Implementation
ISAE-3402-Berichte werden von Wirtschaftsprüfungsgesellschaften genutzt, um die Effektivität von Finanzprüfungen zu steigern. Prozesse, die von einer Dienstleistungsorganisation für eine Nutzerorganisation durchgeführt werden, können Auswirkungen auf operative Prozesse haben, die sich wiederum auf den Jahresabschluss der Nutzerorganisation auswirken. Jede Dienstleistungsorganisation kann eigene Wirtschaftsprüfungsgesellschaften mit der Durchführung von Prüfungen beauftragen, was bedeutet, dass die Dienstleistungsorganisationen von zahlreichen Prüfern besucht werden. ISAE-3402-Berichte beschränken diese Prüfungen jedoch ausschließlich auf die Prüfung der Dienstleistungsorganisation.
ISAE 3402 ist grundsätzlich anwendbar, wenn ein unabhängiger Abschlussprüfer („Nutzerprüfer“) die Abschlussprüfung einer Nutzerorganisation plant, die Dienstleistungen von anderen Organisationen („Dienstleistungsorganisation“) bezieht. Der Bericht wird von einem nach ISAE 3402 zertifizierten Prüfer (spezialisierter Dienstleistungsprüfer) geprüft. Dieser berichtet dem unabhängigen Abschlussprüfer gemäß ISAE 3402 über die Wirksamkeit der für die Jahresabschlüsse relevanten Verfahren und Kontrollen.
Anwendungen werden zunehmend als Cloud-Dienste angeboten. Infolgedessen ist die Nachfrage nach ISAE 3402 und der Prozesskontrolle deutlich gestiegen. Aspekte wie Datenschutz, Betrugsprävention und der Schutz personenbezogener Daten sind für Anwenderorganisationen und Aufsichtsbehörden gleichermaßen von besonderem Interesse. Bis 2008 wurden ISAE-3402-Berichte hauptsächlich in der Vermögensverwaltung und der Pensionskassenverwaltung eingesetzt. Die Nachfrage nach ISAE 3402 ist im gesamten Finanzmarkt gestiegen, von der Immobilienverwaltung über Hosting-Anbieter bis hin zu Kreditinstituten. Die Europäische Governance-Institution hat Partnerschaften mit Branchenverbänden initiiert, um die Qualität der ISAE-3402-Berichte zu sichern.
ISAE 3402 schreibt keine vordefinierten Kontrollziele oder Kontrollaktivitäten vor, die von Dienstleistungsunternehmen zwingend erfüllt werden müssen. Service Auditoren sind verpflichtet, die Standards des IAASB für Prüfungsdurchführung, Qualitätskontrolle und Berichterstattung (ISAE 3000) einzuhalten. Es existieren keine detaillierten, strikt vorgeschriebenen Leitlinien für einen ISAE-3402-Bericht. Innerhalb des ISAE-3402-Standards sind die Prüfungsverfahren definiert, und der Umfang des Berichts sollte alle Prozesse umfassen, die Einfluss auf den Jahresabschluss haben. In der praktischen Anwendung haben sich Best Practices etabliert, die von Dienstleistungsunternehmen sowie von den großen internationalen Wirtschaftsprüfungsgesellschaften entwickelt wurden. Ein ISAE-3402-Bericht besteht in der Regel aus einem „allgemeinen Teil“, der eine Beschreibung der Organisation, des Risikomanagement-Rahmenwerks sowie einen Überblick über das gesamte interne Kontrollsystem enthält. Zusätzlich ist eine Kontrollmatrix Bestandteil des Berichts. In dieser Matrix werden die Managementziele, die implementierten Kontrollen sowie die Prüfungsergebnisse des externen Auditors detailliert dargestellt. Weitere Informationen zum Inhalt eines ISAE-3402-Berichts und zu den Auswirkungen für eine Organisation finden Sie hier (ISAE-3402-Implementierung). Ein Service Auditor kann zwei Arten von Berichten ausstellen: einen ISAE-3402-Typ-I-Bericht oder einen ISAE-3402-Typ-II-Bericht.
Ein ISAE-3402-Typ-I-Bericht enthält die Beurteilung eines externen Prüfers zu den implementierten Kontrollen zu einem bestimmten Zeitpunkt. Der externe Prüfer untersucht, ob die Kontrollen angemessen konzipiert sind, um eine hinreichende Sicherheit zu gewährleisten, dass die relevanten Aussagen im Jahresabschluss erfüllt werden, und ob diese Kontrollen tatsächlich eingerichtet sind.
Die Prüfung durch den externen Prüfer im Rahmen eines ISAE-3402-Typ-II-Berichts unterscheidet sich von der Prüfung eines ISAE-3402-Typ-I-Berichts. In einem Typ-II-Bericht beurteilt der externe Prüfer sowohl die Angemessenheit der Konzeption und das Bestehen der Kontrollen als auch deren operative Wirksamkeit über einen festgelegten Zeitraum. Dies bedeutet, dass der externe Prüfer eine detaillierte Prüfung des internen Kontrollsystems des Dienstleistungsunternehmens durchführt und überprüft, ob alle Kontrollen gemäß den definierten Prozessen und Kontrollen wirksam funktionieren.