Prüfung ausgelagerter
IT-Dienstleistungen

Attestierung nach ISAE 3402/SOC 1

Die Auslagerung von Geschäftsprozessen nimmt immer weiter zu und wird vielfältiger. Gegenwärtig können Dienstleistungsunternehmen praktisch alle Arten von IT-Services als sogenanntes „Outsourcing“ für Unternehmen anbieten. Oftmals werden auch zentrale Prozesse eines Unternehmens an verbundene Gesellschaften (z.B. Tochtergesellschaften) zur Verfügung gestellt. 

Weil Unternehmen weiterhin für die ausgelagerten Geschäftsprozesse verantwortlich  sind, wollen und müssen sie sich darauf verlassen können, dass ihre Outsourcing-Dienstleister verlässliche Prozesse und interne Kontrollen eingerichtet haben.

Unsere Herangehensweise 

Wir bieten Ihnen als Dienstleistungsunternehmen die Möglichkeit, die Konzeption  und Wirksamkeit Ihres „Dienstleistungsbezogenen Internen Kontrollsystems“ (DIKS)  durch einen externen unabhängigen Prüfer bestätigen zu lassen. Dies erfolgt auf Basis einer nachvollziehbaren und standardisierten Prüfmethodik – dem „International Standard on Assurance Engagements“ (ISAE 3402) oder dem „Service Organisation Control 1“ (SOC 1).

Mit einer Attestierung nach ISAE 3402 oder SOC 1 bieten IT-Dienstleister, Rechenzentren und Organisationseinheiten, die finanzrelevante Geschäftsprozesse oder IT-Services erbringen, nicht nur sich selbst, sondern auch dem auslagernden Unternehmen ein hohes Maß an Sicherheit. Ziel ist es, das Interne Kontrollsystem des Dienstleisters zu prüfen und den Abschlussprüfern des auslagernden Unternehmens einen Bericht zur Verfügung zu stellen.
Dem Dienstleister dient eine derartige Attestierung gleichzeitig als international  anerkannter Nachweis für die Ordnungsmäßigkeit der von ihm erbrachten Dienstleistungen und sichert einen klaren Wettbewerbsvorteil.  

Ihre Vorteile

  • Bestätigung durch einen externen unabhängigen Prüfer
  • Marketinginstrument und Wettbewerbsvorteil
  • Nachweis über die Angemessenheit und Wirksamkeit des IKS mit einem einzigen Bericht
  • Proaktive Bereitstellung von Berichten anstelle von Kundenaudits
  • Verbesserung des allgemeinen Kontrollbewusstseins
  • Testat nach (international) anerkannten Rahmenwerken
  • Nachweis für die Implementierung von Prozessen und Kontrollen
  • Qualitäts- und Sicherheitsnachweis gegenüber Kunden und deren Wirtschaftsprüfern

Vorteile für Ihre Kunden

  • Sicherstellung von Erwartungen Dritter
  • Sicherstellung von Berichtsanforderungen
  • Wertvolle Informationen – Unabhängige Beurteilung, ob die Kontrollen des Servicedienstes vorhanden, angemessen ausgelegt sind und effektiv funktionieren
  • Kosteneinsparungen
  • Einhaltung von branchenspezifischen, behördlichen und anderen relevanten Vorschriften

Umfang der Prüfung 

Der Umfang einer Attestierung nach ISAE 3402/SOC 1 umfasst in der Regel die Prüfung von Kontrollen über ausgelagerte finanzrelevante Prozesse – somit auch die Prüfung von IT-Anwendungskontrollen und IT General Controls (z.B. Sicherheitsmanagement, physische und logische Sicherheit, Änderungsmanagement, Vorfallsmanagement und Business Continuity Management). Die Kontrollziele und internen Kontrollen werden anhand einer risikobasierten Betrachtung definiert, die sich an führende Methoden, Standards und Frameworks wie COBIT, ITIL, ISO/IEC 20000:1, ISO/IEC 27001, etc. anlehnt. Abhängig vom Ausgestaltungsgrad des dienstleistungsbezogenen internen Kontrollsystems ist eine Attestierung nach ISAE 3402/SOC 1 in zwei unterschiedlichen Detaillierungsgraden möglich:

TYP 1 umfasst die Prüfung des dienstleistungsbezogenen internen Kontrollsystems sowie die Untersuchung der eingerichteten Kontrollen zu einem bestimmten Zeitpunkt und entspricht einer Bestätigung der Existenz des internen Kontrollsystems.

TYP 2 umfasst zusätzlich die Tests der eingerichteten Kontrollen und deren Wirksamkeit für einen festgelegten Zeitraum. Mit einer Attestierung wird die Wirksamkeit der internen Kontrollsysteme des Dienstleisters im jeweiligen Geschäftsjahr der auslagernden Organisation bestätigt. 

Mit einer Attestierung nach ISAE 3402 oder SOC 1 können IT-Dienstleister gegenüber Kunden, Neukunden, Wirtschaftsprüfern und Aufsichtsbehörden nachweisen, dass sie erforderliche Qualitäts- und Sicherheitsmerkmale implementiert haben und diese stetig kontrollieren und verbessern.

Zusammenfassung der Vorgehensweise

Zum Vergrößern klicken