Ein SOC 1-Bericht (System-und Organisationskontrollbericht) ist ein Bericht über Kontrollen bei einer Serviceorganisation, die für die interne Kontrolle der Benutzereinheiten über die Finanzberichterstattung relevant sind. Der SOC1-Bericht ist das, was Sie zuvor als Standard SAS70 (oder SSAE 16) angesehen hätten, komplett mit einem Typ-I-und Typ-II-Bericht, fällt jedoch unter die SSAE 18-Anleitung (Stand 1.Mai 2017).,
Bitte lesen Sie die folgenden Artikel, in denen die SSAE 18-Leitlinien und zusätzliche Informationen zu den SOC 1-Berichten (Typ I und Typ II) erläutert werden:
- SSAE 18 Typ I-Bericht Hintergrundinformationen
- SSAE 18, Ersetzt SSAE 16 ab Mai 2017
- SSAE 18 Vorbereitungstipps
Im Folgenden finden Sie eine Historie der wichtigsten Änderungen, die im Laufe der Zeit am Auditstandard vorgenommen wurden, um die Gesamtprüfung und den Abschlussbericht zu verbessern.,i > die in der Beschreibung angegebenen zugehörigen Kontrollziele; und
SSAE 18 fügt einen zusätzlichen Satz von Anforderungen hinzu, um den SSAE 16-Standard weiter zu verbessern:
- Erfordert die Aufnahme eines ergänzenden Abschnitts für die Kontrolle der Subservice-Organisation (ähnlich dem, was derzeit für SOC 2 erforderlich ist).
- Erfordert die Durchführung einer detaillierten Risikobewertung auf der Grundlage der im Bericht definierten Kontrollziele.
Denken Sie daran: Obwohl der Berichtsstandard bald erreicht sein wird, gelten SSAE 18, SSAE 16 und ISAE 3204 immer noch als SOC 1-Bericht!,
Die neuesten Änderungen sollen dem Endbenutzer ein klareres Bild von den Subservice-Organisationen seines Anbieters und den Verantwortlichkeiten des Endbenutzers vermitteln (ergänzende Benutzerentitätskontrollen), was dazu beitragen wird, allen Beteiligten ein rundum höheres Maß an Sicherheit und Verständnis zu bieten.,
SOC 2 und SOC 3-Zusätzliche Berichtsoptionen
Zusätzlich zu dem SOC 1-Bericht, der auf Kontrollen beschränkt ist, die für eine Prüfung des Abschlusses eines Benutzerunternehmens relevant sind, wurden die SOC 2-und SOC 3-Berichte erstellt, um für Betrieb und Compliance relevante Kontrollen zu behandeln.,
- SOC 2-Bericht-Trust Services Principles – Der Service Organization Control (SOC) 2-Bericht wird gemäß AT 101 und auf der Grundlage der Trust Services Principles durchgeführt, mit der Fähigkeit, das Design (Typ I) und den Betrieb (Typ II) zu testen und zu berichten Wirksamkeit der Kontrollen einer Serviceorganisation (genau wie SOC 1 / SSAE 18)….,weiterlesen
- SOC 3 Report-WebTrust und SysTrust-Der SOC 3 Report basiert ebenfalls auf den Trust Service Principles und wird unter AT101 durchgeführt, wobei der Unterschied darin besteht, dass ein SOC 3 Report frei verteilt werden darf (allgemeine Verwendung) und nur darüber berichtet, ob das Unternehmen die Trust Services Kriterien erfüllt hat oder nicht (keine Beschreibung von Tests und Ergebnissen oder Stellungnahme zur Beschreibung des Systems)…..Lesen Sie mehr