Third-Party-Assurance im Umfeld von Multi Regulatory Compliance
Viele Unternehmen sowie Dienstleisterinnen und Dienstleister stehen vor der Herausforderung, parallel unterschiedliche Prüfanforderungen erfüllen zu müssen – etwa aus Gründen der IT-Sicherheit, Compliance oder branchenspezifischer Regulierung. Ob ISAE 3402, SOC 2, C5, PS 951, DORA, NIS2 oder andere Standards bzw. Kriterienkataloge: Die Zahl der geforderten Rahmenwerke wächst.
In der Praxis bedeutet das: mehrfacher Aufwand, doppelte Interviews, redundante Nachweise. Dabei lassen sich viele Prüfanforderungen strukturiert kombinieren – durch einen unternehmensspezifisch ganzheitlichen Ansatz sowie einen abgestimmten Prüfungsprozess mit ggf. mehreren Berichtsformaten für die Third-Party-Assurance Berichterstattungen.
Aufgrund unserer Erfahrung mit Third-Party-Assurance Berichterstattungen im Umfeld von Multi Regulatory Compliance, sowohl für internationale Kunden mit Shared Service Centern als auch für mittelständische Dienstleistungsunternehmen, sind wir bei BDO für Sie der richtige Ansprechpartner für derartige Prüfungen. Unser ganzheitlicher Ansatz gewährleistet einerseits eine effiziente und effektive Überwachung der internen Kontrollmechanismen im Unternehmen und unterstützt die Einhaltung festgelegter Gesetze, Vorschriften und Standards. Andererseits lässt ein solch ganzheitlicher Ansatz auch eine kombinierte und effiziente Third-Party-Assurance Berichterstattung zu.
________________________________________
Ein Ansatz, viele Standards
In einem kombinierten Prüfungsprozess werden Anforderungen verschiedener Frameworks gleichzeitig geprüft, z. B.:
• ISAE 3402 (SOC 1) und SOC 2
• SOC 2 und BSI C5
• PS 951 und SOC 1
• Prüfberichte zu DORA, HIPAA oder NIS2 z.B. auf Basis von ISAE 3000
Die Methodik basiert auf einem systematischen Mapping von Kontrollen und einer klaren Trennung der Berichtslogiken. Laut BSI ist beispielsweise die Kombination von ISO 27001 und C5 sachgerecht möglich, effizient lassen sich aufgrund der hohen Schnittmenge auch SOC2 und C5 kombinieren. Auch die AICPA (American Institute of Certified Public Accountants) erlaubt kombinierte SOC-Prüfungen, sofern sie normgerecht berichtet werden.
Darüber hinaus kann auch ein sogenannter SOC2+ angeboten werden.
SOC 2+ bezeichnet eine kombinierte Prüfung, bei der der klassische SOC 2-Bericht (auf Basis der Trust Services Criteria der AICPA) um zusätzliche Anforderungen erweitert wird – etwa aus ISO 27001, BSI C5, NIST, HIPAA oder spezifischen Kundenanforderungen.
Die AICPA erlaubt diese Erweiterung ausdrücklich, solange alle zusätzlichen Kriterien klar dokumentiert und getrennt dargestellt werden. So entsteht ein umfassender Prüfbericht, der über die üblichen SOC 2-Kriterien hinausgeht und gleichzeitig die Anforderungen mehrerer Stakeholder bedient – mit nur einem Prüfprozess.
________________________________________
Typische Anwendungsfälle
- Ein Cloud-Anbieter benötigt sowohl einen SOC 2-Bericht für US-Kunden als auch einen C5-Bericht für den deutschen Markt.
- Ein Finanzdienstleister kombiniert einen PS 951-Bericht für Aufsichtsbehörden mit einem ISAE 3402-Bericht für seine Outsourcing-Dienstleister.
- Ein Shared Service Center bereitet eine SOC 1/SOC 2-Prüfung vor – mit konsistenten Aussagen zu einem gemeinsamen Kontrollsystem.
________________________________________
Das bietet BDO
BDO begleitet Unternehmen prüferisch bei Planung und Durchführung kombinierter Prüfungen – u. a. durch:
1. Readiness Assessment: Scoping & Mapping - Definition der Prüfungsvoraussetzungen
2. Auditplanung: Koordinierter Prüfungsprozess mit geringem Zusatzaufwand
3. Berichterstattung: Kombinierte Third-Party-Assurance Berichterstattung – konsistent und qualitätsgesichert
Sprechen Sie uns an – wir unterstützen Sie gerne.
