ISAE 3402

ISAE 3402, auch bekannt als "International Standard on Assurance Engagements 3402", ist ein internationaler Prüfungsstandard, der speziell für die Prüfung von internen Kontrollen bei Dienstleistungsunternehmen entwickelt wurde. Er dient dazu, die Angemessenheit und Wirksamkeit der Kontrollen bei Dienstleistungsanbietern zu bewerten, die wesentliche Dienstleistungen für andere Unternehmen erbringen​​.

Der ISAE 3402-Bericht als Zertifizierung ist besonders wichtig für Unternehmen, die Dienstleistungen wie IT-Management, Buchhaltung oder andere betriebliche Prozesse auslagern. Der Bericht hilft dabei, sicherzustellen, dass diese Dienstleister über robuste und angemessene Kontrollen verfügen, um die ausgelagerten Aufgaben sicher und effizient zu verwalten​. Die Zertifizierung in Form eines ISAE 3402 Berichts ist außerdem für Finanzdienstleistungen, im Gesundheitswesen oder auch für Outsourcing-Unternehmen mit administrativen Prozessen oder IT-Outsourcing eine Voraussetzung und angebracht.^[1]

Geschichte[Bearbeiten]

Die Einführung des ISAE 3402 war ein wichtiger Schritt zur Verbesserung der Transparenz und des Vertrauens in die Dienstleistungen, die von externen Dienstleistern erbracht werden. Vor der Einführung von ISAE 3402 wurden solche Prüfungen in den USA hauptsächlich durch den Standard SAS 70 (Statement on Auditing Standards No. 70) geregelt. ISAE 3402 wurde entwickelt, um eine international gültige Alternative zu bieten und löste SAS 70 weltweit ab, während in den USA der Standard SSAE 16 und später SSAE 18 verwendet wird​.

Die Entwicklung von ISAE 3402 begann in den frühen 2000er Jahren, um den gestiegenen Anforderungen an die Überprüfung von Dienstleistern gerecht zu werden. Der endgültige Standard wurde 2009 veröffentlicht und trat 2011 in Kraft. Seitdem hat ISAE 3402 eine zentrale Rolle bei der Sicherstellung der Compliance und der internen Kontrollen von Dienstleistungsunternehmen weltweit übernommen sowie auch in kommunalen Gemeinden​​.^[2]

Typen von ISAE 3402 Berichten[Bearbeiten]

ISAE 3402 definiert zwei Arten von Berichten, die zur Bewertung der internen Kontrollen von Dienstleistungsunternehmen verwendet werden können: den Typ I und den Typ II Bericht. Diese beiden Berichtstypen dienen unterschiedlichen Zwecken und bieten unterschiedliche Einblicke in die Wirksamkeit der Kontrollen eines Dienstleisters​.

Typ I Bericht: Ein Typ I Bericht dokumentiert die Angemessenheit und Implementierung der Kontrollen zu einem bestimmten Zeitpunkt. Dieser Bericht bietet eine Momentaufnahme der Kontrollen des Dienstleisters und bewertet, ob diese Kontrollen ordnungsgemäß entworfen und implementiert wurden. Der Typ I Bericht ist besonders nützlich, um einen ersten Überblick über die internen Kontrollmechanismen eines Dienstleisters zu erhalten und sicherzustellen, dass diese Kontrollen den Anforderungen entsprechen​.

Typ II Bericht: Ein Typ II Bericht geht einen Schritt weiter als der Typ I Bericht, indem er nicht nur die Angemessenheit und Implementierung der Kontrollen bewertet, sondern auch deren Wirksamkeit über einen bestimmten Zeitraum (in der Regel zwölf Monate). Ein Typ II Bericht bietet eine umfassendere Analyse und zeigt, ob die Kontrollen des Dienstleisters über die Zeit hinweg effektiv waren. Dies ist besonders wichtig für Unternehmen, die eine kontinuierliche und zuverlässige Leistung ihrer Dienstleister sicherstellen möchten​.

Die Wahl zwischen einem Typ I und einem Typ II Bericht hängt von den spezifischen Anforderungen und Zielen des Auftraggebers ab. Während ein Typ I Bericht schneller erstellt werden kann und eine grundlegende Bewertung bietet, liefert ein Typ II Bericht tiefere Einblicke und ein höheres Maß an Sicherheit über die langfristige Wirksamkeit der Kontrollen.^[3]

Alternativen zum ISAE 3402[Bearbeiten]

Neben der ISAE 3402-Zertifizierung existieren mehrere Standards und Rahmenwerke, die ähnliche oder ergänzende Zwecke erfüllen.

Der ISAE 3000 deckt Prüfungen außerhalb der finanziellen Berichterstattung ab, wie Umwelt- oder Nachhaltigkeitsprüfungen.

Der IDW PS 951 ist ein deutscher Standard, der speziell die Prüfung von ausgelagerten Geschäftsprozessen fokussiert, insbesondere im Hinblick auf deren Einbindung in die Rechnungslegung.

Der IDW PS 331 dient zur Beurteilung der Angemessenheit und Wirksamkeit von IT-Systemen und deren Kontrollmechanismen.

Der US-amerikanische SSAE 18 Standard (Statement on Standards for Attestation Engagements) ist eine direkte Alternative zur ISAE 3402 und wird oft bei internationalen Dienstleistern verwendet.

ISO/IEC 27001 konzentriert sich hingegen auf die Informationssicherheit und bietet ein umfassendes Rahmenwerk für den Aufbau und die Zertifizierung eines Informationssicherheits-Managementsystems (ISMS).

Jede Alternative hat spezifische Anwendungsbereiche, die je nach Anforderungen und Branchenprioritäten gewählt werden. Weltweit aktive Unternehmen greifen auf mehrere Zertifikate zu.^[4]

Einsatz im Bereich der Kommunalpolitik[Bearbeiten]

Der ISAE 3402-Standard hat auch im Bereich der Kommunalpolitik eine bedeutende Anwendung gefunden. Gemeinden und kommunale Verwaltungen stehen zunehmend unter Druck, ihre Dienstleistungen effizient zu gestalten und gleichzeitig gesetzliche und regulatorische Anforderungen zu erfüllen. Eine Möglichkeit, diesen Herausforderungen zu begegnen, ist die Auslagerung bestimmter Dienstleistungen an externe Dienstleister, die durch ISAE 3402-Berichte überprüft werden können.

Transparenz und Vertrauen: Gemeinden müssen sicherstellen, dass ihre Dienstleister robuste Kontrollen implementiert haben, um die Integrität und Sicherheit der ausgelagerten Dienstleistungen zu gewährleisten. Ein ISAE 3402-Bericht bietet eine unabhängige Überprüfung und schafft Vertrauen bei den Bürgern und anderen Interessengruppen, dass die Gemeinde verantwortungsvoll mit den ausgelagerten Aufgaben umgeht​​.

Compliance und Risikomanagement: Durch die Verwendung von ISAE 3402-Berichten können Gemeinden nachweisen, dass ihre Dienstleister die gesetzlichen Anforderungen, wie zum Beispiel die DSGVO, einhalten. Dies ist besonders wichtig in Bereichen wie dem Datenschutz und der IT-Sicherheit. Der Bericht hilft Gemeinden, Risiken im Zusammenhang mit der Auslagerung zu identifizieren und zu mindern, was zur Einhaltung gesetzlicher Vorgaben beiträgt und potenzielle rechtliche Probleme verhindert​​.^[5]

Kosteneffizienz und Effektivität: Die Auslagerung von Dienstleistungen an zertifizierte Dienstleister kann für Gemeinden eine kosteneffiziente Lösung darstellen. ISAE 3402-Berichte stellen sicher, dass die Dienstleister effizient arbeiten und qualitativ hochwertige Dienstleistungen erbringen. Dies ermöglicht es den Gemeinden, ihre Ressourcen besser zu nutzen und sich auf ihre Kernaufgaben zu konzentrieren, während sie gleichzeitig die Qualität der Dienstleistungen sicherstellen​​.

Beispiele aus der Praxis: Ein praktisches Beispiel ist die Auslagerung von IT-Dienstleistungen. Viele Gemeinden haben nicht die Ressourcen, um ihre eigene IT-Infrastruktur sicher und effizient zu verwalten. Durch die Auslagerung dieser Dienstleistungen an zertifizierte Anbieter können sie sicherstellen, dass die IT-Sicherheit und der Datenschutz auf einem hohen Niveau gehalten werden. Ein ISAE 3402-Bericht bietet eine objektive Bewertung der Kontrollen des Dienstleisters und hilft der Gemeinde, die Risiken besser zu verstehen und zu managen​​. In manchen Fällen gehen Kommunen auch zusammen und lassen Service von einer Anlaufstelle erbringen.^[6]

Zusammenfassend lässt sich sagen, dass der ISAE 3402-Standard eine wichtige Rolle bei der Sicherstellung der Qualität und Sicherheit von Dienstleistungen spielt, die von externen Dienstleistern für Gemeinden erbracht werden. Er trägt dazu bei, die Effizienz zu steigern, Risiken zu managen und das Vertrauen in die ausgelagerten Dienstleistungen zu stärken.

Literatur, Links[Bearbeiten]

• Nina Lissen, Christian Brünger, Stephan Damhorst: IT-Services in der Cloud und ISAE 3402, 2014, ISBN-13: 9783662434734
• Gerardus Blokdyk: 'ISAE 3402 A Complete Guide - 2021 Edition 2021, ISBN-13: 978-1867418283

Fußnoten[Bearbeiten]