Fünf Gründe für die Implementierung von ISAE 3402

ISAE 3402 ist der Standard für Outsourcing-Prozesse und Sicherheit. Sie wird zunehmend in verschiedenen Branchen und von staatlichen Stellen für die Teilnahme an Ausschreibungen verlangt.

1. Ihre Kunden erwarten einen ISAE 3402-Bericht.

Ihre Kunden erwarten von Ihnen, dass Sie über solide Verfahren für IT, Datensicherheit und Transaktionsverarbeitung verfügen und dass Sie diese Prozesse gewährleisten können. Ein ISAE 3402-Bericht umfasst die ausgelagerten Prozesse, die internen Kontrollen und alle Sicherheitsmaßnahmen, die Sie implementiert haben. Insbesondere nach der Wirtschaftskrise erwarten Ihre Kunden von Ihnen, dass Sie die verbindlichen Standards einhalten und transparent darlegen, wie Sie Ihre internen Kontrollen organisiert haben. Dies ist so gut etabliert, dass Sie es von einer externen professionellen Partei bewerten lassen haben.

2. Verwandeln Sie Interessenten in neue Kunden.

Viele Organisationen verlangen eine ISAE 3402-Zertifizierung, um Ihre Dienstleistungen oder Produkte zu beziehen. Jede Organisation, die gesetzlichen Prüfungspflichten unterliegt, muss alle ihre Prozesse in den Geltungsbereich dieser Prüfung einbeziehen, einschließlich ausgelagerter Prozesse. Ein ISAE 3402-Bericht ist das Instrument, das Sie als Dienstleistungsunternehmen (die ausgelagerte Partei) verwenden können, um kontrollierte Prozesse nachzuweisen. Das bedeutet, dass alle börsennotierten Unternehmen, Finanzinstitute und sogar mittelgroße juristische Personen, die Prozesse auslagern, (bald) ISAE 3402-Berichte von ihren Lieferanten verlangen werden. Auch die staatliche Nachfrage (einschließlich der Kommunen) hat in letzter Zeit deutlich zugenommen.

3. Schaffen Sie gleiche Wettbewerbsbedingungen mit Ihren Konkurrenten.

Ohne einen ISAE 3402-Bericht laufen Sie Gefahr, Kunden an Ihre Konkurrenten zu verlieren. Wenn Ihre Konkurrenten über einen ISAE 3402-Bericht oder zumindest einen ISO 27001-Bericht verfügen, sind sie bei Ausschreibungen oder Angebotsanfragen für Ihre Dienstleistungen im Vorteil. In vielen Ausschreibungsverfahren wird eine ‚Zertifizierung‘ verlangt. Professionellere Parteien verlangen speziell ISAE 3402 oder eine ISO-Zertifizierung.

4. Halten Sie sich an die höchsten Standards und besten Praktiken.

Der ISAE 3402-Bericht ist ein mächtiges Instrument. Es zeigt die Einhaltung des weltweit führenden Standards für interne Kontrolle. ISAE 3402 wird von der International Federation of Accountants (IFAC) herausgegeben. Nationale Rechnungslegungsorganisationen wie das Royal Netherlands Institute of Chartered Accountants (NBA) in den Niederlanden haben diesen Standard in ihre nationalen Vorschriften integriert. Das bedeutet, dass Sie mit einem ISAE 3402-Bericht nicht nur die hohen nationalen Anforderungen erfüllen, sondern auch international beweisen, dass Sie „die Kontrolle“ haben.

5. Führend auf Ihrem Markt.

Indem Sie eine Prüfung nach ISAE 3402 durchführen und den Bericht erstellen, signalisieren Sie, dass Sie Sicherheit und interne Kontrolle ernst nehmen. Sie haben Ihre Organisation unter Kontrolle. Sie identifizieren Risiken, haben Maßnahmen zur Bewältigung dieser Risiken ergriffen und überwachen sie kontinuierlich. Viele Ihrer Konkurrenten haben ihre Prozesse möglicherweise nicht so gut strukturiert wie Sie und können dies nicht durch eine unabhängige Bewertung ihrer internen Kontrollen durch einen gesetzlich anerkannten zertifizierenden Wirtschaftsprüfer nachweisen.

Soziale Auswirkungen Solvabilität II

Die Versicherer setzen die Solvency II-Richtlinien aktiv um und verwalten sie parallel zu ihrem Kapital- und Risikomanagement. Die Auswirkungen von Entscheidungen in diesem Zusammenhang werden über die Vorstandsetage hinausgehen und die Beziehungen zwischen einzelnen Versicherungsnehmern und Unternehmen und den Versicherern beeinflussen. Diese möglichen Folgen wurden in einem Bericht der Economist Intelligence Unit untersucht und dokumentiert, an dem 254 EU-Organisationen, darunter Versicherer, Finanzinstitute und Nicht-Finanzinstitute, beteiligt waren.

Während die Solvency II-Richtlinien darauf abzielen, die Versicherungsnehmer besser zu schützen, stellen verschiedene Parteien die Frage, wer letztendlich die Kosten des Solvabilitätssystems tragen wird. Gleichzeitig gibt es Befürchtungen, dass die Versicherer in ihrer Rolle als Investoren eingeschränkt und zu ’sichereren‘ Anlagen und weniger nicht-investiven Krediten gezwungen werden. Dies könnte möglicherweise zu Herausforderungen für kapitalsuchende Unternehmen führen, da Bilanzbeschränkungen dazu führen könnten, dass die Banken keine Investitionen mehr tätigen.

Mit diesen Fragen im Hinterkopf begann die Economist Intelligence Unit ihre Untersuchung der möglichen Auswirkungen von Solvency II auf die Verbraucher, die Versicherungsbranche und die Gesellschaft, in der die Versicherer als Investoren auftreten.

Die wichtigsten Ergebnisse und Schlussfolgerungen dieser Untersuchung sind:

• Die Anforderungen von Solvency II werden als überzogen angesehen. Die Befragten sind der Meinung, dass das Gleichgewicht verloren gegangen ist und die Anforderungen zu streng sind.
• Die Kosten von Solvency II werden letztlich die Versicherungsnehmer tragen, da die Versicherer diese Kosten an sie weitergeben werden.
• Die Versicherer erwarten, dass sie bei ihren Anlagestrategien weniger Risiken eingehen.
• Unter den Organisationen herrscht Unklarheit über die Folgen für die Emission von Schuldtiteln.
• Der Gesetzgeber wird die Kapitalkosten noch einmal überdenken müssen.
• Die unbeabsichtigten Folgen sind noch nicht vollständig geklärt und haben bei verschiedenen Organisationen Besorgnis ausgelöst.

Obwohl eine Überarbeitung der aktuellen Gesetzgebung als notwendig erachtet wird, sorgen die möglichen Folgen und der Zeitplan von Solvency II für Beunruhigung. Das derzeitige politische und wirtschaftliche Klima veranlasst viele zu der Annahme, dass Versicherer, Versicherungsnehmer und andere Interessengruppen von Solvency II negativ betroffen sein werden. Es ist zu erwarten, dass die Prämien steigen werden und dass die Investitionen davon betroffen sein werden. Wie auch immer die genauen Ergebnisse aussehen mögen, es deutet darauf hin, dass die Versicherer in diesen unsicheren Zeiten absolute Gewissheit über die Anwendung der Regeln und ihre Umsetzung suchen.

Was ist die Beziehung

Zwischen SOC 2 und SOC 3?

Der Leitfaden für Wirtschaftsprüfer, die über Kontrollen einer Dienstleistungsorganisation berichten, die für die Finanzberichterstattung von Nutzerorganisationen relevant sind, wurde hauptsächlich in SAS 70 aufgenommen. Diese Verordnung konzentrierte sich auf Risiken im Zusammenhang mit der Finanzberichterstattung. Allerdings wurde es oft für die Berichterstattung über die Geschäftstätigkeit oder die Einhaltung von Vorschriften missbraucht. Die Vorschriften SSAE 16 und ISAE 3402 wurden eingeführt, um diese Probleme zu lösen.

Das AICPA unterscheidet drei Arten von Kontrollberichten für Dienstleistungsorganisationen (SOC): SOC 1 (ISAE 3402 und SSAE 16), SOC 2 (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz) und SOC 3 (ein SysTrust für Dienstleistungsorganisationen).

Für SOC 3 hat die AICPA ein Standardlogo entwickelt.
Durch das Angebot von drei Arten von Berichten, die den Marktbedürfnissen besser entsprechen, hat das AICPA mehrere Probleme, die mit SAS 70 bestanden, effektiv gelöst.