ISAE 3402 & SOC 1

Unternehmen lagern zunehmend unterstützende Geschäftsprozesse an spezialisierte Dienstleister aus, wie SaaS-Unternehmen, Vermögensverwalter und Immobilienverwaltungsfirmen. Der internationale Standard ISAE 3402 bietet dabei eine verlässliche Grundlage für Transparenz und Sicherheit: Er legt fest, wie Dienstleistungen ausgeführt, Sicherheitsmaßnahmen umgesetzt und Anti-Betrugs-Maßnahmen integriert werden. Der ISAE 3402-Bericht dient als Nachweis dafür, dass geeignete Kontrollmaßnahmen vorhanden sind, und ist somit ein wichtiges Instrument zur Risikominimierung im Outsourcing. Dies gewährleistet, dass Dienstleister robuste Kontrollrahmen einhalten, die insbesondere in sensiblen Branchen wie dem Finanzwesen unerlässlich sind. SOC 1 erfüllt denselben Zweck wie ISAE 3402 und bietet Berichte mit vergleichbarem Umfang und gleicher Aussagekraft.

So kommen Sie zu einerISAE 3402Zertifizierung

01
Verständnis der Anforderungen
Machen Sie sich mit den Anforderungen von ISAE 3402 vertraut und bestimmen Sie deren Bedeutung für Ihr Unternehmen und Ihre Kunden.
02
Vorbereitung auf das Audit
Wählen Sie einen unabhängigen Auditor und legen Sie den Umfang des Audits fest, einschließlich der wichtigsten Prozesse und Kontrollen.
03
Dokumentation und Analyse
Dokumentieren Sie vorhandene Kontrollen und erstellen Sie eine Risikokontrollmatrix, führen Sie anschließend eine GAP-Analyse durch, um Schwachstellen zu identifizieren.
04
Interne Überprüfungen
Führen Sie interne Tests der Kontrollen durch und aktualisieren Sie die Dokumentation basierend auf den Testergebnissen.
05
Durchführung des externen Audits
Bereiten Sie die erforderliche Dokumentation für den externen Auditor vor und gewähren Sie Zugang zu Prozessen und Materialien.
06
Ergebnisse analysieren und verbessern
Erhalten Sie den Bericht des Auditors, analysieren Sie die Ergebnisse und setzen Sie Empfehlungen zur kontinuierlichen Verbesserung von Prozessen und Kontrollen um.

Kernelemente eines ISAE 3402-Berichts

Ein ISAE 3402-Bericht umfasst typischerweise:

Prüfungsurteil des Auditors

Beschreibt den Umfang und Zeitraum der Prüfung sowie, ob der Bericht mit Einschränkungen (qualified) oder ohne Einschränkungen (unqualified) versehen ist.

Prüfungsurteil des Auditors

Beschreibt den Umfang und Zeitraum der Prüfung sowie, ob der Bericht mit Einschränkungen (qualified) oder ohne Einschränkungen (unqualified) versehen ist.

Systembeschreibung

Beschreibt die Risikomanagementprozesse, einschließlich zentraler IT-Kontrollen (GITCs) wie Zugriffskontrollen, Änderungsmanagement und physische Sicherheitsmaßnahmen.

Ergänzende Informationen

Optional section including any additional relevant details.

Ergänzende Informationen

Optionaler Abschnitt mit zusätzlichen relevanten Details.

ISAE 3402 oder ISO 27001 & SOC 2

The ISAE 3402 audit evaluates the design and effectiveness of internal controls impacting financial statements, with the external auditor assessing control design (Type I) and operational effectiveness over time (Type II). The report typically includes are least a control matrix showing the risk management framework, control objectives, control measures, and audit results.

ISAE 3402: Finanzkontrollen und Outsourcing

ISAE 3402 richtet sich an Dienstleistungsunternehmen, die die Finanzberichterstattung ihrer Kunden beeinflussen. Der Standard fokussiert auf die Bewertung und Berichterstattung interner Finanzkontrollen und wird häufig von Unternehmen in Bereichen wie Rechnungswesen, Vermögensverwaltung und Business Process Outsourcing (BPO) genutzt, deren Dienstleistungen die Finanzberichterstattung der Kunden direkt betreffen. Der Schwerpunkt liegt darauf, sicherzustellen, dass die internen Kontrollen des Unternehmens eine präzise und zuverlässige Finanzberichterstattung ermöglichen. Auditoren geben ein unabhängiges Urteil über diese Kontrollen ab. ISAE 3402 unterstützt Unternehmen dabei, die Einhaltung externer regulatorischer Anforderungen im Bereich der Finanzberichterstattung zu belegen.

ISO 27001 & SOC 2: Sicherheit und Datenschutz

ISAE 3402 ist primär für Dienstleistungsorganisationen konzipiert, die Einfluss auf die Finanzberichterstattung ihrer Kunden haben. Der Schwerpunkt liegt auf der Bewertung und Berichterstattung interner Finanzkontrollen.

Die Entwicklung vonISAE 3402

2009
Einführung

Das IAASB führt ISAE 3402 ein und stellt damit einen Rahmen zur Bewertung interner Kontrollen bei Dienstleistungsunternehmen bereit.

Angleichung an SOC 1

Der Standard wird an das SOC 1-Rahmenwerk des AICPA angeglichen, um die Einhaltung zu vereinfachen.

2013
2016
Internationale Anerkennung

ISAE 3402 wird weltweit anerkannt und stärkt den Fokus auf Transparenz und Rechenschaftspflicht.

Fortlaufende Weiterentwicklung

ISAE 3402 entwickelt sich kontinuierlich weiter, um den Herausforderungen der digitalen Transformation und der Bedrohungen durch Cybersecurity gerecht zu werden.

2021 Seit

Schulungen

Für Organisationen, die ISAE 3402-konform arbeiten, sind Schulungen essenziell, um Prüfungsanforderungen, Kontrollrahmen und die Erstellung eines umfassenden ISAE 3402-Berichts zu verstehen. Spezialisierte Berater unterstützen bei der Definition von Kontrollen, der Durchführung von Risikoanalysen und der Auditvorbereitung. Regelmäßige Schulungen sorgen dafür, dass interne Teams und Auditoren stets über Best Practices und sich verändernde Standards informiert sind.

Mehr erfahren

Weitere Informationen

Erfahren Sie mehr über die Anforderungen und Auswirkungen von ISAE 3402.
Whitepaper herunterladen