ISAE - Zusammenhänge

Vertrauen ist gut. Kontrolle ist besser: ISAE 3402

IT aus der Cloud zu beziehen wird zu einer Selbstverständlichkeit. So arbeiten moderne Organisationen heute. Und die Technik ermöglicht es in zunehmendem Masse per Mouse-Click einen Service von einem Cloud-Container zum nächsten zu transferieren, ohne dass dabei die Verarbeitung unterbrochen werden muss. Der Service Broker hält stetig Ausschau nach neuen und noch besseren Service Angeboten und konfiguriert, digitalisiert und orchestriert so laufend optimale Serviceleistungen zur Unterstützung der Geschäftsprozesse im Unternehmen.

Cloud Container
Cloud Container

Dass ein Unternehmen alles daran setzt, die optimalen Ressourcen zur Erreichung der Geschäftsziele laufend zu optimieren, ist nachvollziehbar und gehört auch in dessen Pflicht. Eine andere Pflicht ist aber auch, sicherzustellen, dass die Sicherheit und Compliance von internen und externen Regeln und Gesetzen eingehalten wird. Unternehmen haben hierzu ein internes Kontrollsystem (IKS) einzurichten, welche wirksame Kontrollen in den Prozessen und Organisationen verankert und damit eine angemessene Gewähr darüber gibt, dass die Ordnungsmässigkeit der Abläufe sichergestellt ist.

Mit der Auslagerung von geschäftsrelevanten Funktionen zu einem Outsourcing-Partner oder in die Cloud, werden die Verantwortlichkeiten der ordnungsmässigen Abwicklung nicht automatisch mit ausgelagert. Sie bleibt beim Unternehmen und stellt dieses vor einer schwierigen Herausforderung: wie kann ich sicherstellen, dass mein Service Provider die Kontrollen einhält, dass die Funktionstrennung gewahrt wird und dass die Zugriffe auf Daten geschützt bleiben?

Die Wirtschaftsprüfer, welche die Wirksamkeit des IKS zu beurteilen haben, werden in Zukunft bei ausgelagerten IT-Funktionen genauer hinschauen wollen. Das Vorhandensein eines SLAs und der regelmässigen Reports über die Services wird dabei nicht genügen. Vielmehr setzt sich nun der Druck auf das Vorhandensein des ISAE3402 Prüfberichts durch. ISAE ist die Abkürzung von „International Standard on Assurance Engagements“ und zertifiziert das Kontrollsystem des Service Providers. ISAE3402 hat den US-Standardauditreport SAS-70 abgelöst, welcher für US börsenkotierte Unternehmen Pflicht war, sich aber primär um Funktionen des Financial Reportings konzentrierte.

Der ISAE3402 beinhaltet aber auch Kontrollen ausserhalb des Financial Reportings und dient dabei als Grundlage eines ganzheitlichen Kontrollsystems. Es gibt dabei zwei Stufen der Zertifizierung: Stufe 1 oder Typ 1 beurteilt die Eignung respektive Gestaltung der Kontrollen, das Kontrolldesign und die Implementierung. Der Typ II der Zertifizierung beinhaltet zudem noch die Wirksamkeit in einer definierten Zeitperiode.

Die interne Revision im Unternehmen kann sich nicht einfach darauf verlassen, dass der externe Service Provider sich an die im Vertrag vereinbarten Grundsätze und Verfahren hält. Genauso wie sie die Abläufe in der internen Organisation regelmässig überprüft, braucht es bei ausgelagerten Funktionen einen verlässlichen Auditbericht. Dieser ist mit dem ISAE3402 gegeben.

Ob der Service Provider eine ISO Zertifizierung wie beispielsweise ISO 27001 oder ISO 20000 hat, ist grundsätzlich ebenfalls hilfreich. Aber diese fokussieren sich in erster Line auf das Management System des Service Providers und weniger auf die spezifischen Funktionen des ausgelagerten Services. Das Unternehmen kann seine für ihn notwendigen Kontrollen gezielt definieren und in das Kontrollsystem des Service Providers einfliessen lassen. Der Auditreport gibt entsprechend gezielte Auskunft über die Wahrnehmung und Wirksamkeit dieser Kontrollen.

ISAE - Zusammenhänge
ISAE – Zusammenhänge

Professionelle Service Provider werden in Zukunft um eine ISAE3402-Zertifizierung ihres Kontrollsystems nicht mehr herumkommen. Ihre Kunden werden darauf bestehen, weil deren Wirtschaftsprüfer dies vermehrt verlangen. Es wird zum Standard für Outsourcing-Organisationen.

Aber auch Unternehmen müssen ihre Betriebsorganisation auf das Führen der Service Provider professionalisieren. Gerade wenn wie eingangs Beschrieben der künftige Service Provider per Mausklick einen neuen Service mit relevanter Informationsverarbeitung integriert, sind nicht nur die technische Kompatibilität zu gewährleisten sondern auch die Erfüllung der Compliance und IKS-Vorschriften zu beachten. Also nichts mit: Aus den Augen aus dem Sinn. Vertrauen ist wichtig und gut. Aber gute und verlässliche Kontrolle ist nun mal besser.


 

Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert