ISAE 3402 & SOC 1

Häufig gestellte Fragen

ISAE 3402 – Fragen und Antworten

Ein ISAE 3402-Bericht ist eine unabhängige Assurance-Erklärung über die internen Kontrollen eines Dienstleisters. Ein externer Wirtschaftsprüfer – der Service Auditor – beurteilt, ob diese Kontrollen bestehen (Type I) und, bei Type II, ob sie über einen Zeitraum von mindestens sechs Monaten auch tatsächlich wirksam funktioniert haben. Damit gibt der Bericht Kunden und deren Wirtschaftsprüfern Sicherheit über die Zuverlässigkeit ausgelagerter Prozesse.

Der Prozess beginnt mit einer Beschreibung des Unternehmens und der relevanten Prozesse. Anschließend wird eine Control Matrix erstellt: Welche Risiken wirken sich auf den Jahresabschluss des Kunden aus, und welche Kontrollen mindern diese Risiken? Diese Kontrollen werden danach vom Service Auditor geprüft – auf ihr Bestehen (Type I) und, bei Type II, auf ihre wirksame Funktionsweise über mindestens sechs Monate.

Type I beurteilt die Gestaltung der Kontrollen zu einem bestimmten Stichtag: Bestehen die Kontrollen tatsächlich, nicht nur auf dem Papier, sondern auch in der Praxis? Type II geht einen Schritt weiter und prüft, ob diese Kontrollen über mindestens sechs Monate auch tatsächlich so funktioniert haben, wie im Bericht beschrieben.

In erster Linie Dienstleister, deren Prozesse für die Finanzberichterstattung ihrer Kunden relevant sind – etwa Rechenzentren, Treuhandgesellschaften oder Outsourcing-Partner, die Banken, Versicherungen oder Pensionsfonds beliefern. Im Finanzsektor müssen Unternehmen nachweisen können, dass sie zuverlässig sind und ihre Sicherheit im Griff haben; die Bestätigung eines externen Wirtschaftsprüfers gibt diesen Institutionen die nötige Sicherheit.

Die Vorbereitung dauert in der Regel einige Monate. Prozesse sind häufig bereits vorhanden, es fehlt jedoch eine gute Beschreibung, oder es mangelt in der Organisation an Disziplin oder bestimmten erforderlichen Maßnahmen. Nach der Implementierung folgt bei Type II eine Beobachtungsperiode von mindestens sechs Monaten. Insgesamt rechnen Organisationen mit etwa acht bis zwölf Monaten bis zum endgültigen Type-II-Bericht, bei Type I einige Monate weniger.

ISAE 3402 ist der internationale Standard, SOC 1 das US-amerikanische Pendant nach den Richtlinien des AICPA. Inhaltlich sind beide eng verwandt; viele Berichte werden heute kombiniert erstellt.

ISO 27001 ist eine Zertifizierung des Informationssicherheits-Managementsystems als Ganzes; ISAE 3402 ist eine Assurance-Erklärung über spezifische Kontrollen gegenüber einem Kunden oder einer Finanzinstitution. Der wichtigste praktische Unterschied liegt in der Prüfungstiefe: Bei ISAE 3402 reicht ein Verbesserungsplan oft nicht aus, wenn eine Kontrolle nicht besteht oder innerhalb der sechs Monate nicht funktioniert hat. Das führt zu einer Feststellung im Bericht und kann sich auch auf die Assurance-Erklärung selbst auswirken, die dann eine Einschränkung oder sogar ein abschließend negatives Urteil enthalten kann.

So kommen Sie zu einerISAE 3402Zertifizierung

01
Verständnis der Anforderungen
Machen Sie sich mit den Anforderungen von ISAE 3402 vertraut und bestimmen Sie deren Bedeutung für Ihr Unternehmen und Ihre Kunden.
02
Vorbereitung auf das Audit
Wählen Sie einen unabhängigen Auditor und legen Sie den Umfang des Audits fest, einschließlich der wichtigsten Prozesse und Kontrollen.
03
Dokumentation und Analyse
Dokumentieren Sie vorhandene Kontrollen und erstellen Sie eine Risikokontrollmatrix, führen Sie anschließend eine GAP-Analyse durch, um Schwachstellen zu identifizieren.
04
Interne Überprüfungen
Führen Sie interne Tests der Kontrollen durch und aktualisieren Sie die Dokumentation basierend auf den Testergebnissen.
05
Durchführung des externen Audits
Bereiten Sie die erforderliche Dokumentation für den externen Auditor vor und gewähren Sie Zugang zu Prozessen und Materialien.
06
Ergebnisse analysieren und verbessern
Erhalten Sie den Bericht des Auditors, analysieren Sie die Ergebnisse und setzen Sie Empfehlungen zur kontinuierlichen Verbesserung von Prozessen und Kontrollen um.

Kernelemente eines ISAE 3402-Berichts

Ein ISAE 3402-Bericht umfasst typischerweise:

Grünes Symbol eines Clipboards mit einem Häkchen in der Mitte.

Prüfungsurteil des Auditors

Beschreibt den Umfang und Zeitraum der Prüfung sowie, ob der Bericht mit Einschränkungen (qualified) oder ohne Einschränkungen (unqualified) versehen ist.
Grünes Symbol mit drei horizontalen Schaltern, alle in der Aus-Position.

Systembeschreibung

Beschreibt die Risikomanagementprozesse, einschließlich zentraler IT-Kontrollen (GITCs) wie Zugriffskontrollen, Änderungsmanagement und physische Sicherheitsmaßnahmen.
Grünes Lupensymbol mit Pluszeichen in der Mitte, das Vergrößerung anzeigt.

Ergänzende Informationen

Optionaler Abschnitt mit allen weiteren relevanten Details.

ISAE 3402 oder ISO 27001 & SOC 2

The ISAE 3402 audit evaluates the design and effectiveness of internal controls impacting financial statements, with the external auditor assessing control design (Type I) and operational effectiveness over time (Type II). The report typically includes are least a control matrix showing the risk management framework, control objectives, control measures, and audit results.

ISAE 3402: Finanzkontrollen und Outsourcing

ISAE 3402 richtet sich an Dienstleistungsunternehmen, die die Finanzberichterstattung ihrer Kunden beeinflussen. Der Standard fokussiert auf die Bewertung und Berichterstattung interner Finanzkontrollen und wird häufig von Unternehmen in Bereichen wie Rechnungswesen, Vermögensverwaltung und Business Process Outsourcing (BPO) genutzt, deren Dienstleistungen die Finanzberichterstattung der Kunden direkt betreffen. Der Schwerpunkt liegt darauf, sicherzustellen, dass die internen Kontrollen des Unternehmens eine präzise und zuverlässige Finanzberichterstattung ermöglichen. Auditoren geben ein unabhängiges Urteil über diese Kontrollen ab. ISAE 3402 unterstützt Unternehmen dabei, die Einhaltung externer regulatorischer Anforderungen im Bereich der Finanzberichterstattung zu belegen.

ISO 27001 & SOC 2: Sicherheit und Datenschutz

ISAE 3402 ist primär für Dienstleistungsorganisationen konzipiert, die Einfluss auf die Finanzberichterstattung ihrer Kunden haben. Der Schwerpunkt liegt auf der Bewertung und Berichterstattung interner Finanzkontrollen.

Die Entwicklung vonISAE 3402

2009
Einführung

Das IAASB führt ISAE 3402 ein und stellt damit einen Rahmen zur Bewertung interner Kontrollen bei Dienstleistungsunternehmen bereit.

Angleichung an SOC 1

Der Standard wird an das SOC 1-Rahmenwerk des AICPA angeglichen, um die Einhaltung zu vereinfachen.

2013
2016
Internationale Anerkennung

ISAE 3402 wird weltweit anerkannt und stärkt den Fokus auf Transparenz und Rechenschaftspflicht.

Fortlaufende Weiterentwicklung

ISAE 3402 entwickelt sich kontinuierlich weiter, um den Herausforderungen der digitalen Transformation und der Bedrohungen durch Cybersecurity gerecht zu werden.

Seit 2021

Weitere Informationen

Erfahren Sie mehr über die Anforderungen und Auswirkungen von ISAE 3402.