Securance logo
Beautiful landscape with old compass on traveler's hand. Traveling concept.
Prüfung & Implementierung I ISAE 3402

ISAE 3402 – Internationale Prüfstandards für Kontrollen bei Dienstleistern

Wir prüfen Ihre internen Kontrollsysteme (IKS) nach ISAE 3402.
Unabhängig, effizient und mit Fokus auf die Anforderungen Ihrer Kunden und Prüfer.

Was ist ISAE 3402?

ISAE 3402 (International Standard on Assurance Engagements) wurde von der International Auditing and Assurance Standards Board (IAASB) entwickelt, um Dienstleistungsorganisationen ein strukturiertes System zur Bewertung und Dokumentation von internen Kontrollen zu bieten. Der Standard ermöglicht unabhängige Prüfungen durch Wirtschaftsprüfer, die mit einem offiziellen Testat die Wirksamkeit dieser Kontrollen bestätigen.

ISAE3402

Schritt für Schritt zu ISAE 3402

Möchten Sie mehr über die ISAE 3402-Compliance erfahren und wie Ihr Unternehmen von diesen Standards profitieren kann?

Laden Sie sich jetzt unseren kostenlosen Leitfaden mit der Schritt-für-Schritt-Anleitung für ISAE 3402 herunter und erhalten Sie wertvolle Einblicke und praxisnahe Tipps für die Implementierung und Prüfung Ihrer Sicherheits- und Compliance-Maßnahmen.

Erfahren Sie, was ein internes Kontrollsystem (IKS) ist und wie es Sie bei der Erfüllung Ihrer Compliance-Anforderungen unterstützen kann.

Was sind die Inhalte von ISAE 3402?

Die zentralen Elemente von ISAE 3402

ISAE 3402 deckt fünf Schlüsselbereiche der Informationssicherheit ab, die sicherstellen, dass Cloud-Dienstleister höchste Sicherheitsstandards erfüllen:

  1. Kontrollumgebung: Klare Richtlinien und Verantwortlichkeiten im Unternehmen.
  2. Zugriffsmanagement: Strenge Maßnahmen für den Schutz sensibler Daten.
  3. Incident- und Change-Management: Prävention und Reaktion auf Vorfälle.
  4. Betriebsprozesse und IT-Kontrollen: Regelmäßige Updates und physische Schutzmaßnahmen.
  5. Compliance-Überwachung: Erfüllung vertraglicher und regulatorischer Vorgaben.
Pflicht oder strategischer Vorteil?

Die Anforderungen an Kontrollumgebungen steigen – und mit ihnen die Nachfrage nach geprüften Dienstleistern.

ISAE 3402 ist...

Pflicht bzw. faktische Voraussetzung für

  • Dienstleister mit Kunden aus dem Finanz- und Versicherungssektor
  • Unternehmen, die SOX-pflichtigen Organisationen zuarbeiten
  • Anbieter, die internationale Compliance-Anforderungen erfüllen müssen

sinnvoll für

  • BPO-, KPO- oder Shared-Service-Center mit wachsendem Kundenstamm
  • IT-Outsourcing, Rechenzentren, Zahlungsdienstleister
  • Firmen, die Vertrauen schaffen und wiederkehrende Kundenaudits vermeiden wollen

Welche Vorteile bringt die ISAE 3402-Zertifizierung?

Erhöhtes Vertrauen bei Kunden, Investoren und Prüfbehörden
Strukturiertes Risikomanagement und dokumentierte Prozesse
Standardisierte Prüfung reduziert Einzelaudits & Kundenanfragen
Internationaler Nachweis für effektive Kontrollsysteme
Compliance mit Vorgaben wie SOX, J-SOX, regulatorischen Anforderungen
Wettbewerbsvorteil bei internationalen Geschäftsbeziehungen

Von der GAP-Analyse bis zur externen Prüfung

231106 Prozess Zertifizierungsaudit RZ

Die Berichte

Typ I-Bericht

Der Prüfer untersucht, ob die Kontrollen zu einem bestimmten Zeitpunkt vorhanden und angemessen konzipiert und mit hinreichender Sicherheit geeignet sind, die zuvor definierten Kriterien einzuhalten. 

Typ II-Bericht

Ein ISAE 3402 Type II-Bericht bewertet die Eignung des Designs und die Existenz der Kontrollen sowie deren operative Wirksamkeit über einen definierten Zeitraum von mindestens sechs Monaten. Der externe Prüfer führt eine detaillierte Prüfung der internen Kontrollen der Organisation durch und überprüft, ob alle Kontrollen gemäß den vordefinierten Prozessen und Verfahren wirksam sind.  

Der Bericht als Marketinginstrument

ISAE 3402-Berichte sind ein wirkungsvolles Marketinginstrument, da sie Organisationen, insbesondere Dienstleister, als vertrauenswürdige Partner positionieren. Durch die detaillierte Dokumentation spezifischer Kontrollen gemäß den internationalen Prüfungsstandards vermittelt der Testatbericht ein klares Bild der internen Kontrollsysteme eines Unternehmens. Dies ermöglicht es dem Unternehmen, sich deutlich von Wettbewerbern abzugrenzen und gezielt auf die spezifischen Compliance-Anforderungen seiner Kunden einzugehen. Da der ISAE 3402-Standard international als wichtige Norm anerkannt ist, können Dienstleistungsunternehmen, die keinen solchen Bericht vorlegen, bedeutende Geschäftsmöglichkeiten verpassen und ihre Marktchancen schmälern.

Ihr Schlüssel zu höherem Vertrauen und Wettbewerbsvorteilen

  • Risiko-Excellenz: Erzielt einen positiven Effekt auf die Qualität des Risikomanagements und das interne Kontrollrahmenwerk.
  • Professionalität: Unterstützt die Organisation bei der Professionalisierung interner Prozesse und Verfahren.
  • Möglichkeiten: Schafft Möglichkeiten, neue Kunden zu gewinnen und bestehende Kunden zu binden, indem Sicherheit und Transparenz geboten werden.
  • Anerkannt: ISAE 3402 ist international anerkannt, da es eine gründliche Prüfung der Kontrollaktivitäten von Dienstleistern durch Wirtschaftsprüfer darstellt.
  • Vertrauen schaffen: Erfüllt das Kriterium der Bestätigung durch einen unabhängigen Dritten mit einem offiziellen Testat.
  • Spart Zeit: Spart Zeit, indem Kunden standardisierte Nachweise bereitgestellt werden und verringert die Notwendigkeit, individuelle Kundenaudits durchzuführen.
I Stock 1027911820 1

Warum mit uns?

Durch zahlreiche erfolgreich begleitete IT-Zertifizierungen wie BSI C5, SOC 2, ISAE 3402 und PS 860 ist Securance bestens aufgestellt, um Sie bei der Umsetzung der ISAE-3402-Zertifizierung zu unterstützen. Vom ersten Gedanken bis zur abgeschlossenen Zertifizierung begleiten wir Sie mit Know-how und Verständnis für Ihre Organisation.

Wir mappen dabei sowohl bestehende Controls auf die ISAE-3402-Anforderungen als auch die Zertifizierungsergebnisse auf weitere relevante Rahmenwerke.

Unsere Prüfungsteams liefern mehr als Ergebnisse: Sie bringen praxisorientierte Empfehlungen zur Optimierung Ihrer IT-Compliance mit.

Vertrauen von über 800 professionellen Unternehmen und KMUs

DRV
Simplinic
Plusserver
Docmedico
Biobeat
Adesso

FAQ

Häufig gestellte Fragen und unsere Antworten darauf

ISAE 3402 ist ein international anerkannter Prüfstandard der IAASB, der speziell für Dienstleistungsunternehmen entwickelt wurde. Er definiert, wie interne Kontrollsysteme dieser Organisationen beschrieben und bewertet werden, um Kunden einen verlässlichen und vergleichbaren Einblick in die Kontrollstrukturen eines Dienstleisters zu geben.

ISAE 3402 ist besonders relevant für Dienstleister mit Kunden aus dem Finanz- und Versicherungssektor, für Unternehmen mit SOX- oder J-SOX-relevanten Leistungen sowie für Anbieter, die internationale Compliance-Anforderungen erfüllen müssen.

Geprüft werden unter anderem die Kontrollumgebung, Zugriffs- und Berechtigungsmanagement, Incident- und Change-Management, IT- und Betriebsprozesse sowie die Überwachung regulatorischer und vertraglicher Anforderungen.

Ein Typ I-Bericht bewertet, ob Kontrollen zu einem bestimmten Zeitpunkt vorhanden und angemessen konzipiert sind. Ein Typ II-Bericht prüft zusätzlich die operative Wirksamkeit dieser Kontrollen über einen Zeitraum von mindestens sechs Monaten.

Für einen Typ-II-Bericht ist ein Prüfzeitraum von mindestens sechs Monaten erforderlich. Die Gesamtdauer bis zum fertigen Prüfbericht hängt vom Reifegrad der Kontrollen, der Dokumentation und der Nachweisführung ab.

ISAE 3402 ermöglicht eine strukturierte und prüferisch bestätigte Darstellung relevanter Kontrollen. Dienstleister können ihren Kunden damit belastbare Nachweise für SOX- und vergleichbare regulatorische Anforderungen bereitstellen.

ISAE 3402 ist keine Zertifizierung mit Siegel, sondern ein Prüfstandard. Das Ergebnis ist ein Prüfbericht (Testat), der die geprüften Kontrollen transparent beschreibt und bewertet.

DORA schreibt ISAE 3402 nicht vor, aber Finanzunternehmen nutzen ihn als strukturierte Evidenz für die IKT-Lieferketten-Überwachung, die DORA von ihnen verlangt. Ein gut gescopeter Typ-II-Bericht beantwortet einen großen Teil der DORA-getriebenen Fragen Ihrer Kunden in einem Dokument. Diese Abbildung nehmen wir im Assurance Strategy Review explizit vor.

Meist deutet das auf ein Scope- oder Kontrolldesign-Thema hin, nicht auf ein Qualitätsproblem der Prüfung. Ein Bericht, der jährlich Rückfragen erzeugt, kostet Sie mehr als sein Honorar. Wir reviewen bestehende Berichte im Rahmen des Strategy Reviews und benennen die Reibungsquelle klar.

Ja, ebenso ISO 27001 und ISAE 3000, wo relevant. Ein integrierter Prozess, gemeinsame Evidenz, abgestimmte Berichtszeiträume. Für Organisationen, die sowohl Finanzinstitute als auch kommerzielle Enterprise-Käufer bedienen, ist das unser Standard-Setup.

Das hängt davon ab, worauf sich die Prüfer Ihrer Kunden verlassen müssen, und es bestimmt wesentlich, wie nützlich Ihr Bericht für sie ist. Genau solche Designentscheidungen klären wir im Scoping, statt sie während der Prüfung zu entdecken.

Media

Securance als Ihr ISAE 3402-Partner

Sie möchten mehr über ISAE3402 und die Implementierung eines internen Kontrollsystems erfahren oder haben Fragen zu unseren Dienstleistungen?
Wir helfen Ihnen gern!

Jetzt Securance kontaktieren und unverbindlich starten