Egal, ob Sie sich für einen SOC 2 Typ I- oder Typ II-Bericht entschieden haben, müssen Sie sich einer jährlichen Prüfung unterziehen, um die Compliance aufrechtzuerhalten und einen erneuerten Bericht zu erhalten. Was können Sie tun, um Ihren Kunden zwischen den Prüfungszeiträumen Sicherheit zu bieten?
Hier kann ein Bridge Letter eine hilfreiche Ergänzung für Ihr Compliance-Toolkit sein.
Was ist ein Bridge Letter?
Ein Bridge Letter (auch als Gap Letter bekannt) überbrückt die Lücke zwischen dem Ende Ihres letzten SOC 2-Berichtsprüfungszeitraums und dem aktuellen Datum.
Angenommen, Ihr Unternehmen hat einen SOC 2-Bericht abgeschlossen, der den Zeitraum vom 30. September 2020 bis zum 1. Oktober 2021 abdeckt. Aber das Geschäftsjahr Ihres Unternehmens endet am 31. Dezember 2021.
Sie können Kunden einen Bridge Letter zur Verfügung stellen, der besagt, dass es zwischen dem 1. Oktober und dem 31. Dezember keine signifikanten Änderungen an Ihren Kontrollen gegeben hat. Oder, wenn es wesentliche Änderungen gab, erklären Sie, welche diese sind, und versichern Sie den Kunden, dass sie die Ergebnisse Ihres SOC 2-Berichts nicht beeinflussen würden.
Bridge Letters decken in der Regel keinen Zeitraum von mehr als drei Monaten ab. Ein Bridge Letter ersetzt keinen aktuellen SOC 2-Bericht, kann aber ein hilfreiches Instrument sein, um Kunden zwischen den Prüfungen Sicherheit zu bieten.
Was ist in einem Bridge Letter zu SOC 2 enthalten?
Ein Bridge Letter umfasst typischerweise:
- Die Anfangs- und Enddaten des Prüfungszeitraums des neuesten SOC 2-Berichts.
- Eine Erklärung zu etwaigen Änderungen der Systeme oder Kontrollen der Organisation seit der Prüfung, falls vorhanden. Oder eine Erklärung, dass die Organisation keine wesentlichen Änderungen kennt, die die Meinung des Prüfers in seinem neuesten SOC 2-Bericht ändern könnten.
- Eine Erklärung, dass sich der Bridge Letter ausschließlich auf die Organisation bezieht und nicht von einer anderen Entität verwendet werden darf.
Wer stellt einen Bridge Letter aus?
Bridge Letters werden von der Unternehmensleitung ausgestellt und unterzeichnet und direkt an die Kunden versandt.
Die CPA-Firma, die das SOC-Audit durchgeführt hat, ist nicht beteiligt.
Warum?
Angenommen, das Unternehmen hat nach Ablauf des Prüfungsfensters seine Cloud-Infrastruktur gewechselt. Der Prüfer kann nicht mehr bestätigen, dass die Umgebung des Kunden auf die gleiche Weise funktioniert.
Beispiel eines SOC 2-Bridge Letters
Sehr geehrter Kunde der ABC Company,
ABC Company beauftragt SOC 2 CPA Firm, alle sechs Monate SOC 2 Typ II-Berichte für ihre Application Hosting Services zu erstellen. Derzeit gibt ABC Company zwei Zwölfmonatsberichte mit Enddaten vom 31. März und 30. September heraus. Der Prüfungszeitraum des neuesten Berichts erstreckte sich vom 1. April 2021 bis zum 30. September 2021.
Dieses Schreiben bestätigt, dass es für den Zeitraum vom 1. Oktober 2021 bis zum Datum dieses Schreibens keine wesentlichen Änderungen am System interner Kontrollen gegeben hat, von denen wir glauben, dass sie die in dem zuvor erhaltenen SOC 2 Typ II-Bericht gezogenen Schlussfolgerungen nachteilig beeinflussen würden.
Dieses Schreiben ist nicht als Ersatz für den 2021 ABC Company SOC 2 Typ II-Bericht gedacht, noch um Ihnen eine Zertifizierung der internen Kontrollen von ABC Company zu bieten oder zu suggerieren, dass ABC Company eine separate Bewertung seiner Kontrollen durchgeführt hat, um dieses Schreiben zu erstellen.
Mit freundlichen Grüßen,
ABC Company Management
Email: management@abccompany.com
Telefon: 123-456-7890
FAQs
Was ist ein SOC 2 Type 2 Bridge Letter?
Ein SOC 2 Type 2 Bridge Letter ist ein Dokument, das die Lücke zwischen dem letzten SOC 2 Type II-Bericht einer Organisation und dem aktuellen Datum abdeckt. Kunden können es anfordern, wenn es eine Lücke zwischen dem Auditzeitraum des SOC 2-Berichts der Organisation und ihrem eigenen Kalender- oder Geschäftsjahresende gibt.
Gibt es Bridge Letters für SOC 2 Berichte?
Nein, SOC 2 Berichte haben keine Bridge Letters. SOC 2 Berichte basieren auf einer unabhängigen, von Dritten durchgeführten Buchhaltungs- und Prüfungsgesellschaft, die die Gestaltung und operative Effektivität der Prozesse, Verfahren und Kontrollen einer Organisation für einen bestimmten Zeitraum evaluiert hat. Bridge Letters sollen die Lücke zwischen dem Prüfungszeitraum Ihres letzten SOC 2 Berichts und Ihrem nächsten überbrücken.
Wer stellt einen SOC 2 Bridge Letter aus?
Bridge Letters werden von der Geschäftsleitung der Organisation ausgestellt und unterzeichnet. Sie stellen den Kunden den Bridge Letter direkt zur Verfügung. Der Auditor, der das SOC 2 Audit der Organisation durchgeführt hat, stellt keinen Bridge Letter aus, da er die Eignung der Gestaltung oder operative Effektivität der Kontrollen der Organisation außerhalb des Prüfungszeitraums des Berichts nicht attestieren kann.
Sind Bridge Letters erforderlich?
Bridge Letters sind nicht erforderlich, können jedoch als Zusicherung für Kunden und Interessenten dienen, dass Ihre Organisation ihre Prozesse, Verfahren und Kontrollen für Sicherheit und alle anderen anwendbaren Trust Services Criteria zwischen den SOC 2 Audits aufrechterhält.