FloQast bringt die Sicherheit von Finanzdaten mit einer neuen Zertifizierung auf die nächste Stufe

Es ist ein großer Tag für das FloQast-Team.

Heute Morgen gab FloQast bekannt, dass wir unsere abgeschlossen haben SOC 2 Typ 1-Zertifizierung — ein wichtiger Schritt in der Unternehmensgeschichte und zusätzliche Gewissheit, dass die FloQAST-Anwendung die höchsten von der AICPA festgelegten Sicherheits-, Verfügbarkeits- und Vertraulichkeitsanforderungen erfüllt.

Für Benutzer ist das eine große Sache: Börsennotierte Unternehmen müssen gegenüber SOX-Auditoren nachweisen, dass die Systeme, auf die sie sich verlassen, den Sicherheitsstandards entsprechen, und die SOC 2-Zertifizierung erleichtert ihnen dies. Für andere Unternehmen bedeutet die SOC 2-Zertifizierung zusätzliches Vertrauen in die Sicherheit der Tools, auf die sich ihre Teams verlassen.

Für FloQast ist dies der Höhepunkt einer großen Anstrengung des Compliance-Teams unter der Leitung von Director of Compliance Vicky LeVay. Die SOC 2-Initiative war eines der ersten Projekte, mit denen sie begann, als sie vor etwas mehr als einem Jahr zu FloQast kam. Vor Kurzem sprach ich mit Vicky über die Arbeit, die das Projekt erforderte, was es für FloQast-Nutzer und potenzielle Nutzer gleichermaßen bedeutet und was als Nächstes für sie und ihr Team ansteht.

Warum ist SOC 2 wichtig für ein Unternehmen wie FloQast?

SOC 2 ist besonders wichtig für FinTech-Unternehmen wie FloQast, da unser Ziel darin besteht, Unternehmen dabei zu helfen, schnellere, einfachere und genauere Finanzinformationen zu erhalten. Wenn diese Informationen unsere Software durchlaufen, legen wir großen Wert darauf, dass sie sicher sind. Kunden vertrauen uns sehr sensible Informationen an, und wir nehmen diese Verantwortung ernst. Das gilt insbesondere für ein Unternehmen wie FloQast. Wir haben hier eine Reihe von CPAs, darunter unseren CEO, die ihre Karriere auf Rechnungslegungsgrundsätzen aufgebaut haben und aus erster Hand wissen, wie wichtig die Sicherheit von Finanzdaten für unsere Kunden ist.

Du bist jetzt seit etwas mehr als einem Jahr bei FloQast. Wo war das Unternehmen mit seiner SOC 2-Zertifizierung, als Sie im März 2020 dazukamen?

Eines der ersten Dinge, die ich gemacht habe, als ich zu FloQast kam, war eine Bewertung des Unternehmensrisikos. Dies ist eine bewährte Standardmethode für die Einhaltung von Vorschriften. Ich wollte herausfinden, was unsere größten Risiken sind und ob wir unsere Ressourcen ausreichend bündeln, um diese Risiken zu reduzieren. Ich war wirklich beeindruckt von dem, was ich gefunden habe. Ich habe acht Jahre damit verbracht, Risikobewertungen für Unternehmen in den gesamten USA durchzuführen. In meiner Karriere habe ich noch nie so positive Ergebnisse gesehen wie die, die ich bei FloQast gesehen habe. Unsere Geschäftsleitung war sich sehr einig darüber, was ihrer Meinung nach unsere größten Bedrohungen waren. Als ich ein Risikoregister erstellte und mit der Planung von Maßnahmen zur Abwehr dieser Bedrohungen begann, war alles, was wir tun mussten, bereits im Gange oder fast abgeschlossen. FloQast hat ein Führungsteam, das genau weiß, womit es zu tun hat, und diese Bedrohungen aktiv bekämpft.

Als Nächstes führte ich unsere SOC 2-Gap-Analyse durch und stellte fest, dass FloQast die richtigen Dinge tut, um die SOC 2-Standards zu erfüllen. Sie mussten sie nur so dokumentieren und verfolgen, dass sie ein Audit bestehen würden. Letztlich ging es bei meiner Arbeit mehr darum, alle Schritte hervorzuheben, die FloQast bereits unternommen hatte, als Dinge tatsächlich zu reparieren.

Beschreiben Sie die Zusammenarbeit, die für die Erlangung der SOC 2-Zertifizierung erforderlich war. Wie viele verschiedene Teams haben zur Erlangung dieser Zertifizierung beigetragen?

Der Grund, warum ich Compliance liebe, ist, dass Sie hier die Möglichkeit haben, einen Blick unter die Haube jeder Abteilung zu werfen. Ich setze mich mit unseren besten Experten zusammen und höre, worauf sie stolz sind, womit sie zu kämpfen haben und was sie als Nächstes verbessern wollen. Ich kann ihnen auch Unterstützung anbieten, um diese Verbesserungen vorzunehmen, wenn sie sich mit den Compliance-Anforderungen überschneiden. Und ich werde dabei mitwirken, um sicherzustellen, dass wir über die Informationen und Unterlagen verfügen, die wir für unsere Audits benötigen. Wenn die Einhaltung der Vorschriften das Hindernis ist, arbeite ich mit den Leuten zusammen, um herauszufinden, ob es eine andere Möglichkeit gibt, Dinge sicher zu tun, um diese Hürde zu beseitigen.

Das Einzigartige an SOC 2 ist, dass es kein Bericht ist, der Ihnen hilft, Bußgelder und Strafen zu vermeiden — es ist ein Bericht, der Unternehmen beim Wachstum unterstützt. Meiner Erfahrung nach betrachteten die Leute Compliance als eine Möglichkeit, schlimme Dinge zu vermeiden. Sie war also notwendig, aber nicht hilfreich für ihre individuellen Ziele. Hier herrscht Begeisterung für Compliance. Dies wird als Vorteil für den Umsatz und als Grund für Verbesserungen angesehen.

Was bedeutet diese Zertifizierung — und all die harte Arbeit, die in den Prozess gesteckt wurde — für Sie beruflich und persönlich?

Ich bin stolz und dankbar. Ich wurde bei diesem Projekt ziemlich aus meiner Komfortzone gedrängt. Die Arbeit in einem schnell wachsenden FinTech-Umfeld stellt ganz andere Herausforderungen dar als die großen, stabilen, traditionellen Organisationen, mit denen ich in der Vergangenheit hauptsächlich zusammengearbeitet habe. Wenn ich zum Beispiel nach Beweisen für etwas frage, bin ich es gewohnt, einen Screenshot zu bekommen, der zeigt, dass das System so eingerichtet ist, wie es sein sollte. Bei FloQast sind die Beweise, die ich erhalte, Codezeilen. Ich musste schnell neue Fähigkeiten erlernen und mich mit Dingen wie schneller Bereitstellung, Open-Source-Software und Zero-Trust-Netzwerken vertraut machen. Mir ist schwindlig, dass ich das alles erleben musste. Diese Konzepte sind faszinierend und ich bin ein ganzes Jahr lang mit den Ellbogen tief in sie verstrickt. Dafür bin ich dankbar, aber noch dankbarer bin ich, dass ich das in einem Unternehmen mit außergewöhnlichen Menschen tun durfte. Hier bei FloQast müssen Sie sich nicht mit all dem Unsinn auseinandersetzen, der mit einer toxischen Kultur einhergeht. Man arbeitet einfach mit klugen, authentischen und starken Leuten zusammen. Das ist selten und ich bin unglaublich glücklich, hier zu sein.

Was steht als Nächstes für dich und dein Team an?

Ich freue mich darauf, meinen Fokus als nächstes auf ISO 27001 zu verlagern. In diesem Rahmen geht es vor allem darum, wie Sie Ihr Sicherheits- und Compliance-Programm verwalten — und genau darum geht es in meinem Job —, sodass sich dieses Framework direkter auf meine Rolle auswirkt. Die Datenschutzgesetze ändern sich und werden direkt vor unseren Augen immer strenger, daher werde ich mich auch darauf konzentrieren, sicherzustellen, dass wir mit diesen Änderungen Schritt halten. Und ich werde mehr Zeit damit verbringen, unseren Abteilungen dabei zu helfen, sich auf den Börsengang und alle damit verbundenen Compliance-Anforderungen vorzubereiten. Mein erstes Compliance-Programm war SOX, also freue ich mich darauf, zu meinen Wurzeln zurückzukehren und hier etwas SOX-Arbeit zu leisten.