Jul212019

Die Beziehung zwischen ISAE 3402 und ISA 402

Die Beziehung zwischen:

ISAE 3402 und ISA 402

Der Standard ISAE 3402 besagt, dass Berichte, die in Übereinstimmung mit ISAE 3402 erstellt wurden, bereits ausreichende Nachweise gemäß ISA 402, Prüfungserwägungen in Bezug auf ein Unternehmen, das eine Dienstleistungsorganisation nutzt, liefern. Mit anderen Worten: ISA 402 konzentriert sich auf die Verantwortung der Nutzerorganisation, angemessene und geeignete Kontrollinformationen zu erhalten, wenn eine Nutzerorganisation eine oder mehrere Serviceorganisationen nutzt. Es ist wichtig anzumerken, dass viele Rechnungslegungsstandards sowie eine Reihe von unterstützenden Standards auch eine Rolle bei der Interpretation, dem Verständnis und der Erleichterung des Standards selbst spielen, wie es beim Standard ISAE 3402 der Fall ist.

Jul212019

Wie bereitet sich eine Dienstleistungsorganisation auf ISAE 3402 vor?

Wie funktioniert eine Dienstleistungsorganisation

Bereiten Sie sich auf ISAE 3402 vor?

Der Standard ISAE 3402 verlangt von Dienstleistungsunternehmen einen proaktiven Ansatz bei der Erfüllung der von den Prüfern (Buchhaltern) der Dienststelle gestellten Anforderungen. Daher können Dienstleistungsunternehmen von der Durchführung eines ISAE ‚Readiness Assessment‘ sehr profitieren, das ihnen hilft, die Anforderungen an die Berichterstattung zu verstehen.

Diese Meldepflichten umfassen:

Erstellung einer Beschreibung des Systems der Serviceorganisation.
Erstellung einer schriftlichen Erklärung der Geschäftsleitung, die in den endgültigen ISAE 3402-Bericht aufgenommen wird.

Zusätzlich kann eine interne Revision innerhalb der Dienstleistungsorganisation in den gesamten Prüfprozess einbezogen werden, wenn der Prüfer der Dienstleistungsorganisation deren Objektivität und Professionalität für akzeptabel hält. Daher ist die Durchführung eines ISAE 3402 ‚Readiness Assessment‘ für Dienstleistungsunternehmen von entscheidender Bedeutung, um den Umfang der Aufgabe zu verstehen und die Anforderungen an die Berichterstattung nach dem ISAE 3402 Standard zu erfassen.

Jul212019

Risikomanagement für Unternehmen

Wenn eine Organisation ihre Ziele erreichen will, muss sie die Risiken, die diese Ziele bedrohen, verwalten und kontrollieren. Zu diesem Zweck hat COSO die verschiedenen Elemente eines internen Kontrollsystems definiert.

Das COSO-Modell veranschaulicht die direkte Beziehung zwischen:

Die Ziele der Organisation;
Die Kontrollkomponenten;
Die Aktivitäten/Einheiten, die eine interne Kontrolle erfordern.
COSO identifiziert die Beziehungen zwischen Unternehmensrisiken und dem internen Kontrollsystem. COSO betrachtet die interne Kontrolle als einen Prozess, der darauf abzielt, Sicherheit hinsichtlich der Erreichung von Zielen in den folgenden Kategorien zu bieten:
Erreichen strategischer Ziele (Strategisch);
Effektivität und Effizienz von Geschäftsprozessen (Operations);
Verlässlichkeit der Finanzberichterstattung (Reporting);
Einhaltung der einschlägigen Gesetze und Vorschriften (Compliance).

Unternehmen müssen auch gegenüber Investoren und anderen Stakeholdern nachweisen, dass sie mit Unsicherheiten richtig umgehen (Code Tabaksblat und Sarbanes-Oxley Act). In Securance’s Ansatz zum Enterprise Risk Management (ERM) werden die Risiken identifiziert und ihre Konsequenzen detailliert beschrieben. Securance verwendet die neuesten Standards, Methoden und Techniken im Risikomanagement.

Was bietet das Enterprise Risk Management?

Einblicke in die wesentlichen Risiken Ihres Unternehmens;
Qualitative und quantitative Bewertung der identifizierten Risiken;
Einblicke und Ratschläge zur aktuellen Kontrolle von Risiken;
Einblicke in die Risikokosten Ihres Unternehmens;
Eine Grundlage für die Gestaltung und Umsetzung des Risikomanagements in Ihrer Organisation;
Unterstützung bei der Verantwortlichkeit für das Risikomanagement.

Jul212019

Eine ISAE 3402 | SOC 1 Audit Checkliste

ISAE 3402 | SOC 1 ist der Standard für Outsourcing. Die meisten Unternehmen lagern IT- oder andere Aktivitäten an Dienstleistungsunternehmen aus. Bei diesem Outsourcing ist es von entscheidender Bedeutung, dass die Serviceorganisation, die IKT-Dienstleistungen erbringt, zuverlässig ist.

Zuverlässigkeit kann in mehrere Aspekte unterteilt werden: Risikomanagement, Informationssicherheit, Datenschutz, Betrugsbekämpfung und Kontinuität. Der Standard ISAE 3402 | SOC 1 bietet umfangreiche Möglichkeiten, über diese Aspekte zu berichten und diesen Bericht von einem externen Wirtschaftsprüfer prüfen (zertifizieren) zu lassen.

Da die Erstellung von SOC-Berichten ein komplexer Prozess sein kann, bei dem Sie mit mehreren Aufgaben jonglieren müssen, finden es viele Unternehmen praktisch, eine ISAE 3402 | SOC 1 Compliance-Checkliste zu verwenden, um sicherzustellen, dass alle SOC-Anforderungen und ISAE 3402 | SOC 1-Kontrollen abgedeckt sind:

Ist die Organisationsstruktur Ihres Unternehmens definiert?
Haben Sie die Aufgabe, Richtlinien und Verfahren zu entwickeln, an bestimmte Mitarbeiter delegiert?
Wie sehen Ihre Verfahren zur Überprüfung des Hintergrunds und die Verhaltensstandards Ihrer Mitarbeiter aus?
Lernen und verstehen Mitarbeiter und andere Beteiligte, wie Sie Ihre Systeme nutzen können?
Gibt es Verfahren zur rechtzeitigen und effektiven Bearbeitung von Änderungen?
Haben Sie eine formelle Risikobewertung durchgeführt, um potenzielle Bedrohungen für Ihr System zu identifizieren, zu analysieren und zu entschärfen?
Bewertet Ihr Unternehmen regelmäßig die Manager von Lieferanten?
Bewerten Sie jährlich alle Richtlinien und Verfahren und aktualisieren Sie sie bei Bedarf?
Haben Sie physische und logische Zugangskontrollen eingeführt?

Wenn Sie sich die Zeit nehmen, eine ISAE 3402 | SOC 1 Audit-Checkliste auszufüllen, kann dies sehr nützlich sein, wenn Sie Ihre Nachweise in Vorbereitung auf die Zusammenarbeit mit einem CPA bei Ihrer Prüfung organisieren.

Kategorie: Beratung