Zertifizierungen, durch eine unabhängige Prüfstelle ausgestellt, erleichtern und ermöglichen Unternehmen den Marktzugang. Doch nicht nur das. Sie haben sich auch in einer weitestgehend globalisierten Welt zu einem wichtigen Vertrauenselement gegenüber Verbrauchern entwickelt. Beispielsweise sind Zertifizierungen nach ISO/IEC 20000 (Service Management) und ISO/IEC 27001 (Informationssicherheit) oder Prüfungen des Internen Kontrollsystems (IKS) nach ISAE 3402 ein gutes Indiz dafür, dass bei Hosting-Anbietern relevante Richtlinien (Compliance) eingehalten werden. Vor allem in Bezug auf Cloud-Services, dem Umgang mit sensiblen finanzrelevanten Daten und der Verarbeitung von personenbezogenen Daten (DSGVO) ist dieses Thema von großer Bedeutung. Durch eine ISAE-Prüfung ist das IT-Outsourcing jederzeit in sicheren Händen.

Zeitaufwendige Einzelkontrollen als Status quo
Die Nutzung von Cloud-Services und das damit verbundene IT-Outsourcing des IT-Betriebs ist in vielen Unternehmen mittlerweile fester Bestandteil des betrieblichen Alltags. Dabei steht das Unternehmen, welches finanzrelevante Daten an einen IT-Dienstleister auslagert, aber stets in der Pflicht, diese durch ein internes Kontrollsystem und ein ausreichendes Risikomanagement abzusichern. Dies gilt nicht nur für das Unternehmen selbst, sondern auch für die an den externen Dienstleister ausgelagerten Funktionen.

Wird das Unternehmen einer Jahresabschlussprüfung unterzogen, stehen dieses und der Wirtschaftsprüfer vor der Frage, wie die internen Kontrollen des Hosting-Anbieters geprüft werden können. Eine gängige Praxis ist es, dass der Prüfer am Standort des Dienstleisters ein Vor-Ort-Audit durchführt. Allerdings ist das zeitaufwendig und mit Kosten verbunden.

ISAE 3402-Prüfung für finanzrelevante Daten
Neben der ISO/IEC 27001-Zertifizierung zur Informationssicherheit, die einen weltweit anerkannten Standard zur Bewertung über die Sicherheit von Informationen und der IT-Umgebungen mit einschließt, gibt die ISAE 3402-Prüfung Aufschluss über die internen Kontrollsysteme eines Hosting-Anbieters.

Dadurch wird eine zusätzliche Sicherheit gewährleistet, dass Datenbestände in Cloud-Services regelkonform im Rahmen diverser Standards (und der DSGVO) verarbeitet und gelagert werden. Kritische und vor allem finanzrelevante Daten befinden sich hier, auch bei externen Dienstleistern, zu jeder Zeit in sicheren Händen. Durch die transparenten und hohen Sicherheitsstandards zertifizierte Hoster können Unternehmen sich auf Ihre Kernkompetenz fokussieren und so wertvolle Zeit und Investitionen sparen.

Einheitliche Standards durch ISAE 3402-Prüfung
Ein Hosting-Anbieter bedient in der Regel einen größeren Kundenkreis, der wiederum durch diverse Wirtschaftsprüfer kontrolliert wird. Das würde also bedeuten, dass für jedes einzelne Unternehmen und die damit verbundene Prüfungsgesellschaft in regelmäßigen Abständen eine Überprüfung des internen Kontrollsystems vorgenommen werden müsste. Natürlich kann es sich im Zuge der Digitalisierung um keine Dauerlösung handeln. Das Problem haben auch internationale Arbeitskreise erkannt und dafür eine Richtlinie entwickelt, die Abhilfe schafft.

Dabei handelt es sich um die International Standard on Assurance Engagements No. 3402. Diese wird in zwei Typen unterteilt:

  • Typ 1 umfasst die Eignung und Gestaltung der Kontrollen, das Kontrolldesign und die Implementierung des internen Kontrollsystems.
  • Typ 2 erweitert Typ 1 um die Wirksamkeit des Kontrollsystems in einer vordefinierten Zeitperiode.
     

Vorteile der ISAE 3402-Prüfung auf einen Blick:

  • Eine Vereinheitlichung der Nachweispflicht, wie zum Beispiel im Rahmen einer Jahresabschlussprüfung reduziert notwendige Einzelprüfungen diverser Wirtschaftsprüfer und senkt dadurch die Kosten.
  • Der generelle Nachweis eines angemessenen internen Kontrollsystems seitens des Providers stärkt das Kundenvertrauen und ermöglicht eine Risikoabwägung für die Nutzung dieser Dienste.
  • Außerdem stellt die ISAE 3402-Prüfung ein Qualitätsmerkmal gegenüber nicht geprüfter IT-Dienstleister dar, da durch kontinuierliche Audits alle Prozesse fortlaufend den geltenden Standards angepasst werden.

Als regionaler IT-Dienstleister mit internationalem Kundenkreis sind wir bei badenIT stolz darauf, das ISAE 3402-Testat Typ 2 erhalten zu haben. Wir sehen uns als innovatives Unternehmen in der Pflicht, eine Vorreiterrolle in Sachen Datensicherheit einzunehmen. Nicht nur, um selbst ständig am Ball zu bleiben, sondern die Vorteile daraus direkt an unsere Kunden weitergeben zu können.