dynamic-content-widget-733cb44-073b0ae - IT-Dienstleister Wiesbaden

1. Was ist ISAE 3402?

ISAE 3402 (International Standard on Assurance Engagements) ist ein international anerkannter Prüfungsstandard zur Beurteilung der Wirksamkeit interner Kontrollen bei Dienstleistungsunternehmen.

2. Für wen ist ISAE 3402 relevant?

ISAE 3402 richtet sich an Dienstleistungsunternehmen, die ihre internen Kontrollen durch unabhängige Auditoren prüfen lassen möchten – entweder zur Vertrauensbildung bei Kunden oder zur Erfüllung vertraglicher Anforderungen.

3. Was unterscheidet ISAE 3402 Typ I von Typ II?

Typ I bewertet das Design und die Implementierung von Kontrollen zu einem bestimmten Stichtag. Typ II hingegen prüft zusätzlich die Wirksamkeit dieser Kontrollen über einen definierten Zeitraum hinweg (z. B. 12 Monate).

4. Wie häufig sollte ein ISAE 3402 Audit erfolgen?

Ein ISAE 3402 Audit wird typischerweise jährlich durchgeführt, um die kontinuierliche Wirksamkeit der relevanten Kontrollen im geprüften Zeitraum sicherzustellen.

5. Wie läuft ein ISAE 3402 Audit ab?

Der Ablauf umfasst die Auswahl eines qualifizierten Prüfers, die Festlegung des Prüfungszeitraums, die Durchführung der Prüfung und die Erstellung des Auditberichts inklusive Management-Antworten bei Feststellungen.

6. Müssen alle Kontrollen des Unternehmens im Bericht enthalten sein?

Nein, nur solche Kontrollen, die in direktem Zusammenhang mit den angebotenen Dienstleistungen stehen und für Kunden von Bedeutung sind, werden aufgenommen.

7. Was passiert bei Feststellungen im ISAE 3402 Audit?

Werden Mängel identifiziert, werden diese im Bericht aufgeführt. Das Unternehmen sollte diese beheben. Der Kunde (bzw. dessen Prüfer) entscheidet, ob zusätzliche Maßnahmen erforderlich sind.

8. Was sind komplementäre Kontrollen (CUECs) und wer trägt die Verantwortung?

CUECs (Complementary User Entity Controls) sind Kontrollen, die beim Kunden oder Dritten umgesetzt sein müssen, damit die Kontrollen des Dienstleisters ihre volle Wirksamkeit entfalten. Die Verantwortung für diese liegt beim Kunden.

9. Was umfasst die Systembeschreibung?

Die Systembeschreibung enthält Details zum Dienstleistungsunternehmen, den angebotenen Services, dem organisatorischen und technischen Kontext sowie eine ausführliche Darstellung des relevanten internen Kontrollsystems (IKS).

10. Wie lässt sich Sektion 5 optimal nutzen?

Sektion 5 bietet Raum für freiwillige Angaben, etwa zu ESG-Strategien, Datenschutz, PCI DSS oder anderen ergänzenden Aspekten. Diese Informationen schaffen zusätzliches Vertrauen bei Kunden und Prüfern und unterstreichen die Qualitätsorientierung des Dienstleisters.