Kategorie: Beratung

Home / Beratung
Mai72019

Drittparteirisiko und ISAE 3402

Drittparteirisiko und ISAE 3402

Vom vollständigen Outsourcing komplexer Funktionen wie IaaS, PaaS-Services oder Komponentenherstellung bis hin zu kleinen Verträgen mit lokalen Dienstleistern und Zulieferern verlassen sich Unternehmen verschiedener Branchen und Größen in hohem Maße auf externe Dienstleistungsunternehmen.

Outsourcing-Aktivitäten führen zu Kosteneinsparungen, betrieblicher Effizienz oder erweitertem Fachwissen innerhalb des Unternehmens. Outsourcing ist auch mit einem erhöhten Risiko verbunden. Das Verstehen, Analysieren und effektive Reagieren auf Risiken als Teil eines Enterprise Risk Management (ERM)-Ansatzes ist unerlässlich, um das Risiko finanzieller Verluste, der Nichteinhaltung von Vorschriften und von Reputationsschäden zu minimieren.

Die Risiken Dritter verstehen

Das Drittparteirisiko ist nicht auf multinationale Unternehmen beschränkt, die wichtige Geschäftsfunktionen an Offshore-Lieferanten auslagern. In der heutigen Welt arbeiten die meisten Unternehmen im Rahmen ihrer regulären Geschäftstätigkeit regelmäßig mit Dienstleistern zusammen, wie im vorherigen Kapitel beschrieben. Selbst kleine Unternehmen verlassen sich bei verschiedenen Aktivitäten auf Dienstleistungsunternehmen, vom Hosting von Servern über IT-Support bis hin zur Lohnabrechnung. Die zunehmende Auslagerung an Dritte vergrößert die potenziellen Risiken für Unternehmen.

Die Analyse dieses Drittparteirisikos zu einem bestimmten Zeitpunkt ist von entscheidender Bedeutung für die Geschäftskontinuität und die Maximierung der Wirkung von Risikomanagementmaßnahmen. Da die meisten Unternehmen in hohem Maße auf Daten angewiesen sind, kann jeder Dritte, der Zugang zu sensiblen oder vertraulichen Informationen hat, ein potenzielles Risiko für die Geschäftskontinuität darstellen. Beim Outsourcing können, wie bei anderen Kategorien auch, Risikostufen und Hierarchien berücksichtigt werden. Diese Hierarchien und Ebenen bilden die Grundlage für die Festlegung von Risikoprioritäten durch das Management und die Basis für den Risikorahmen in einem ISAE 3402 | SOC1 Bericht.

Risikopriorisierung und ISAE 3402

Die Festlegung von Risikoprioritäten ist keine einmalige Angelegenheit. Alle Parameter können im Laufe der Zeit angepasst werden, abhängig von Faktoren, die von wirtschaftlichen Entwicklungen über Änderungen im regulatorischen Umfeld bis hin zu sich entwickelnden strategischen Initiativen reichen. Die Arten von Dritten, die typischerweise ein höheres Risiko für Ihr Unternehmen darstellen, sind nicht erschöpfend, aber zu ihnen gehören Dienstleistungsunternehmen wie z.B:

  • Cloud Computing / On-Demand-Computing
  • Software-as-a-Service (SaaS)
  • Internetdienstanbieter (ISPs)
  • Plattformen für die Verarbeitung von Kreditkarten
  • Online Auftragsabwicklung
  • Anbieter von Rechenzentren und Kollokation
  • Verwaltung von HR und Lohnbuchhaltung
  • Drittanbieter-Verwalter (TPAs)
  • Druck- und Postdienstleistungen
  • Logistikdienstleistungen für Dritte (3PL)
  • Debitorenbearbeitung und Inkassodienstleistungen
  • Due-Diligence-Prüfung durch Dritte

Eine gründliche Due-Diligence-Prüfung vor Abschluss eines neuen Vertrags mit einem Dritten ist nur der Anfang. Wie die Geschäftsrisiken müssen auch die Risiken von Drittanbietern während der gesamten Lebensdauer einer Lieferantenbeziehung regelmäßig und proaktiv verwaltet werden, da sich die Parameter im Laufe der Zeit anpassen. Dies beinhaltet die Einbindung der Innenrevision, der Finanzabteilung, der Rechtsabteilung und – in vielen Fällen – unabhängiger Wirtschaftsprüfer, die ein ISAE 3402-Gutachten erstellen.

Apr252019

Erweiterung erhält ISAE 3402 Typ II Erklärung

Expansion erhält

ISAE 3402 Typ II Erklärung

Utrecht, 25. April 2019 – Der DMS-Anbieter Expansion hat im Januar 2019 die ISAE 3402 Type II Erklärung erhalten. Mit der Unterstützung von Securance erhalten die Kunden von Expansion eine objektive Bestätigung der Zuverlässigkeit ihrer Serviceprozesse. Schließen Sie ab, dass Buchhalter die Prüfung durchgeführt haben.

Digitale Archivierung und Dokumentenverwaltung

Expansion ist ein führender Anbieter von Lösungen für die digitale Archivierung und das Dokumentenmanagement. Es bietet seine Lösungen zunehmend über die Cloud an. Die Erweiterung ermöglicht es Unternehmen, die Verwaltung ihrer wichtigen Geschäftsinformationen vollständig auszulagern. Um den Kunden und ihren Buchhaltern zu versichern, dass sie die höchsten Standards der Informationssicherheit erfüllen, hat Expansion beschlossen, eine ISAE 3402 Typ II-Erklärung einzuholen.

Implementierung & Prüfung

Securance und Conclude Accountants unterstützten Expansion in der zweiten Jahreshälfte 2018 bei der Umsetzung des ISAE 3402-Berichts und prüften verschiedene Aspekte: Ist die Beschreibung der Serviceorganisation korrekt? Sind die definierten Kontrollmaßnahmen angemessen eingerichtet? Erreichen die Kontrollmaßnahmen effektiv die Ziele der Expansion? Conclude Accountants hat während der Prüfung eine Bestätigung zu diesen Aspekten erhalten, was die Abgabe der ISAE 3402 Typ II Erklärung ermöglicht hat.

Umfassende Auswahl

Expansion wählte Securance und Conclude Accountants, um den Prozess zu leiten, vor allem wegen ihrer umfangreichen Erfahrung in diesem Bereich.

Kontinuierlicher Prozess
Expansion empfand die Zusammenarbeit als äußerst konstruktiv und trug dazu bei, seine Dienstleistungen auf ein noch höheres und konsistentes Niveau zu heben. Die Erlangung des ISAE 3402 Typ II Zertifikats ist nicht das Ende der Expansion, sondern Teil eines kontinuierlichen Verbesserungsprozesses, zu dem Securance weiterhin beitragen wird. Die ersten Vorkehrungen für die bevorstehende Prüfung wurden bereits getroffen.

Über Expansion

Mit dem Standard-DMS Xtendis ist Expansion in den Niederlanden einer der Marktführer im Bereich der digitalen Archivierung und des Dokumentenmanagements. Xtendis wird zunehmend als Cloud-Service genutzt. Xtendis wird in den Niederlanden von mehr als 650 Unternehmen für verschiedene Anwendungen eingesetzt, darunter digitale Personalakten, Auftragsakten, Rechnungsbearbeitung, Kundenakten und Postbearbeitung. Xtendis schaltet insgesamt über 2,6 Milliarden Dokumente für mehr als 4 Millionen Nutzer frei.

Jan42019

ISAE 3402 | SOC 1 Typ I vs. Typ II

Typ I versus Typ II

Um zu klären, welche SOC-Typen Ihr Unternehmen benötigt, finden Sie hier die wichtigsten Informationen.

Es gibt zwei Arten von ISAE 3402-Berichten: einen Typ-I-Bericht und einen Typ-II-Bericht. Beide Berichte sind inhaltlich identisch. Der Unterschied liegt in der durchgeführten Prüfung. Bei einer Prüfung vom Typ I stellt der Wirtschaftsprüfer fest, ob der Rahmen für das Risikomanagement und die Kontrollmaßnahmen den Rahmen abdecken (Konzeption) und zu einem bestimmten Zeitpunkt bestehen. Um dies festzustellen, geht der Buchhalter die Prozesse „durch“. Diese Kontrollen werden Walkthroughs genannt. Bei einer Prüfung vom Typ II stellt der Wirtschaftsprüfer über einen Zeitraum von mindestens sechs Monaten fest, ob die Kontrollmaßnahmen tatsächlich wirksam waren. Ein Bericht des Typs I bezieht sich auf einen Messpunkt und ein Bericht des Typs II auf mindestens sechs Monate.

Mit einem Bericht vom Typ II hat eine Nutzerorganisation mehr Gewissheit, dass der Dienst wie vereinbart kontrolliert wird. Der Zeitraum, in dem die ISAE Typ II Prüfung stattfindet, beträgt mindestens sechs Monate, es sei denn, es liegt eine besondere Situation vor, wie z.B. der Kauf einer neuen Organisationseinheit oder die Einführung eines neuen IT-Systems.

Die erste Prüfung erfordert immer einen gewissen Mehraufwand für die Organisation und den Prüfer, um ein gegenseitiges Verständnis aufzubauen. Durch die Umstellung von Typ I auf Typ II werden die Auswirkungen auf das Geschäft verteilt, da Typ I weniger Prüfungstests erfordert. Bei Typ I testen die Prüfer jede Stichprobe jeder Kontrollpraxis, um die Transaktionsmuster zu bestätigen. Bei Typ II wählen die Prüfer mehrere Stichproben aus den Prüferpopulationen aus und testen sie. Ein Bericht vom Typ I ebnet den Weg für Typ II, ohne alles auf einmal zu behandeln.

Ein Vorteil der Berichte vom Typ I ist die Flexibilität während der Prüfung, bei der „Probleme“ identifiziert werden können, bevor der Bericht veröffentlicht wird. Diese sind nicht als Probleme in den Bericht aufgenommen worden, da es sich um eine Momentaufnahme zum Zeitpunkt der Aufzeichnung handelt.

ISAE 3402 Beratung?

ISAE 3402-Berichte werden nicht nur von Ihren Kunden, sondern auch von deren Buchhaltern gelesen. Ein Bericht, der nicht den Best Practices entspricht oder der weniger professionell beschrieben ist, wird von Ihrem Kunden oder dem Buchhalter Ihres Kunden wahrscheinlich als weniger professionell wahrgenommen. Dank der Erfahrung der Securance mit ISAE 3402 seit 2004 sind wir in der Lage, einen professionellen Bericht zu erstellen. Wir können Sie auch entsprechend beraten, wie Sie die Maßnahmen verbessern können, damit Sie die Risiken besser kontrollieren können.

Erfahren Sie mehr über Securance und ISAE 3402.

Aug172018

COSO Enterprise Risk Management

COSO Enterprise Risk Management

Wenn eine Organisation ihre Ziele erreichen will, muss sie sich mit Risiken auseinandersetzen, die diese Ziele bedrohen, und sie managen. COSO hat zu diesem Zweck verschiedene Elemente eines internen Kontrollsystems definiert. Das COSO-Modell zeigt die direkte Beziehung zwischen:

  1. Organisatorische Ziele;
  2. Steuerungskomponenten;
  3. Die Aktivitäten/Einheiten, die eine interne Kontrolle erfordern.
  4. COSO identifiziert die Beziehungen zwischen Unternehmensrisiken und dem internen Kontrollsystem. COSO geht davon aus, dass die interne Kontrolle ein Prozess ist, der das Erreichen von Zielen in den folgenden Kategorien sicherstellen soll:
  5. Erreichen strategischer Ziele (Strategisch);
  6. Effektivität und Effizienz von Geschäftsprozessen (Operations);
  7. Verlässlichkeit der Finanzberichterstattung (Reporting);
  8. Einhaltung der einschlägigen Gesetze und Vorschriften (Compliance).

Außerdem müssen Unternehmen gegenüber Investoren und anderen Stakeholdern nachweisen, dass sie mit Unsicherheiten richtig umgehen (Code Tabaksblat und Sarbanes-Oxley Act). Beim Risklane-Ansatz für das Enterprise Risk Management (ERM) werden die Risiken identifiziert und ihre Folgen detailliert beschrieben. Risklane nutzt zu diesem Zweck die neuesten Standards, Methoden und Techniken des Risikomanagements.