Einleitung
Immer mehr Kunden – besonders aus der Automobilindustrie, Finanzbranche oder der EU – verlangen von ihren Dienstleistern einen ISAE 3402-Bericht. Für viele Schweizer KMU ist das neu. Während ISO 27001 und TISAX bekannt sind, geht ISAE 3402 einen Schritt weiter: Er liefert ein formelles Prüfungsurteil eines unabhängigen Wirtschaftsprüfers, das Vertrauen in ausgelagerte Prozesse schafft.
Dieser Beitrag erklärt, was ISAE 3402 ist, welche Branchen und Services betroffen sind, warum Kunden den Bericht fordern – und wie wollconsulting.ch KMU praxisnah unterstützt.
1. Was ist ISAE 3402?
ISAE 3402 (International Standard on Assurance Engagements) ist ein internationaler Standard zur Prüfung des internen Kontrollsystems (IKS) bei Dienstleistern, deren Leistungen Einfluss auf die Finanzberichterstattung von Kunden haben.
• Typ I: Prüfung des Designs der Kontrollen zu einem Stichtag.
• Typ II: Prüfung der Wirksamkeit der Kontrollen über mind. 6, meist 12 Monate.
Unterschied zu ISO/TISAX: ISO 27001 und TISAX bestätigen den Aufbau eines ISMS. ISAE 3402 prüft, ob Kontrollen dauerhaft wirksam umgesetzt werden.
2. Warum Kunden ISAE 3402 verlangen
Kunden fordern den Bericht aus klaren Gründen:
• Regulatorische Pflicht: Besonders in Finance & Automotive fließt ISAE direkt in Abschlussprüfungen ein.
• Reduzierte Auditkosten: Kunden sparen bis zu 25 % Revisionsaufwand, wenn Dienstleister geprüfte Berichte vorlegen.
• Vergleichbarkeit: Einheitliches Prüfungsformat erleichtert die Bewertung mehrerer Anbieter.
• Lieferketten-Sicherheit: Vertrauen in geprüfte Partner wird zum Muss.
Nutzen für Kunden: Weniger Risiko, weniger Kosten, mehr Sicherheit.
3. ISEA 3402 Berichte, Typ I vs. Typ II
• Typ I (Designprüfung):
– Fokus: Kontrollen sind dokumentiert und implementiert.
– Dauer: 2–3 Monate.
– Nutzen: Schneller Einstieg, Reife-Check.
– Limitierung: Keine Aussage zur Langzeitwirksamkeit.
• Typ II (Wirksamkeitsprüfung):
– Fokus: Kontrollen funktionieren über 6–12 Monate.
– Dauer: inkl. Prüfungszeitraum 6–12 Monate.
– Nutzen: Branchenstandard, jährlich gefordert.
Best Practice: Start mit Typ I, danach jährlicher Typ II.
4. Scope – Prüfungsumfang
Ein klarer Scope bestimmt Aufwand und Aussagekraft. Er umfasst:
• Services: SaaS-Plattformen, Hosting, BPO-Services.
• Prozesse: IAM, Change, Incident, Backup, DR, Monitoring, Security.
• Standorte: Rechenzentren, operative Einheiten.
• Subdienstleister: inclusive (mitgeprüft) oder carve-out (ausgenommen).
• CUECs (Customer Controls): Kundenpflichten, z. B. rechtzeitige User-Deaktivierung.
Best Practice: Alle kundenrelevanten Risiken abdecken, nicht mehr, nicht weniger.
5. Welche Produkte & Branchen betroffen sind
ISAE 3402 wird immer dann gefordert, wenn Ihr Service die Finanz- oder Compliance-Prozesse Ihrer Kunden beeinflusst.
Typische Services:
• Cloud- und Hosting-Services (SaaS, IaaS, Rechenzentren).
• Business Process Outsourcing (Buchhaltung, Payroll, Zahlungsverkehr).
• IT Managed Services (Access Management, Monitoring, Change Management).
• Finanzdienstleistungen im Auftrag von Kunden (Transaktionen, Reporting).
Branchen:
• Automotive (OEMs, Tier-1-Zulieferer).
• Finanzdienstleister & Versicherungen.
• Gesundheitswesen & Pharma.
• Industrie & Logistik (ERP-/SCM-Outsourcing).
• Öffentliche Hand & Utilities.
Fazit: Für SaaS-/Cloud-Anbieter und BPO-Dienstleister wird ISAE 3402 zur Marktanforderung.
6. Zusätzliche Anforderungen gegenüber ISO/TISAX
ISAE 3402 verlangt mehr als ein Zertifikat:
• Systembeschreibung des gesamten IKS.
• Kontrollmatrix (Risiken, Ziele, Maßnahmen).
• Evidenzmanagement (lückenlose Nachweise).
• Management Assertion (Erklärung der Geschäftsführung).
7. Dauer & Kosten
• Typ I: 2–3 Monate; 20’000–30’000 CHF.
• Typ II: 6–12 Monate; 30’000–60’000 CHF.
• Intern: Zusätzliche Ressourcen für IT, ISB, Fachbereiche, internes Audit.
Kosten trägt primär der Dienstleister – Kunden profitieren von weniger eigenen Audits.
8. Rollen & Aufwände
| Rolle | Aufgaben | Aufwand Typ I | Aufwand Typ II |
| IT | Logs, Backups, Monitoring, Support für Auditor | 5–12 PT | 8–20 PT |
| ISB | Projektleitung, Systembeschreibung, Evidenz | 8–15 PT | 10–20 PT |
| Fachbereiche | Operative Kontrollen, Nachweise | 3–8 PT | 5–12 PT |
| Internes Audit | Gap-Analysen, Vorab-Checks | 5–10 PT | 8–15 PT |
| Externe Berater | Mapping ISO/TISAX → ISAE, Mock-Audits | 5–15 PT | 3–10 PT |
| Wirtschaftsprüfer | Planung, Tests, Bericht, Urteil | 15–30 PT | 30–50 PT |
9. Häufigkeit
• Typ I: Einmalig oder bei Veränderungen.
• Typ II: Jährlich, Bericht darf nicht älter als 12 Monate sein.
• Bridge Letter: Zwischenlösung, falls neuer Bericht noch nicht vorliegt.
10. Rolle externer Berater
ISO-/TISAX-Berater können die Lücke zu ISAE 3402 schliessen:
• Mapping vorhandener Strukturen,
• Gap-Analyse,
• Mock-Audits & Coaching.
Nutzen: Saubere Vorbereitung senkt Rückfragen des Wirtschaftsprüfers und reduziert externe Kosten.
11. Konsequenzen & Markteintrittsbarrieren
• Kontinuität: ISAE zwingt zur konsequenten Umsetzung von ISO/TISAX – kein „Papier-Label“.
• Kosten: Jährliche Prüfungen, Evidenzführung und interne Ressourcen sind Pflicht.
• Barriere: Für kleine Anbieter eine Markteintrittshürde, für etablierte Anbieter ein Wettbewerbsvorteil.
• Strategie: ISAE 3402 wird zum Qualitätsmerkmal in Ausschreibungen.
Fazit
Für Schweizer KMU mit Cloud- oder Business-Services ist ISAE 3402 kein „Nice-to-have“, sondern zunehmend ein Kundenerfordernis.
Empfohlener Weg:
1. Scope festlegen.
2. Typ I als Einstieg.
3. Kontrollen stabil betreiben, Evidenz sammeln.
4. Typ II jährlich etablieren.
Ergebnis: Ein kontinuierlicher Prüfungszyklus, der Kunden Sicherheit gibt und Ihr Unternehmen als verlässlichen Partner im Markt positioniert.
wollconsulting.ch unterstützt Sie dabei praxisnah – von der Gap-Analyse bis zur erfolgreichen Wirtschaftsprüferprüfung.
