ISAE 3402

Der International Standard on Assurance Engagements 3402, in der Regel abgekürzt als ISAE 3402, ist ein von der International Federation of Accountants (IFAC) veröffentlichter internationaler Prüfungsstandard, in dem die Prüfung eines Internen Kontrollsystems bei einem Dienstleistungsunternehmen inklusive Berichterstattung durch einen Wirtschaftsprüfer geregelt ist. Er ist insbesondere für die Prüfung von Servicegesellschaften, die im Zuge von Outsourcing Aufgaben für andere Unternehmen übernehmen, und die entsprechenden beauftragenden Unternehmen relevant. Gegenstand einer ISAE-3402-Prüfung ist die vom Dienstleister zu erstellende Beschreibung des dienstleistungsbezogenen rechnungslegungsrelevanten internen Kontrollsystems.

Die Regelungen des ISAE 3402 zielen darauf ab, das interne Kontrollsystem einer Dienstleistungsorganisation zu prüfen und das Prüfergebnis Abschlussprüfern von Unternehmen zur Verfügung zu stellen, die die Dienstleistungsgesellschaft mit der entsprechenden Dienstleistung beauftragt haben.^[1] Dabei können entweder lediglich eine Prüfung des Kontrolldesigns^[2] und der Implementierung der Kontrollen durchgeführt werden oder zusätzlich hierzu auch noch die tatsächliche Durchführung der Kontrollhandlungen^[3] über einen definierten Zeitraum geprüft werden. Abschließend verlangt der Standard, dass in der hieraus abgeleiteten Berichterstattung detailliert auf die einzelnen Kontrollziele, die Kontrollen sowie die durch die Prüfungstätigkeiten aufgedeckten Feststellungen eingegangen wird^[4]. Somit sollen den Kunden der Dienstleistungsorganisation und deren Wirtschaftsprüfern neben dem zusammenfassenden Urteil des Prüfers auch eine Einzeldarstellung der identifizierten Mängel zur Verfügung stehen.

Ein entsprechendes Testat inklusive Prüfbericht gilt als Qualitätskriterium für Dienstleister, mit dem sie sich von Konkurrenten abheben können.^[1] Service Provider, die rechnungslegungsrelevante Geschäftsprozesse sowie IT-gestützte Services als Dienstleistung anbieten, bestätigen mit einem ISAE-3402-Bericht gegenüber ihren Auftraggebern, dass sie hinsichtlich der an sie ausgelagerten Prozesse ein funktionierendes internes Kontrollsystem besitzen. Neben etablierten Managementsystemen können beim Dienstleistungsunternehmen auch bereits bestehende Kontroll-Frameworks (z. B. in Anlehnung nach ISO 27001 umgesetzte Teilbereiche oder unternehmensinterne Risiko-Kontroll-Matrizen) zum Aufbau eines nach ISAE 3402 zu zertifizierenden internen Kontrollsystems genutzt werden.

Der Standard wurde vom International Auditing and Assurance Standards Board innerhalb der IFAC ausgearbeitet und im September 2009 nach der Verabschiedung als finaler Standard veröffentlicht, Erstanwendung war für alle Abschlüsse mit Stichtag nach dem 15. Juni 2011.^[5] Der von deutschen Wirtschaftsprüfern als berufsständische Regelung anzuwendende IDW PS 951 des Instituts der Wirtschaftsprüfer fußt auf den Regelungen des ISAE 3402 und wurde 2012 entsprechend überarbeitet, um den Regelungen des internationalen Standards zu entsprechen.^[6]

Um einen ISAE-3402-Bericht lesen und verstehen zu können, müssen einige Kernbegriffe^[7] bekannt sein:

• Criteria (Kriterien): hierunter werden im Rahmen von ISAE 3402 Vergleichsmaßstäbe verstanden, mit denen ein Sachverhalt bewertet werden kann. Im IDW PS 951 werden diese besser verständlich als „gesetzliche und regulatorische Kriterien“ bezeichnet. Beispiele für Kriterien sind in DSGVO, MaRisk oder GoBD enthalten.
• CARVE-OUT Methode: bezeichnet eine Methode, nach der das interne Kontrollsystem eines Subdienstleisters nicht im Scope (Umfang) der Prüfung des Dienstleisters enthalten ist. Für den Kunden des Dienstleisters ist ein ISAE-3402-Bericht mit einem CARVE-OUT unvorteilhaft, da möglicherweise relevante Kontrollen nicht geprüft wurden. Beispiel: Ein IT-Dienstleister bietet seine Software dem Kunden als SaaS an, die Kontrollen des Rechenzentrums, in dem die Software betrieben wird, sind aber nicht geprüft.
• INCLUSIVE Methode: bezeichnet eine Methode, nach der das interne Kontrollsystem eines Subdienstleisters im Scope (Umfang) der Prüfung des Dienstleisters enthalten ist. Für den Kunden eines Dienstleisters ist ein ISAE-3402-Bericht mit der INCLUSIVE-Methode vorteilhaft.
• Complementary User Entity Controls: Der Service Provider setzt bei der Prüfung seines IKS voraus, dass der Kunde selbst bestimmte Kontrollen durchführt und für diese Verantwortung übernimmt. Falls der Kunde nicht im Vorfeld über die Complementary User Entity Controls informiert wurde, und sie nicht durchgeführt hat, sind die bei Dienstleister implementierten Kontrollen nicht effektiv (wirksam). Beispiel: der Service Provider betreibt ein Rechenzentrum und erwartet vom Kunden, dass er über Änderungen der zutrittsberechtigten Mitarbeiter zeitnah durch den Kunden informiert wird. Der Service Provider gewährt nur Personen, die auf der Zutrittsliste enthalten sind, Zutritt. Diese Kontrolle wird geprüft und ist effektiv. Wenn aber die zugrundeliegende Zutrittsliste nicht aktuell ist, ist die gesamte Zutrittskontrolle nicht effektiv.
• Type 1 ISAE 3402 Report: Es wird geprüft, ob zu einem bestimmten Zeitpunkt die tatsächliche Ausgestaltung und Einrichtung des dienstleistungsbezogenen internen Kontrollsystems sachgerecht dargestellt und die Kontrollen angemessen ausgestaltet sind (Aufbauprüfung).
• Type 2 ISAE 3402 Report: Es wird zusätzlich geprüft, ob die Kontrollen über den gesamten Prüfungszeitraum (üblicherweise ein Wirtschaftsjahr) wirksam waren (Funktionsprüfung).
• System: unter einem System (Service Organization’s System) werden die Richtlinien und Procedures (manuell oder IT) verstanden, die benötigt werden, um eine kundenbezogene Dienstleistung zu erbringen.

• International Standards for Assurance Engagements (ISAE) 3402

1. ↑ ^{a b} roedl.de: „IDW PS 951: Prüfung von Dienstleistern bei Outsourcing und Cloud Computing“
2. ↑ Assurance Reports on a Service Organization´s Controls, Textziffer A25 - A27. IFAC.org, abgerufen am 23. Oktober 2020. 
3. ↑ ..., Textziffer A28 - A36. IFAC.org, abgerufen am 23. Oktober 2020. 
4. ↑ ..., Textziffer A49. IFAC.org, abgerufen am 23. Oktober 2020. 
5. ↑ iaasb.org: „Assurance Reports on a Service Organization's Controls“
6. ↑ ebnerstolz.de: „IDW EPS 951 n.F.: Umsetzung der Anforderungen des ISAE 3402 verabschiedet“
7. ↑ ...A9 Definitions. 23. Oktober 2020, abgerufen am 23. Oktober 2020.