Wenn Sie sich auf eine SOC 2 Prüfung vorbereiten, wissen Sie, dass dies eine Menge Dokumentation erfordert. Eines der wichtigsten Dokumente, die Sie Ihrem Prüfer vorlegen müssen, ist eine Management Assertion.

Was ist eine Management Assertion und wofür ist sie? Wie schreibt man eine?

Wir beantworten diese Fragen unten und kommen dann direkt zu einem Beispiel für eine Management Assertion und einer anpassbaren Vorlage.

Was ist eine SOC 2 Management Assertion?

Die Management Assertion ist ein Schreiben von Unternehmensleitern, das die Produkte und Dienstleistungen des Unternehmens zusammenfasst. Es enthält eine Reihe von Fakten (oder „Assertionen“) des Unternehmensmanagements über die Struktur der IT-Systeme, Organisationskontrollen und Subservice-Organisationen.

Die meisten Management Assertions sind einfach der Weg des Unternehmens zu sagen: „Das sind unsere Systeme, das sind die internen Kontrollen und so haben wir alles durchdacht.“ Dieser Abschnitt kann auch die Assertionen des Managements über die Prüfung selbst enthalten, wie z.B. den Bewertungszeitraum und den Prüfungsumfang.

Einfach ausgedrückt, informiert die Management Assertion den Prüfer darüber, wie alles funktionieren soll, damit dieser bewerten kann, ob das auch tatsächlich der Fall ist. Der abschließende Bericht des Prüfers stimmt im Wesentlichen mit den Aussagen des Managements überein oder widerspricht ihnen. Deshalb ist eine Management Assertion so wichtig – und warum sie so genau wie möglich sein muss. Sie ist die Grundlage für Ihre gesamte SOC 2 Prüfung.

Wenn Sie beispielsweise in Ihrer Management Assertion behaupten, dass jeder Mitarbeiter eine jährliche Schulung zur Sensibilisierung für Cybersicherheit erhält, muss der Prüfer diese Behauptung durch Überprüfung von Dokumenten wie Abschlusszertifikaten validieren.

Das American Institute of Certified Public Accountants (AICPA) beschreibt drei Zwecke für die Management Assertion:

• Bestimmt, ob die Systembeschreibung der Serviceorganisation entsprechend den Kriterien dargestellt wird
• Bestimmt, ob die in der Beschreibung angegebenen Kontrollen ordnungsgemäß entworfen wurden
• Beschäftigt sich damit, ob die Kontrollen während eines Bewertungszeitraums für einen Type II Bericht ordnungsgemäß funktionierten

Eine Management Assertion mag wie eine Formalität erscheinen, spricht aber tatsächlich einen sehr wichtigen Aspekt von SOC 2 Prüfungen an: Der Prüfer und das Unternehmensmanagement arbeiten zusammen, um über interne Kontrollen und deren Betriebseffektivität zu berichten. Durch die Bereitstellung einer Management Assertion für den Prüfer teilen die Unternehmensleiter wertvolle Einblicke, wie interne Kontrollen entworfen sind und innerhalb der Organisation funktionieren. Dadurch können Prüfer einen abschließenden Prüfungsbericht erstellen, der vollständig informiert, objektiv und umfassend ist.

Wie die Management Assertion in einen SOC 2 Bericht passt

Die Management Assertion ist ein wichtiger Bestandteil Ihres abschließenden SOC 2 Berichts, der dem Leser die Ergebnisse Ihrer Prüfung erläutert.

Das Hauptziel der SOC 2-Berichterstattung besteht darin festzustellen, ob ein bestimmtes System die Anforderungen der relevanten Trust Services Criteria (TSC) erfüllt. Ein SOC 2-Bericht liefert detaillierte Informationen über die Prüfung selbst, eine Beschreibung des bewerteten Systems und der damit verbundenen Kontrollen, die Testergebnisse und die Perspektiven des Unternehmensmanagements.

SOC 2-Berichte umfassen fünf Abschnitte:

1. Bericht des unabhängigen Serviceprüfers: Der erste Abschnitt eines SOC 2-Berichts ist eine Zusammenfassung der vom Prüfer durchgeführten Prüfung. Er bietet einen kurzen Überblick über die gesamte SOC 2-Bewertung, einschließlich des Umfangs, des Zeitraums und der Meinung des Prüfers:
   undefinedundefinedundefinedundefined
2. Management-Erklärung: Dieser Abschnitt bietet der Unternehmensleitung die Möglichkeit, Behauptungen über die Systeme und Kontrollen aufzustellen, die im Rahmen der SOC 2-Prüfung geprüft werden.
3. Systembeschreibung: Während die Management-Erklärung einen kurzen Überblick über das geprüfte System geben kann, geht dieser Abschnitt viel detaillierter auf das System und die Kontrollumgebung ein. Es umfasst alles von Systemkomponenten und Organisationsstruktur bis hin zu Verfahren und Systemvorfällen.
4. Kontrolltests: Typischerweise der längste Abschnitt eines SOC 2-Berichts, dies ist eine vollständige Liste der vom Prüfer während des Prüfungsprozesses durchgeführten Tests.
5. Zusätzliche Informationen: Einige SOC 2-Berichte können einen zusätzlichen Abschnitt für zusätzliche Informationen oder die Reaktion des Managements auf bestimmte Testergebnisse enthalten.

Wie man eine SOC 2-Management-Erklärung schreibt

Da jedes Unternehmen einzigartig ist, werden keine zwei Management-Erklärungen gleich sein. Während eine Firma eine prägnante Management-Erklärung haben könnte, die auf eine Seite Text passt, könnte die Management-Erklärung einer anderen Firma mehrere Seiten umfassen und Tabellen und Grafiken enthalten.

Das gesagt, Management-Erklärungen sollten kurz und prägnant sein. Sie enthalten typischerweise einige einleitende Absätze, die darlegen, wie die geprüften Systeme organisiert sind und wie die Sicherheitskontrollen gestaltet sind.

Die Management-Erklärung besteht aus drei Hauptabschnitten:

1. Eine kurze Beschreibung des Systems der Dienstleistungsorganisation.
2. Eine Behauptung (oder „Erklärung“) des Managements, dass ihre internen Kontrollen absichtlich und durchdacht entworfen wurden, um die in der Systembeschreibung spezifizierten Kontrollziele zu erreichen.
3. Eine Erklärung der Kriterien, die verwendet wurden, um sicherzustellen, dass die Kontrollen während des gesamten Prüfungszeitraums konsistent und effektiv angewandt wurden.

Die Management-Erklärung ist ein offizielles Dokument und sollte auf dem Briefkopf des Unternehmens präsentiert werden.

SOC 2-Management-Erklärung Beispiel + Vorlage

Erklärung des Managements von [UNTNEHMENSNAME] hinsichtlich seines [SYSTEMNAME]-Systems im Zeitraum vom [MONAT, TAG, JAHR] bis [MONAT, TAG, JAHR]

Das Management von [UNTNEHMENSNAME] hat diese Beschreibung des [SYSTEMNAME]-Systems von [UNTNEHMENSNAME] (die „Dienstleistungsorganisation“) für den Zeitraum vom [MONAT, TAG, JAHR] bis [MONAT, TAG, JAHR] („Beschreibung“) vorbereitet. Die Beschreibung basiert auf den in Abschnitt 200 des Beschreibungskriterien für eine Beschreibung des Systems einer Dienstleistungsorganisation in einem SOC 2-Bericht Dokuments angegebenen AICPA-Kriterien. Diese Beschreibung soll den Berichtsnutzern Informationen über das [SYSTEMNAME]-System liefern, die bei der Beurteilung von Risiken, die sich aus Interaktionen mit dem [SYSTEMNAME]-System von [UNTNEHMENSNAME] ergeben, nützlich sein können, sowie Informationen über Kontrollen, die [UNTNEHMENSNAME] entwickelt, implementiert und betrieben hat, um angemessene Sicherheit zu gewährleisten, dass seine Dienstleistungsverpflichtungen und Systemanforderungen gemäß den einschlägigen AICPA Trusted Services Criteria, die in Abschnitt 100 des Trusted Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy Dokuments festgelegt sind, erfüllt wurden.

[UNTERNEHMENSNAME] verwendet [DRITTPARTEIENSERVICE], eine Unterdienstleistungsorganisation, um [DIENSTLEISTUNGEN] zu erbringen; [DRITTPARTEIENSERVICE], eine Unterdienstleistungsorganisation, um [DIENSTLEISTUNGEN] zu erbringen; [DRITTPARTEIENSERVICE], eine Unterdienstleistungsorganisation, um [DIENSTLEISTUNGEN] zu erbringen.

Diese Beschreibung zeigt, dass ergänzende Kontrollen der Unterdienstleistungsorganisationen geeignet konzipiert und effektiv betrieben werden.

Diese Beschreibung zeigt, dass ergänzende Kontrollen der Unterdienstleistungsorganisationen, die geeignet konzipiert und effektiv betrieben werden, zusammen mit den Kontrollen bei [UNTERNEHMENSNAME] erforderlich sind, um die Dienstleistungsverpflichtungen und Systemanforderungen von [UNTERNEHMENSNAME] basierend auf den anwendbaren Trusted Services Criteria zu erfüllen. Diese Beschreibung präsentiert die Kontrollen von [UNTNEHMENSNAME], die anwendbaren Trusted Services Criteria und die Arten von ergänzenden Kontrollen der Unterdienstleistungsorganisationen, die in die Konzeption der Kontrollen von [UNTNEHMENSNAME] einbezogen wurden. Diese Beschreibung gibt keine Auskunft über die tatsächlichen Kontrollen bei den Unterdienstleistungsorganisationen.

Wir bestätigen nach bestem Wissen und Gewissen, dass:

a. Diese Beschreibung das [SYSTEMNAME]-System von [UNTERNEHMENSNAME], das im Zeitraum vom [MONAT, TAG, JAHR] bis [MONAT, TAG, JAHR] entworfen und implementiert wurde, gemäß den Beschreibungskriterien angemessen darstellt:

• Die Beschreibung enthält Folgendes:
  1. Arten der erbrachten Dienstleistungen
  
  2. Systemkomponenten, die zur Erbringung der Dienstleistungen verwendet werden, nämlich:
  -Infrastruktur: Physische und Hardware-Systemkomponenten
  -Software: Programme und Betriebssystemsoftware des Systems
  -Personal: Personen, die das System betreiben und nutzen
  -Prozesse: Automatisierte und manuelle Prozesse, die an den Systemoperationen beteiligt sind
  
  3. Systemumfang und Grenzen
  
• Die Beschreibung lässt keine Informationen aus oder verfälscht keine Informationen, die für das System der Dienstleistungsorganisation relevant sind, und erkennt gleichzeitig an, dass die Beschreibung erstellt wurde, um den gemeinsamen Bedürfnissen einer breiten Benutzergruppe gerecht zu werden und daher möglicherweise nicht jeden Aspekt des Systems enthält, den jeder einzelne Benutzer als für seine eigenen speziellen Bedürfnisse wichtig erachtet.

b. Die in dieser Beschreibung angegebenen Kontrollen waren im Zeitraum vom [MONAT, TAG, JAHR] bis [MONAT, TAG, JAHR] geeignet konzipiert, um angemessene Sicherheit zu gewährleisten, dass:

• Die Dienstleistungsverpflichtungen und Systemanforderungen von [UNTNEHMENSNAME] basierend auf den anwendbaren Trusted Services Criteria erfüllt würden
• Ihre Kontrollen in diesem Zeitraum effektiv betrieben wurden und
• Die Unterdienstleistungsorganisation und Benutzerentitäten die in der Konzeption der Kontrollen von [UNTNEHMENSNAME] angenommenen ergänzenden Kontrollen während dieses Zeitraums anwandten.

c. Die in der Beschreibung angegebenen Kontrollen wurden im Zeitraum vom [MONAT, TAG, JAHR] bis [MONAT, TAG, JAHR] effektiv betrieben, um angemessene Sicherheit zu gewährleisten, dass:

• Die Dienstleistungsverpflichtungen und Systemanforderungen von [UNTNEHMENSNAME] basierend auf den anwendbaren Trusted Services Criteria erfüllt werden würden, wenn ergänzende Kontrollen der Unterdienstleistungsorganisationen und ergänzende Benutzerkontrollen, die in der Konzeption der Kontrollen von [UNTNEHMENSNAME] angenommen wurden, in diesem Zeitraum effektiv betrieben wurden.

Möchten Sie eine Abkürzung für das Schreiben Ihrer eigenen Management-Bestätigung? Laden Sie die Vorlage für die Management-Bestätigung als bearbeitbare PDF herunter.

Erhalten Sie fachkundige Anleitung zur Vorbereitung auf Ihr SOC 2-Audit

Das Erhalten Ihres SOC 2-Berichts kann ein langer, mühsamer Prozess sein, der mit einer endlosen Flut von Fragen gefüllt ist. Welchen Berichtstyp sollten Sie wählen? Wie bestimmen Sie den Umfang Ihres Audits? Entsprechen Ihre Richtlinien und Kontrollen den Compliance-Anforderungen? Woher wissen Sie, ob Sie vollständig für ein Audit vorbereitet sind?

Bei Secureframe glauben wir, dass jeder einen Experten an seiner Seite haben sollte, um diese Fragen zu beantworten und Sie bei jedem Schritt der Compliance-Reise zu unterstützen. Deshalb weisen wir jedem Kunden einen ehemaligen Auditor zu, der beim gesamten Prozess hilft - von der Verständigung und Umsetzung der Kontrollanforderungen bis hin zum Audit selbst.

Erfahren Sie mehr über unser Team von Compliance-Experten und hören Sie Antworten auf häufige Fragen in unserer Secureframe Expert Insights Webinar-Reihe.