![[interface] image of software security protocols (for a ai fintech company)](https://cdn.prod.website-files.com/69e8e7337c7125a54efa859e/6a049e1484056e03ccf62557_data-analysis-analytics-information-report-concept%20(1).jpg)
Ein ISAE-3402-Bericht öffnet Türen zu regulierten Branchen, vereinfacht Ausschreibungsprozesse und reduziert den Prüfaufwand auf Kundenseite drastisch. Doch der Weg zum testierten Bericht ist anspruchsvoll und erfordert eine strukturierte Vorbereitung. In dieser Anleitung führen wir Sie durch die acht entscheidenden Schritte, mit denen Dienstleistungsunternehmen ihren ersten ISAE-3402-Bericht erfolgreich erstellen – ohne unnötige Verzögerungen oder Prüfungsfeststellungen.
Die häufigsten Ursachen für gescheiterte oder verspätete ISAE-3402-Prüfungen sind nicht etwa technische Mängel im internen Kontrollsystem, sondern organisatorische Schwächen in der Vorbereitung: unklare Verantwortlichkeiten, fehlende Dokumentation, zu spät eingebundene Wirtschaftsprüfer oder ein unrealistischer Zeitplan. Wer die folgenden acht Schritte konsequent abarbeitet, minimiert diese Risiken erheblich.
Klären Sie zunächst, welche Dienstleistungen Ihres Unternehmens für die Finanzberichterstattung Ihrer Kunden relevant sind. Typische Kandidaten sind:
Der Scope legt fest, welche Systeme, Prozesse, Lokationen und Zeiträume in die Prüfung einfließen. Ein zu breit gefasster Scope treibt Kosten und Komplexität, ein zu enger Scope mindert den Nutzen für Ihre Kunden. Stimmen Sie den Scope frühzeitig mit Ihren wichtigsten Auftraggebern ab.
Achten Sie bei der Auswahl des Prüfers auf:
Ein Wirtschaftsprüfer mit nachweisbarer Erfahrung in Ihrer Branche – IT, Banken, Versicherungen, BPO – erkennt branchenspezifische Risiken schneller und schlägt passende Kontrollen vor.
Nicht jede Wirtschaftsprüfungsgesellschaft führt ISAE-3402-Prüfungen routinemäßig durch. Fragen Sie konkret nach abgeschlossenen Mandaten der letzten drei Jahre.
Bedienen Sie Kunden in den USA oder Großbritannien, sollte der Prüfer auch SSAE 18 (SOC 1) und idealerweise PCAOB-Zulassung vorweisen können.
Der gewählte Wirtschaftsprüfer darf an der Gestaltung Ihres IKS nicht beratend mitgewirkt haben. Trennen Sie konsequent zwischen Beratungs- und Prüfungsmandaten.
Definieren Sie für jeden Prozess im Scope konkrete Kontrollziele. Diese leiten sich aus typischen Risiken ab, etwa:
Jedem Kontrollziel werden eine oder mehrere konkrete Kontrollen zugeordnet, etwa „Jede Code-Änderung wird durch ein Vier-Augen-Prinzip im Ticketsystem genehmigt." Wichtig: Beschreiben Sie, wer, was, wann, wie oft und womit prüft – inklusive Nachweisartefakt.
Die Risikokontrollmatrix (RCM) ist das Herzstück Ihrer ISAE-3402-Vorbereitung. Sie verknüpft Risiken, Kontrollziele, Kontrollen und Nachweise in einer einzigen, prüfbaren Struktur. Eine gute Matrix enthält pro Zeile:
Vergleichen Sie die in der Matrix dokumentierten Soll-Kontrollen mit der tatsächlich gelebten Praxis in Ihrem Unternehmen. Häufige Lücken sind:
Für jede festgestellte Lücke definieren Sie eine konkrete Maßnahme inklusive Verantwortlichem, Deadline und Erfolgskriterium. Ein typischer Vorbereitungszeitraum für mittlere Dienstleister liegt bei 4–6 Monaten.
Bevor der externe Auditor kommt, sollten Sie Ihre Kontrollen selbst stichprobenartig prüfen. Diese internen Tests verfolgen drei Ziele:
Lassen Sie idealerweise eine unabhängige interne Funktion – z. B. die Revision oder einen externen Berater – diese Pre-Audits durchführen. So vermeiden Sie blinde Flecken durch Betriebsblindheit.
Erstellen Sie einen zentralen, lesegeschützten Bereich (z. B. in SharePoint, Confluence oder einem GRC-Tool), in dem alle prüfungsrelevanten Unterlagen abrufbar sind. Strukturieren Sie nach Kontrollnummer, damit der Auditor effizient navigieren kann.
Im Rahmen der Management Assertion bestätigt Ihre Geschäftsführung schriftlich, dass die Beschreibung des IKS angemessen ist und – bei Typ 2 – die Kontrollen während des Prüfzeitraums wirksam betrieben wurden. Dieses Dokument wird Bestandteil des finalen Berichts.
Stellen Sie einen festen Ansprechpartner pro Prozessbereich ab, der für Auskünfte, Nachweisbeschaffung und Klärungen zur Verfügung steht. Eine wöchentliche Statusabstimmung zwischen Projektleitung und Auditor beschleunigt die Prüfung deutlich.
Sollte der Prüfer Feststellungen (Findings) identifizieren, kategorisieren Sie diese unverzüglich nach Schweregrad und definieren Sie einen Maßnahmenplan. Nicht jede Feststellung führt zwingend zu einer Einschränkung im Prüfvermerk – proaktives Handeln wird vom Auditor positiv bewertet.
Der ISAE-3402-Bericht ist kein einmaliges Projekt, sondern der Beginn eines jährlichen Zyklus. Nutzen Sie die Erkenntnisse aus jeder Prüfung, um Kontrollen zu optimieren, Prozesse zu automatisieren und Ihr IKS reifer zu machen.
Für einen erstmaligen Typ-1-Bericht sollten Sie 6 bis 9 Monate einplanen. Ein Typ-2-Bericht erfordert zusätzlich einen Beobachtungszeitraum von in der Regel 6 bis 12 Monaten, in dem die Kontrollen produktiv betrieben werden. Insgesamt ist mit einer Gesamtdauer von 12 bis 18 Monaten bis zum ersten Typ-2-Bericht zu rechnen.
Beziehen Sie den Wirtschaftsprüfer bereits in der Scope-Definition ein. So vermeiden Sie, dass im späteren Verlauf der Scope erweitert oder die Risikokontrollmatrix grundlegend überarbeitet werden muss.
Eine Kontrolle ohne reproduzierbaren Nachweis ist aus Prüfersicht nicht existent. Jede Kontrolle braucht ein automatisiert oder manuell erzeugtes Artefakt (Logfile, Ticket, signiertes Dokument).
Verantwortliche müssen ihre Kontrollen kennen, korrekt ausführen und gegenüber dem Auditor erklären können. Investieren Sie in interne Schulungen vor Beginn der Prüfung.
Ein erfolgreicher ISAE-3402-Bericht ist kein Zufallsprodukt, sondern das Ergebnis disziplinierter Vorbereitung in acht klar definierten Schritten. Wer Scope, Risikokontrollmatrix, GAP-Analyse und interne Tests sauber aufsetzt, schafft die Grundlage für einen uneingeschränkten Prüfvermerk – und damit für ein Marketinginstrument, das im Outsourcing-Markt seinesgleichen sucht. Starten Sie mit der Scope-Definition und der Auswahl des Wirtschaftsprüfers; alles Weitere baut darauf auf.
