Die BGK arbeitet ISAE-3402-konform
Ralf Mund, 06.05.2016
Die BGK hat einen Geschäftsprozess, den sie für einen Kunden betreibt, gemäß des Standards ISAE 3402 zertifizieren lassen. Damit stellt die BGK auf geprüfte Weise sicher, dass bei der Durchführung von Geschäftsprozessen das Risikomanagement des Kunden greifen kann. Eine wichtige Säule für vertrauenswürdige und sichere Anwendungsszenarien.
Für einen österreichischen Kunden aus der Finanzbranche betreiben wir einen Geschäftsprozess, der relevant für das Risikomanagement des Kunden ist. Daher haben wir uns vertraglich dazu verpflichtet, diesen Prozess bei uns im Hause und bei dem von uns eingesetzten Dienstleister nach ISAE 3402 Typ 2 prüfen zu lassen. Der Typ 2 dieses Standards deckt neben der Beurteilung der Kontrollen auch die Wirksamkeit ab - die Kontrollen werden hier zusätzlich anhand von Stichproben vor Ort überprüft.
Was verbirgt sich hinter dem Begriff ISAE 3402?
ISAE 3402 ist ein Standard aus den International Standards for Assurance Engagements (ISAE). Diese Standards werden von der International Federation of Accountants (IFAC), einer internationalen Vereinigung von Wirtschaftsprüfern, definiert und gelten als Branchenstandards.
ISAE 3402 definiert, vereinfacht formuliert, einen Standard, mit dem Unternehmen, die Geschäftsprozesse an Dritte ausgelagert haben, sicherstellen können, dass auch beim externen Dienstleister das Risikomanagement greift.
Unsere Vorgehensweise
Zur Vorbereitung auf die Prüfung haben wir uns Berater einer Prüfungsgesellschaft ins Haus geholt. Diese Berater haben uns mit ihren Erfahrungen geholfen, die bereits vorhandenen Vorgehensweisen und Kontrollen in eine entsprechende ISAE-3402-Struktur zu überführen. Neben dem Aufbau der Struktur waren aufgrund unserer langjährigen Prozess- und Projekterfahrung inhaltlich nur noch kleinere Optimierungen notwendig.
Die eigentliche Prüfung wurde durch eine externe Prüfungsgesellschaft durchgeführt, die zu diesem Zweck zwei Berater insgesamt drei Tage zu uns und unserem Dienstleister entsendete. Ziel der umfangreichen Prüfung waren hierbei unter anderem IT-Richtlinien, Verpflichtungserklärungen der Mitarbeiter, Prozessdokumentationen, die Messung und das Reporting der Service Levels, die Dokumentation und Sicherheit der eingesetzten IT-Systeme sowie das Testmanagement. Zusätzlich wurden die von unserem Kunden aufgegebenen Tickets hinsichtlich Nachvollziehbarkeit und Durchgängigkeit betrachtet. Nach der dreitägigen Vor-Ort-Prüfung haben sich die Prüfer mit den gesammelten Eindrücken und Notizen sowie verschiedensten von uns bereitgestellten Dokumenten zurückgezogen, intern die Bewertung vorgenommen und den Abschlussbericht erstellt.
Das erfreuliche Ergebnis dieses
Prüfvorgangs ist, dass die Prüfungsgesellschaft die in unseren Beschreibungen
genannten Kontrollen für angemessen hält, die formulierten Kontrollziele zu
erreichen. Zusätzlich haben die geprüften Kontrollen gezeigt, dass durch diese
die definierten Kontrollziele im Prüfungszeitraum erfüllt wurden.
Was bedeutet dieses Vorgehen für andere Projekte?
Sowohl die Vorbereitung auf die Prüfung als auch die Prüfung selbst haben uns gezeigt, dass unser generelles prozessuales und transparentes Vorgehen den Anforderungen des Standards ISAE 3402 entspricht. Wir gehen in vergleichbaren Projekten entsprechend vor. Sollte auch hier die Anforderung einer Prüfung gestellt werden, so müssen die einzelnen Elemente nur noch in die typische Prüfungsstruktur überführt werden.
Weiterführende Links:
