12.08.2018
Erfolgreiche Prüfung nach ISAE 3402 (Typ 2)
ISAE 3402 (International Standards for Assurance Engagements) ist ein internationaler Prüfungsstandard für IT-Outsourcing-Vorhaben, welcher dem auslagernden Unternehmen die Beurteilung der internen Kontrollen des Dienstleisters und somit einen ganzheitlichen Blick auf das eigene interne Kontrollsystem (IKS) ermöglicht. Denn auch wenn ein Unternehmen die Entscheidung trifft, die IT auszulagern, bleibt die Verantwortung immer beim Unternehmen selbst und geht nicht auf den Dienstleister über. Die ISAE 3402 bietet auslagernden Unternehmen deshalb eine Möglichkeit, notwendige Informationen für die eigenen internen Kontrollen zu erhalten.
ISAE 3402 unterscheidet zwei Berichtstypen:
- Typ 1: Es findet eine Beurteilung der Kontrollziele und deren Umsetzung statt. Jedoch werden die Kontrollen nicht auf ihre Wirksamkeit untersucht.
- Typ 2: Neben den Kontrollzielen und deren Implementierung wird auch die operative Wirksamkeit der Kontrollen stichprobenartig analysiert.
Insbesondere Kunden aus dem Finanzumfeld stellen solch einen Report als Anforderung an ihren Dienstleister. Da die matrix schon heute zahlreiche Kunden aus dem regulierten Umfeld hat, wurde die Entscheidung getroffen, einen Prüfbericht nach ISAE 3402 (Typ 2) erstellen zu lassen.
Neben einer Erklärung der Unternehmensleitung, die versichert, dass das Kontrollsystem wahrheitsgemäß dargestellt und dass die Kontrollziele während des gesamten Prüfungszeitraumes mit den durchgeführten Kontrollen erreicht werden konnten, enthält der ISAE 3402-Bericht unter anderem folgende Punkte:
- Dienstleistungen und Prozesse, die geprüft wurden
- Durch die Prüfungen abgedeckter Zeitraum
- Informationen über die Kontrollziele und den entsprechenden Kontrollen
- Änderungen der Services im Prüfungszeitraum
- Vom Prüfer durchgeführte Testschritte und deren Ergebnis
Bereits 2017 wurde mit den Vorbereitungen begonnen und ein Wirtschaftsprüfer beauftragt, da eine Voraussetzung der Prüfung die Erstellung des Berichts durch eine unabhängige Instanz ist. Bei der Formulierung der relevanten Prozesse und Kontrollziele orientierte sich die matrix am ITIL-Framework. Die Kontrollziele wurden zum einen in enger Absprache mit einem Kunden der matrix festgelegt. Zum anderen spielten jedoch auch Aspekte allgemeiner Natur hinein, sodass der finale ISAE 3402 (Typ 2) Report auch auf andere Kundeszenarien übertragen werden kann. Vom IT-Operation Management über das Service Continuity Management bis hin zum Risikomanagement fand für den vier-monatigen Zeitraum Januar bis April 2018 die Prüfung der Kontrollziele auf Wirksamkeit statt Am Ende kam der Wirtschaftsprüfer zu dem Schluss, dass…
- …die eingerichteten IT-Services sachgerecht dargestellt wurden.
- …die Kontrollziele und die Kriterien, von denen diese abgeleitet wurden, angemessen sind.
- …die Kontrollen eingerichtet und angemessen waren.
- …die geprüften Kontrollen wirksam waren.
Zukünftig wird die matrix jährlich einen ISAE 3402 (Typ2) Report erstellen lassen, der dann jeweils einen Prüfungszeitraum eines ganzen Jahres abdeckt. In diesem Kontext finden auch Reviews der Kontrollen statt, so dass der Bericht bei Bedarf um weitere Kontrollpunkte ergänzt werden kann.
Hier erfahren Sie mehr zum Thema IT-Outsourcing für regulierte Unternehmen >>>