Definition und Zweck

Der Zweck eines SOC 1-Berichts besteht darin, den Kunden und deren Prüfern eine Sicherheit bezüglich der beim Dienstleistungsunternehmen implementierten Kontrollen zu geben, die für die Finanzberichterstattung relevant sind. Der Bericht soll die Gestaltung und operative Wirksamkeit dieser Kontrollen evaluieren und deren Einfluss auf die Finanzberichte der Kunden des Dienstleistungsunternehmens beurteilen.

Gremium

SOC 1 ist Teil eines Dienstleistungspakets, das vom American Institute of Certified Public Accountants (AICPA) erstellt und gepflegt wird. Die AICPA gibt Richtlinien darüber, wie SOC 1-Berichte durchgeführt werden sollten, was enthalten sein sollte und welche Kriterien zur Bewertung der Kontrollen herangezogen werden.

Letzte Aktualisierung

Der SOC 1-Rahmen unterliegt regelmäßigen Aktualisierungen und Überarbeitungen durch die AICPA, um seine fortgesetzte Relevanz und Wirksamkeit sicherzustellen. Die letzte größere Aktualisierung von SOC 1 erfolgte 2016 mit der Einführung des SSAE 18-Standards, der SSAE 16 ersetzte.

Gilt für

SOC 1-Berichte sind typischerweise für Dienstleistungsunternehmen relevant, die die Finanzoperationen der Benutzer beeinflussen. Beispiele hierfür sind Lohnabrechnungssoftware, Abrechnungsverwaltungssysteme, Finanzberichterstattungssoftware und Treuhandgesellschaften.

Kontrollen und Anforderungen

Ein SOC 1-Bericht bewertet die Gestaltung und operative Wirksamkeit der Kontrollen eines Dienstleistungsunternehmens, die voraussichtlich für die interne Kontrolle der Finanzberichterstattung der Kunden (ICFR) relevant sind. Diese Kontrollen variieren je nach den erbrachten Dienstleistungen des Unternehmens und ihren Kontrollzielen, d. h. welchen Aspekt der Finanzberichterstattung die Kontrollen ansprechen sollen. Beispiele für Kontrollziele sind die Erfassung gültiger Transaktionen, die Vollständigkeit und Genauigkeit der Transaktionen und die rechtzeitige Buchung von Transaktionen.

Bitte besuchen Sie die Website der AICPA für offizielle Ressourcen zu SOC 1-Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

• Audit-Typ: Um einen SOC 1-Bericht zu erhalten, müssen sich Organisationen einer Prüfung durch einen CPA unterziehen, die eine rigorose Überprüfung der Kontrollen der Organisation beinhaltet, die direkt mit den finanziellen Operationen der Benutzer zusammenhängen. Es gibt zwei Arten von SOC 1-Berichten: Typ 1 und Typ 2. Ein Typ 1-Bericht bewertet die Gestaltung der Kontrollen zu einem bestimmten Zeitpunkt, während ein Typ 2-Bericht die Gestaltung und operative Wirksamkeit der Kontrollen über einen bestimmten Zeitraum hinweg bewertet.
• Audit-Häufigkeit: Die Häufigkeit hängt von den Anforderungen der Kunden und Prüfer des Dienstleistungsunternehmens ab. Typischerweise unterziehen sich Organisationen mindestens einmal jährlich einem SOC 1, um ihren Kunden und Interessengruppen fortlaufend Sicherheit zu bieten, es kann jedoch auch vierteljährlich erfolgen.
• Audit-Dauer: Die Dauer eines SOC 1-Audits kann je nach Umfang des Audits und der Komplexität der Infrastruktur und Operationen des Dienstleistungsunternehmens variieren. Wie ein SOC 2® reicht sie typischerweise von einigen Wochen bis zu mehreren Monaten.