FloQast News

FloQast hebt mit neuer Zertifizierung die Sicherheit von Finanzdaten auf die nächste Stufe

Es ist ein großer Tag für das FloQast-Team.

Heute Morgen gab FloQast bekannt, dass wir unsere SOC 2 Typ 1-Zertifizierung abgeschlossen haben - ein wichtiger Schritt in der Geschichte des Unternehmens und eine zusätzliche Garantie dafür, dass die FloQast-Anwendung die höchsten Sicherheits-, Verfügbarkeits- und Vertraulichkeitsanforderungen erfüllt, die von der AICPA festgelegt wurden. 

Für die Benutzer ist das eine große Sache: Börsennotierte Unternehmen müssen gegenüber SOX-Auditoren nachweisen, dass die Systeme, auf die sie sich verlassen, den Sicherheitsstandards entsprechen, und die SOC-2-Zertifizierung erleichtert ihnen diese Aufgabe. Für andere Unternehmen bedeutet die SOC 2-Zertifizierung zusätzliches Vertrauen in die Sicherheit der Tools, auf die sich ihre Teams verlassen. 

Für FloQast ist dies der Höhepunkt einer großen Anstrengung des Compliance-Teams unter der Leitung von Director of Compliance Vicky LeVay. Die SOC-2-Initiative war eines der ersten Projekte, mit denen sie vor etwas mehr als einem Jahr bei FloQast anfing. Kürzlich sprach ich mit Vicky über die Arbeit, die das Projekt erforderte, was es für FloQast-Benutzer und potenzielle Benutzer gleichermaßen bedeutet und was für sie und ihr Team als Nächstes ansteht.

Warum ist SOC 2 wichtig für ein Unternehmen wie FloQast?

SOC 2 ist für FinTech-Unternehmen wie FloQast besonders wichtig, denn unser Ziel ist es, Unternehmen dabei zu helfen, schnellere, einfachere und genauere Finanzinformationen zu erhalten. Wenn diese Informationen unsere Software durchlaufen, ist es uns ein großes Anliegen, sie sicher zu halten. Die Kunden vertrauen uns sehr sensible Informationen an, und wir nehmen diese Verantwortung sehr ernst. Das gilt besonders für ein Unternehmen wie FloQast. Bei uns arbeiten eine Reihe von Wirtschaftsprüfern, darunter unser CEO, die ihre Karriere auf den Grundsätzen der Buchhaltung aufgebaut haben und aus erster Hand wissen, wie wichtig die Sicherheit von Finanzdaten für unsere Kunden ist.

Sie sind jetzt seit etwas mehr als einem Jahr bei FloQast. Wo stand das Unternehmen mit seiner SOC-2-Zertifizierung, als Sie im März 2020 eintraten?

Eines der ersten Dinge, die ich tat, als ich zu FloQast kam, war eine Unternehmensrisikobewertung. Das ist eine bewährte Standardpraxis für die Einhaltung von Vorschriften. Ich wollte herausfinden, welches unsere größten Risiken sind und ob wir unsere Ressourcen ausreichend darauf konzentrieren, diese Risiken zu verringern. Ich war wirklich beeindruckt von dem, was ich fand. Ich habe acht Jahre lang Risikobewertungen für Unternehmen in den gesamten USA durchgeführt. In meiner Laufbahn habe ich noch nie so positive Ergebnisse gesehen wie bei FloQast. Unsere Unternehmensführung war sich sehr einig darüber, was ihrer Meinung nach unsere größten Bedrohungen waren. Als ich ein Risikoregister erstellte und mit der Planung von Maßnahmen zur Abwehr dieser Bedrohungen begann, war alles, was wir zu tun hatten, bereits im Gange oder fast erledigt. FloQast hat ein Führungsteam, das genau weiß, womit es zu kämpfen hat, und das diese Bedrohungen aktiv bekämpft.

Als Nächstes führte ich unsere SOC-2-Lückenanalyse durch und stellte fest, dass FloQast die richtigen Maßnahmen ergriff, um die SOC-2-Standards zu erfüllen, sie mussten diese nur so dokumentieren und nachverfolgen, dass sie einem Audit standhielten. Letztendlich bestand meine Aufgabe eher darin, all die Schritte aufzuzeigen, die FloQast bereits unternommen hatte, als die Dinge tatsächlich zu verbessern.

Beschreiben Sie die Zusammenarbeit, die notwendig war, um die SOC-2-Zertifizierung zu erreichen. Wie viele verschiedene Teams trugen zur Erlangung dieser Zertifizierung bei?

Der Grund, warum ich Compliance so liebe, ist, dass es einem die Möglichkeit gibt, unter die Haube jeder Abteilung zu blicken. Ich sitze mit unseren besten Experten zusammen und erfahre, worauf sie stolz sind, womit sie zu kämpfen haben und was sie als Nächstes verbessern wollen. Ich kann ihnen auch Unterstützung bei der Umsetzung dieser Verbesserungen anbieten, wenn sie sich mit den Compliance-Anforderungen überschneiden. Außerdem kann ich mithelfen, sicherzustellen, dass wir die für unsere Audits benötigten Informationen und Unterlagen haben. Wenn die Einhaltung der Vorschriften ein Hindernis darstellt, kann ich mit den Mitarbeitern zusammenarbeiten, um herauszufinden, ob es eine andere Möglichkeit gibt, die Dinge sicher zu erledigen, um dieses Hindernis zu beseitigen.

Das Besondere an SOC 2 ist, dass es sich nicht um einen Bericht handelt, mit dem man Bußgelder und Strafen vermeiden kann - es ist ein Bericht, der Unternehmen hilft, zu wachsen. Meiner Erfahrung nach sahen die Leute die Einhaltung der Vorschriften als eine Möglichkeit an, Schlimmes zu vermeiden, so dass sie zwar notwendig, aber nicht hilfreich für ihre individuellen Ziele waren. Hier ist man von der Einhaltung der Vorschriften begeistert. Sie wird als Vorteil für den Umsatz und als Grund für Verbesserungen gesehen.  

Was bedeutet diese Zertifizierung - und all die harte Arbeit, die in diesen Prozess eingeflossen ist - für Sie beruflich und persönlich?

Ich bin stolz und dankbar. Bei diesem Projekt wurde ich ziemlich aus meiner Komfortzone herausgeholt. Die Arbeit in einem schnell wachsenden FinTech-Umfeld stellt mich vor ganz andere Herausforderungen als die großen, beständigen, traditionellen Organisationen, mit denen ich in der Vergangenheit hauptsächlich gearbeitet habe. Wenn ich zum Beispiel nach Beweisen für etwas frage, bin ich es gewohnt, einen Screenshot zu bekommen, der zeigt, dass das System so eingerichtet ist, wie es sein soll. Bei FloQast sind die Beweise, die ich bekomme, Zeilen von Code. Ich musste mir schnell neue Fähigkeiten aneignen und mich mit Dingen wie schnellem Deployment, Open-Source-Software und Zero-Trust-Netzwerken vertraut machen. Ich bin begeistert, dass ich all das erleben durfte. Diese Konzepte sind faszinierend, und ich habe mich ein ganzes Jahr lang intensiv damit befasst. Dafür bin ich dankbar, aber noch dankbarer bin ich dafür, dass ich dies in einem Unternehmen mit außergewöhnlichen Menschen tun konnte. Hier bei FloQast muss man sich nicht mit all dem Unsinn herumschlagen, der mit einer toxischen Kultur einhergeht. Man arbeitet einfach mit intelligenten, authentischen und starken Menschen zusammen. Das ist selten, und ich habe unglaubliches Glück, hier zu sein.

Was steht als Nächstes für Sie und Ihr Team an?

Ich freue mich darauf, mich als nächstes auf ISO 27001 zu konzentrieren. Bei diesem Rahmenwerk geht es darum, wie Sie Ihr Sicherheits- und Konformitätsprogramm verwalten - und genau darum geht es bei meiner Arbeit -, so dass sich dieses Rahmenwerk direkter auf meine Rolle auswirkt. Die Datenschutzgesetze ändern und verschärfen sich direkt vor unseren Augen, so dass ich mich auch darauf konzentrieren werde, sicherzustellen, dass wir mit diesen Änderungen Schritt halten. Außerdem werde ich mehr Zeit damit verbringen, unsere Abteilungen bei der Vorbereitung auf den Börsengang und alle damit verbundenen Compliance-Anforderungen zu unterstützen. Mein erstes Compliance-Programm war SOX, daher freue ich mich darauf, zu meinen Wurzeln zurückzukehren und hier etwas SOX-Arbeit zu leisten.  

John Siegel

John Siegel ist Manager für Unternehmenskommunikation bei FloQast. Bevor er dem Unternehmen beitrat, schrieb er für Built In LA über Technologieunternehmen in Los Angeles. Sie können ihm auf Twitter folgen @JVNSiegel.