SOC 1® vs. SOC 2®: Was ist der Unterschied und welchen benötigen Sie?
Dienstleister, die sensible Informationen von Nutzern verwalten, müssen strukturierte Dokumentationen bereitstellen, die detailliert erklären, wie sie diese Informationen schützen.
Hier kommen SOC®-Prüfungen ins Spiel. SOC steht für System and Organization Controls. Es handelt sich um eine Art Prüfung, die auf Einrichtungen ausgerichtet ist, die Dienstleistungen direkt im Zusammenhang mit den Kontrollsystemen eines Nutzers erbringen, wie SaaS-Unternehmen, Finanzberichterstattungsorganisationen, Rechenzentren und Zahlungsabwickler.
Es gibt verschiedene Arten von SOC-Berichten, die Dienstleistungsorganisationen helfen sollen, spezifische Bedürfnisse der Nutzer zu erfüllen. In diesem Beitrag werden wir die Hauptunterschiede zwischen SOC 1 und SOC 2 Berichten besprechen, damit Sie verstehen, welchen Sie benötigen könnten.
SOC 1® vs SOC 2® Bericht
Die Hauptunterschiede zwischen einem SOC 1 und einem SOC 2 Bericht liegen in den überprüften Kontrollen und den Bedürfnissen der Nutzer, die sie erfüllen.
SOC 1 prüft die Kontrollen einer Dienstleistungsorganisation bezüglich der Finanzberichterstattung. Einrichtungen, die Dienstleistungsorganisationen nutzen, können einen SOC 1-Bericht anfordern, um die Auswirkungen der Kontrollen dieser Organisationen auf ihre eigenen Finanzberichte zu bewerten. Dies ist wichtig für die Einrichtungen selbst und die Wirtschaftsprüfer, die die Finanzberichte der Einrichtungen prüfen.
SOC 2 prüft die Kontrollen einer Dienstleistungsorganisation basierend auf fünf Kriterien: Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Diese Art von Bericht kann von einer breiten Palette von Nutzern angefordert werden, die detaillierte Informationen und Sicherheit über die Kontrollen einer Dienstleistungsorganisation benötigen, die relevant sind für 1) die Sicherheit, Verfügbarkeit und Integrität der Verarbeitung der Systeme, die die Organisation zur Verarbeitung der Nutzerdaten verwendet, und 2) die Vertraulichkeit und den Datenschutz der von diesen Systemen verarbeiteten Informationen.
Werfen wir einen genaueren Blick auf jeden Berichtstyp.
Was ist SOC 1®?
Ein SOC 1-Bericht ist eine Prüfung der Organisationskontrollen, die darauf abzielt, die Kontrollen einer Dienstleistungsorganisation zu analysieren, die für die Finanzberichte ihrer Nutzer relevant sind.
Wie man einen SOC 1 Bericht erhält
SOC 1 kann als „Bescheinigungsberichte“ betrachtet werden, was bedeutet, dass ein externer Prüfer (typischerweise ein Wirtschaftsprüfer) eine Stellungnahme zur Leistung Ihrer Kontrollen abgeben muss.
Zuerst sollte das Management der Organisation die Kontrollen definieren, die direkt mit den finanziellen Operationen der Nutzer verbunden sind. Dann kann der Wirtschaftsprüfer diese Kontrollen analysieren und eine Stellungnahme dazu abgeben, ob sie effektiv sind.
Diese Stellungnahme umfasst in der Regel:
- Umfang: Was ist der Umfang des Engagements?
- Verantwortlichkeiten: Was sind die Verantwortlichkeiten der Organisation?
- Design: Wie ist das Design der Kontrollen?
- Beschreibung: Welche Beschreibung hat das Management in Bezug auf die Kontrollen gegeben?
- Art: Welche Art von Bericht wird verwendet?
- Stellungnahme: Was war die Meinung des Prüfers nach Durchführung aller Tests und Prüfungen?
Sobald Sie dieses Dokument vorliegen haben, können Sie es an Ihre Kunden und Stakeholder senden, damit sie es verwenden können, wenn sie selbst eine Finanzprüfung durchlaufen.
Der Zweck von SOC 1 Berichten
Wenn ein Unternehmen auf einen Drittanbieter angewiesen ist, um wichtige Finanzberichtsprozesse durchzuführen (z. B. ein ausgelagertes Gehaltsabrechnungssystem oder eine Umsatzberichtsplattform), werden sie diese Dienstleister wahrscheinlich nach einem SOC 1-Bericht fragen.
Auch wenn diese Berichte nicht obligatorisch sind, helfen sie Ihnen dabei, Ihre Kontrollen zu validieren und den Kunden mitzuteilen, dass Sie sichere Prozesse haben. Dies wird ihnen helfen, sich sicherer und wohler in Bezug auf ihre Finanzberichte zu fühlen.
Arten von SOC 1 Berichten
Es gibt zwei Arten von SOC 1 Berichten:
- Typ 2: Ein Typ 2 Bericht bewertet die Fairness der Beschreibung des Systems der Dienstleistungsorganisation durch das Management und die Eignung der Gestaltung und Betriebseffizienz der Kontrollen zur Erreichung der in der Beschreibung enthaltenen Kontrollziele über einen bestimmten Zeitraum.
- Typ 1: Ein Typ 1 Bericht bewertet die Fairness der Beschreibung des Systems der Dienstleistungsorganisation durch das Management und die Eignung der Gestaltung der Kontrollen zur Erreichung der in der Beschreibung enthaltenen Kontrollziele zu einem bestimmten Zeitpunkt.
Wer benötigt einen SOC 1 Bericht?
Wenn Ihre Dienstleistung die finanziellen Abläufe Ihrer Benutzer beeinflusst, benötigen Sie wahrscheinlich eine SOC 1 Prüfung.
Beispielsweise könnten die folgenden Unternehmen SOC 1 konform sein müssen:
- Gehaltsabrechnungssoftware
- Abrechnungsmanagementplattformen
- Treuhandgesellschaften
- Finanzberichtssoftware
Dies sind nur einige Beispiele. Bottom line: Wenn Sie die finanziellen Informationen der Benutzer in irgendeiner Weise beeinflussen, benötigen Sie dies.
Was ist SOC 2®?
Im Gegensatz zu SOC 1, das sich auf Kontrollen über die Finanzberichterstattung konzentriert, konzentrieren sich SOC 2 Prüfungen auf die Betriebs- und Compliance-Seite.
SOC 2 Berichte basieren auf den Trust Services Kriterien (früher bekannt als die Trust Service Prinzipien), die vom AICPA festgelegt wurden. Diese sind:
- Sicherheit (auch bekannt als „gemeinsame Kriterien“): Ist Ihre Dienstleistungsorganisation gegen unbefugten Zugriff geschützt?
- Verfügbarkeit: Sind Ihre Dienste jederzeit verfügbar? Sind Dienste eingeschränkt?
- Verarbeitungsintegrität: Arbeiten Ihre Verarbeitungssysteme zuverlässig? Liefern sie den Benutzern rechtzeitige und genaue Daten? Verarbeiten Sie Daten anderer Organisationen? Haben Sie irgendwelche Integrationen?
- Vertraulichkeit: Wie verwalten Sie vertrauliche Daten? Sind sie klassifiziert und geschützt? Wer kann auf solche Informationen zugreifen?
- Datenschutz: Gehen Sie mit sensiblen, personenbezogenen Daten von Benutzern um? Wenn ja, was tun Sie, um diese Daten zu schützen?
Auch wenn all diese Kriterien wichtig sind, wenn Sie versuchen, die sensiblen Informationen der Benutzer zu schützen, ist das einzige, das für die SOC 2 Konformität erforderlich ist, die Sicherheit. Deshalb wird es „gemeinsame Kriterien“ genannt.
Wie erhält man einen SOC 2 Bericht
Wie bei SOC 1 ist ein SOC 2 eine Bestätigunsprüfung, bei der ein externer Prüfer kommen muss, Ihre Kontrollen analysiert und einen Meinungsbericht erstellt.
Das AICPA bietet keine spezifischen Richtlinien für die Vorbereitung auf eine SOC 2 Prüfung. Es hängt wirklich von den spezifischen Branchenvorschriften und der Art der von Ihrer Organisation erbrachten Dienstleistung ab. Der beste Weg, sich vorzubereiten, besteht darin, zu analysieren, wie Ihre Dienstleistungen die Organisationen Ihrer Benutzer beeinflussen und welche Risiken und potenziellen Probleme damit verbunden sind.
Zum Beispiel, wenn Sie ein Zahlungsabwicklungsunternehmen für E-Commerce-Geschäfte sind, sollten Sie den Integritätsgrundsatz der Verarbeitung in Ihren Kontrollen berücksichtigen. Andererseits, wenn Ihr Unternehmen HR-Management-Dienstleistungen anbietet, sollten Sie andere Grundsätze wie Vertraulichkeit und Datenschutz berücksichtigen.
Das AICPA listet keine spezifischen Kontrollen auf, die Sie zur Einhaltung von SOC 2 haben sollten, was den Prozess verwirrender machen kann.
In diesem Stadium kann eine Bereitschaftsbewertung hilfreich sein, um den aktuellen Status Ihrer Kontrollen zu ermitteln, potenzielle Lücken in Ihren Systemen zu erkennen und sich besser auf die tatsächliche Prüfung vorzubereiten.
Die meisten Wirtschaftsprüfungsgesellschaften, die Erfahrung mit SOC-Berichten haben, können Bereitschaftsbewertungen durchführen, um Ihnen zu helfen, potenzielle Probleme mit Ihren aktuellen Kontrollen vor Ihrer SOC 2-Prüfung zu mindern.
Der Zweck von SOC 2-Berichten
Ähnlich wie bei SOC 1-Berichten sind SOC 2-Berichte nicht obligatorisch, aber sie können Kunden die Sicherheit geben, dass ihre Daten ausreichend geschützt sind. Dies kann Ihnen helfen, Vertrauen und Transparenz aufzubauen und sich einen Vorteil gegenüber Wettbewerbern zu verschaffen.
Arten von SOC 2-Berichten
Ähnlich wie bei SOC 1 gibt es zwei Arten von SOC 2-Berichten:
- Typ 2: Ein Typ 2-Bericht bewertet die Beschreibung des Managements eines Dienstleistungsunternehmens und die Eignung der Gestaltung und der Wirksamkeit der Kontrollen über einen längeren Zeitraum.
- Typ 1: Ein Typ 1-Bericht bewertet die Beschreibung des Managements eines Dienstleistungsunternehmens und die Eignung der Gestaltung der Kontrollen zu einem bestimmten Zeitpunkt.
Wer benötigt einen SOC 2-Bericht?
Wenn Ihre Organisation mit sensiblen Informationen umgeht, die nicht mit der Finanzberichterstattung zusammenhängen, benötigen Sie möglicherweise einen SOC 2-Bericht.
Zum Beispiel könnten die folgenden Unternehmen SOC 2-konform sein müssen:
- Cloud-Dienstanbieter
- SaaS-Anbieter
- HR-Management-Dienstleistung
- Rekrutierungsplattform
- Hosting-Datenzentrum
Fügen Sie dieser Liste jede Art von dienstleistungsbasiertem Unternehmen hinzu, das die Operationen der internen Kontrollen seiner Benutzer beeinflusst, mit Ausnahme der finanziellen Operationen.
SOC® Typ 1 gegen Typ 2
Wie wir oben erwähnt haben, gibt es zwei Arten von SOC 1- und SOC 2-Berichten. Das bedeutet, dass Ihre nächste Entscheidung, nachdem Sie entschieden haben, ob ein SOC 1- oder SOC 2-Bericht für Ihre Organisation am besten ist, darin besteht, zwischen einem Typ 1- und einem Typ 2-Bericht zu wählen.
Beide Berichtstypen weisen einige Gemeinsamkeiten auf, darunter:
- Ziel: Beide Berichtstypen sollen die Kontrollen einer Dienstleistungsorganisation untersuchen
- Attestierung: Beide Berichtstypen sollten eine Stellungnahme von einem externen Wirtschaftsprüfer enthalten
- Kontrollen: Beide Berichtstypen sollten die verschiedenen von der Organisation verwendeten Kontrollen enthalten
Aber wenn Sie eine dienstleistungsbasierte Organisation sind, die SOC-konform werden möchte, ist es wichtig, dass Sie die Hauptunterschiede zwischen diesen Berichtstypen verstehen.
Kurz gesagt, der Hauptunterschied zwischen Typ 1- und Typ 2-Berichten liegt in der Länge und Tiefe der betreffenden Prüfung. Betrachten Sie einen Typ 1-Bericht als das Eintauchen Ihrer Zehen ins Wasser und Typ 2 als das vollständige Schwimmen.
Lassen Sie uns diesen Punkt etwas genauer betrachten.
Typ 1 SOC-Berichte
Typ 1 SOC-Berichte sollen die Funktionalität der Kontrollen einer dienstleistungsbasierten Organisation zu einem bestimmten Zeitpunkt untersuchen. Zum Beispiel: „Prüfungsbericht für den 30. November 2021.“
Typ 1-Berichte versuchen zu beantworten: Sind Ihre Kontrollen jetzt konform mit SOC 1 oder SOC 2?
Diese Art von Bericht deckt normalerweise ab, ob Ihre internen Kontrollen gemäß den proprietären Kriterien von SOC 1 (Kontrollziele) oder SOC 2 (Vertrauensprinzipien) im Kontext der von Ihnen erbrachten Dienstleistung ordnungsgemäß gestaltet sind.
Einige der Hauptkomponenten eines Type 1 SOC-Berichts umfassen:
- Fairness: Die Meinung des Prüfers über die Fairness der Beschreibung der Kontrollziele durch das Management
- Eignung: Die Meinung des Prüfers über die Eignung des Kontrolldesigns im Kontext der erbrachten Dienstleistung
- Leistung: Die Meinung des Prüfers über die Leistung der Kontrollen zu einem bestimmten Zeitpunkt
Typ 2 SOC-Berichte
Typ 2 SOC-Berichte zielen hingegen darauf ab, die Kontrollen einer Dienstleistungsorganisation über einen bestimmten Zeitraum, typischerweise sechs bis zwölf aufeinanderfolgende Kalendermonate, zu testen. Zum Beispiel: „Prüfbericht für den Zeitraum vom 30. November 2021 bis zum 30. Mai 2022.“
Aus diesem Grund sind Typ 2 SOC-Berichte viel umfassender als Typ 1 SOC-Berichte und decken normalerweise die kontinuierliche Funktionalität interner Kontrollen über längere Zeiträume ab. Der SOC 2 Typ 2-Bericht hat daher mehr Gewicht und gibt den Nutzern mehr Vertrauen in Ihre Prozesse.
Denken Sie daran, dass Typ 2 Berichte genau dieselben Kriterien wie Typ 1 abdecken (Fairness, Eignung und Leistung). Der einzige Unterschied besteht darin, dass Typ 2 Berichte die Kontrollen der Organisation über drei bis zwölf Monate untersuchen und genauere Beschreibungen darüber liefern, wie jede Kontrolle durchgeführt wurde.
Typ 2 Berichte fügen auch einen zusätzlichen Abschnitt hinzu, der sich auf die vom Dienstleister durchgeführten Tests zur Betriebseffizienz dieser Kontrollen bezieht.
Wie können Sie den richtigen Berichtstyp auswählen?
Ihr Kunde wird oft definieren, welchen Berichtstyp Sie für Ihr SOC-Audit benötigen. Was benötigt Ihr Kunde?
Wenn Benutzer einen SOC-Bericht für ihren eigenen Prüfungsprozess anfordern, möchten sie normalerweise die umfassendste Version, und das ist ein Typ 2 Bericht.
Angenommen, Sie machen sich gerade mit SOC-Berichten vertraut. In diesem Fall, egal ob es sich um SOC 1 oder SOC 2 handelt – wir empfehlen Ihnen, mit einem Typ 1 Bericht zu beginnen, um ein besseres Verständnis der Kontrollen Ihrer Organisation zu erhalten und den Prüfungsprozess aus erster Hand kennen zu lernen.
Wenn Ihr Kunde nicht ausdrücklich einen Typ 2 Bericht anfordert, hilft Ihnen ein Typ 1 Bericht, zu verstehen, wie der Dienstleister arbeitet und Unterstützung beim tatsächlichen Entwurf der Kontrollen Ihrer Organisation zu erhalten. Sie können auch die Genauigkeit der Beschreibung Ihrer Kontrollen überprüfen.
Ein Typ 1 SOC-Bericht zuerst zu erstellen, hilft Ihnen, sich auf Typ 2 vorzubereiten und die richtigen Erwartungen für Ihr Team festzulegen.
Was ist, wenn Ihr Kunde einen Typ 2 Bericht anfordert? In diesem Fall benötigen Sie zusätzliche Tests vom Prüfer, um sicherzustellen, dass Sie die richtigen Kontrollen eingeführt haben. Sie werden analysieren, ob diese Kontrollen über einen definierten Zeitraum ordnungsgemäß funktionieren.
Zusammenfassend lässt sich sagen, dass Type 1 SOC-Berichte der beste Ausgangspunkt sind, da sie Ihnen helfen, von Anfang an die richtigen Kontrollen zu entwerfen. Typ 2 SOC-Berichte erfordern, dass Sie solche Kontrollen bereits über einen längeren Zeitraum implementiert haben.
Entscheidung, welchen SOC®-Bericht Sie benötigen
Die Bestimmung, welche Art von SOC-Bericht Sie benötigen, hängt hauptsächlich von zwei Faktoren ab: Welche Kontrollen Sie überprüfen lassen möchten und welche Benutzeranforderungen Sie erfüllen möchten.
Die folgende Tabelle zeigt die Kriterien für jeden Berichtstyp.
Egal, ob Sie einen SOC-1- oder SOC-2-Bericht oder beides benötigen: Secureframe kann Ihnen helfen, Ihren SOC-2-Prozess in wenigen Wochen zu vereinfachen, nicht in Monaten. Um mehr zu erfahren, lesen Sie unsere Produktübersichtsseite oder vereinbaren Sie noch heute eine personalisierte Demo.
| SOC 1 | SOC 2 | |||
| What is covered? | Internal controls over financial reporting | Internal controls related to security, availability, processing integrity, confidentiality, and privacy of customer data | ||
| What user needs does it meet? | Users that need to evaluate the effect of their service organizations’ controls on their financial statements, plus the CPAs that audit those financial statements | Users that need detailed information and assurance about their service organizations’ controls relevant to security, availability, and processing integrity of the systems used to process their data and the confidentiality and privacy of the that processed data | ||
| What type of organization needs it? | Organizations providing a service that can impact a client’s financial statements | Organizations that store, process, or transmit any kind of customer data | ||
| What are examples of organizations that need it? | Collections agencies, payroll providers, payment processing companies | SaaS companies, data hosting or processing providers, cloud storage services | ||
| What are the types of report? | Type 1 | Type 2 | Type 1 | Type 2 |
| What does each type of report do? | Evaluates financial controls and processes at a single point in time | Evaluates financial controls and processes over an extended period of time | Evaluates controls and processes related to applicable TSC at a single point in time | Evaluates controls and processes related to applicable TSC over an extended period of time |
| What does the auditor’s opinion cover? | Determines whether financial controls are designed properly | Determines whether financial controls function as intended | Determines whether controls related to applicable TSC are designed properly | Determines whether controls related to applicable TSC function as intended |
Häufig gestellte Fragen (FAQs)
Was ist der Hauptunterschied zwischen SOC 1, SOC 2 und SOC 3?
Wie Sie vielleicht bereits wissen, können SOC-Berichte in drei Hauptkategorien unterteilt werden:
- SOC 1: Konzentriert sich auf die Kontrollen von Dienstleistungsorganisationen über die Finanzberichterstattung.
- SOC 2: Untersucht die Kontrollen einer Dienstleistungsorganisation basierend auf den Vertrauensprinzipien des AICPA (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz).
- SOC 3: Erforscht die gleichen Kriterien wie ein SOC-2-Bericht, jedoch für ein allgemeineres Publikum (z. B. Stakeholder) dokumentiert.
Was ist der Unterschied zwischen SOC 2 Typ 1 und Typ 2?
Der Hauptunterschied besteht darin, dass ein SOC-2-Bericht vom Typ 1 die Angemessenheit des Designs der Kontrollen zu einem bestimmten Zeitpunkt bewertet, während ein SOC-2-Bericht vom Typ 2 die Angemessenheit des Designs und die Betriebseffizienz der Kontrollen über einen längeren Zeitraum bewertet.
Benötigen Sie sowohl SOC-1- als auch SOC-2-Berichte?
Es gibt Organisationen, die sowohl SOC-1- als auch SOC-2-Berichte benötigen. Wenn Sie Dienste anbieten, die verschiedene Branchen umfassen, können einige Kunden einen SOC-1-Bericht und andere einen SOC-2-Bericht anfordern.
Wie ist die Geschichte der SOC-Berichte?
In den 1990er Jahren, wenn eine Organisation Benutzer über interne Kontrollen informieren wollte, konnten sie eine Erklärung zu Prüfungsstandards (SAS) Nr. 70 durchführen.
Ein zertifizierter Wirtschaftsprüfer (CPA) würde die Kontrollen der Organisation prüfen und eine Meinung zu ihrer Leistung basierend auf spezifischen Industriestandards abgeben.
Jahrelang war SAS 70 ausreichend. Aber als sich die Organisationen weiterentwickelten, wurde ihre Komplexität auch größer. Dinge wie SaaS, Infrastrukturmanagement und Informationssicherheit kamen ins Spiel. Mit ihnen entstand der Bedarf nach einer besseren Möglichkeit, die Kontrollen einer Organisation zu verstehen und zu prüfen.
Um mit diesen Veränderungen umzugehen, veröffentlichte das American Institute of Certified Public Accountants (AICPA) die Erklärung zu Standards für Attestationsengagements Nr. 16 (SSAE 16), die darauf abzielt, technologieorientierten Dienstleistungsorganisationen zu helfen, effizienter und vollständiger an Benutzer zu berichten.
Im Juni 2010 schaffte das AICPA die SAS-70-Prüfung ab und führte die Idee der SOC-Berichte ein, die dem International Standard on Assurance Engagements (ISAE) Nr. 3042 ähnelt.
Gemäß der Sarbanes-Oxley Act (SOX) müssen börsennotierte Unternehmen sicherstellen, dass ihre Kontrollen über die Finanzberichterstattung sicher und zuverlässig sind. Sie sind vollständig dafür verantwortlich.
Wenn ein Interessent oder Kunde den Verdacht hat, dass Ihre Organisation ihren Compliance-Status gefährden könnte, werden sie möglicherweise überhaupt keine Geschäfte mit Ihnen machen. Deshalb sind SOC-Berichte so wichtig.
Was ist der Zweck von SOC-Berichten?
Das Hauptziel von SOC-Berichten besteht darin, der Organisation des Nutzers in Bezug auf Sicherheit Sicherheit zu geben. Dieser Bericht kann den Nutzern helfen zu wissen, dass ihre Prozesse und Kontrollen in guten Händen sind.
Indem ein unabhängiger, externer Prüfer Ihre Kontrollen überprüft, können Ihre aktuellen Nutzer (oder potenziellen Nutzer) sehen, dass Sie auf eine ethische, sichere Weise arbeiten. Dies macht es wahrscheinlicher, dass sie Ihrem Unternehmen sensible Daten anvertrauen.
Warum brauchen Dienstleistungsorganisationen SOC-Berichte?
Den Nutzern greifbar zu beweisen, dass Sie alles richtig machen, um ihre Informationen zu schützen und ihnen zu helfen, compliant zu bleiben, ist ein echter Wettbewerbsvorteil. Und das ist nur einer der vielen Gründe, warum Sie erwägen sollten, SOC-konform zu werden.
Weitere wichtige Vorteile sind:
- Verbesserte Prävention: Risikominimierung und Vermeidung unnötiger Probleme im Zusammenhang mit der Integrität der Nutzer.
- Bessere Positionierung: Positionieren Sie sich als ethische, zuverlässige und konforme Organisation.
- Mehr Kontrolle: Erhalten Sie mehr Kontrolle über Ihre Prozesse und Abläufe.
- Verbessern Sie Ihre Prozesse: Finden Sie potenzielle Lücken in Ihren Kontrollen und schließen Sie sie, bevor sie zu Problemen anwachsen.
- Höhere Kundenbindung und Zufriedenheit: Bauen Sie Vertrauen bei Ihren Kunden auf und vermitteln Sie ihnen ein gutes Gefühl bei der Zusammenarbeit mit Ihnen.