Dieser Reporttyp wird in der Regel für unterschiedliche Adressaten allgemein zur Verfügung gestellt. Die Vertragsrahmenbedingungen, wie bereits in den SOC 2 Reports aufgelistet wurden, finden auch hier ihre Gültigkeit.

Fragestellung Berichtstyp SOC 1 Berichtstyp SOC 2 Berichtstyp SOC 3
Nach welchem Standard bzw. welcher Anleitung wird jeweils vorgegangen?

- SSAE 16 „Statement on Standards for attestation engagements”

- AICPA, professional standards, vol.1, AT sec. 801)

- AICPA guide service organizations: Applying SSAE, No. 16, reporting on controls at a service organization

- AT section 101, Attestation Engage­ments (AICPA, Professional Standards, vol. 1)

- AICPA Guide Reporting on Controls at a service Organization relevant to security, availability, processing integrity, confidentiality, privacy (forthcoming)

- AT section 101, Attestation Engagements (AICPA, Professional Standards, vol. 1)

- AICPA Trust Services Principles Criteria and Illustrations

(AICPA, Technical Practice Aids)

Was ist Gegen­stand der je­weiligen Ver­pflichtung? Die relevanten Kontrollen beim beauftragten Dienstleister in Bezug auf die „interne Kontrollen im Rahmen der Finanzberichtserstattung“.

Die relevanten Kontrollen beim beauftragten Dienstleister in Bezug auf:

  • Sicherheit
  • Verfügbarkeit
  • Datenverarbeitung
  • Vertraulichkeit
  • Datenschutz

Werden beim Dienstleitungs-unternehmen (streng) vertrauliche Kundendaten verarbeitet, gelten die entsprechenden Vorschriften des Bundesdatenschutzgesetzes.

Die relevanten Kontrollen beim beauftragten Dienstleister in Bezug auf:

  • Sicherheit
  • Verfügbarkeit
  • Datenverarbeitung
  • Vertraulichkeit
  • Datenschutz

Werden beim Dienstleitungs-unternehmen (streng) vertrauliche Kundendaten verarbeitet, gelten die entsprechenden Vorschriften des Bundesdatenschutzgesetzes.

Was ist das Ziel/ der Zweck des Berichts? Dem Auditor/Prüfer des auslagernden Unternehmens wird ein Prüfbericht über den Dienstleister in Bezug auf  die „interne Kontrollen im Rahmen der Finanzberichtserstattung“ geliefert. Dadurch wird der Prüfer des auslagernden Unternehmens in die Lage versetzt Aussagen in Bezug auf das Risikomanagement zu treffen. Sollte ein Typ II Bericht erstellt werden, kann der Prüfer nun erheblich einfacher beurteilen, ob die jeweiligen Kontrollziele in Bezug auf die Finanzberichterstattung angemessen erreicht wurden.

Dem Auditor/Prüfer des auslagernden Unternehmens wird ein Prüfbericht inkl. einer Bewertung des AP/WP über den Dienstleister in Bezug auf die Kontrollen zu:

  • Sicherheit
  • Verfügbarkeit
  • Datenverarbeitung
  • Vertraulichkeit
  • Datenschutz

Im Falle eines Typ II Berichts erhält der Prüfer ebenfalls eine Einschätzung des WP zur Einhaltung der Vorschriften aus dem Bundesdatenschutzgesetzes.

Dem Auditor/Prüfer des auslagernden Unternehmens wird ein Prüfbericht inkl. einer Bewertung des AP/WP über den Dienstleister in Bezug auf die Kontrollen zu:

  • Sicherheit
  • Verfügbarkeit
  • Datenverarbeitung
  • Vertraulichkeit
  • Datenschutz

Im Falle eines Typ II Berichts erhält der Prüfer ebenfalls eine Einschätzung des WP zur Einhaltung der Vorschriften aus dem Bundesdatenschutzgesetzes.

Welche Inhalte sind Bestandteil des Berichts?

Eine Beschreibung des internen Kontrollsystems der Dienstleistungsorganisation.

Eine Beurteilung und Berichterstattung zum Kontrolldesign im Hinblick auf die Angemessenheit der Definition der Ziele und der zugehörigen Kontrollen (Typ I).

Eine Prüfung nach Typ II prüft darüber hinaus auch noch die Wirksamkeit der eingerichteten Kontrollen und beinhaltet die Testszenarien und das Ergebnis dieser Tests im Bericht.

Eine Beschreibung des internen Kontrollsystems der Dienstleistungsorganisation.

Eine Beurteilung und Berichter­stattung zum Kontrolldesign im Hinblick auf die Angemessenheit der Definition der Ziele und der zugehörigen Kontrollen (Typ I).

Eine Prüfung nach Typ II prüft darüber hinaus auch noch die Wirksamkeit der eingerichteten Kontrollen und beinhaltet die Testszenarien und das Ergebnis dieser Tests im Bericht.

Im Falle eines Typ II Berichts erhält der Prüfer ebenfalls eine Einschätzung des AP/WP zur Einhaltung der Vorschriften aus dem Bundesdatenschutzgesetzes.

Eine Beschreibung des internen Kontrollsystems der Dienstleistungsorganisation.

Ein Bericht über die Richtlinien der Serviceorganisation zum Datenschutz basierend auf den angewandten Konzernrichtlinien.

Eine Einschätzung des AP/WP in Bezug auf die Verpflichtung des Dienstleisters im besonderen Umgang/Schutz von personen­bezogenen Daten wird deutlich.

Dem Auditor/Prüfer des auslagernden Unternehmens wird ein Prüfbericht inkl. einer Bewertung des AP/WP über den Dienstleister in Bezug auf Kontrollen zu

  • Sicherheit
  • Verfügbarkeit
  • Datenverarbeitung
  • Vertraulichkeit
  • Datenschutz

von Daten zur Verfügung gestellt.

Im Falle eines Typ II Berichts erhält der Prüfer ebenfalls eine Einschätzung des WP zur Einhaltung der Vorschriften aus dem Bundesdatenschutzgesetzes.

Wer sind die beabsichtigten Nutzer des Berichtes?

Die Auditoren/die Abschlussprüfer des auslagernden Unternehmens in Bezug auf die Finanzberichterstattung.

Das Management des auslagernden Unternehmens und auch das Management des Dienstleisters.

Hauptnutzer ist das Management des auslagernden Unternehmens.

Weitere Nutznießer könnten sein:

  • der Dienstleister selbst
  • untergeordnete Organisation, Tochterfirmen oder weitere beteiligte Unternehmen
  • das interne Kontrollsystem mit seinen Grenzen
  • die Richtlinien/Konzernrichtlinien

Zusätzliche Kontrollen des auslagernden Unternehmens die ebenfalls Einfluss auf den Dienstleister haben könnten.

Jeder, der sich einen Überblick über das interne Kontrollsystem des Dienstleisters verschaffen möchte. 

SOC 3 Berichte sind Reports für den allgemeinen Gebrauch, welche ohne jede Einschränkung weitergegeben werden können da sie keine konkreten Beschreibungen zu den geprüften Kontrollen beinhalten.