Zertifizierung
Sourcing

Qualitätsmerkmal ISAE 3402

In diesem Artikel zeigen wir Ihnen, weshalb wir uns zertifizieren lassen und welche Vorteile daraus für unsere Kunden entstehen.

Emil Meier Emil Meier, 20. Januar 2022

Das Interne Kontrollsystem

Ein subtil auf die geschäftlichen Aktivitäten und die inhärenten Risiken abgestimmtes Internes Kontrollsystem (IKS) kann für die Zukunft eines Unternehmens entscheidend sein. In der Beschreibung auf Wikipedia kommt das wie folgt zum Ausdruck:

«Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten technischen und organisatorischen Regeln des methodischen Steuerns und von Kontrollen im Unternehmen zum Einhalten von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Die Maßnahmen können sowohl prozessunabhängig als retrospektive Kontrollen, beispielsweise durch die Interne Revision, als auch prozessabhängig als präventive Regeln durchgeführt werden.»

Manche mögen das ganze Thema IKS als lästiges und sehr aufwändiges Übel betrachten. Es kann nicht wegdiskutiert werden, dass ein gutes und zweckdienliches IKS sehr anspruchsvoll ist und bei der Etablierung sehr viel Denkarbeit und umfassenden Sachverstand erfordert. Es beschäftigt nicht nur vor Jahresende oder vor einem Audit – es ist ein Dauerthema, das während des ganzen Geschäftsjahres berücksichtigt werden muss.

Grundsätzlich kann gesagt werden, dass die IT, die Prozesse von spezialisierten Dienstleistern ermöglicht, immer wichtiger und zentraler wird. Das Operational Risk Management gewinnt deshalb geradezu exponentiell an Bedeutung und Outsourcer verlangen zur eigenen Absicherung einen Prüfbericht, der ihnen von externen Anbietern die geforderte Qualität der Prozesse und Arbeitshandlungen bestätigt.   

ISAE 3402

ISAE 3402 ist der international anerkannte Prüfungsstandard zur Prüfung des IKS von Outsourcing-Dienstleistern. Im «Finma Rundschreiben 2018/3» werden die aufsichtsrechtlichen Anforderungen an Outsourcing-Lösungen bzw. an deren angemessene Organisation beschrieben. Sie bezweckt die Risikobegrenzung. Outsourcing-Provider, die rechnungsrelevante Geschäftsprozesse und IT-gestützte Services anbieten, bestätigen mit dem ISAE 3402-Bericht ihren Auftraggebern, dass sie bezüglich der an sie ausgelagerten Prozesse ein in sich abgestimmtes, funktionierendes IKS implementiert haben.

Der Bericht eines anerkannten Prüfers hat zur Folge, dass der Auftraggeber auf diesen abstellen kann und seine Prüfgesellschaft keine Prüfungshandlungen beim Outsourcing-Provider vornehmen muss – ein klarer Kosten- und Aufwandsvorteil.

Prüfberichte

Das IKS und die Management Assertion (Erklärung des Managements, dass das IKS angemessen dargestellt ist bzw. dass diese Kontrollen während des Prüfungszeitraumes implementiert und bei der Prüfung (Typ 2) wirksam waren, um die vordefinierten Kontrollziele zu erreichen) bilden die Basis für die weiteren Überprüfungen.

Im ISAE 3402*-Bericht (Typ 1), der in der Regel im ersten Jahr erstellt wird, wird geprüft, ob das IKS-Framework genügend umfassend ist, um für die Wirksamkeit der Kontrollen zu bestehen. Im anschliessenden Bericht (Typ 2) geht es um die Prüfung der Wirksamkeit. Einer der Schwerpunkte sind die Prüfungsnachweise (Evidenzen).

ISAE 3402 bei der Kreditfabrik

Wir wollen unseren Mandanten Dienstleistungen von höchster Qualität bieten, die zudem kostengünstig sind. Mit unseren Testaten ersparen wir ihnen den nicht unerheblichen Aufwand, unsere Abwicklungen durch ihre interne und/oder externe Revisionsstelle prüfen zu lassen. Ein von allen geschätztes Dienstleistungs- und Qualitätsmerkmal.

* International Standard on Assurance Engagements der International Auditing and Assurance Standards Boards

Emil Meier
Emil Meier
CEO