dynamic-content-widget-733cb44-073b0ae - IT-Dienstleister Wiesbaden

1. Was ist ISAE 3402?

ISAE 3402 ist ein internationaler Prüfungsstandard für die Berichterstattung über die Wirksamkeit von Kontrollen bei Dienstleistungsunternehmen.

2. Für wen ist ISAE 3402 relevant?

ISAE 3402 ist für Dienstleistungsunternehmen relevant, die ihre Kontrollen durch einen unabhängigen Auditor prüfen lassen möchten, um das Vertrauen ihrer Kunden zu stärken oder müssen, weil die Kunden es (vertraglich) einfordern.

3. Was ist der Unterschied zwischen ISAE 3402 Typ I und Typ II?

Typ I beurteilt die Eignung und das Design der Kontrollen zu einem bestimmten Zeitpunkt, während Typ II die Wirksamkeit der Kontrollen über einen definierten Zeitraum bewertet.

4. Wie oft sollte ein ISAE 3402 Audit durchgeführt werden?

Ein ISAE 3402 Audit wird für gewöhnlich jährlich durchgeführt, um die kontinuierliche Wirksamkeit der Kontrollen für den gewählten Zeitraum (üblicherweise 9-12 Monate) zu gewährleisten.

5. Was ist der Prozess für ein ISAE 3402 Audit?

Der Prozess umfasst die Auswahl eines qualifizierten Auditors, die Durchführung des Audits und die Erstellung eines Prüfungsberichts.

6. Müssen alle Kontrollen meines Unternehmens in einem ISAE 3402 Bericht aufgeführt werden?

Nein, nur die Kontrollen, die für die Dienstleistung des Unternehmens relevant sind, müssen aufgeführt werden.

7. Was passiert, wenn bei einem ISAE 3402 Audit Mängel festgestellt werden?

Mängel sollten im Prüfungsbericht dokumentiert und vom Unternehmen behoben werden. Der Prüfer des Kunden muss dann entscheiden ob das Risiko für ihn relevant ist und ggf. zusätzliche Prüfungshandlungen durchführen.

8. Was sind komplementäre Kontrollen (CUECs) und wer ist dafür verantwortlich?

Die komplementären Kontrollen in einem ISAE 3402 Bericht beschreiben die Voraussetzungen und Verantwortlichkeiten von Dritten oder dem Kunden selbst, die in Form von Kontrollen bei diesen implementiert und wirksam sein müssen, damit die eigenen Kontrollen vollumfänglich erfüllt werden können.

9. Was gehört in eine Systembeschreibung?

Die Systembeschreibung umfasst üblicherweise die Beschreibung des Dienstleistungsunternehmens und umfasst die Art der Dienstleistung, die das Unternehmen anbietet, sowie den Kontext, in dem die Dienstleistungen erbracht werden als auch die Darstellung des internen Kontrollsystems (IKS) mit einer detaillierte Beschreibung des IKS, das für die Dienstleistungen relevant ist, die das Unternehmen erbringt.

10. Wie kann ich die Sektion 5 optimal nutzen?

Sie bietet den Nutzern des Berichts, wie etwa den Abschlussprüfern und den Kunden des Dienstleistungsunternehmens, weiterführende Details, die über die grundlegende Systembeschreibung und die Prüfungsergebnisse hinausgehen. Das können Informationen zu ESG Maßnahmen, Datenschutz, PCI DSS oder anderen Themen sein, um das Vertrauen in die Qualität und Zuverlässigkeit der Dienstleistungen des Dienstleistungsunternehmens zu stärken.