ISAE 3402 Atteste nach Typ I und Typ II sowie Atteste zu ISAE 3000, SOC 1 und SOC 2

International Standard on Assurance Engagements (ISAE) 3402 - Assurance Reports on Controls at a Service Organization

Die Verantwortung für ausgelagerte Prozesse wirksam wahrnehmen

Dazu wird heute vor allem der ISAE-3402-Standard eingesetzt, der im Jahre 2011 den etablierten SAS 70 abgelöst hat. Entscheidend dabei ist, dass der ISAE 3402 für die Prüfung von Kontrollen über ausgelagerte finanzrelevante Prozesse eingesetzt wird – also die Prüfung von IT-Anwendungs-kontrollen von Finanzanwendungen und den sie unterstützenden generellen ITKontrollen (wie z.B. Änderungswesen, Zugriffschutz sowie IT-Betrieb).

In einem Service Auditor Report beschreibt die Dienstleistungsorganisation die von ihr angebotenen Dienstleistungen und die diesbezüglich implementierten Kontrollen; diese werden von bprex bestätigt.

Eine Spezialität von Berichten nach ISAE 3402 ist die Unterscheidung zwischen zwei Typen:

  • In Berichten vom Typ 1 wird bestätigt, dass zu einem bestimmten Zeitpunkt angemessene interne Kontrollen implementiert und dokumentiert sind (entspricht in etwa einer Bestätigung der Existenz des IKS);
  • In Berichten vom Typ 2 wird bestätigt, dass angemessene interne Kontrollen implementiert und dokumentiert sind, sowie dass diese Kontrollen in einem definierten Zeitraum (in der Regel 6–12 Monate) wirksam waren.

Prüfberichte nach ISAE 3402 helfen dem auslagernden Unternehmen und dessen Wirtschaftsprüfer:

  • das interne Kontrollsystem der Dienstleistungsorganisation zu den jeweiligen ausgelagerten finanzrelevanten Prozessen zu verstehen;
  • die Risiken wesentlicher falscher Darstellungen feststellen und beurteilen zu können;
  • zusätzliche Prüfungshandlungen zu planen und durchzuführen, um diesen Risiken zu begegnen.

Interessiert?
Nehmen Sie doch direkt mit uns Kontakt auf. Wir werden uns umgehend bei Ihnen melden.