0
ISAE 3402 Analyse

Sind Sie bereit für ein Audit?

ISAE 3402 Analyse: Ist dein internes Kontrollsystem konform?

Service Provider, die rechnungslegungsrelevante Geschäftsprozesse oder IT Services zur Verfügung stellen, bestätigen mit einem ISAE 3402 Bericht (vormals SAS 70) gegenüber ihren Auftraggebern, dass sie hinsichtlich der an sie ausgelagerten Prozesse ein funktionierendes internes Kontrollsystem besitzen.

  • Ziele der Analyse

  • Kostengünstige Messung, ob ein ISAE 3402 Bericht auf Basis Ihres IKS sinnvoll und realistisch ist.

  • Identifikation von Lücken im IKS und Darstellung in einem detaillierten Bericht

  • Erstellen einer Planungsgrundlage durch konkreten und pragmatischen Maßnahmenkatalog

SSAE 18 ist die US-amerikanische Ausprägung dieses Prüfungsstandards und inhaltlich sehr ähnlich zu ISAE 3402, weshalb auf Basis derselben Vorbereitungen auch Berichte nach SSAE 18 erstellt werden können.

Mithilfe dieser sogenannten Third Party-Reports weisen Service Provider gegenüber Bestandskunden, Neukunden und/oder Aufsichtsbehörden nach, die notwendigen Qualitäts- und Sicherheitsmerkmale zu besitzen und diese ständig zu kontrollieren und zu verbessern.

Wozu dient eine Analyse nach ISAE 3402?

Werden Prozesse und/oder IT Services, die als rechnungsrelevante Komponenten auf die Rechnungslegung und Finanzberichterstattung Einfluss haben, ausgelagert, so muss die Kontrolle über die ausgelagerten Komponenten durch den Auftraggeber nachgewiesen werden. Typischerweise weist der IT Provider, an den diese Service und Prozesse ausgelagert werden, seine Überwachungstätigkeiten über einen ISAE 3402 Bericht nach und unterstützt somit seine Kunden bei deren Nachweispflicht. Auch innerhalb eines Konzernes, wenn der Betrieb solcher rechnungslegungsrelevanter Prozesse in eine eigenständige Unternehmenseinheit ausgelagert ist, wird oft ein ISAE 3402 Bericht als Nachweis zur ordnungsgemäßen Überwachung angefertigt.

Was prüft die ISAE 3402 Analyse?

  • Umfang, Vollständigkeit und Reifegrad der implementierten Kontrollen des IKS hinsichtlich des definierten Scopes
  • Angemessenheit der Dokumentationen von Abläufen und Geschäftsvorfällen
  • Wahrnehmung der Verantwortung für das IKS durch das Management

Was erhältst du?

  • Transparenter Bericht mit allen Feststellungen und Schlussfolgerungen
  • Konkreter und pragmatischer Maßnahmenkatalog für die notwendigen Verbesserungen
  • Priorisierung der Maßnahmen in kurz-, mittel- und langfristige Verbesserungen
  • Präsentation der Ergebnisse bei deinem Unternehmen vor Ort
  • Optional: Coaching (ggf. auch des Dienstleisters) zur Umsetzung der notwendigen Maßnahmen

Kostenlose Erstberatung?

Vereinbare gerne mit uns einen Termin für ein unverbindliches, rund 30-minütiges Beratungsgespräch, unter +49 89 – 44 44 31 88 0 oder über unseren Anfrageservice:

Wie ist die Vorgehensweise?

Das Audit und die Reifegradanalyse verlaufen in sechs aufeinanderfolgenden Phasen und beansprucht abhängig von Scope/Betrachtungsumfang 6 bis 9 Arbeitstage.

  • 1. Phase: Planung der Analyse

    Im ersten Schritt werden im Gespräch mit dir die zu auditierenden Bereiche und Prozesse festgelegt. Dies erfolgt unter Berücksichtigung des Umfangs bzw. Anwendungsbereichs (Scope) und der Ziele der Analyse. Gegenstand der Vorbesprechung ist zudem eine Abstimmung über die Kriterien. Der Umfang beschreibt Ausmaß und Grenzen der Überprüfung, wie etwa physische Standorte und Organisationseinheiten, zu überprüfende Tätigkeiten und Prozesse im Rahmen des Managementsystems und den von der Überprüfung abgedeckten Zeitraum. Die Kriterien bilden die Referenz, gegen welche die Konformität bzw. der Reifegrad festgestellt werden soll. Die Vorbesprechung erfolgt bei deinem Unternehmen vor Ort und nimmt etwa einen halben Tag in Anspruch. Im Anschluss daran wird eine Liste der für die Dokumentenprüfung erforderlichen Dokumente und Aufzeichnungen erstellt.

  • 2. Phase: Prüfung der Dokumentation

    Die zuvor festgelegten Dokumente wie zum Beispiel Leitlinien (Policy), Prozessbeschreibungen, Maßnahmenpläne oder Aufzeichnungen über Ereignisse und Störungen werden ausgiebig gesichtet und analysiert. Bereits an dieser Stelle werden durch das mITSM die späteren Interviewpartner identifiziert. Diese Leistung erfolgt „off-site“ und nimmt je nach Umfang (Scope) in der Regel einen halben bis einen Tag in Anspruch. Die Ergebnisse der Dokumentenprüfung fließen in die nächste Phase ein, da sich hieraus in der Regel Rückschlüsse über eine sinnvolle Schwerpunktsetzung bei den Vor-Ort-Aktivitäten ergeben.

  • 3. Phase: Erstellung des Analyseplans

    Nach Abschluss der Dokumentenprüfung wird ein strukturierter Plan erstellt, der alle relevanten Rahmendaten der Überprüfung zusammenfasst und eine detaillierte Liste der Kriterien und den Zeitplan für die weiteren Schritte enthält. In gemeinsamer Abstimmung mit dir werden die Interviewpartner für die Vor-Ort Aktivitäten bestimmt und der Zeitrahmen dafür festgelegt. Das Team des mITSM wird alle relevanten Arbeitsdokumente wie Checklisten und Fragelisten zusammenstellen. Die Erstellung des Plans und der Arbeitsdokumente nimmt etwa einen halben Tag in Anspruch und erfolgt „off-site“. Absprachen können telefonisch oder per E-Mail erfolgen.

  • 4. Phase: Vor-Ort-Aktivitäten

    Die Vor-Ort-Aktivitäten werden von einem erfahrenen, entsprechend ausgebildeten und zertifizierten Prüfer bzw. Lead-Auditor koordiniert und durchgeführt. Wesentliches Ziel ist das Erfassen und Verifizieren von Informationen. Hierzu werden Interviews geführt, weitere Dokumente und Aufzeichnungen gesichtet und Beobachtungen gemacht. Dies alles erfolgt stichprobenartig mit dem Ziel, ein umfassendes und der Realität entsprechendes Bild der Situation zu zeichnen. Die Vor-Ort-Aktivitäten können einen oder mehrere Tage – in Abhängigkeit vom Umfang der Überprüfung – beanspruchen.

  • 5. Phase: Auswertung der Ergebnisse und Berichterstellung

    Nachdem alle ausgewählten Bestandteile des Managementsystems und die Gespräche mit den Interviewpartnern durchgeführt wurden, erfolgt die Auswertung der Ergebnisse, indem aus dem Feststellungen Schlussfolgerungen gezogen werden.

  • 6. Phase: Präsentation und Festlegung von Folgemaßnahmen (optional)

    Auf Basis des erstellten und dir übergebenen umfassenden Berichtes werden die wichtigsten Informationen für die Präsentation bei deinem Unternehmen vor Ort zusammengefasst. Es werden der Erfüllungsgrad der überprüften Bereiche und Prozesse sowie die von mITSM vorgeschlagenen Verbesserungsmaßnahmen dargestellt und erläutert

Was sind ISAE 3402, SSAE 18 und PS 951?

ISAE 3402 ist ein international anerkannter Prüfungsstandard für interne Kontrollsysteme (IKS). Die Version für an der amerikanischen Börse notierte Unternehmen unter der Aufsicht der SEC wird mit SSAE 18 betitelt (bis Mai 2017 noch „SSAE 16“). Die deutsche „Version“ des internationalen Standards trägt die Nummer PS 951.

Diese Standards haben den alten Prüfungsstandard SAS70 abgelöst. Unternehmen, die an US-amerikanischen Börsen gelistet sind, sind aufgrund der Sarbanes-Oxley-Gesetzgebung (SOX) dazu verpflichtet, von ihren Dienstleistern entsprechende Reports einzufordern. Auch als Qualitätsnachweis werden solche Berichte immer häufiger durch die auslagernden Unternehmen angefordert.

Die Berichte werden üblicherweise von Wirtschaftsprüfungsgesellschaften erstellt. Für Service Provider ergeben sich durch eine angemessene Vorbereitung enorme Einsparpotenziale. Wir unterstützen dich, bevor du deine Auditoren zum Audit bestellst.

+49 89 - 44 44 31 88 0