![[interface] image of software security protocols (for a ai fintech company)](https://cdn.prod.website-files.com/69e8e7337c7125a54efa859e/6a049ce849b58bdb9fb2e240_work-environment-call-center-office%20(1).jpg)
Ein ISAE-3402-Bericht ist heute das international anerkannte Qualitätssiegel für Dienstleistungsunternehmen, die rechnungslegungsrelevante Prozesse für ihre Kunden übernehmen. Doch welcher Berichtstyp ist der richtige – Typ 1 oder Typ 2? Die Entscheidung beeinflusst Prüfdauer, Kosten und die Aussagekraft gegenüber Auftraggebern erheblich. In diesem Beitrag erhalten Sie eine fundierte Gegenüberstellung beider Berichtsarten inklusive klarer Auswahlempfehlung.
Der International Standard on Assurance Engagements 3402 (ISAE 3402) wurde 2009 vom International Auditing and Assurance Standards Board (IAASB) veröffentlicht und löste den US-amerikanischen Vorgängerstandard SAS 70 ab. Er regelt die Prüfung des internen Kontrollsystems (IKS) bei Dienstleistungsunternehmen, die ausgelagerte Prozesse mit Auswirkung auf die Finanzberichterstattung ihrer Kunden übernehmen – etwa Cloud-Anbieter, Rechenzentren, Lohnbuchhalter oder Asset-Servicer.
Wichtig zu wissen: ISAE 3402 ist keine Zertifizierung im klassischen Sinne, sondern ein Prüfbericht eines unabhängigen Wirtschaftsprüfers. Der Bericht wird in zwei Varianten ausgestellt: Typ 1 und Typ 2.
Der ISAE 3402 Typ 1 ist eine Stichtagsbetrachtung. Der Wirtschaftsprüfer bewertet zwei zentrale Aspekte:
Mit anderen Worten: Der Auditor bestätigt, dass die Kontrollen sinnvoll konzipiert und tatsächlich implementiert sind – jedoch ohne deren Wirksamkeit über einen längeren Zeitraum zu testen.
Ein Typ-1-Audit kann häufig innerhalb von 3 bis 6 Monaten abgeschlossen werden, da kein längerer Beobachtungszeitraum erforderlich ist.
Da weniger Prüfungshandlungen notwendig sind, fallen die Honorare des Wirtschaftsprüfers deutlich niedriger aus als bei einem Typ-2-Bericht.
Für Dienstleister, die zum ersten Mal eine ISAE-3402-Prüfung durchlaufen, ist Typ 1 oft der pragmatische Einstieg, um das IKS zu dokumentieren und Schwachstellen aufzudecken.
Der entscheidende Nachteil: Ein Typ-1-Bericht macht keine Aussage über die operative Wirksamkeit der Kontrollen im Zeitverlauf. Viele Auftraggeber – insbesondere Banken, Versicherungen und KVGen – akzeptieren daher ausschließlich Typ-2-Berichte.
Der ISAE 3402 Typ 2 geht deutlich weiter. Zusätzlich zur Bewertung des Designs prüft der Auditor die operative Wirksamkeit der Kontrollen über einen Zeitraum von in der Regel 6 bis 12 Monaten. Dazu führt er Stichproben durch, sichtet Protokolle, Logfiles, Tickets, Genehmigungsworkflows und Ausnahmebehandlungen.
Ein Typ-2-Bericht beweist nicht nur, dass Kontrollen existieren, sondern dass sie über den gesamten Prüfzeitraum tatsächlich funktioniert haben. Das schafft maximales Vertrauen bei Auftraggebern und deren Abschlussprüfern.
Finanzdienstleister, die unter MaRisk, BAIT, VAIT oder den Anforderungen der BaFin stehen, verlangen in der Regel einen Typ-2-Bericht ihrer IT-Outsourcing-Partner.
In internationalen Ausschreibungen wird ein gültiger Typ-2-Bericht häufig als Mindestvoraussetzung gelistet. Wer ihn vorweist, qualifiziert sich automatisch.
Da der Bericht jährlich erneuert wird und die Kontrollen kontinuierlich nachweist, müssen Kundenunternehmen keine eigenen Audits beim Dienstleister durchführen – das spart auf beiden Seiten Ressourcen.
Der höhere Nutzen geht mit höherem Aufwand einher: längere Prüfdauer, intensivere Dokumentationspflichten und entsprechend höhere Prüfungshonorare. Außerdem muss das IKS bereits über einen ausreichend langen Zeitraum konsistent gelebt werden.
KriteriumTyp 1Typ 2PrüfungsfokusDesign & ImplementierungDesign, Implementierung & WirksamkeitBetrachtungszeitraumStichtag6–12 MonatePrüfdauer3–6 Monate9–14 MonateKostenGeringerHöherMarktakzeptanzBegrenztInternational anerkanntGeeignet fürErstprüfung, kleinere DienstleisterRegulierte Branchen, Großkunden
Die Wahl zwischen Typ 1 und Typ 2 hängt von drei zentralen Faktoren ab.
Bedienen Sie Banken, Versicherungen, börsennotierte Konzerne oder Kapitalverwaltungsgesellschaften, ist ein Typ-2-Bericht praktisch alternativlos. Adressieren Sie mittelständische Kunden ohne strenge Compliance-Vorgaben, kann ein Typ-1-Bericht zunächst ausreichen.
Ist Ihr internes Kontrollsystem noch jung oder im Aufbau, empfehlen wir den Einstieg über Typ 1. Sobald die Kontrollen stabil etabliert sind, lässt sich im Folgejahr ein Typ-2-Bericht erstellen.
Wer ISAE 3402 als Marketinginstrument und Differenzierungsmerkmal nutzen möchte, investiert sinnvollerweise direkt in Typ 2. Der ROI durch Neukunden, vereinfachte Ausschreibungsteilnahmen und reduzierte Auditkosten überkompensiert die höheren Prüfungshonorare meist innerhalb des ersten Jahres.
Viele erfolgreiche Dienstleister verfolgen einen gestaffelten Ansatz: Im ersten Jahr wird ein Typ-1-Bericht erstellt, um das IKS zu dokumentieren und zu härten. Parallel werden die Kontrollen über mindestens 6 Monate produktiv betrieben. Im zweiten Jahr folgt dann der Typ-2-Bericht. Dieses Vorgehen reduziert das Risiko von Prüfungsfeststellungen und glättet die Investition über mehrere Geschäftsjahre.
Die Entscheidung zwischen ISAE 3402 Typ 1 und Typ 2 ist letztlich eine strategische: Typ 1 ist der pragmatische Einstieg, Typ 2 der Marktstandard. Wer langfristig im Outsourcing-Geschäft wachsen will, kommt am Typ-2-Bericht kaum vorbei – er ist das stärkste Vertrauenssignal gegenüber Auftraggebern, deren Wirtschaftsprüfern und Aufsichtsbehörden. Lassen Sie Ihr ISAE-3402-Vorhaben frühzeitig von einem erfahrenen Wirtschaftsprüfer skizzieren, um Scope, Zeitplan und Investitionsbedarf realistisch zu kalkulieren.
