Die ISAE 3402 Standard ist ein international anerkannter Prüfungsstandard, der vom International Auditing and Assurance Standards Board (IAASB) herausgegeben wird. Die Prüfung eines Dienstleistungsunternehmens durch den Wirtschaftsprüfer ist weithin akzeptiert, da sie eine gründliche Überprüfung der internen Kontrollziele und -aktivitäten eines Dienstleistungsunternehmens darstellt. Der Prüfungsrahmen und die damit verbundenen Kontrollmaßnahmen werden im System- und Organisationsbericht (SOC) detailliert beschrieben. Der Umfang einer ISAE 3402/SOC-Bericht besteht aus Kontrollen der Informationstechnologie und der operativen Prozesse, die sich auf die Finanzen einer Organisation auswirken.

SOC 1 ODER SOC 2

SOC-Berichte können in SOC 1- und SOC 2-Berichte unterschieden werden. Ein ISAE 3402/SOC 1 befasst sich mit den Jahresabschlüssen und allen Prozessen, die diese beeinflussen. Ein ISAE 3000 (oder SOC 2)-Bericht zielt darauf ab, ein breiteres Spektrum von Benutzeranforderungen zu erfüllen, einschließlich Bedenken hinsichtlich Datenschutz, Vertraulichkeit und Systemverfügbarkeit. SOC 2-Berichte sind modular aufgebaut und basieren auf den Trust Services Principles and Criteria.

Typ I und Typ II

Ein ISAE 3402 Typ I-Bericht enthält eine Stellungnahme eines externen Wirtschaftsprüfers zu den Kontrollmaßnahmen, die zu einem bestimmten Zeitpunkt bestehen. Der externe Wirtschaftsprüfer prüft, ob die internen Kontrollmaßnahmen angemessen konzipiert sind, um ein angemessenes Maß an Sicherheit zu bieten, dass die Behauptungen in den Jahresabschlüssen erreicht werden, und ob interne Kontrollmaßnahmen existieren. In einem ISAE 3402 Typ II Bericht berichtet der externe Wirtschaftsprüfer auch über das Funktionieren dieser Kontrollmaßnahmen über einen bestimmten Zeitraum. Die ISAE 3402-Berichte decken in der Regel die Konzeption und die Funktionsweise der Kontrollen für einen Zeitraum von 12 Monaten ab, wobei die Berichterstattung von Jahr zu Jahr fortgesetzt wird. Ein Bericht kann einen Zeitraum von mindestens sechs Monaten abdecken.

Externe Anforderungen mit interner Risikokompetenz in Einklang bringen

In Outsourcing-Situationen können sich viele Fragen stellen: Werden die Dienstleistungen auf kontrollierte Weise erbracht? Wie wird die Sicherheit gehandhabt? Wer hat Zugang zu unseren Informationen? Gibt es angemessene Maßnahmen zur Betrugsprävention? ISAE 3402 bietet eine Lösung für diese Probleme.

ISAE 3402 unterstützt Organisationen bei der Messung und Bewertung von Risiken und der Ausrichtung des daraus resultierenden Kontrollrahmens auf strategische Ziele und diese Risiken. Eine einmalige Investition in den Rahmen zahlt sich aus, indem sie das Vertrauen des Marktes und die organisatorische Exzellenz stärkt.