Sarbanes-Oxley Act von 2002 (SOX)Sarbanes-Oxley Act of 2002 (SOX)

Übersicht über SoxSOX overview

Der Sarbanes-Oxley Act von 2002 ist ein US-Bundesgesetz, das von der Securities and Exchange Commission (sec) verwaltet wird.The Sarbanes-Oxley Act of 2002 is a US federal law administered by the Securities and Exchange Commission (SEC). Unter anderen Direktiven erfordert Sox, dass öffentlich gehandelte Unternehmen über geeignete interne Kontrollstrukturen verfügen, um zu überprüfen, ob Ihre Abschlüsse ihre finanziellen Ergebnisse genau widerspiegeln.Among other directives, SOX requires publicly traded companies to have proper internal control structures in place to validate that their financial statements accurately reflect their financial results.

Die SEC definiert oder erlegt keinen Sox-Zertifizierungsprozess auf.The SEC does not define or impose a SOX certification process. Stattdessen werden umfassende Richtlinien für die von ihr regulierten Unternehmen bereitgestellt, um zu bestimmen, wie die Anforderungen an die SOX-Berichterstattung eingehaltenwerden.Instead, it provides broad guidelines for the companies it regulates to determine how to comply with SOX reporting requirements.

Microsoft und SOXMicrosoft and SOX

Kunden von Microsoft Cloud Services, die der Einhaltung des Sarbanes-Oxley Act (SOX) unterliegen, können die SoC 1 Type 2-Bescheinigung verwenden, die Microsoft bei der Behandlung ihrer eigenen SOX-Compliance-Verpflichtungen von einer unabhängigen Wirtschaftsprüfungsfirma erhalten hat.Microsoft cloud services customers subject to compliance with the Sarbanes-Oxley Act (SOX) can use the SOC 1 Type 2 attestation that Microsoft received from an independent auditing firm when addressing their own SOX compliance obligations. Diese Bescheinigung eignet sich für die Berichterstellung über interne Kontrollen der Finanzberichterstattung.This attestation is appropriate for reporting on internal controls over financial reporting.

Obwohl es keine Sox-Zertifizierung oder-Validierung für Cloud-Dienstanbieter gibt, kann Microsoft Kunden bei der Erfüllung ihrer Sox-Verpflichtungen unterstützen.Even though there is no SOX certification or validation for cloud service providers, Microsoft can help customers meet their SOX obligations. Sox erfordert beispielsweise interne Steuerelemente für die Vorbereitung und Überprüfung von Finanz Auszügen, insbesondere Steuerelemente, die sich auf die Genauigkeit, Vollständigkeit, Effektivität und öffentliche Offenlegung von wesentlichen Änderungen im Zusammenhang mit der Finanzberichterstattung auswirken.For example, SOX requires internal controls for the preparation and review of financial statements, especially controls that affect the accuracy, completeness, effectiveness, and public disclosure of material changes related to financial reporting. Um Unternehmen zu unterstützen, verwaltet Microsoft eine Zertifizierung für SOC 1 Typ 2, die für die Berichterstellung über derartige Steuerelemente in einem breiten Portfolio von Diensten geeignet ist, die zum Erstellen einer Vielzahl von Anwendungen verwendet werden können.To help companies, Microsoft maintains a SOC 1 Type 2 attestation appropriate for reporting on such controls across a broad portfolio of services that can be used to build a wide range of applications. Es basiert auf dem American Institute of Certified Public Buchhalter (AICPA) Statement on Standards for Beglaubigung Engagements 18 (SSAE 18) und dem internationalen Standard für Assurance Engagements No.It is based on the American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements 18 (SSAE 18) and the International Standard on Assurance Engagements No. 3402 (ISAE 3402).3402 (ISAE 3402). (Diese Bescheinigung ersetzte SAS 70.)(This attestation replaced SAS 70.)

Der von einer Wirtschaftsprüfungsfirma eines Drittanbieters erstellte Überwachungsbericht bescheinigt, dass Microsoft-Steuerelemente an einem angegebenen Datum ordnungsgemäß entworfen wurden und innerhalb eines bestimmten Zeitraums effektiv arbeiten.The audit report, produced by a third-party auditing firm, attests that Microsoft controls were designed appropriately, in operation on a specified date, and operating effectively over a specified time period. Kunden können die Berichte überprüfen, um sich über die Microsoft-Steuerelement Ziele und die Effektivität seiner Steuerelemente zu informieren und Zugriff auf ergänzende Steuerelemente zu erhalten.Customers can review the reports to learn about Microsoft control objectives and the effectiveness of its controls, and get access to complementary controls.

Um Azure-Clients weiter bei der Behandlung ihrer Sox-Verpflichtungen zu unterstützen, hat Microsoft Azure Guidance für Sarbanes-Oxleyveröffentlicht.To further help Azure clients address their SOX obligations, Microsoft has published Azure Guidance for Sarbanes-Oxley. Dieses Whitepaper enthält bewährte Methoden für die Migration, einschließlich der Auswirkungen der Einhaltung von SOX, und stützt sich auf die interne Erfahrung, die SOX-relevante Anwendungen – Microsoft Treasury und Microsoft Finance – in Azure migriert.This paper provides migration best practices, including the implications of complying with SOX, and draws on internal experience migrating SOX-relevant applications — Microsoft Treasury and Microsoft Finance — to Azure.

Bei Microsoft teilen wir die Verantwortung für die Einhaltung unserer Kunden.At Microsoft, we share the responsibility of compliance with our customers. Wir liefern die Besonderheiten unserer Compliance-Programme, die Sie überprüfen können, indem Sie detaillierte Überwachungsergebnisse von den zertifizierenden Drittanbietern anfordern.We supply the specifics about our compliance programs, which you can verify by requesting detailed audit results from the certifying third parties. Letztlich liegt es jedoch an Ihnen, festzustellen, ob unsere Dienste den spezifischen Gesetzen und Bestimmungen entsprechen, die für Ihr Unternehmen gelten.Ultimately, however, it is up to you to determine whether our services comply with the specific laws and regulations applicable to your business. Beispielsweise gibt es Sox-bezogene Sicherheitssteuerelemente wie Benutzer Zugriff auf Cloud-Ressourcen, die in ihrer Verantwortung liegen: Ihre Organisation muss eine entsprechende Überwachung dieser Steuerelemente im Rahmen der SOX-Konformität entwickeln.For example, there are SOX-related security controls, such as user access to cloud resources, that are your responsibility: your organization must develop appropriate auditing of these controls as part of your SOX compliance.

Erfahren Sie mehr über die Verwendung von Microsoft Azure Kompatibilitätsberichten bei der Erfüllung ihrer SOX-Compliance-Verpflichtungen: Laden Sie die Azure-Anleitung für Sarbanes-Oxley herunter .Learn more about how to use Microsoft Azure compliance reports when addressing your SOX compliance obligations: Download the Azure Guidance for Sarbanes-Oxley

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

  • AzureAzure
  • Dynamics 365Dynamics 365
  • IntuneIntune
  • Office 365Office 365
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan bzw. einer -Anwendungssuite enthaltenPower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

SOC 1 Typ 2 Berichte für:SOC 1 Type 2 reports for:

  • Azure und Power BIAzure and Power BI
  • Dynamics 365Dynamics 365
  • Office 365Office 365

Häufig gestellte FragenFrequently asked questions

Wie kann ich die Microsoft SOX-Konformität verwenden, um den Compliance-Prozess meines Unternehmens zu vereinfachen?How can I use Microsoft SOX compliance to facilitate my organization’s compliance process?

Wenn Sie Ihre Anwendungen und Daten zu abgedeckten Microsoft Cloud-Diensten migrieren, können Sie auf den Bescheinigungen und Zertifizierungen aufbauen, die von Microsoft verwaltet werden.When you migrate your applications and data to covered Microsoft cloud services, you can build on the attestations and certifications that Microsoft holds. Unabhängige Prüfer Berichte bestätigen die Effektivität von Steuerelementen, die von Microsoft implementiert wurden, um die Sicherheit und den Datenschutz Ihrer Daten zu gewährleisten.Independent auditor reports attest to the effectiveness of controls that Microsoft has implemented to help maintain the security and privacy of your data. Sie sind jedoch vollständig dafür verantwortlich, dass die Einhaltung aller geltenden Gesetze und Vorschriften in Ihrer Organisation gewährleistet ist.However, you are wholly responsible for ensuring your organization’s compliance with all applicable laws and regulations.

RessourcenResources