IISAE 3000 sowie ISAE 3402 gehören zu den wohl wichtigsten Standards zur Prüfung von Dienstleistungsanbietern. Ein ISAE 3402-Bericht enthält Aussagen über die Wirksamkeit der an einen Provider ausgelagerten internen Kontrollen und deckt primär die Themen im Interesse des Abschlussprüfers des auslagernden Unternehmens ab. Der Einsatzbereich des ISAE 3000 ist breiter: Er kann auch für andere Prüfobjekte als für ausgelagerte Kontrollen verwendet werden, beispielweise für die Prüfung der Einhaltung von FINMA-Rundschreiben oder die Prüfung von Daten-Migrationen bei der Einführung neuer Systeme oder Systemversionen.
Klar? Eigentlich ist gar nichts klar: Fast sechs Jahre – mit ein paar berufsbedingten Pausen – haben Raffael Schweitzer (EY) und ich an einem Prüfungshinweis der EXPERTsuisse zu diesem Thema gearbeitet (Anmerkung: Ein Prüfungshinweis PH ist die unverbindlichere Form eines Prüfungsstandards PS). Immer wenn wir wieder das Gefühl hatten, jetzt wären wir mit unserer Arbeit fertig, haben wir unseren «finalen» Entwurf den anderen Mitgliedern der KWP-Subkommission IT (früherer Name: «Fachstab Informatik», also die IT-Prüfungsspezialisten der EXPERTsuisse) zum Review gegeben. Und dann hiess es wieder: zurück zu Feld 1.
Obwohl im ersten Moment oft frustriert über die vielen Anmerkungen und kritischen Fragen, macht das Ganze eigentlich unglaublich viel Spass: Sukzessive wurde aus einem eher salopp geschriebenen Beitrag ein echter Prüfungshinweis, der jetzt wirklich als finaler Entwurf in die Kommission für Wirtschaftsprüfung (KWP) zum hoffentlich allerletzten Review eingereicht wurde – es ging also nicht wie erwähnt jeweils zurück zum Start, sondern in evolutionären Schlaufen aufwärts.
Was macht das Ganze so kompliziert? Das beginnt schon bei den Namen der beiden Standards: ISAE 3402 heisst «Assurance Reports on Controls at a Service Organization», was relativ offen ist. Der ISAE 3000 heisst «Assurance Engagements Other than Audits or Reviews of Historical Financial Information». Daraus kann man (korrekterweise) indirekt schliessen, dass der ISAE 3402 eingesetzt wird, wenn es sich um einen Bericht über an einen Provider ausgelagerte Schlüsselkontrollen von finanzrelevanten Anwendungen und Systemen handelt. Und umgekehrt, dass man für alle anderen Fragestellungen den 3000er verwendet.
Die beiden Standards hängen eigentlich voneinander ab, wie auch die Abbildung aufzeigt: ISAE 3000 ist der umfassende Standard, ISAE 3402 der Spezialfall für den Abschlussprüfer des auslagernden Unternehmens, der nach ISA 402 (bei uns ist das der PS 402) die Zahlen des vergangenen Geschäftsjahres prüft. Und der Abschlussprüfer sollte ja neben den reinen Zahlen auch noch das (finanzrelevante) IKS des Unternehmens prüfen, wozu eigentlich neben den manuellen Geschäftsprozesskontrollen auch die automatisierten Anwendungskontrollen und die generellen IT-Kontrollen gehören. Und wenn jetzt bestimmte Anwendungen und Systeme an einen Provider ausgelagert wurden, müsste der Abschlussprüfer die entsprechenden Kontrollen halt auch beim Provider prüfen. Man kann sich gut vorstellen, wie sich die Prüfer von Hunderten von Kunden beim Provider gegenseitig auf den Füssen herumstehen und dessen Mitarbeitende an der Arbeit hindern. Genau für diesen Zweck gibt es den Prüfungsstandard ISAE 3402, der aufzeigt, wer, was, wie prüfen kann und wie der entsprechende Bericht aussieht, der dann an alle Prüfer sämtlicher Kunden abgegeben werden kann.
Aber: weder ISAE 3402 noch ISAE 3000 geben inhaltlich vor, welche Kontrollen beim Provider implementiert sein müssten, wie das z.B. bei ISO 27001 oder einem SOC 2-Bericht der Fall ist. Im IT-Bereich gibt es (natürlich wie bei jedem Geschäftsprozess auch) eine Erwartungshaltung hinsichtlich der Schlüsselkontrollen – bei der ausgelagerten Informatik sind dies z.B. in Bezug auf Zugriffsschutz, Change Management oder IT-Betrieb. Im vom uns erstellten PH wird es dann eine mit allen grossen Prüfungsgesellschaften harmonisierte Aufzählung der typischen generellen IT-Kontrollen geben.
Jetzt wird es noch kurz kompliziert: Gibt es sonst noch Unterschiede zwischen einem ISAE 3000 und einem ISAE 3402-Bericht? Hier sind vor allem zwei zu nennen, welche noch einer weiteren Erklärung bedürfen: a) ISAE 3000 können sowohl mit aussagegestützter Berichterstattung als auch mit direkter Berichterstattung gemacht werden, während ISAE 3402-Berichte immer aussagegestützt sind. b) Ein ISAE 3402 muss immer mit hinreichender Sicherheit geprüft werden, während bei einem ISAE 3000 sowohl mit begrenzter als auch mit hinreichender Sicherheit geprüft werden kann. Alles klar?
Zu a: Bei einer aussagegestützten Berichterstattung (assertion-based reporting) geben die Verantwortlichen des geprüften Unternehmens eine Aussage über einen bestimmten Sachverhalt ab und tragen dafür die inhaltliche Verantwortung. Typischerweise wird der Sachverhalt anhand von klaren Kriterien (beispielsweise Kontrollzielen) und konkreten Kontrollen beschrieben. Der Prüfer verifiziert diese Aussagen und gibt darüber einen Bericht ab. Wie bereits erwähnt, sind ISAE 3402-Berichte zwingend aussagegestützt also kontrollbasiert. Bei einer direkten Berichterstattung (direct reporting) bestätigt ein Prüfer einen Sachverhalt direkt, ohne auf Aussagen des geprüften Unternehmens abzustellen. Dementsprechend muss er selber beschreiben, auf welchen Kriterien seine Beurteilung basiert, um einen Sachverhalt wie z.B. «Auch bei Ausfall der externen Stromversorgung ist ein kontinuierlicher Weiterbetrieb möglich» in einem ISAE 3000-Bericht bestätigen zu können.
Zu b: Hinreichende Sicherheit (reasonable assurance) erfordert die genaue Prüfung des Sachverhalts, also die Sammlung von ausreichenden und geeigneten Nachweisen, um ein positiv formuliertes Prüfurteil abgeben zu können, beispielsweise «Basierend auf unseren Prüfungshandlungen bestätigen wir, dass der Sachverhalt XY eingehalten wurde». Begrenzte Sicherheit (limited assurance) beschränkt sich auf Prüfungshandlungen zur Sammlung von Nachweisen, um einen sinnvollen Grad an Gewissheit für ein negativ formuliertes Prüfurteil zu erhalten, zum Beispiel «Basierend auf unseren Prüfungshandlungen sind wir auf keine Fakten gestossen, welche darauf hindeuten würden, dass der Sachverhalt XY nicht eingehalten wurde». Dies erfolgt typischerweise mittels prüferischer Durchsicht und bedeutet, dass ein Prüfer des auslagernden Unternehmens sich nur beschränkt auf eine solche Attestierung abstützen kann, da die der Bestätigung zugrundeliegenden Prüfungshandlungen weniger umfassend sind und keine Aussage über die Wirksamkeit von Kontrollen zulassen bzw. einen Sachverhalt nicht positiv bestätigen.
Die Abbildung links «Einordnung von ISAE 3000 und ISAE 3402» fasst die wesentlichen Kernaussagen dieses kurzen Artikels nochmals zusammen:
ISAE 3402-Prüfungen sind eine Teilmenge von ISAE 3000-Prüfungen.
ISAE 3402-Prüfungen müssen zwingend mit hinreichender Sicherheit geprüft werden.
Bei ISAE 3042 gibt es noch so etwas «Komisches», nämlich Typ I und Typ II. Typ 2-Prüfungen gehen immer über eine längere Zeitperiode, mindestens sind das sechs Monate; typischerweise umfasst die Periode zwölf Monate. Eine Typ I-Prüfung erfasst den Zustand zu. einem bestimmten Zeitpunkt, also im Prinzip an einem Stichtag. Für den Abschlussprüfer des auslagernden Unternehmens, der sich ja auf den ISAE-Bericht des Providers verlassen möchte, ist eigentlich nur ein Typ II-Bericht sinnvoll. Typ I-Berichte werden in der Regel erstellt, wenn ein Provider seine (IT-) Kontrollen das erste Mal bestätigen lässt – so hat der Provider frühzeitig einen ersten Bericht für seine Kunden und muss nicht so lange darauf warten.
Ist jetzt alles klar? Nun – es gäbe noch viel über die beiden Standards zu berichten. Wir hätten sonst wohl nicht so lange an unserem Prüfungshinweis arbeiten müssen. Der umfasst auch im aktuellen Layout rund 45 Seiten; es gibt also neben den hier vorgestellten Informationen doch noch ein paar andere Dinge, die auch wichtig wären. Wir hoffen doch, dass die letzte Phase der Vernehmlassung rasch über die Bühne geht und ihr den vollständigen Prüfungshinweis bald bei EXPERTsuisse herunterladen und studieren könnt.
Einordnung von ISAE 3000 und ISAE 3402 (Quelle: ISACA)
Der Autor
Peter R. Bitterli, dipl. math. ETH; CISA, CISM, CGEIT, CRISC, ist Gründungsmitglied des
ISACA Switzerland Chapter und 25 Jahre in dessen Vorstand, fast 20 Jahre Mitglied der Kommission für Informatik der EXPERTsuisse, Herausgeber und (Co)Autor zahlreicher Artikel und Fachbücher, Inhaber/Partner BPREX Group AG
