Teil unserer Compliance & Regulation-Serie
Den vollständigen Leitfaden lesenSOC2 Typ II-Bereitschaft: Prüfkontrollen für SaaS- und Cloud-Plattformen
Im Jahr 2025 benötigten 94 % der Beschaffungsteams in Unternehmen vor der Vertragsunterzeichnung SOC2-Berichte von ihren SaaS-Anbietern. Für B2B-Softwareunternehmen ist SOC2 Typ II zur De-facto-Vertrauenszertifizierung geworden – der Unterschied zwischen dem Abschluss eines Geschäfts und dem Verlust an einen Konkurrenten, der ein solches hat. Doch viele Unternehmen unterschätzen den Zeitrahmen: Von der ersten Entscheidung bis zum Abschlussbericht vergehen typischerweise 9 bis 15 Monate.
Dieser Leitfaden führt Sie durch jede Phase der SOC2-Typ-II-Bereitschaft, von der Auswahl der Trust-Services-Kriterien bis hin zum Bestehen des Audits selbst.
Wichtige Erkenntnisse
- SOC2 Typ II erfordert einen Beobachtungszeitraum von mindestens 6 Monaten, in dem die Kontrollen konsistent funktionieren müssen
- Sicherheit ist das einzige obligatorische Kriterium für Vertrauensdienste – wählen Sie zusätzliche Kriterien basierend auf den Kundenerwartungen
- Die Beweiserhebung ist der zeitaufwändigste Teil – automatisieren Sie sie vom ersten Tag an mit einer GRC-Plattform
- Beginnen Sie frühzeitig mit der Beauftragung des Wirtschaftsprüfers – seriöse Firmen buchen 3-6 Monate im Voraus
SOC2 Trust Services-Kriterien verstehen
SOC2 basiert auf fünf Trust Services Criteria (TSC). Sicherheit ist Pflicht. Die anderen vier sind optional, werden aber zunehmend von Unternehmenskunden erwartet.
SOC2-Kriterien zur Steuerung von Beispielen
| Kriterien | Fokus | Beispielsteuerelemente | Typische Kundenerwartungen |
|---|---|---|---|
| Sicherheit (CC) | Schutz vor unbefugtem Zugriff | Firewalls, MFA, Verschlüsselung, Zugriffsüberprüfungen, IDS/IPS | Immer erforderlich |
| Verfügbarkeit (A) | Systemverfügbarkeit und Leistung | SLAs, Disaster Recovery, Überwachung, Kapazitätsplanung | Wird für geschäftskritisches SaaS erwartet |
| Verarbeitungsintegrität (PI) | Genaue und vollständige Datenverarbeitung | Eingabevalidierung, Abgleich, Fehlerbehandlung, Qualitätssicherung | Erwartet für Finanz-/Datenplattformen |
| Vertraulichkeit (C) | Schutz vertraulicher Informationen | Datenklassifizierung, Verschlüsselung, NDA-Tracking, DLP | Wird beim Umgang mit proprietären Daten erwartet |
| Datenschutz (P) | Umgang mit personenbezogenen Daten | Datenschutzhinweise, Einwilligung, Betroffenenrechte, Aufbewahrung | Wird erwartet, wenn Sie PII |
So wählen Sie Ihre Kriterien aus
Beziehen Sie immer die Sicherheit ein. Es ist obligatorisch und deckt den umfassendsten Satz an Kontrollen ab.
Beziehen Sie die Verfügbarkeit ein, wenn für Ihren Service Betriebszeitverpflichtungen oder SLAs gelten oder wenn Ausfallzeiten erhebliche Auswirkungen auf den Kundenbetrieb haben würden.
Beziehen Sie die Verarbeitungsintegrität ein, wenn Ihre Plattform Finanztransaktionen verarbeitet, Berechnungen durchführt, auf die sich Kunden verlassen, oder Datentransformationen übernimmt.
Beziehen Sie Vertraulichkeit ein, wenn Kunden geschützte Informationen, Geschäftsgeheimnisse oder andere sensible Geschäftsdaten mit Ihrer Plattform teilen.
Beziehen Sie den Datenschutz ein, wenn Sie personenbezogene Daten verarbeiten. Beachten Sie, dass die Datenschutzkriterien weitgehend den DSGVO-Anforderungen entsprechen. Wenn Sie also bereits DSGVO-konform sind, ist das Hinzufügen von Datenschutz zu Ihrem SOC2 unkompliziert. Ausführliche Hinweise zur Datenschutzkontrolle finden Sie in unserem Leitfaden zur DSGVO-Implementierung.
Phase 1: Lückenanalyse und Scoping (Monate 1–2)
Bevor Sie Kontrollen implementieren, müssen Sie verstehen, wo Sie heute stehen, und die Grenzen Ihres SOC2-Audits definieren.
Definieren Sie Ihren Umfang
Der Prüfungsumfang definiert, welche Systeme, Prozesse und Teams abgedeckt werden. Ein engerer Geltungsbereich bedeutet weniger Kontrollen und weniger Prüfungsarbeit, aber der Geltungsbereich muss alles umfassen, was die von Ihnen für Kunden bereitgestellten Dienstleistungen unterstützt.
Typischerweise im Umfang:
- Produktionsinfrastruktur (Cloud-Umgebungen, Server, Datenbanken)
- Anwendungscode und Bereitstellungspipelines
- Mitarbeiterzugriffsverwaltung (IAM, SSO, MFA)
- Lieferantenmanagement (Unterauftragsverarbeiter, Cloud-Anbieter)
- HR-Prozesse (Hintergrundüberprüfungen, Onboarding, Offboarding)
- Verfahren zur Reaktion auf Vorfälle
- Change-Management-Prozesse
Durchführung der Gap-Analyse
Ordnen Sie Ihren aktuellen Status den SOC2-Anforderungen zu:
- Listen Sie alle erforderlichen Kontrollen für die von Ihnen gewählten Kriterien auf
- Bewerten Sie, ob jede Kontrolle vorhanden ist, dokumentiert ist und effektiv funktioniert
- Kategorisieren Sie Lücken: fehlende Kontrolle, nicht dokumentierte Kontrolle oder ineffektive Kontrolle
- Priorisieren Sie die Behebung nach Risikostufe und Implementierungskomplexität
Eine typische Lückenanalyse für ein SaaS-Unternehmen im mittleren Entwicklungsstadium deckt 40–60 Lücken auf, wobei die häufigsten folgende sind:
- Fehlende formelle Zugangsüberprüfungen (vierteljährliche Rezertifizierung)
- Fehlende oder veraltete Sicherheitsrichtlinien
- Kein formeller Change-Management-Prozess
- Unvollständige Risikobewertungen der Anbieter
- Unzureichende Protokollierung und Überwachung
Phase 2: Kontrolldesign und -implementierung (Monate 2–5)
In dieser Phase erstellen, dokumentieren und implementieren Sie die Kontrollen, die während des Audits bewertet werden.
Kontrollkategorien
SOC2-Kontrollen lassen sich in drei Kategorien einteilen:
Administrative Kontrollen. Richtlinien, Verfahren und Governance-Strukturen. Beispiele: Informationssicherheitsrichtlinie, Richtlinie zur akzeptablen Nutzung, Plan zur Reaktion auf Vorfälle, Richtlinie zur Anbieterverwaltung.
Technische Kontrollen. Technologiegestützte Sicherheitsmaßnahmen. Beispiele: MFA-Durchsetzung, Verschlüsselung im Ruhezustand und während der Übertragung, Firewall-Regeln, automatisiertes Patching, Erkennung von Eindringlingen.
Physische Kontrollen. Physische Sicherheitsmaßnahmen. Beispiele: Bürozugangskontrolle, Sicherheit im Rechenzentrum (normalerweise von Ihrem Cloud-Anbieter übernommen), Geräteverwaltung, Clean-Desk-Richtlinie.
Checkliste für wesentliche Kontrollen
| Domäne | Kontrolle | Nachweis erforderlich |
|---|---|---|
| Zugangskontrolle | MFA auf allen Produktionssystemen | Screenshots der IAM-Konfiguration, MFA-Registrierungsbericht |
| Zugangskontrolle | Vierteljährliche Zugangsüberprüfungen | Überprüfung der Dokumentation mit Genehmigungen |
| Zugangskontrolle | Rollenzuweisungen mit den geringsten Rechten | Rollenmatrix, Zugriffsbereitstellungsdatensätze |
| Änderungsmanagement | Dokumentierter Änderungsprozess | Änderungstickets, Genehmigungsdatensätze, Bereitstellungsprotokolle |
| Änderungsmanagement | Anforderungen an die Codeüberprüfung | Pull-Anfrageverlauf mit Prüfergenehmigungen |
| Änderungsmanagement | Separate Entwicklung/Staging/Produktion | Architekturdiagramm, Umgebungskonfigurationen |
| Überwachung | Zentralisierte Protokollsammlung | SIEM-Dashboard, Konfiguration der Protokollaufbewahrung |
| Überwachung | Alarmierung bei Sicherheitsereignissen | Alarmregeln, durch Alarme ausgelöste Vorfalltickets |
| Überwachung | Betriebszeitüberwachung (falls verfügbar) | Überwachungstool-Konfiguration, SLA-Berichte |
| Reaktion auf Vorfälle | Dokumentierter IR-Plan | IR-Plandokument, jährliche Überprüfungsaufzeichnungen |
| Reaktion auf Vorfälle | IR-Übungen/Tischübungen | Bohraufzeichnungen, Verbesserungsmaßnahmen nach dem Bohren |
| Risikomanagement | Jährliche Risikobewertung | Risikoregister, Bewertungsmethodik, Behandlungspläne |
| Lieferantenmanagement | Sicherheitsbewertungen von Anbietern | Lieferantenfragebögen, SOC2-Berichte von Lieferanten |
| HR | Hintergrundüberprüfungen bei Neueinstellungen | Hintergrundüberprüfungsbelege (geschwärzt) |
| HR | Schulung zum Sicherheitsbewusstsein | Aufzeichnungen über den Abschluss von Schulungen, Quizergebnisse |
| HR | Offboarding-Zugriffssperre | Offboarding-Checklisten, Zeitstempel für Zugriffsentfernung |
| Datenschutz | Verschlüsselung im Ruhezustand | Konfiguration der Datenbank-/Speicherverschlüsselung |
| Datenschutz | Verschlüsselung während der Übertragung | TLS-Konfiguration, Zertifikatsverwaltung |
| Datenschutz | Backup- und Wiederherstellungstests | Sicherungsprotokolle, jährliche Wiederherstellungstestergebnisse |
Richtliniendokumentation
Sie benötigen formelle, genehmigte Richtlinien für:
- Informationssicherheitsrichtlinie (übergreifend)
- Richtlinien zur akzeptablen Nutzung
- Zugriffskontrollrichtlinie
- Änderungsmanagementrichtlinie
- Reaktionsplan für Vorfälle
- Geschäftskontinuitäts-/Notfallwiederherstellungsplan
- Richtlinie zur Datenklassifizierung und -verarbeitung
- Richtlinien zur Lieferantenverwaltung
- Risikomanagementrichtlinie
- Mitarbeiterhandbuch (Sicherheitsabschnitte)
Richtlinien müssen jährlich überprüft und genehmigt, versioniert und von allen Mitarbeitern anerkannt werden.
Phase 3: Beobachtungszeitraum (Monate 5–12)
Der Beobachtungszeitraum unterscheidet Typ II von Typ I. Während dieses Zeitraums (mindestens 6 Monate, typischerweise 6–12 Monate) müssen Ihre Kontrollen konsistent funktionieren und Beweise für ihre Wirksamkeit liefern.
Worauf der Prüfer achtet
Der Prüfer überprüft nicht nur, ob Kontrollen vorhanden sind, sondern bewertet auch, ob die Kontrollen während des gesamten Beobachtungszeitraums effektiv funktionierten. Das bedeutet:
- Zugriffsüberprüfungen fanden vierteljährlich statt, nicht nur einmal
- Jede Codeänderung durchlief den dokumentierten Änderungsprozess
- Sicherheitswarnungen wurden innerhalb definierter SLAs untersucht und behoben
- Neue Mitarbeiter erhielten Hintergrundüberprüfungen und Sicherheitsschulungen, bevor ihnen Zutritt gewährt wurde
- Offboarding-Mitarbeitern wurde der Zugriff innerhalb des definierten Zeitrahmens (normalerweise 24 Stunden) entzogen.
Häufige Fehler im Beobachtungszeitraum
Inkonsistenz. Sie haben in Q1 und Q3 auf Bewertungen zugegriffen, aber Q2 verpasst. Der Prüfer wird dies als Kontrollfehler kennzeichnen.
Ausnahmen ohne Dokumentation. Bei einer Notfalländerung wurde der normale Genehmigungsprozess umgangen. Wenn Sie die Ausnahme, die Begründung und die nachträgliche Überprüfung dokumentiert haben, wird der Prüfer dies wahrscheinlich akzeptieren. Wenn Sie es nicht dokumentiert haben, handelt es sich um einen Befund.
Veraltete Beweise. Ihre Risikobewertung ist 18 Monate alt. Ihre Richtlinien wurden seit über einem Jahr nicht überprüft. Aus Ihren Schulungsunterlagen geht hervor, dass die Schulung zu 70 % abgeschlossen ist. All dies wird zu Erkenntnissen.
Automatisierung der Beweiserhebung
Die manuelle Beweiserfassung ist der größte Zeitfresser bei der SOC2-Compliance. Automatisieren Sie, wo immer möglich:
- GRC-Plattformen (Vanta, Drata, Secureframe) sammeln kontinuierlich Beweise aus Ihrer Cloud-Infrastruktur, Code-Repositories, HR-Systemen und Identitätsanbietern
- Automatisierte Screenshots erfassen Steuerungskonfigurationen regelmäßig
- Integration mit Ticketing-Systemen verknüpft Änderungsmanagement-Tickets automatisch mit Bereitstellungen
- Automatisierte Zugriffsüberprüfungen rufen aktuelle Zugriffslisten ab und leiten sie zur Genehmigung an Manager weiter
Phase 4: Das Audit (Monate 12–14)
Auswahl eines Auditors
Wählen Sie Ihren Prüfer frühzeitig aus – seriöse Firmen buchen 3-6 Monate im Voraus. Bedenken Sie:
- CPA-Firmenanforderung: SOC2-Audits müssen von einer lizenzierten CPA-Firma durchgeführt werden
- Branchenerfahrung: Wählen Sie ein Unternehmen, das mit SaaS, Cloud-Infrastruktur und Ihrem Technologie-Stack vertraut ist
- Prüfungsmethodik: Einige Firmen sind strenger, andere flexibler. Passen Sie sich Ihrer Kultur an
- Kommunikationsstil: Sie werden wochenlang eng mit dem Audit-Team zusammenarbeiten. Stellen Sie sicher, dass die Arbeitsbeziehung produktiv ist
Der Audit-Prozess
- Planungsbesprechung. Der Prüfer überprüft Umfang, Kriterien und Kontrollbeschreibungen. Zeitplan und Beweisanträge werden vereinbart.
- Beweisanfrage. Der Prüfer stellt eine detaillierte Liste mit Beweisanfragen bereit (normalerweise 100–200 Elemente). Sie haben 2-4 Wochen Zeit, um alles zusammenzustellen.
- Walkthroughs. Der Prüfer befragt Prozessverantwortliche, um zu verstehen, wie Kontrollen in der Praxis funktionieren.
- Testen. Der Auditor prüft Belege, um zu überprüfen, ob die Kontrollen effektiv durchgeführt wurden. Während eines 12-monatigen Beobachtungszeitraums können sie 25–45 Exemplare jeder Kontrolle beproben.
- Diskussion der Ergebnisse. Der Prüfer präsentiert vorläufige Ergebnisse. Sie können zusätzliche Beweise oder Kontext liefern.
- Ausstellung des Berichts. Der endgültige SOC2-Typ-II-Bericht wird ausgestellt (normalerweise 60–100 Seiten).
Den Bericht verstehen
Der SOC2-Bericht enthält:
- Behauptung des Managements: Ihre Aussage, dass die Kontrollen angemessen beschrieben und wirksam sind
- Gutachten des Abschlussprüfers: Die Schlussfolgerung des Abschlussprüfers (uneingeschränkt = sauber, eingeschränkt = Ausnahmen festgestellt)
- Systembeschreibung: Detaillierte Beschreibung Ihres Systems, Ihrer Infrastruktur und Ihrer Kontrollen
- Kontrollaktivitäten und Tests: Jede Kontrolle, der Testansatz des Prüfers und die Ergebnisse
- Ausnahmen (falls vorhanden): Kontrollen, die nicht effektiv funktionierten, mit Details
Eine uneingeschränkte (saubere) Meinung ist das Ziel. Qualifizierte Meinungen sind mit geringfügigen Ausnahmen üblich und für Kunden in der Regel akzeptabel. Wesentliche Ausnahmen können eine Behebung und erneute Tests erfordern.
Aufrechterhaltung der SOC2-Konformität Jahr für Jahr
SOC2 ist keine einmalige Zertifizierung. Der Bericht deckt einen bestimmten Beobachtungszeitraum ab und Kunden erwarten, dass Sie ihn jährlich erneuern.
Jährlicher Zyklus
- Monate 1-2: Richtlinien überprüfen und aktualisieren, jährliche Risikobewertung durchführen, Verbesserungen auf der Grundlage der Erkenntnisse des Vorjahres planen
- Monate 3–10: Laufende Beweiserhebung und Kontrolloperation
- Monate 11–12: Prüfungsvorbereitung, Beweiserhebung, Prüfungsdurchführung
- Laufend: Vierteljährliche Zugriffsüberprüfungen, monatliche Schwachstellenscans, kontinuierliche Überwachung
Reduzierung der Kosten im Jahresvergleich
Nach dem ersten Jahr sinken die SOC2-Wartungskosten typischerweise um 30–40 %:
- Richtlinien müssen nur jährlich überprüft und aktualisiert werden, nicht von Grund auf neu erstellt werden
- Die GRC-Plattform sammelt kontinuierlich Beweise und reduziert so den manuellen Aufwand
- Prüfungsumfang und -methodik sind festgelegt, wodurch die Planungszeit verkürzt wird
- Das Team hat Erfahrung mit dem Prozess und weiß, was Prüfer erwarten
Den Kontext dazu, wie SOC2 in eine umfassendere Compliance-Strategie passt, finden Sie in unserem Enterprise-Compliance-Handbuch.
Häufig gestellte Fragen
Wie viel kostet SOC2 Typ II?
Die Gesamtkosten im ersten Jahr liegen je nach Unternehmensgröße und -komplexität typischerweise zwischen 50.000 und 350.000 US-Dollar. Dazu gehören die Lizenzierung der GRC-Plattform (10.000 bis 50.000 US-Dollar/Jahr), die Honorare für Prüfer (20.000 bis 80.000 US-Dollar), Beratung bei Bedarf (20.000 bis 100.000 US-Dollar) und interne Arbeit (die größten variablen Kosten). In den Folgejahren sind es in der Regel 30–40 % weniger.
Können wir mit SOC2 Typ I beginnen und auf Typ II upgraden?
Ja, und das ist ein gängiger Ansatz. Typ I bewertet das Kontrolldesign zu einem bestimmten Zeitpunkt und kann in 2–4 Monaten abgeschlossen werden. Es gibt Ihnen etwas, das Sie mit potenziellen Kunden teilen können, während Sie auf Typ II hinarbeiten. Allerdings akzeptieren Unternehmenskunden zunehmend nur Typ II, also planen Sie dies von Anfang an ein.
Was ist der Mindestbeobachtungszeitraum für Typ II?
Die Mindestlaufzeit beträgt in der Regel 6 Monate, obwohl 12 Monate üblicher sind und von Kunden im Allgemeinen bevorzugt werden. Ein längerer Beobachtungszeitraum zeigt eine nachhaltigere Kontrollwirksamkeit. Einige Prüfer führen im ersten Jahr einen 6-Monats-Typ II durch und wechseln danach zu 12-Monats-Zeiträumen.
Brauchen wir SOC2, wenn wir bereits ISO 27001 haben?
SOC2 und ISO 27001 ergänzen sich und sind nicht austauschbar. ISO 27001 ist auf europäischen und asiatischen Märkten verbreiteter, während SOC2 in Nordamerika der Standard ist. Wenn Sie an US-Unternehmen verkaufen, möchten diese unabhängig von Ihrer ISO 27001-Zertifizierung einen SOC2-Bericht. Die gute Nachricht ist, dass ISO 27001-Kontrollen sich erheblich mit SOC2 überschneiden, was Ihre SOC2-Reise beschleunigt.
Wie gehen wir bei schnellem Wachstum mit SOC2 um?
Schnelles Wachstum (neue Mitarbeiter, neue Infrastruktur, Akquisitionen) erhöht das SOC2-Risiko, da Prozesse möglicherweise nicht einheitlich skalieren. Wichtige Strategien: Automatisieren Sie Onboarding-/Offboarding-Workflows, stellen Sie sicher, dass Infrastructure-as-Code standardmäßig Sicherheitskontrollen umfasst, pflegen Sie ein zentrales Zugriffsverwaltungssystem und informieren Sie alle neuen Teammitglieder während des Onboardings über die SOC2-Pflichten.
Was kommt als nächstes?
SOC2 Typ II ist der Eintrittspreis für den Verkauf an Unternehmen. Ein frühzeitiger Beginn der Reise, Investitionen in die Automatisierung und die Auswahl des richtigen Prüferpartners entscheiden darüber, ob es sich bei dem Prozess um eine mühsame Arbeit von 15 Monaten oder um ein überschaubares Programm handelt, das eine echte Sicherheitsreife aufbaut.
ECOSIRE unterstützt SaaS-Unternehmen vom ersten Tag an beim Aufbau einer SOC2-fähigen Infrastruktur. Unsere Cloud-Architekturdienste umfassen Sicherheitskontrollen, Audit-Protokollierung und Zugriffsverwaltung, die den SOC2-Anforderungen entsprechen. Entdecken Sie für KI-gestützte kontinuierliche Compliance-Überwachung unsere OpenClaw AI-Plattform. Kontaktieren Sie uns, um Ihre SOC2-Bereitschaft zu besprechen.
Veröffentlicht von ECOSIRE – Unterstützung von Unternehmen bei der Skalierung mit KI-gestützten Lösungen in Odoo ERP, Shopify eCommerce und OpenClaw AI.
Geschrieben von
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Erweitern Sie Ihr Geschäft mit ECOSIRE
Unternehmenslösungen in den Bereichen ERP, E-Commerce, KI, Analyse und Automatisierung.
Verwandte Artikel
KI-Betrugserkennung für E-Commerce: Schützen Sie Ihren Umsatz, ohne den Verkauf zu blockieren
Implementieren Sie eine KI-Betrugserkennung, die mehr als 95 % der betrügerischen Transaktionen erkennt und gleichzeitig die Falsch-Positiv-Rate unter 2 % hält. ML-Bewertung, Verhaltensanalyse und ROI-Leitfaden.
Fallstudie: SaaS-Startup skaliert mit ECOSIRE von Tabellenkalkulationen auf Odoo ERP
Wie ein wachsendes SaaS-Startup Tabellenkalkulationen und QuickBooks durch Odoo ERP ersetzte und so eine Abrechnungsgenauigkeit von 95 % und eine um 60 % schnellere Berichterstellung erreichte.
ERP für die chemische Industrie: Sicherheit, Compliance und Chargenverarbeitung
Wie ERP-Systeme SDS-Dokumente, REACH- und GHS-Konformität, Chargenverarbeitung, Qualitätskontrolle, Gefahrgutversand und Formelmanagement für Chemieunternehmen verwalten.
Mehr aus Compliance & Regulation
Cybersicherheit für E-Commerce: Schützen Sie Ihr Unternehmen im Jahr 2026
Vollständiger E-Commerce-Cybersicherheitsleitfaden für 2026. PCI DSS 4.0, WAF-Einrichtung, Bot-Schutz, Zahlungsbetrugsprävention, Sicherheitsheader und Reaktion auf Vorfälle.
ERP für die chemische Industrie: Sicherheit, Compliance und Chargenverarbeitung
Wie ERP-Systeme SDS-Dokumente, REACH- und GHS-Konformität, Chargenverarbeitung, Qualitätskontrolle, Gefahrgutversand und Formelmanagement für Chemieunternehmen verwalten.
ERP für den Import-/Exporthandel: Mehrwährung, Logistik und Compliance
Wie ERP-Systeme Akkreditive, Zolldokumente, Incoterms, Gewinn- und Verlustrechnungen in mehreren Währungen, Containerverfolgung und Zollberechnung für Handelsunternehmen verwalten.
Nachhaltigkeits- und ESG-Reporting mit ERP: Compliance Guide 2026
Navigieren Sie im Jahr 2026 mit ERP-Systemen zur Einhaltung der ESG-Reporting-Compliance. Deckt CSRD, GRI, SASB, Scope 1/2/3-Emissionen, CO2-Tracking und Odoo-Nachhaltigkeit ab.
Checkliste zur Prüfungsvorbereitung: Bereiten Sie Ihre Bücher vor
Vollständige Checkliste für die Prüfungsvorbereitung, die die Vorbereitung des Jahresabschlusses, die Begleitdokumentation, die Dokumentation der internen Kontrollen, die PBC-Listen der Prüfer und allgemeine Prüfungsfeststellungen umfasst.
Australischer GST-Leitfaden für E-Commerce-Unternehmen
Vollständiger australischer GST-Leitfaden für E-Commerce-Unternehmen, der die ATO-Registrierung, den Schwellenwert von 75.000 US-Dollar, Importe von geringem Wert, BAS-Einzahlung und GST für digitale Dienste abdeckt.