ISAE 3402: Typ I oder Typ II?
Es gibt zwei Arten von ISAE 3402-Berichten: Typ I und Typ II. Beide Berichtsarten sind inhaltlich ähnlich. Der Unterschied liegt in der Art der durchgeführten Prüfung. Bei einer Prüfung des Typs I stellt der Prüfer fest, ob der Risikomanagementrahmen und die Kontrollmaßnahmen den normativen Rahmen (Design) abdecken und zu einem bestimmten Zeitpunkt bestehen. Um dies festzustellen, geht der Prüfer durch die Prozesse, die so genannten Linienkontrollen. Bei einer Prüfung des Typs II bewertet der Prüfer, ob die Kontrollmaßnahmen über einen Zeitraum von mindestens sechs Monaten wirksam funktioniert haben.
Erhöhte Gewissheit
Mit einem Typ-II-Bericht erhält eine Nutzerorganisation eine größere Sicherheit, dass die Leistungserbringung wie vereinbart kontrolliert wird. Der Zeitraum, der von einer ISAE Typ II Prüfung abgedeckt wird, beträgt mindestens sechs Monate, es sei denn, es liegt eine besondere Situation vor, wie z.B. die Übernahme einer neuen Organisationseinheit oder die Einführung eines neuen IT-Systems.
Obligatorische Komponenten
Ein ISAE 3402-Bericht ist relativ ‚frei‘ formuliert. Der Standard verlangt unter anderem, dass das Risikomanagement implementiert ist, dass die IT-Infrastruktur kontrolliert wird und dass das Risikomanagementsystem effektiv überwacht wird. Ein ISAE 3402-Bericht muss jedoch die folgenden obligatorischen Bestandteile enthalten: (1) eine Beschreibung des internen Kontrollrahmens, (2) eine Bestätigung der Dienstleistungsorganisation und (3) einen Bestätigungsvermerk des Dienstleistungsprüfers. Obwohl diese Komponenten obligatorisch sind, schreibt der Standard nicht vor, wie sie im Bericht dargestellt werden sollten. Außerdem ist ISAE 3402 im Gegensatz zum SAS 70-Standard nicht in Abschnitte unterteilt (vgl. Standard 3402.9 sub j). Trotz des Mangels an vorgeschriebenen Komponenten hat sich in den Niederlanden eine bewährte Praxis herausgebildet.
Bewährte Praktiken
Die Best Practice umfasst mehrere Komponenten: eine allgemeine Beschreibung, eine Beschreibung des Kontrollrahmens und eine Kontrollmatrix. Der allgemeine Teil enthält eine Beschreibung der Organisation. Die Beschreibung des Kontrollrahmens umreißt in der Regel den gesamten Risikorahmen nach COSO. Das COSO-Rahmenwerk wurde 2013 zu COSO 2013 und 2017 zu COSO 2017 ERM aktualisiert. Ein wesentlicher Unterschied zum ursprünglichen COSO-Rahmenwerk ist, dass die neuesten Versionen Prinzipien enthalten.
Kontroll-Matrix
In der Kontrollmatrix sind die Ziele mit den Risiken verknüpft, und die Maßnahmen zur Minderung dieser Risiken (Kontrollen) sind enthalten. Alle für die Benutzerorganisation relevanten Kontrollen sind integriert.
Assurance Bericht
Ein Prüfer bewertet, ob alle erwarteten Kontrollen bei der Prüfung berücksichtigt wurden. Nach dieser Prüfung gibt der Prüfer in seinem Bericht eine Zuverlässigkeitserklärung gemäß dem Standard 3402* ab. Eine solche Bescheinigung wird manchmal als ISAE 3402-Zertifizierung bezeichnet, obwohl es sich nicht um ein Zertifikat, sondern um eine Bescheinigung gemäß dem Standard 3402 handelt.
* Der Standard 3402 ist die niederländische Übersetzung des internationalen Standards ISAE 3402.
Starten Sie mit ISAE 3402
ISAE 3402-Berichte werden nicht nur von Ihren Kunden gelesen, sondern auch von deren Wirtschaftsprüfern. Ein Bericht, der sich nicht an die Best Practices hält oder weniger professionell beschrieben ist, wird von Ihrem Kunden oder dessen Prüfer wahrscheinlich als weniger professionell wahrgenommen werden. Mit der Erfahrung von Securance in ISAE 3402 seit 2004 sind wir gut gerüstet, um professionelle Berichte zu erstellen. Wir können Sie auch beraten, wie Sie Ihre Maßnahmen verbessern können, um Risiken besser zu kontrollieren.
