Digitalisierung und Compliance

Outsourcing Standard ISAE 3402 (IDW PS 951)

Die ISAE-3402-Bescheinigung dient dem Serviceprovider als anerkannter Nachweis für die Ordnungsmäßigkeit der von ihm erbrachten Dienstleistungen und gilt als Gütekriterium und Qualitätsmerkmal zur Differenzierung gegenüber Wettbewerbern. Eine ISAE-3402-Auditierung setzt auf etablierte Managementsysteme und Kontrollen auf und sichert die Wirtschaftsprüferakzeptanz bei Jahresabschlussprüfungen der auslagernden Unternehmen.

Im Fokus unserer Leistungen stehen die Analyse, der Aufbau, die Zertifizierung sowie die Optimierung von internen Kontrollsystemen (IKS) bei Service-Providern oder Shared-Service-Centern. Wir unterstützen Sie beim Aufbau zertifizierungsreifer Kontrollframeworks oder bescheinigen für Sie deren Wirksamkeit mit einem einheitlichen und von allen Wirtschaftsprüfern anerkannten Report nach internationalen Prüfungsstandards.

Hierbei bieten wir Ihnen unsere modularen Unterstützungsleistungen als Rundumbetreuung an:

  • „Unsere langjährige Erfahrung im kundenindividuellen Aufbau von Compliance-Bescheinigungen garantiert, diese gezielt, termingerecht und mit wenig Aufwand erfolgreich einzuführen und umzusetzen.“

    − André Schneider −

    CISA, IT Manager

    Detail

Modul 1:
Outsourcing-Health-Check & GAP-Analyse

Im Rahmen einer kurzen Bestandsaufnahme und gemeinsamen Auswertung wird ein erster Status-Quo zum aktuellen Compliance-Reifegrad erstellt. Hierzu nehmen wir Einsicht in bestehende Prozessbeschreibungen, Richtlinien und Dokumentationen.

Durch Interviews werden die vorhandenen Dienstleistungsprozesse hinsichtlich der Einrichtung von internen Kontrollen untersucht und erste Verbesserungspotenziale identifiziert (GAP-Analyse).

Unser Anspruch ist es, Ihre Dienstleistungen weiter abzusichern und so die Wirksamkeit und Effizienz der internen Prozesse zu steigern. Hierbei unterstützen wir Sie mit langjährig erfahrenen ISAE-Mitarbeitern bei der aktiven Audit-Vorbereitung und sichern einen nachhaltigen Aufbau sowie die erfolgreiche Durchführung von Zertifizierungen zu.

Unsere branchenorientierten und etablierten Musterkontrollen decken die Anforderungen der gängigen Prüfungsstandards ab und dienen als Ausgangslage unseres Health-Checks.

In der Funktion eines Projektleiters (PMO-Tätigkeit) helfen wir Ihnen gerne bei der Umsetzung der einzelnen Auditierungsphasen, stellen eine reibungslose und termingerechte ISAE-Berichtsauslieferung sicher und minimieren Ihren internen Arbeitsaufwand.

  • GAP-Prozessanalyse und Verständnisgewinnung
  • Identifizierung, Aufbau und Dokumentation interner Kontrollen
  • Beurteilung der Ordnungsmäßigkeit und des Compliance-Reifegrads
  • Vorstellung von konkreten Musterkontrollen, die individuell auf Geschäftsprozesse und Services angepasst werden können (Control-Templates)
  • Projektplan und Vorgehensmodell zur Einführung eines internen Kontrollsystems mit termingerechter Testierung nach ISAE 3402 Typ 1 und 2
  • Übernahme der ISAE-Projektleitung (PMO)

Modul 2:
Coaching und Beratung beim IKS-Aufbau

Ein sinnvolles Compliance-Management-System kann nur dann implementiert werden, wenn die für das Unternehmen relevanten Risiken betrachtet wurden.

Innerhalb von Interview-Terminen identifizieren wir verantwortliche Kontroll-Owner und definieren zur Absicherung gelebter Prozessabläufe geeignete Kontrollziele mit dazugehörigen Kontrollen. Gemeinsam mit Ihnen erstellen wir eine individualisierte Risiko-Kontroll-Matrix (RKM), die auch die Grundlage für eine zukünftige Zertifizierung bildet.

Beim Aufbau des sachgerechten internen Kontrollsystems (IKS) achten wir sowohl auf die Einhaltung regulatorischer Vorschriften wie auch auf Anforderungen von Kunden und deren Abschlussprüfer, u.a.

  • Sicherung der Wirksamkeit der Geschäftstätigkeit
  • Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung
  • Einhaltung maßgeblicher interner und externer Vorschriften (Compliance)


Bereits bestehende Kontroll-Frameworks (z.B. in Anlehnung nach ISO 27001 umgesetzte Teilbereiche oder unternehmensinterne Risiko-Kontroll-Matrizen) können zum Aufbau eines zu zertifizierenden IKS genutzt werden, um interne als auch externe Aufwände zu reduzieren.
 
Als Vorstufe einer Wirksamkeitsprüfung (Typ 2, zeitraumbezogen) bietet sich ein „Pre-Audit“ als Angemessenheitsprüfung (Typ 1, stichtagsbezogen) an. Hierbei wird der Ablauf einer Outsourcing-Zertifizierung vorab von allen Verantwortlichen kennengelernt und notwendige Anforderungen eingeübt. Wir identifizieren Verbesserungsvorschläge, zeigen konkrete Maßnahmen auf, kontrollieren diese im Nachgang und sorgen so für den notwendigen Zertifizierungsreifegrad.

  • Aufbau eines sachgerechten internen Kontrollsystems (IKS)
  • Harmonisierung und Optimierung von Kontrollen zur Stärkung der Prozesssicherheit
  • Erstellung und Individualisierung der Risikokontrollmatrix (RKM)
  • Maßnahmenkatalog zum Erreichen der Zertifizierungsreife und termingerechte Erfüllung von Kundenanforderungen
  • Optional: Vorgelagerte Angemessenheitsprüfung (stichtagsbezogene Auditierung über die Einrichtung von Kontrollen nach ISAE 3402 Typ 1)

Modul 3:
Zertifizierung & Bescheinigung

Wir bestätigen nach anerkannten Outsourcing-Prüfungsstandards (z.B. ISAE 3402 oder IDW PS 951) die Kontrollwirksamkeit für einen individuellen, von Ihnen vorgegebenen Prüfungsumfang und erteilen für einen vordefinierten Zeitraum eine dazugehörige Bescheinigung. Dieses Testat dient als offizieller, zentraler Prüfungsnachweis über die erbrachten Dienstleistungen (z.B. Managed Services oder Cloud-Dienstleistungen) und ersetzt somit eine Vielzahl von Auditierungen durch verschiedene Kunden und deren Abschlussprüfern.

Neben einem solchen „Standardreporting“ unterstützen wir Sie ebenfalls bei der Erstellung individueller Bescheinigungen für Premium-Kunden. Hierbei werden kundenspezifische Services und deren Prozesskontrollen bereits im Rahmen unserer Hauptprüfung ergänzend mit auditiert und gesondert in einem eigenen Bericht testiert. Als Grundlage dient unser Multi-Client-Ansatz.

Die Kosten einer solchen Premium-Bescheinigung wird i.d.R. den jeweiligen Kunden anteilig in Rechnung gestellt und verlagert somit die Gesamtkosten der ISAE-Basisprüfung beim Service-Provider.

Weitere Mehrwerte einer zentralen ISAE-Outsourcing-Zertifizierung sind:

  • Bescheinigung als Gütekriterium und Differenzierung gegenüber Mitbewerbern (vertriebsorientierte Nutzung und Qualitätsnachweis)
    • Verwendung und Entscheidungskriterium bei privaten oder öffentlichen Ausschreibungen
      • Förderung der Reputation des Service Providers durch Einsicht in Prozesse und deren externe Bewertung („CIO-/CFO-Visitenkarte“)
        • Senkung von Prüfungsaufwänden durch Vermeiden von Audit-Tourismus und Entlastung der Prozessverantwortlichen


        Darüber hinaus stehen wir Ihnen und den Abschlussprüfern ihrer Kunden bei sämtlichen Fragen (u.a. bezogen auf unsere Berichterstattung, Prüfungsdurchführung, Erläuterungen der Ergebnisse sowie Scope-Abstimmungen) im Rahmen unserer Beauftragung jederzeit gerne unentgeltlich zur Verfügung.

         
  • Prüfung der Angemessenheit und Wirksamkeit des Kontrollsystems mit Berichterstattung nach ISAE 3402 Typ 2 („Standardreporting“)
  • Managementreporting mit konkreten Verbesserungsvorschlägen zur Optimierung und weiteren Absicherung des Kontrollsystems
  • Kostenlose Unterstützung bei Anfragen Ihrer Kunden und deren Abschlussprüfern (u.a. bezogen auf unsere Berichterstattung, Prüfungsdurchführung, Erläuterungen der Ergebnisse sowie Scope-Abstimmungen)
  • Optional: „Multi-Client-Premium-Reporting“
    • Maßgeschneiderte und flexible Scope-Erweiterungen und individuelle Berichtsvarianten für Premium-Geschäftspartner mit unterjährig testierten Zeiträumen (z.B. 1. Januar bis 30. September und 1. Januar bis 31. Dezember) und/oder
    • Kundenindividuelle Berichtsvarianten mit individuellen Kontrollbereichen ausgewählter / ergänzenden Prüfungsthemen auf Basis eines zentralen ISAE-Templates (unter Nutzung von erheblichen Synergieeffekten)
    • Transparentes Kostenmodell zu festen Pauschalpreisen für Kernprozessprüfung, unterjährige Berichtsvarianten sowie Individual-Reportings

Modul 4:
Optimierung von Prozess- und Systemkontrollen

Durch unsere langjährigen Projekterfahrungen im Rahmen von erfolgreichen Erstzertifizierungen sind wir Spezialisten im unternehmensindividuellen Aufbau optimaler Prozess- und Systemkontrollen.

Mit unserer Expertise begleiten wir Sie bei der weiteren Verbesserung Ihrer implementierten Prozesse und deren Überwachung. Wir prüfen fortlaufend, ob sich Kontrollverfahren weiter harmonisieren oder automatisieren lassen. Dies kann beispielsweise durch eine Zusammenfassung in Form von High-Level-Controls oder der Einführung geeigneter Compliance-Management-Tools erreicht werden.

Gleichzeitig geben wir konkrete Hinweise zur Vereinfachung und Optimierung von Kontrollaktivitäten und deren Dokumentation, um Prozessverantwortliche im Tagesgeschäft zu entlasten und interne Verwaltungsaufwände zu minimieren.


Corporate Governance stellt eine gute Unternehmensführung und eine gute Überwachung sicher. Wir zeigen auf, wie das geprüfte IKS in bestehende Compliance-Management-Systeme (CMS) eingebunden bzw. als eigener Teilbereich aufgebaut und formal integriert werden kann. Übliche Teilbereiche sind Anti-Korruption, Steuern, Datenschutz oder Informationssicherheit.

Beispielsweise dient ein nach ISAE 3402 zertifiziertes IT-IKS (allgemeine IT-Kontrollen in der Jahresabschlussprüfung, GITC) als Grundlage zur weiteren Compliance-Management-Bestätigung der Informationssicherheit nach ISAE 3000. Bereits im ISAE 3402-Audit erbrachte Prüfungsnachweise, Interviews und Ergebnisse können hierbei für die Prüfung der Informationssicherheit verwendet werden, so dass Doppelprüfungen und Interviewaufwände bei den Prozessverantwortlichen vermieden werden; Kosteneinsparpotenziale sind die Folge.

  • Harmonisierung von Prozesskontrollen und Überarbeitung der Kontrollverfahren (PDCA-Zyklus)
  • Automatisierung von Kontrolltätigkeiten sowie deren Überwachung (CMS-Tools)
  • Vorschläge zur Minimierung von Dokumentations- und Interviewaufwänden
  • Optional: Einbindung in andere CMS-Teilbereiche (z.B. CMS Informationssicherheit/ Datenschutz) sowie deren Bestätigung nach ISAE 3000

Warum benötige ich bei der Auslagerung von Prozessen eine ISAE-Bescheinigung?

Im Zuge ihrer Outsourcing- und Digitalisierungsstrategie lagern Unternehmen vermehrt Geschäftsprozesse und betriebliche Funktionen an externe Dienstleister aus oder zentralisieren diese bei gruppeninternen Shared Service Centern.

Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, hat dies Einfluss auf das Rechnungswesen und den Jahresabschluss des auslagernden Unternehmens.

Typische Beispiele sind

  • Auslagerung des IT-Betriebs (Data Center Hosting)
  • Cloud Services
  • (ERP-) Applikationsbetreuung (Application Services)
  • Business-Prozesse (BPO), u.a. in den Bereichen
    • Abrechnung (Debitorenmanagement)
    • Rechnungsverarbeitung (Payment Services)
    • Forderungsmanagement
    • Finanzbuchhaltung
    • Warehousemanagement und Logistik (Fulfillment Services)
  • „Unsere proaktive Unterstützung bei der Vorbereitung und Durchführung von Compliance-Projekten entlastet das Tagesgeschäft durch Vermeidung von unnötigen Dokumentationsaufwänden und sichert zugleich den Projekterfolg.“

    − Tobias Ullmann −

    CISA, Senior IT Consultant

    Detail

Mit dem Verlagern von geschäftsrelevanten Funktionen an einen Service Provider oder in die Cloud bleibt das auslagernde Unternehmen weiterhin in der Verantwortung, die Einhaltung von entsprechenden internen Kontrollen beim Service Provider regelmäßig zu überprüfen und die Sicherstellung der Ordnungsmäßigkeit nachzuweisen.

Das vom Dienstleister (Service Provider) eingerichtete interne Kontrollsystem ist für die Abschlussprüfungen der auslagernden Unternehmen von Bedeutung und Prüfungsgegenstand bei Vor-Ort-Auditierungen durch den Wirtschaftsprüfer je Kunde.

Dies ist für den Service Provider jedoch zeitaufwendig, teuer und belastet das Tagesgeschäft. Mehrfache Auditierungen durch die Kunden und deren Wirtschaftsprüfer finden ganzjährig statt; eine Art „Audit-Tourismus“ entsteht.

Etablierte Service-Provider nutzen daher verstärkt den Outsourcing-Standard ISAE 3402, der sowohl dem Dienstleister als auch dem auslagernden Unternehmen als externer Qualitätsnachweis ein hohes Maß an Sicherheit und Vorteilen bietet.

Eine ISAE 3402 Bescheinigung setzt auf bestehende Qualitätsmanagement-Zertifizierungen auf und sichert die Wirtschaftsprüfer-Akzeptanz bei Jahresabschlussprüfungen. Durch eine zentrale Auditierung lassen sich erhebliche Kosteneinsparpotenziale heben, Prüfungsaufwände reduzieren und Wettbewerbsvorteile erzielen.

Welche Prüfungsstandards werden anerkannt?

Der „International Standard on Assurance Engagements, Assurance Reports on Controls at a Service Organisation“ (ISAE 3402) stellt eine Berichterstattung mit einem einheitlichen und von allen Wirtschaftsprüfern anerkannten Berichtsaufbau dar.

Im Gegensatz zu anderen Zertifizierungen bestimmt der Dienstleister selbst den individuellen Prüfungsscope auf Basis bereits bestehender Kontrollen und gibt die zu prüfenden Kontrollbereiche vor.

Es hat sich gezeigt, dass es mehr und mehr ein Muss ist, ein solches Testat vorzuweisen; auch zur Abgrenzung gegenüber Mitbewerbern.

Neben der Vorlage in Ausschreibungen (als weitere Grundanforderung neben einer ISO/IEC-27001-Zertifizierung) wird regelmäßig von den Wirtschaftsprüfungsgesellschaften eine Bescheinigung nach folgenden Outsourcing-Standards gefordert:

  • Deutscher Standard IDW PS 951 (nationale Berichterstattung in deutscher Sprache)
  • SOC 1 Reporting (System and Organization Controls); dieser basiert als US-Standard auf dem SSAE 18 (Statement on Standards for Attestation Engagements)
  • International anerkannter Standard ISAE 3402

Hierbei sind jeweils zwei Testatsvarianten bei einer Zertifizierung möglich:

  • Typ 1 beurteilt die Angemessenheit (Eignung), das Kontrolldesign (Gestaltung) und die Implementierung von internen Kontrollen zu einem Stichtag (beispielsweise zeitpunktbezogene Einrichtung zum 30. Juni)
  • Typ 2 bestätigt zusätzlich noch die Wirksamkeit über eine bestimmte Zeitperiode, die üblicherweise dem Geschäftsjahr der Kunden entsprechen (z.B. 1. Januar bis 31. Dezember; mindestens über sechs Monate)


Liegt eine Typ 2-Bescheinigung vor, reicht diese dem Wirtschaftsprüfer des Kunden als Prüfungs- und Dokumentationsnachweis aus; somit kann auf eine individuelle Prüfung vor Ort verzichtet werden.

Neben dem ISAE 3402 existiert auch der grundlegende ISAE 3000 Standard, welcher für sämtliche Bestätigungen mit Ausnahme der finanziellen Berichterstattung verwendet werden kann. Dies beinhaltet beispielsweise die Wirksamkeit des internen Kontrollsystems, die Einhaltung von regulatorischen Vorgaben oder von konkreten Vertragsbestimmungen.

Ansprechpartner