Nicht alle SOC 2-Berichte sind gleich. Nutzen Sie dieses interaktive Tool, um die Qualität und Vertrauenswürdigkeit eines SOC 2-Berichts schnell zu bewerten, bevor Sie ihn in Ihr Lieferantenrisikoprogramm aufnehmen.
Kriterien basierend auf der SOC 2 Quality Guild -Rubrik – einer offenen, gemeinschaftlichen Initiative zur Festlegung von Qualitätssignalen für SOC 2-Berichte.
Öffnen Sie den SOC 2-Bericht, den Sie überprüfen, und arbeiten Sie dann jedes der folgenden Qualitätssignale durch. Wählen Sie für jedes Signal eine Option aus:
Der Bericht entspricht diesem Qualitätssignal.
Rote Flagge erkannt. Erfordert Aufmerksamkeit.
Nicht zutreffend oder nicht feststellbar.
Bewerten Sie jedes Signal, um Ihre Punktzahl zu sehen.
Ist der Wirtschaftsprüfer eine registrierte Wirtschaftsprüfungsgesellschaft, die am AICPA Peer Review Program teilnimmt?
Der Wirtschaftsprüfer muss eine registrierte Wirtschaftsprüfungsgesellschaft sein, die am AICPA Peer Review Program teilnimmt. Einzelne Wirtschaftsprüfer, die ohne Zugehörigkeit zu einer Gesellschaft unterschreiben, oder nicht registrierte Gesellschaften weisen darauf hin, dass die Prüfung möglicherweise nicht legitim ist oder keiner ordnungsgemäßen Aufsicht unterliegt.
Den Firmennamen und die Unterschrift finden Sie am Ende von Abschnitt 1. Überprüfen Sie die Registrierung unter nasba.org (staatliche Behörde) und aicpa.org (Peer Review). Wenn Sie die Registrierung nicht bestätigen können, lehnen Sie den Bericht ab und fordern Sie einen Bericht von einer ordnungsgemäß zugelassenen Firma an.
Ist der Bericht frei von auffälligem Branding der GRC-Plattform, das nicht zum Auditor oder zum geprüften Unternehmen gehört?
Das starke Branding einer GRC-Plattform (nicht des Wirtschaftsprüfers oder des geprüften Unternehmens) im gesamten Bericht lässt vermuten, dass die Plattform Inhalte automatisch generiert hat, ohne dass diese ausreichend von einem unabhängigen Wirtschaftsprüfer angepasst oder beurteilt wurden.
Überprüfen Sie den vollständigen Bericht auf Logos und Branding. Es sollten nur die Wirtschaftsprüfungsgesellschaft und das geprüfte Unternehmen aufgeführt sein. Wenn das Branding einer Compliance-Plattform vorhanden ist, sollten Sie die Testverfahren genauer unter die Lupe nehmen und prüfen, ob die Prüfung eine echte unabhängige Überprüfung oder nur eine automatisierte Berichterstellung umfasste.
Verfügt die Wirtschaftsprüfungsgesellschaft über einen glaubwürdigen Ruf in der Branche?
Einige Unternehmen sind in der Branche dafür bekannt, dass sie Abstriche machen, einen Preiskampf führen oder vorlagenlastige Berichte erstellen. Andere sind für ihre strengen, sorgfältigen Prüfungen bekannt. Der Ruf ist ein Indikator für die Qualität.
Suchen Sie auf G2, Gartner Peer Insights oder LinkedIn nach Bewertungen und Diskussionen zum Namen des Unternehmens. Fragen Sie in Ihrem TPRM-Netzwerk, ob jemand Erfahrungen mit diesem Wirtschaftsprüfer hat. Wenn Sie Muster von Qualitätsproblemen feststellen, berücksichtigen Sie dies bei Ihrer Bewertung und fordern Sie zusätzliche Nachweise an.
Enthält Abschnitt 1 alle von der AICPA vorgeschriebenen Absätze?
Die AICPA-Standards schreiben bestimmte Absätze vor: „Umfang“, „Stellungnahme“ und für Typ 2 „Beschreibung der Kontrollprüfungen“. Fehlende oder falsche Absätze deuten darauf hin, dass der Prüfer die Standards nicht kennt oder Abkürzungen genommen hat.
Durchsuchen Sie Abschnitt 1 nach gekennzeichneten Absätzen. Überprüfen Sie bei Typ 2, ob es in Abschnitt 4 einen Absatz gibt, der sich auf Tests bezieht. Vergewissern Sie sich, dass in der Stellungnahme klar angegeben ist, ob die Kontrollen angemessen konzipiert waren und wirksam funktioniert haben. Fehlende oder allgemeine Formulierungen sind ein strukturelles Warnsignal – dokumentieren Sie diese und leiten Sie sie weiter, bevor Sie sie akzeptieren.
Zeigen die Testbeschreibungen, was tatsächlich geprüft wurde, anstatt vage Standardformulierungen zu enthalten?
Vage Testbeschreibungen wie „geprüfte Nachweise” oder „kontrollierte Nachweise” geben keinen Aufschluss darüber, was tatsächlich untersucht wurde. Achten Sie auf Beschreibungen, die darauf hinweisen, dass der Test wiederholt oder beobachtet wurde. Konkrete Beschreibungen wie „35 vierteljährliche Zugriffsüberprüfungen über den gesamten Zeitraum kontrolliert und die Genehmigung durch den Manager sowie die rechtzeitige Entfernung überprüft” zeugen von einer strengeren Testmethodik.
Wählen Sie 5 bis 7 für Ihren Anwendungsfall entscheidende Kontrollen aus und lesen Sie deren Testverfahren Zeile für Zeile durch. Achten Sie dabei auf Folgendes: Welche Nachweise wurden geprüft, wie viele Proben, aus welchen Zeiträumen und was wurde konkret überprüft? Wenn es sich um austauschbare Standardverfahren handelt, markieren Sie diese Kontrollen und fordern Sie direkte Nachweise vom Anbieter an.
Sind die Stichproben groß genug und über den gesamten Prüfungszeitraum verteilt?
Die einmalige Prüfung von 5 Punkten zu Beginn des Zeitraums für eine tägliche Kontrolle bietet nur geringe Sicherheit. Die Prüfung von 40 Punkten, verteilt über 12 Monate, bietet eine höhere Sicherheit. Die Stichprobenmethodik zeigt die Gründlichkeit der Wirksamkeitsüberprüfung.
Zählen Sie für Ihre kritischen Kontrollen die Stichproben und überprüfen Sie den Zeitplan. Achten Sie bei technischen Kontrollen (MFA, Verschlüsselung) auf die Prüfung der Konfiguration und der vom System generierten Nachweise. Überprüfen Sie bei regelmäßigen Kontrollen (vierteljährliche Überprüfungen), ob alle Instanzen getestet wurden. Kleine Stichproben (5–10) oder Clustering am Ende des Zeitraums stellen eine Einschränkung dar – vermerken Sie dies und erwägen Sie eine direkte Überprüfung.
Werden in Abschnitt 3 konkrete Produkte, Infrastrukturen und Organisationsstrukturen genannt?
In Abschnitt 3 sollten konkrete Produkte, Technologiekomponenten, Infrastrukturanbieter und die Organisationsstruktur genannt werden. Allgemeine Schlagworte, die auf jedes Unternehmen zutreffen könnten, lassen vermuten, dass sich der Prüfer nicht mit der tatsächlichen Umgebung auseinandergesetzt hat.
Achten Sie auf spezifische Details: AWS/Azure/GCP, namentlich genannte SaaS-Tools, Standorte von Rechenzentren, Organigramme, Architekturdiagramme. Wenn es sich wie ein Marketingtext liest, den man auf jedes Unternehmen übertragen könnte, hat sich der Prüfer wahrscheinlich nicht gründlich damit befasst. Vergleichen Sie die Angaben mit Ihrem Wissen über die tatsächliche Technologieplattform des Anbieters.
Legen Kontrollen fest, wer, was, wann und wie – oder sind es nur vage Aussagen?
Vage Kontrollen wie „Das Management sorgt für Sicherheit“ geben keinen Aufschluss darüber, was tatsächlich geschieht. Klare Kontrollen legen fest, was geschieht, wer es tut, wie oft und was es wirksam macht.
Lesen Sie die Beschreibungen der Kontrollen auf ihre Spezifität hin. Gut: „Das Sicherheitsteam überprüft vierteljährlich den Produktionszugang, validiert die geschäftliche Rechtfertigung mit den Managern und entfernt ungerechtfertigte Zugriffe innerhalb von 24 Stunden.“ Schlecht: „Der Zugang wird regelmäßig überprüft.“ Wenn die Kontrollen durchweg vage sind, können Sie ihre Relevanz nicht beurteilen – fordern Sie die tatsächliche Kontrolldokumentation des Anbieters an.
Entsprechen die Kontrollen logisch den Trust Services-Kriterien, die sie angeblich erfüllen sollen?
Jede Kontrolle wird den Trust Services Criteria zugeordnet (wie CC6.1 für den logischen Zugriff). Unlogische Zuordnungen – wie beispielsweise „jährliche Besprechungen”, die technischen Zugriffskontrollen zugeordnet werden – lassen vermuten, dass der Prüfer nicht kritisch darüber nachgedacht hat, was Kontrollen tatsächlich bewirken.
Überprüfen Sie stichprobenartig 10 Kontrollzuordnungen. Fragen Sie sich: Entspricht diese Kontrolle logisch diesem Kriterium? Wenn technische Kontrollen falschen Kategorien zugeordnet sind oder weiche Kontrollen für harte technische Anforderungen verwendet werden, war die Festlegung des Umfangs nicht gut durchdacht. Dokumentieren Sie fragwürdige Zuordnungen und prüfen Sie, ob diese Bereiche gut konzipiert sind.
Ist die Erklärung der Geschäftsleitung vorhanden, vollständig und von der Unternehmensleitung unterzeichnet?
Die Geschäftsleitung muss offiziell bestätigen, dass ihre Systembeschreibung korrekt ist, die Kontrollen angemessen gestaltet sind und (Typ 2) effektiv funktionieren. Fehlende oder unvollständige Bestätigungen bedeuten, dass die Geschäftsleitung ihre Verantwortung für ihre Kontrollumgebung gemäß den AICPA-Standards nicht wahrgenommen hat.
Suchen Sie die Erklärung der Geschäftsleitung in Abschnitt 1 oder in einem separaten Abschnitt. Vergewissern Sie sich, dass sie alle erforderlichen Elemente enthält und von der Unternehmensleitung unterzeichnet ist. Wenn sie fehlt, unvollständig oder nicht unterzeichnet ist, entspricht der Bericht nicht den grundlegenden Standards – fordern Sie eine vollständige Version an, bevor Sie mit Ihrer Bewertung fortfahren.
Diese Checkliste zeigt Ihnen, wo Sie suchen müssen. ISMS Copilot erklärt Ihnen, was das bedeutet und was als Nächstes zu tun ist.
Fügen Sie eine Kontrollbeschreibung, ein Testverfahren oder einen gesamten Auszug aus Abschnitt 4 in ISMS Copilot ein und lassen Sie die Qualität anhand der SOC 2-/AICPA-Standards bewerten. Es ist das ChatGPT von GRC – entwickelt von Compliance-Experten für Compliance-Experten.
Kostenlos starten. Keine Kreditkarte erforderlich.
Die in diesem Tool verwendeten Qualitätssignale basieren auf der SOC 2-Qualitätssignalrubrik, die von der SOC 2 QualityGuild erstellt und gepflegt wird – einer gemeinschaftlichen Crowdsourcing-Initiative zur Festlegung allgemein anerkannter Richtlinien für die Bewertung der Qualität von SOC 2-Berichten. Die ursprüngliche Rubrik wird unter der Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0) Lizenz veröffentlicht.
In Übereinstimmung mit dieser Lizenz wird auch diese interaktive Adaption von ISMS Copilot unter CC BY-SA 4.0 geteilt. Wir haben den Inhalt der Signale nicht verändert, sondern sie lediglich in eine interaktive Checkliste mit einem Bewertungssystem umformatiert.
© 2026 SOC 2 Quality Guild (Originalrubrik). Interaktives Tool von ISMS Copilot. Lizenziert unter CC BY-SA 4.0.
Dieses Tool dient ausschließlich zu Informations- und Schulungszwecken. Es stellt keine Rechts-, Prüfungs- oder Fachberatung dar. ISMS Copilot ist nicht mit der SOC 2 Quality Guild, der AICPA oder einer Wirtschaftsprüfungsgesellschaft verbunden, wird von diesen nicht unterstützt und steht in keiner formellen Beziehung zu ihnen. Die Ergebnisse dieses Prüfprogramms ersetzen nicht das fachliche Urteil. Konsultieren Sie immer einen qualifizierten Fachmann, wenn Sie Entscheidungen zum Risikomanagement von Lieferanten treffen.
