Sie sind auf Seite 1von 4

Nr. 04 | Dezember 2014 | www.isaca.

ch

NEWSLETTER
Outsourcing Ausbildung IT-Audit ISACA-Training
Der Artikel zeigt auf, welche Das CISA-Zertifikat der Aktuelle Aus- und Weiter-
ISACA vermittelt ein
Standards für welchen bildungsmöglichkeiten für
umfassendes und breites
Zweck angewendet werden. Wissen im Bereich des Mitglieder und Nicht-
Seite 59 IT-Audits Seite 62 Mitglieder Seite 62

Outsourcing Berichte:
Welcher Standard passt?
Verschiedene Standards stehen für die Berichterstattung von
Outsourcing-Dienstleistungen bereit. Diese haben jedoch verschie-
dene Vor- und Nachteile. Welcher Standard soll für welchen Zweck
verwendet werden?

Von Raffael Schweitzer

I
mmer mehr Unternehmen lagern Rahmen der Finanzberichterstattung li- von Unternehmen, hat sich nach der
einen Teil ihrer Leistungserbringung mitiert. Gerade bei Auslagerungen im IT Jahrtausendwende der amerikanische
an Service-Provider aus, um sich auf Umfeld interessieren ein Unternehmen SAS 70 Standard zur Erstellung von soge-
ihre Kernkompetenzen zu konzentrie- jedoch vielfach nicht nur finanzrelevante nannten Attestation Reports zum globa-
ren beziehungsweise Kosten in unterstüt- Aspekte sondern insbesondere auch Fra- len Standard für die Kontrolle von ausge-
zenden Bereichen zu sparen. Insbeson- gen der Verfügbarkeit oder der Einhal- lagerten Dienstleistungen im Rahmen der
dere auch die Erbringung von Informatik- tung von regulatorischen Vorgaben. Ins- Finanzberichterstattung entwickelt. Der
dienstleistungen wird immer häufiger besondere letztere können aufgrund ihrer SAS 70 Standard wurde im Juni 2011 vom
durch externe Partner unterstützt oder Natur oftmals nicht durch den ISAE 3402 neuen globalen ISAE 3402 Standard be-
sogar ganz übernommen. Aus Sicht der Standard abgedeckt werden. ziehungsweise dessen amerikanischer
Revision stellt sich dabei nicht zuletzt die Dabei existieren heute verschiedene Variante (SSAE 16) abgelöst – inhaltlich
Frage, wie ein Unternehmen ausrei- Alternativen zu einem ISAE 3402 Bericht, hat sich aber kaum etwas geändert.
chende Sicherheit über die ausgelagerte welche diesen Anforderungen gerecht Diese Standards sind deshalb einzig für
Leistungserbringung gewinnt und wie werden. Sie werden in diesem Artikel die finanzielle Berichterstattung zu ver-
diese sinnvoll überprüft werden kann. vorgestellt. wenden und somit primär für die finan-
Heute wird dabei vor allem der ISAE zielle Revision (auch nach dem Schweizer
3402 Standard für die finanzielle Bericht- Von SAS 70 zu ISAE 3402 Prüfstandard PS 402 1) ) relevant. Bezüg-
erstattung verwendet. Jedoch ist die Ver- Insbesondere durch den Sarbanes-Oxley lich der Abdeckung von IT Komponenten
wendung dieses Standards auf die Prü- Act, ein amerikanisches Gesetz zur Ver- einer Auslagerung sind sie geeignet,
fungen des internen Kontrollsystems im stärkung des internen Kontrollsystems Prüfresultate bezüglich der IT Anwen-

ISACA News  Nr. 04 | Dezember 2014 59


 ISACA-NEWSLETTER

dungskontrollen in den ausgelagerten Umfeld Sinn, da deren Rundschreiben 3) einem oder mehreren der Grundsätze in
Geschäftsbereichen sowie bezüglich der ebenfalls zwischen den Prüftiefen „Prü- einem vergleichsweise kürzeren Bericht,
diese unterstützenden Generellen IT Kon- fung“ und „kritischer Beurteilung“ unter- welcher nicht mehr auf die tatsächlich
trollen wiederzugeben. Letztere stellen scheiden, welche ein positives bzw. ein durchgeführten Prüfungshandlungen
das korrekte Funktionieren der typischen negatives Prüfurteil beinhalten. eingeht, sondern nur noch die Einhaltung
IT Unterstützungsprozesse wie Ände- Bezüglich Berichterstattung orientieren der vorgegebenen Kriterien bestätigt.
rungswesen, Zugriffschutz sowie IT Be- sich Bestätigungen nach dem ISAE 3000
trieb sicher. Standard heute oft an den Berichtsforma- Banken: freie Bestätigung regu-
Berichte nach dem ISAE 3402 Standard ten wie sie für ISAE 3402 Bestätigungen latorischer Vorgaben
– sowie der meisten anderen später dis- verwendet werden. Auch in der Schweiz existieren spezifische
kutierten Berichtsformate - können ent- Vorgaben bezüglich Outsourcing. Im Be-
weder nur die Ausgestaltung und Imple- SOC Reporting: Trust Services reich der FINMA Regulation von Banken
mentation der beschriebenen Kontrollen Principles und Effektenhändlern kommt bezüglich
(Type I) oder aber auch deren operative Nach der Ablösung von SAS 70 durch ISAE Outsourcing dem FINMA Rundschreiben
Effektivität (Type II) beurteilen. 3402 bzw. SSAE 16 wurde ebenfalls durch 2008/7 eine zentrale Bedeutung zu. Es
die amerikanische Vereinigung der Wirt- gibt neun Grundsätze für regulierte Un-
ISAE 3000: Alle Freiheiten schaftsprüfer (American Institute of Certi- ternehmen vor, welche diese für als rele-
Neben dem ISAE 3402 Standard existiert fied Public Accountants, AICPA) ein Stan- vant eingestufte Outsourcing Verhältnisse
auch der grundlegende ISAE 3000 Stan- dard für die Berichterstattung über die einhalten müssen. Die Grundsätze umfas-
dard, welcher für sämtliche Bestätigun- Kontrollen bei Outsourcing-Dienstleistern sen sowohl organisatorische, vertragliche
gen mit Ausnahme der finanziellen Be- herausgegeben: Service Organization als auch technische Vorgaben, welche
richterstattung verwendet werden kann. Control (SOC) Reports. 4) Man unterschei- weit über die finanzielle Berichterstat-
Dies beinhaltet beispielsweise Wirksam- det dabei zwischen SOC 1, SOC 2 sowie tung hinausgehen. Hier werden in der
keit des internen Kontrollsystems oder SOC 3 Berichten. Regel gesonderte Berichte erstellt, wel-
Einhaltung von regulatorischen Vorgaben Erstere entsprechen der bestehenden che nicht einem der oben diskutierten
oder von Vertragsbestimmungen. In der Anwendung von ISAE 3402 bzw. SSAE 16 Standards folgen, sondern sich nur an
Schweiz wird der Standard durch den für Berichte über die internen Kontrollen den Vorgaben der FINMA orientieren.
Prüfstandard PS 950 der Treuhandkam- bezüglich der finanziellen Berichterstat- Grundsätzlich wäre eine Erstellung von
mer umgesetzt, welcher den ISAE 3000 in tung und sollen hier deshalb nicht weiter solchen Berichten nach PS 950 bzw. dem
die lokalen Prüfstandards einbettet. 2) diskutiert werden. Es gelten dieselben ISAE 3000 Standard aber durchaus mög-
Grundlage einer Prüfung nach ISAE Aussagen wie für ISAE 3402 Berichte ge- lich.
3000 ist in der Regel ein zu beurteilender nerell, die AICPA regelt dabei insbeson-
Sachverhalt bzw. andere Kriterien, gegen dere das Berichtsformat. Andere Berichte und Zertifizie-
welche geprüft werden kann. Im Unter- SOC 2 Berichte fokussieren sich genau rungen
schied zu Bestätigungen bezüglich finan- auf die Bestätigung von Sachverhalten In der Praxis wird oft versucht, andere,
zieller Berichterstattung müssen diese ausserhalb der finanziellen Berichterstat- bereits bestehende Zertifizierungen zur
klar definiert sein, da der Prüfumfang tung. Dies geschieht in der Regel eben- Bestätigung von Outsourcing-Dienstleis-
nicht durch weitere Prüfungsstandards falls basierend auf dem vorher diskutier- tungen zu verwenden, z.B. eine Zertifizie-
festgelegt ist. In der Regel erfolgt die ten ISAE 3000 Standard. Der Unterschied rung des Informationssicherheitsma-
Bestätigung wie bei einem ISAE 3402 besteht jedoch darin, dass von der AICPA nagementsystems nach ISO 27001. Grund-
Report indirekt über durch das Unterneh- definierte Kriterien bestehen, welche als sätzlich deckt z.B. ISO 27001 einen
men implementierte Massnahmen und Grundlage des zu beurteilenden Sachver- Grossteil der Kriterien ab, welche eben-
Kontrollen, welche bezüglich ihrer Wirk- halts dienen. Diese Kriterien sind in die falls für den Grundsatz Sicherheit in
samkeit beurteilt werden. so genannten Trust Services Principles einem SOC 2 Bericht verwendet werden.
ISAE 3000 erlaubt nicht nur die Bestä- gegliedert: Die für ISO 27001 identifizierten Massnah-
tigung eines Sachverhalts mit hinreichen- ➤  Sicherheit, men und Kontrollen im Unternehmen
der Sicherheit („reasonable assurance ➤  Verfügbarkeit, können deshalb für eine Outsourcing
engagement“) sondern auch mit einge- ➤  Vertraulichkeit, Berichterstattung nach einem der oben
schränkter Sicherheit („limited assurance ➤  Integrität in der Verarbeitung, sowie diskutierten Standards verwendet wer-
engagement“). Letzteres stellt ein Urteil ➤  Datenschutz. den. Die Zertifizierung selbst ist aber in
mit geringerer Sicherheit dar, welches den meisten Fällen nicht ausreichend, da
durch eingeschränkte Prüfungshandlun- Ein Outsourcing-Dienstleister kann einen sie oft nicht alle relevanten Aspekte ab-
gen gestützt wird. Entsprechend der ge- Bericht über mindestens einen der deckt, nur periodisch (z.B. alle 3 Jahre)
wählten Prüftiefe wird ein positiv oder Grundsätze erstellen lassen. Die Kriterien geprüft wird und andere Zeitperioden
negativ formuliertes Prüfurteil abgege- für die gewählten Grundsätze sind jedoch abdeckt. In jedem Fall sollte der Umfang,
ben. vorgegeben und bestimmen, was durch Häufigkeit der Prüfung sowie abgedeckte
Diese Unterscheidung macht in der den Bericht abgedeckt wird. Periode genau analysiert werden, bevor
Schweiz insbesondere im Bereich von Als Konsequenz besteht ein SOC 3 Be- ein solcher Bericht wiederverwendet
regulatorischen Prüfungen im FINMA richt dann in einer Zertifizierung von wird. Sie müssen geeignet sein, die von

60 ISACA News  Nr. 04 | Dezember 2014


ISACA-NEWSLETTER

Berichtsform
Berichtsform ISAE 3402 (SOC 1) ISAE 3000 SOC 2 SOC 3 FINMA Standard
Kriterium
Kriterium

Abdeckung Bericht Beliebige Kriterien mit Relevanz Beliebige Kriterien Primär Bereiche wie: Primär Bereiche wie: Beliebige Kriterien
für die finanzielle
Berichterstattung:
•  Transaktionen •  Infrastruktur •  Infrastruktur
•  Prozesse für •  Software •  Software
 Transaktionsabwicklung •  Prozesse •  Prozesse
•  Berichterstattung •  Personen •  Personen
•  Umgang mit wichtigen •  Daten •  Daten
Geschäftsereignissen
Typische Inhalte Kontrollen über Beliebige Kontrollen oder Eines oder mehrere der Eines oder mehrere der Grundsätze eines
Transaktionsverarbeitung mit zu bestätigende Trust Service Principles: Trust Service Principles: Rundschreibens, z.B.
Relevanz für die finanzielle Sachverhalte •  Sicherheit •  Sicherheit •  RS 2008/7
Berichterstattung •  Verfügbarkeit •  Verfügbarkeit Outsourcing oder
Kontrollen über die •  Vertraulichkeit •  Vertraulichkeit •  RS 2008/21
unterstützenden IT Prozesse •  Integrität der •  Integrität der Operationelle
(Generelle IT Kontrollen) •  Verarbeitung •  Verarbeitung Risiken
•  Datenschutz •  Datenschutz
Standardisierung Inhalt Kontrollframework wird durch Kontrollframework wird Der Dienstleister kann die Der Dienstleister kann Beliebiger Inhalt
den Dienstleister definiert durch den Dienstleister abzudeckenden Trust die abzudeckenden (nicht
definiert Service Principles wählen, Trust Service Principles standardisiert)
deren Umfang ist aber wählen, deren Umfang
festgelegt ist aber festgelegt

Berichtsformat •  Bestätigung Prüfer Beliebig, orientiert sich •  Bestätigung Prüfer Bestätigung (Zertifikat) Beliebig, orientiert
•  Bestätigung Management aber oft an ISAE 3402 •  Bestätigung Management sich oft an FINMA
•  Beschreibung Framework, •  Beschreibung Keine Informationen zu Longform Reports
Kontrollziele und Framework, Kriterien durchgeführten
Kontrollaktivitäten und Kontrollaktivitäten Prüfungshandlungen
•  Resultat der Effektivitätsprüfung •  Resultat der Kann nur bei einem
•  Zusatzinformationen Effektivitätsprüfung nicht qualifizierten
•  Zusatzinformationen Bericht verwendet
werden
Umgang mit Unterakkordanten[5] Carve-in oder carve-out möglich Carve-in oder carve-out Carve-in oder carve-out Nur carve-in Carve-in oder carve-
möglich möglich out möglich
Empfänger Kunden und deren Prüfer Kunden und deren Prüfer Kunden und deren Prüfer Kunden und deren Der FINMA
Prüfer, kann aber als unterstellte Institute
Siegel auch publiziert und deren Prüfer
werden
Verbreitung De-facto Standard Geringe Verbreitung Geringe Verbreitung Sehr geringe Verbreitung De-facto Standard

den Unternehmen an den Dienstleister tet. Die Standardisierung von Berichtsin- trol Reporting http://www.aicpa.org/InterestAreas/FRC/
AssuranceAdvisoryServices/Pages/SORHome.aspx
gestellten Anforderungen zu erfüllen. halten über die Trust Services Principles
von SOC 2 und SOC 3 Berichten schränkt 5) Ein Bericht kann Aussagen zu Unterakkordanten (z.B.
Hosting Provider) einschliessen (carve-in) oder von der
Vor- und Nachteile der verschie- zwar die Flexibilität ein, erlaubt aber eine Bestätigung ausnehmen (carve out)
denen Standards höhere Vergleichbarkeit von Berichten
Die obenstehende Tabelle versucht, die verschiedener Dienstleister und auch
verschiedenen Standards einander ge- deren einfachere Verwendung. Zudem
genüberzustellen und aufzuzeigen, in befriedigt SOC 3 das Verlangen nach
welchen Fällen welche Standards am einem einfach zu verwendenden Zertifi- DER AUTOR
besten geeignet sind. kat für Outsourcing Dienstleister und
kann als Siegel auch zu Werbezwecken Raffael Schweitzer ist
Fazit z.B. auf der Homepage gezeigt werden. diplomierter Wirt-
schaftsinformatiker
Neben dem bewährten und etablierten Es bleibt abzuwarten, inwiefern diese
und 34 Jahre alt. Er ist
ISAE 3402 Bericht existieren heute wei- Möglichkeiten in Zukunft von Dienstleis-
seit rund 10 Jahren
tere Berichtsformen, welche insbeson- tern auch für regulatorische (FINMA-) bei KPMG als IT Prüfer
dere zur Abdeckung von nicht auf die Fi- Berichte verwendet werden. tätig und leitet dort
nanzberichterstattung fokussierten The- den Bereich IT
1) Der Prüfstandard PS 402 der Treuhandkammer regelt
menbereichen geeignet sind. Vor allem die Verwendung von Outsourcing Berichten im Rahmen Assurance Financial Services. In dieser
der ISAE 3000 Standard erlaubt mit sei- der Finanzprüfung. Es handelt sich dabei um keinen Be- Funktion ist er unter anderem für periodi-
ner grossen Flexibilität eine sehr breite richtsstandard. sche Erstellung von Berichten nach den ISAE
Anwendung und birgt ein grosses Poten- 2) Eine umfassende Beschreibung des PS 950 und ISAE
Standards sowie auch regulatorischen
tial für die Abdeckung von Themen wie 3000 findet sich im Artikel ‚Betriebswirtschaftliche Prü- Berichten für verschiedenste Banken und
fungen nach Schweizer Prüfungsstandard 950’ von Hans Dienstleister im Finanzbereich verantwort-
Business Continuity Management, Ver- Moser, Der Schweizer Treuhänder, Ausgabe 2014 1-2
lich. Zudem berät er Outsourcing Dienstleis-
traulichkeit oder auch Kundendaten-
3) Vgl. FINMA Rundschreiben 2013/3, Prüfwesen, Rz 32ff ter ebenfalls bei der Erstellung von Kontroll-
schutz. Der Standard ist zudem als PS 950
frameworks für solche Berichte.
in die Schweizer Prüfstandards eingebet- 4) Siehe AICPA Homepage zu Service Organization Con-

ISACA News  Nr. 04 | Dezember 2014 61


 ISACA-NEWSLETTER

Informationen des Verbands

IT-Prüfer gesucht –
sind Sie ein Sherlock Holmes
oder lieber ein Dr. Watson?
W
ie der Artikel von Raffael (z.B. PS950, ISAE3402) unzählige Vorgaben, Grundlagen (grösstenteils im Rahmen
Schweitzer aufzeigt, beste- die bei einer Prüfung einzuhalten sind. eines strukturierten Selbststudiums ab 1.
hen unterschiedlichste Zerti- Es nützt jedoch wenig, die einschlägi- Februar 2015) als auch die bewährte Be-
fikate und Attestierungen im gen Standards auswendig zu lernen: rufspraxis (grösstenteils im Präsenzunter-
IT-Umfeld, welche jeweils ihre spezifi- Standards entsprechen eigentlich in den richt im Juni/Juli) vermitteln. Ausführliche
schen Eigenschaften haben und für einen meisten Fällen der bewährten Praxis – und klar strukturierte Unterlagen mit
bestimmten Anwendungszweck geschaf- um die Standards zu verstehen, muss Fachbüchern, Skript und Fallstudien die-
fen wurden. Gemeinsam ist allen, dass es man die bewährte Praxis im Detail ken- nen nicht nur zur Vorbereitung auf die
Spezialisten benötigt, welche die Unter- nen und verstehen. Hier hilft entweder internationale Zertifikatsprüfung sondern
nehmen analysieren («auditieren»). Wäh- eine lange und breite Berufserfahrung auch als Nachschlagewerk im Berufsall-
rend die Vorgaben für die Prüfungen im oder eine seriöse Ausbildung. tag. Der kompakte CISA-Prüfungsvorbe-
Rahmen der meisten ISO-Zertifizierung Seit über 20 Jahren bietet das ISACA reitungkurs jeweils im Herbst kann in
(z.B. ISO27001, ISO20000) relativ schlank Switzerland Chapter die CISA-Vertie- Kombination mit dem CISA-Vertiefungs-
sind, umfassen die nationalen und inter- fungskurse an, welche den Teilnehmern kurs oder auch separat gebucht werden.
nationalen Standards der Finanzprüfung sowohl die notwendigen theoretischen Erkundigen Sie sich auf unserer Web-
seite www.isaca.ch.
Ein Dr. Watson oder Sherlock Holmes
werden Sie zwar auch mit unseren Kur-
sen nicht. Aber ein kompetenter IT-Prüfer
auf jeden Fall.

WEITERE INFORMATIONEN
Weitere Details zum CISA-Zertifikat und zur
entsprechenden Ausbildung finden Sie auf:
www.isaca.ch

ISACA-TRAINING
Datum Code Hauptthema – Kurstitel
22.-23.01.2015 Network Analysis & Advanced (Jona)
05.-06.02.2015 iPhone & iPad Security (Jona)
www.isaca.ch
05.-07.01.2015 P-SOGF3 Sourcing Governance Foundation
26.-28.01.2015 P-PCSM3 Professional Cloud Service Manager
www.glenfis.ch

IMPRESSUM ISACA NEWS


Herausgeber, Redaktion: ISACA Switzerland Chapter
Adresse: Sekretariat ISACA c/o BDO AG, Biberiststrasse 16, 4501 Solothurn
Erscheinungsweise: 4x jährlich in Swiss IT Magazine
Mitgliedschaft: Wir begrüssen alle, die Interesse an Audit, Governance und Sicherheit von Informationssystemen haben.
Es ist nicht notwendig, dass Sie Sicherheitsspezialist oder Revisor sind, um bei uns Mitglied zu werden.
Weitere Informationen finden Sie unter www.isaca.ch
Copyright: © Switzerland Chapter der ISACA

62 ISACA News  Nr. 04 | Dezember 2014

Das könnte Ihnen auch gefallen