Sarbanes-Oxley Act von 2002 (SOX)

SOX-Übersicht

Der Sarbanes-Oxley Act of 2002 (SOX) ist ein us-amerikanisches Bundesgesetz, das von der Securities and Exchange Commission (SEC) verwaltet wird. Sox verlangt unter anderem, dass börsennotierte Unternehmen über geeignete interne Kontrollstrukturen verfügen, um zu überprüfen, ob ihre Abschlüsse ihre Finanzergebnisse korrekt widerspiegeln. SOX wird stark von den internen Prozessen des Kunden beeinflusst, insbesondere wenn es um Kontrollen für die Finanzberichterstattung geht. SoX-Anforderungen umfassen beispielsweise interne Kundenkontrollen für die Erstellung und Überprüfung von Abschlüssen und insbesondere Kontrollen, die die Genauigkeit, Vollständigkeit, Wirksamkeit und öffentliche Offenlegung wesentlicher Änderungen im Zusammenhang mit der Finanzberichterstattung beeinflussen.

Die SEC definiert oder erzwingt keinen SOX-Zertifizierungsprozess. Stattdessen werden allgemeine Richtlinien für börsennotierte Unternehmen bereitgestellt, um zu bestimmen, wie die SOX-Meldeanforderungen eingehalten werden sollen.

Microsoft und SOX

Microsoft Cloud Services-Kunden, die der Einhaltung des Sarbanes-Oxley Act (SOX) unterliegen, können den SOC 1 Typ 2-Nachweis verwenden, den Microsoft von einem unabhängigen Wirtschaftsprüfungsunternehmen erhalten hat, wenn sie ihre eigenen SOX-Complianceverpflichtungen erfüllen. Dieser Nachweis eignet sich für die Berichterstattung über interne Kontrollen der Finanzberichterstattung.

Obwohl es keine SOX-Zertifizierung oder -Validierung für Clouddienstanbieter gibt, kann Microsoft Kunden dabei unterstützen, ihre SOX-Verpflichtungen zu erfüllen. SoX erfordert beispielsweise interne Kontrollen für die Erstellung und Überprüfung von Abschlüssen, insbesondere Kontrollen, die sich auf die Genauigkeit, Vollständigkeit, Wirksamkeit und öffentliche Offenlegung wesentlicher Änderungen im Zusammenhang mit der Finanzberichterstattung auswirken. Um Unternehmen zu helfen, verwaltet Microsoft einen SOC 1 Typ 2-Nachweis, der für die Berichterstellung über solche Kontrollen in einem breiten Portfolio von Diensten geeignet ist, die zum Erstellen einer vielzahl von Anwendungen verwendet werden können. Es basiert auf dem American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements 18 (SSAE 18) und dem International Standard on Assurance Engagements Nr. 3402 (ISAE 3402). (Dieser Nachweis ersetzt SAS 70.)

Der Von einem externen Prüfungsunternehmen erstellte Prüfbericht bestätigt, dass Die Microsoft-Kontrollen angemessen entworfen wurden, zu einem bestimmten Datum in Betrieb genommen wurden und über einen bestimmten Zeitraum effektiv funktionieren. Kunden können die Berichte überprüfen, um mehr über die Ziele von Microsoft-Steuerungen und die Effektivität seiner Kontrollen zu erfahren und Zugriff auf ergänzende Kontrollen zu erhalten.

Bei Microsoft teilen wir die Verantwortung für die Compliance mit unseren Kunden. Wir liefern die Einzelheiten zu unseren Compliance-Programmen, die Sie in den SOC-Auditberichten überprüfen können. Letztendlich liegt es jedoch an Ihnen, zu bestimmen, ob unsere Dienste den spezifischen Gesetzen und Vorschriften entsprechen, die für Ihr Unternehmen gelten. Beispielsweise gibt es SOX-bezogene Sicherheitskontrollen, z. B. den Benutzerzugriff auf Cloudressourcen, die in Ihrer Verantwortung liegen: Ihr organization muss eine geeignete Überwachung dieser Kontrollen im Rahmen Ihrer SOX-Compliance entwickeln.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure
  • Dynamics 365
  • Intune
  • Office 365
  • Power BI-Clouddienst (entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten)

Azure, Dynamics 365 und SOX

Da die Cloudeinführung an Dynamik gewinnt, untersuchen Kunden zunehmend, wie Anwendungen und Workloads, die SOX-Complianceverpflichtungen unterliegen, in die Cloud migriert werden können. Obwohl es keine SOX-Zertifizierung oder -Validierung für Clouddienstanbieter gibt, kann Azure Ihnen helfen, Ihre SOX-Verpflichtungen zu erfüllen.

Wenn Sie SOX-Complianceverpflichtungen unterliegen, sollten Sie den Azure SOC 1 Type 2-Nachweis überprüfen, der gemäß folgendem Durchgeführt wird:

  • SSAE Nr. 18, Nachweisstandards: Klarstellung und Reodifizierung, einschließlich AT-C Abschnitt 320, Bericht über eine Prüfung von Kontrollen bei einer Dienstorganisation, die für die interne Kontrolle der Finanzberichterstattung von Benutzerentitäten relevant ist (AICPA, Professional Standards).
  • SOC 1-Berichterstellung über eine Untersuchung von Kontrollen bei einer Dienstleistungsorganisation, relevant für das interne Kontrollsystem für die Finanzberichterstattung der Benutzerentitäten (AICPA-Handbuch).

Der AICPA SSAE 18-Standard ersetzt SAS 70 und eignet sich für die Berichterstattung über Kontrollen bei einem Dienst organization relevant für interne Kontrollen der Finanzberichterstattung von Benutzerentitäten. Dies ist die formale Prüfung, auf die Sie sich bei Überprüfungen von Technologiedienstanbietern von Drittanbietern verlassen können, wenn Sie Ihre eigenen branchenspezifischen Complianceverpflichtungen für in Azure bereitgestellte Ressourcen verfolgen. Sie enthält die Stellungnahme des Prüfers zur Wirksamkeit der Kontrolle, um die damit verbundenen Kontrollziele während des angegebenen Überwachungszeitraums zu erreichen.

Office 365 und SOX

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Augmentation Loop, Auto Alt Text, Azure Information Protection, Binary Conversion Services, Bookings, Delve, Document Item, Editor, Exchange Online, Forms, Onlinemedien einfügen, Insights, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, Office 365 Gruppen, OneDrive for Business, Planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, PowerPoint Online Document Service, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, To-Do, Web Rendering Service, Viva Engage

Prüfungen, Berichte und Zertifikate

SOC 1 Typ 2-Berichte für:

  • Azure und Power BI
  • Dynamics 365
  • Office 365

Häufig gestellte Fragen

Wie kann ich die Microsoft SOX-Compliance verwenden, um den Complianceprozess meiner organization zu vereinfachen?

Wenn Sie Ihre Anwendungen und Daten zu abgedeckten Microsoft-Clouddiensten migrieren, können Sie auf den Nachweisen und Zertifizierungen aufbauen, die Microsoft besitzt. Unabhängige Prüferberichte belegen die Wirksamkeit von Kontrollen, die Microsoft implementiert hat, um die Sicherheit und den Datenschutz Ihrer Daten zu gewährleisten. Sie sind jedoch vollständig dafür verantwortlich, sicherzustellen, dass Ihre organization alle geltenden Gesetze und Vorschriften einhalten.

Ressourcen