IT-Providerprüfungen nach ISAE 3000 und ISAE 3402

IT-Providerprüfungen nach ISAE 3000 und ISAE 3402

6. Juni 2020 - Immer mehr IT-Provider verfügen über ein Attest nach ISAE 3000 oder ISAE 3402 – was die wesentlichen Unterschiede zwischen den beiden Standards sind und wann welcher der beiden Standards eingesetzt werden kann, beleuchtet unser kurze Beitrag.
Von Peter R. Bitterli
Artikel erschienen in IT Magazine 2020/06
IISAE 3000 sowie ISAE 3402 gehören zu den wohl wichtigsten Standards zur Prüfung von Dienstleistungsanbietern. Ein ISAE 3402-Bericht enthält Aussagen über die Wirksamkeit der an einen Provider ausgelagerten internen Kontrollen und deckt primär die Themen im Interesse des Abschlussprüfers des auslagernden Unternehmens ab. Der Einsatzbereich des ISAE 3000 ist breiter: Er kann auch für andere Prüfobjekte als für ausgelagerte Kontrollen verwendet werden, beispielweise für die Prüfung der Einhaltung von FINMA-Rundschreiben oder die Prüfung von Daten-Migrationen bei der Einführung neuer Systeme oder Systemversionen.

Klar? Eigentlich ist gar nichts klar: Fast sechs Jahre – mit ein paar berufsbedingten Pausen – haben Raffael Schweitzer (EY) und ich an einem Prüfungshinweis der EXPERTsuisse zu diesem Thema gearbeitet (Anmerkung: Ein Prüfungshinweis PH ist die unverbindlichere Form eines Prüfungsstandards PS). Immer wenn wir wieder das Gefühl hatten, jetzt wären wir mit unserer Arbeit fertig, haben wir unseren «finalen» Entwurf den anderen Mitgliedern der KWP-Subkommission IT (früherer Name: «Fachstab Informatik», also die IT-Prüfungsspezialisten der EXPERTsuisse) zum Review gegeben. Und dann hiess es wieder: zurück zu Feld 1.

Obwohl im ersten Moment oft frustriert über die vielen Anmerkungen und kritischen Fragen, macht das Ganze eigentlich unglaublich viel Spass: Sukzessive wurde aus einem eher salopp geschriebenen Beitrag ein echter Prüfungshinweis, der jetzt wirklich als finaler Entwurf in die Kommission für Wirtschaftsprüfung (KWP) zum hoffentlich allerletzten Review eingereicht wurde – es ging also nicht wie erwähnt jeweils zurück zum Start, sondern in evolutionären Schlaufen aufwärts.
Was macht das Ganze so kompliziert? Das beginnt schon bei den Namen der beiden Standards: ISAE 3402 heisst «Assurance Reports on Controls at a Service Organization», was relativ offen ist. Der ISAE 3000 heisst «Assurance Engagements Other than Audits or Reviews of Historical Financial Information». Daraus kann man (korrekterweise) indirekt schliessen, dass der ISAE 3402 eingesetzt wird, wenn es sich um einen Bericht über an einen Provider ausgelagerte Schlüsselkontrollen von finanzrelevanten Anwendungen und Systemen handelt. Und umgekehrt, dass man für alle anderen Fragestellungen den 3000er verwendet.

Die beiden Standards hängen eigentlich voneinander ab, wie auch die Abbildung aufzeigt: ISAE 3000 ist der umfassende Standard, ISAE 3402 der Spezialfall für den Abschlussprüfer des auslagernden Unternehmens, der nach ISA 402 (bei uns ist das der PS 402) die Zahlen des vergangenen Geschäftsjahres prüft. Und der Abschlussprüfer sollte ja neben den reinen Zahlen auch noch das (finanzrelevante) IKS des Unternehmens prüfen, wozu eigentlich neben den manuellen Geschäftsprozesskontrollen auch die automatisierten Anwendungskontrollen und die generellen IT-Kontrollen gehören. Und wenn jetzt bestimmte Anwendungen und Systeme an einen Provider ausgelagert wurden, müsste der Abschlussprüfer die entsprechenden Kontrollen halt auch beim Provider prüfen. Man kann sich gut vorstellen, wie sich die Prüfer von Hunderten von Kunden beim Provider gegenseitig auf den Füssen herumstehen und dessen Mitarbeitende an der Arbeit hindern. Genau für diesen Zweck gibt es den Prüfungsstandard ISAE 3402, der aufzeigt, wer, was, wie prüfen kann und wie der entsprechende Bericht aussieht, der dann an alle Prüfer sämtlicher Kunden abgegeben werden kann.

Aber: weder ISAE 3402 noch ISAE 3000 geben inhaltlich vor, welche Kontrollen beim Provider implementiert sein müssten, wie das z.B. bei ISO 27001 oder einem SOC 2-Bericht der Fall ist. Im IT-Bereich gibt es (natürlich wie bei jedem Geschäftsprozess auch) eine Erwartungshaltung hinsichtlich der Schlüsselkontrollen – bei der ausgelagerten Informatik sind dies z.B. in Bezug auf Zugriffsschutz, Change Management oder IT-Betrieb. Im vom uns erstellten PH wird es dann eine mit allen grossen Prüfungsgesellschaften harmonisierte Aufzählung der typischen generellen IT-Kontrollen geben.
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER