Eine ISAE 3402-Zertifizierung in diesem Sinne gibt es nicht. Stattdessen handelt es sich bei ISAE 3402 um einen Prüfbericht, der bestätigt, dass die ausgelagerten Prozesse eines Unternehmens so kontrolliert werden, dass die Finanzberichterstattung korrekt und vollständig ist. Im Gegensatz zu einer ISO 27001-Zertifizierung ist ISAE 3402 kein Zertifikat. Für die Berichterstellung nach ISAE 3402 ist ein „Systems and Organization Controls“ (SOC)-Bericht erforderlich, der alle für die Finanzberichterstattung relevanten Kontrollen beschreibt. Ein ISAE 3402-Bericht entspricht in den USA einem SSAE18 SOC 1-Bericht. Der erste Schritt zur Erlangung eines ISAE 3402-Berichts besteht darin, einen SOC-Bericht zu erstellen. Diesen Bericht kann das Unternehmen entweder selbst erstellen oder ein spezialisiertes Beratungsunternehmen beauftragen. Ein externer Auditor sollte den SOC-Bericht prüfen. Der Auditor stellt ein Prüfprotokoll mit SOC aus, wenn er bestätigt, dass alle relevanten Kontrollen vorhanden (Typ I) und effektiv im Einsatz sind (Typ II). Der SOC-Bericht muss den ISAE 3402-Richtlinien entsprechen. Alle relevanten Kontrollen für die Finanzberichterstattung müssen enthalten und prüfbar sein. Typischerweise bedeutet dies für Unternehmen eine stärkere Formalisierung ihrer Kontrollen.
IT-Prozesse und andere geschäftliche Abläufe werden zunehmend an Dienstleistungsunternehmen ausgelagert. Wenn Daten von externen Dienstleistern verarbeitet werden, steigen die Anforderungen an die Informationssicherheit und die Kontrolle über diese Prozesse. Viele Unternehmen konzentrieren sich auf ihre Kernaktivitäten und lagern unterstützende Prozesse aus. Da das Vertrauen zwischen Unternehmen und Dienstleistern durch externe Abhängigkeiten reduziert sein kann, wächst die Nachfrage nach wirksamen Kontrollmaßnahmen, um sicherzustellen, dass die ausgelagerten Prozesse sicher und zuverlässig sind. Ein ISAE 3402-Bericht gibt Kunden die Sicherheit, dass angemessene Kontrollen vorhanden sind und dass die Dienstleistungsorganisation die Anforderungen an Sicherheit und Risikomanagement erfüllt.
Ein ISAE 3402-Bericht wird von einem externen Auditor geprüft und muss gemäß den Prüfungsstandards vorbereitet werden. Wenn verantwortliche Mitarbeitende über einen Hintergrund im Bereich Prüfung verfügen, erleichtert dies den Vorbereitungsprozess erheblich. Spezialisierte Dienstleister können Sie bei der Erstellung des Berichts unterstützen und den Audit-Prozess koordinieren, um sicherzustellen, dass alle Anforderungen an die Kontrollen und Dokumentation erfüllt sind.
Wenn bestimmte Prozesse in Ihr Unternehmen integriert sind und diese wesentlichen Einfluss auf den Jahresabschluss der Dienstleistungsorganisation haben, ist ein ISAE 3402-Bericht angemessen. Unternehmen, die etwa unter der Aufsicht von Regulierungsbehörden wie der FSA stehen, müssen ebenfalls nachweisen können, dass ausgelagerte Prozesse effektiv kontrolliert werden. Ein ISAE 3402-Bericht bietet diese Sicherheit, indem er die Implementierung und Wirksamkeit der internen Kontrollen bestätigt.
ISAE 3402 ist der internationale Standard zur Kontrolle über ausgelagerte Prozesse. In (internationalen) Ausschreibungen wird bei Outsourcing oft eine ISAE 3402-Bescheinigung vorausgesetzt, da sie sicherstellt, dass wichtige Kontrollstandards erfüllt werden. Ein weiterer Vorteil besteht darin, dass interne Prozesse dadurch besser abgestimmt und formaler gestaltet werden, was die Effizienz und Transparenz im Unternehmen steigert.
Ja, het is vereist dat informatiesystemen in het ISAE3402-rapport worden opgenomen. (ref. ISAE3402.16).
Dit is een voorbeeld van de Europese praktijk. In principe vereist ISAE3402 dat de steekproefomvang in verhouding staat tot de risicoreductie tot een redelijk niveau. In de PCAOB-richtlijnen is een steekproefomvang van 25 vereist voor dagelijkse controles. Deze richtlijnen zijn niet opgenomen in de ISAE3402-norm.
Ein Sub-Dienstleister ist ein Unternehmen, das bestimmte Prozesse für eine Service-Organisation übernimmt. Zum Beispiel könnte ein Vermögensverwalter das Hosting seiner Server an eine externe Organisation auslagern – in diesem Fall würde das Hosting-Unternehmen als Subdienstleister fungieren. Die Service-Organisation hat die Möglichkeit, einen Carve-out zu wählen, was bedeutet, dass sie sich auf den ISAE 3402-Bericht des Subdienstleisters bezieht, anstatt eigene Prüfungen für diese ausgelagerten Prozesse durchzuführen. Auf diese Weise wird die Kontrolle über die ausgelagerten Prozesse sichergestellt, ohne dass die Hauptorganisation diese selbst vollständig prüft.
Dies ist eine semantische Frage. Streng genommen ist ein ISAE 3402-Bericht keine Zertifizierung, sondern ein Kontrollbericht für Dienstleistungsunternehmen, der gemäß ISAE 3402 als Prüfbericht erstellt wird. Allgemein wird jedoch oft von einer „ISAE 3402-Zertifizierung“ gesprochen.
Corporate Governance beschreibt allgemein die gute, effiziente und verantwortungsvolle Unternehmensführung. In den USA führte der Zusammenbruch von Unternehmen wie Enron und WorldCom zum Sarbanes-Oxley-Gesetz (SOx), das Regeln zur internen Kontrolle und Unternehmensführung für an der US-Börse gelistete Unternehmen festlegt. Neben dem jährlichen Finanzbericht ist in diesen Unternehmen ein Kapitel zur Bewertung der internen Kontrolle im Jahresbericht vorgeschrieben. Auch nicht-amerikanische Unternehmen, die an der NYSE gelistet sind, müssen sich an das SOx-Gesetz halten. In Deutschland ist der Deutschen Corporate Governance Kodex (DCGK) für alle börsennotierten Unternehmen verbindlich und stellt vergleichbare Anforderungen an Corporate Governance sicher.
