Termin vereinbaren

ISAE 3402 Prüfung: Sicherheit und Vertrauen bei ausgelagerten Dienstleistungen

Die ISAE 3402 Prüfung ist ein international anerkannter Standard für die Beurteilung von internen Kontrollen bei Dienstleistungsunternehmen. Besonders relevant ist sie für Unternehmen, die geschäftskritische Prozesse wie IT-Services, Buchhaltung oder Personalwesen an externe Anbieter auslagern. Ziel ist es, Transparenz und Vertrauen in die Leistung und Zuverlässigkeit des Dienstleisters zu schaffen.

Was ist ISAE 3402?

ISAE 3402 steht für „International Standard on Assurance Engagements 3402“. Der Standard wurde 2009 veröffentlicht und trat 2011 in Kraft. Er hat den früheren US-Standard SAS 70 abgelöst und dient seitdem weltweit als Grundlage für die Prüfung von Kontrollen bei Outsourcing-Dienstleistern. In den USA ist er durch SSAE 18 ergänzt worden.

Für wen ist ISAE 3402 relevant?

Der Standard richtet sich an Dienstleistungsunternehmen, die für ihre Kunden prozessorientierte Aufgaben übernehmen, etwa in folgenden Branchen:

  • IT-Outsourcing
  • Cloud Computing
  • Lohn- und Gehaltsabrechnung
  • Rechenzentren
  • Finanzdienstleistungen
  • Kommunale Dienste und Verwaltung

Auch Kunden, insbesondere aus regulierten Branchen (z. B. Banken, Versicherungen), verlangen zunehmend einen ISAE 3402-Bericht, um ihre eigene Compliance abzusichern.

Typen von ISAE 3402 Berichten

Typ I Bericht

Bewertet die Angemessenheit und Implementierung der Kontrollen zu einem bestimmten Stichtag. Er liefert eine Momentaufnahme und eignet sich besonders für neue Dienstleister oder für eine erste Einschätzung.

Typ II Bericht

Bewertet nicht nur die Angemessenheit, sondern auch die Wirksamkeit der Kontrollen über einen Zeitraum von typischerweise 6 bis 12 Monaten. In Ausnahmefällen kann der Zeitraum auch variieren. Er bietet höhere Sicherheit für Kunden und wird besonders im Rahmen langfristiger Outsourcing-Verträge gefordert.

Prüfungsinhalte

Ein ISAE 3402-Bericht prüft unter anderem:

  • IT- und Prozesskontrollen
  • Zugriffs- und Berechtigungskonzepte
  • Change-Management-Prozesse
  • Risikomanagement und Compliance-Maßnahmen
  • Maßnahmen zur Sicherstellung der Datenintegrität und Verfügbarkeit

Die Prüfung wird durch einen unabhängigen Wirtschaftsprüfer durchgeführt und dokumentiert. Das Ergebnis wird im ISAE 3402-Bericht zusammengefasst und kann Kunden als Nachweis übergeben werden.

Vorteile der ISAE 3402 Prüfung

  • Transparenz: Der Bericht zeigt, welche Kontrollen beim Dienstleister existieren und wie wirksam sie sind.
  • Vertrauen: Auftraggeber erhalten ein geprüftes Qualitätsversprechen.
  • Risikominimierung: Risiken aus ausgelagerten Prozessen werden identifiziert und kontrolliert.
  • Compliance: Hilft Dienstleistern und Kunden, regulatorische Anforderungen (z. B. DSGVO, MaRisk) zu erfüllen.

ISAE 3402 und kommunale Einrichtungen

Auch Gemeinden und öffentliche Träger greifen vermehrt auf Dienstleister zur Erbringung technischer oder administrativer Leistungen zurück. Hier dient ISAE 3402 als Nachweis, dass der Dienstleister gesetzliche Vorgaben einhält, Risiken beherrscht und bürgernahe Dienstleistungen sicher ausführt.

Alternativen und Ergänzungen zu ISAE 3402

  • ISAE 3000: Allgemeiner Standard für andere Assurance-Prüfungen (z. B. Nachhaltigkeit).
  • IDW PS 951: Deutscher Standard für ausgelagerte Prozesse in der Rechnungslegung.
  • ISO/IEC 27001: Zertifizierung für Informationssicherheits-Managementsysteme (ISMS).
  • SSAE 18: US-amerikanisches Pendant zum ISAE 3402.

Fazit

Die ISAE 3402 Prüfung ist für viele Dienstleister ein zentraler Baustein in der Vertrauensbildung gegenüber Kunden. Sie dokumentiert professionelles Risikomanagement, stabile Prozesse und gesetzeskonforme Leistungen. Auftraggeber wiederum erhalten ein hohes Maß an Sicherheit, wenn sie sich auf zertifizierte Dienstleister verlassen.

Unsere Wirtschaftsprüfer bei ADVANTA stehen Ihnen gerne zur Verfügung, um sich zu den Möglichkeiten einer ISAE 3402 Prüfung auszutauschen.

Justus Franke
Geschäftsführer & Wirtschaftsprüfer

Mobil: +49 151 42082305
E-Mail: jfranke@advanta.de

Die ADVANTA GmbH Wirtschaftsprüfungsgesellschaft ist als gesetzlicher Abschlussprüfer bei der Wirtschaftsprüferkammer eingetragen

Vorheriger Beitrag
Bestellung Jahresabschlussprüfer: Was gilt es zu beachten?
Diese Website verwendet Cookies, um Ihr Erlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, erklären Sie sich damit einverstanden.