Wir helfen IT-Dienstleistern, ISAE-/SOC-Kontrollrahmenwerke sowie -Prüfberichte zu etablieren. Die Anforderungen an Cloud- und Technologielösungen verändern sich rapide und teilweise radikal.
Wir bieten Ihnen einen Weg, um relevant und wettbewerbsfähig zu bleiben.
Märkte, Industrien, Technologien und Vorschriften ändern sich stetig und passen sich an neue Gegebenheiten an. Angeheizt durch die Digitalisierung entstehen neue Bedürfnisse und Anforderungen, die Unternehmen und Organisationen weltweit vor ständig neue Herausforderungen stellen. Unternehmen, die ihre Dienstleistungen an Cloud-Provider auslagern oder Software-as-a-Service von Dritten beziehen, müssen sich auf das interne Kontrollsystem dieser Anbieter verlassen können.
Darüber hinaus verschärfen sich die regulatorischen Anforderungen immer weiter, unabhängig vom Standort der Geschäftsaktivitäten.
Diese Veränderungen und Bedürfnisse sind nicht neu, doch der Bedarf nach Sicherheit steigt dabei stetig. Der International Standard on Assurance Engagements (ISAE) Nr. 3402, «Assurance Reports on Controls at a Service Organization», ist ein effektives Instrument, um dieser Entwicklung Rechnung zu tragen. Der Standard ermöglicht es Unternehmen, Risiken im Zusammenhang mit ausgelagerten Dienstleistungen besser zu kontrollieren.
Die entsprechenden Dienstleister werden jährlich durch unabhängige Wirtschaftsprüfer geprüft. Hierbei wird das interne Kontrollsystem in Bereichen wie Netzwerk- und Zugriffsmanagement sowie Änderungsmanagement oder auch im IT-Betrieb getestet.
Das Ergebnis dieser Prüfung ist ein Bericht (z. B. ISAE 3402, SOC 1, SOC 2 / ISAE 3000), der mit vordefinierten Anspruchsgruppen geteilt werden kann – ganz im Sinne von «test once, use many». Der Bericht bietet Transparenz und enthält alle notwendigen Informationen, die Kunden sowie anderweitige Anspruchsgruppen benötigen, um deren Anforderungen an die Einhaltung von Vorschriften und Sicherheit zu erfüllen.
Wir unterstützen Unternehmen und Organisationen von der Konzeption bis hin zur Attestierung von Kontrollrahmenwerken (Erstellung von SOC- sowie ISAE-Berichten).
Unsere Attestierungs-Dienstleistungen umfassen Kontrollen bezüglich der finanziellen Berichterstattung (ISAE 3402 / SOC1) und der operativen und sicherheitsrelevanten Kontroll- und Prozessumgebung (ISAE 3000 / SOC2).
Die internationalen Standards, die diesen Berichten zugrunde liegen (ISAE 3042, SSAE 18), sind komplex. Unternehmen benötigen oft Unterstützung, um zu verstehen, welche Anforderungen und welche bewährten Vorgehensweisen diesbezüglich bestehen. Dank unserer umfassenden Projekterfahrung wissen wir, was sich in der Praxis bewährt hat und welche individuellen Elemente für das Unternehmen wichtig sind.
Titel | Charakteristik |
ISAE 3402 International Standard on Assurance Engagements (ISAE) Nr. 3402: Prüfungsbericht zu den Kontrollen bei einer Dienstleistungsorganisation | Konzentriert sich auf Kontrollen, die für die Finanzberichterstattung eines Unternehmens (und seine Anspruchsgruppen) relevant sind. |
ISAE 3000 International Standard on Assurance Engagements (ISAE) Nr. 3000: Assurance-Aufträge mit Ausnahme von Prüfungen oder Überprüfungen von historischen Finanzinformationen | Konzentriert sich auf Kontrollen in Bezug auf die Einhaltung von Vorschriften oder auf Betriebsprozesse. |
SOC 1 Service Organization Controls Report 1 | Konzentriert sich auf ausgelagerte Dienstleistungen, die von externen Dienstleistungsunternehmen erbracht werden und für die Finanzberichterstattung eines Unternehmens (als Nutzer der Dienstleistungen) relevant sind. |
SOC 2 Service Organization Controls Report 2 | Konzentriert sich auf die operativen Risiken der Auslagerung an Dritte ausserhalb der Finanzberichterstattung. Basierend auf fünf AICPA Trust Services Categories:
|
SOC 3 Service Organization Controls Report 3 | Ein SOC-3-Bericht basiert auf einem SOC-2-Bericht Typ 2, ist aber nicht genauso umfassend. Vertrauliche Informationen werden geschwärzt, um den Bericht für die allgemeine Verwendung nutzbar zu machen. |
Wir haben einen praxiserprobten und technologiegestützten Ansatz entwickelt, der drei Phasen umfasst und unseren Kunden dabei hilft, robuste Prozesse und Kontrollen zu etablieren. Eine enge Abstimmung sowie ein umfassendes Verständnis für die Dienstleistung und den Sektor zeichnen uns aus. Der Ansatz umfasst die folgenden Phasen, abgestimmt auf den jeweiligen Standard:
Unsere Fachexpertinnen und Fachexperten führen jedes Jahr zahlreiche Projekte durch – dadurch verfügen unsere Mitarbeitenden über umfassendes und praxisnahes Wissen. Von der Risikoidentifizierung bis hin zur Prüfung von Kontrollrahmenwerken bieten wir modulare Lösungen, die das gesamte Spektrum der in den Standards festgelegten Anforderungen abdecken.
Unterstützt durch unsere proprietäre, erstklassige «KPMG Clara»-Plattform bieten wir qualitativ hochwertige und effiziente Prüfungsdienstleistungen an. Die Plattform wird global verwendet und kontinuierlich mit neuen Innovationen erweitert. Unser Vorgehen ist skalierbar und garantiert einen weltweit einheitlichen Standard.
Unser Angebot ist modular und deckt alle relevanten Aspekte – von der finanziellen Berichterstattung bis hin zu Cloud-basierten Lösungen und deren internen Kontrollsystemen – ab.
Unsere SOC-Berichte sind von höchster Qualität und in der Branche führend. Wir erstellen Hunderte von Berichten für Dienstleister auf der ganzen Welt und sind an vorderster Front, wenn es um regulatorische Änderungen geht, die sich auf den entsprechenden Standard auswirken. Mit uns haben Sie jederzeit und überall Zugang zu den erfahrensten Fachleuten aus allen Branchen.
Darüber hinaus unterstützen wir Dienstleister bei der Bewältigung von Kundenanforderungen und erleichtern so Audits und Compliance-Überprüfungen. Unsere oberste Priorität ist es, allen Unternehmen und Organisationen ein möglichst effizientes und kostengünstiges Risikomanagement zu ermöglichen.
SOC-Berichte entwickeln sich zu einem absoluten Muss. Kontaktieren Sie uns!
