Ein wichtiger internationaler Prüfungsstandard für IT-Outsourcing-Vorhaben ist in dem Zusammenhang die ISAE 3402 (International Standards for Assurance Engagements), welcher dem auslagernden Unternehmen die Beurteilung der internen Kontrollen des Dienstleisters und somit einen ganzheitlichen Blick auf das eigene interne Kontrollsystem (IKS) ermöglicht.

Die finone GmbH wurde von einem unabhängigen Wirtschaftsprüfer nach ISAE (Typ 1) ohne Beanstandungen geprüft. Die Prüfung nach ISAE (Typ 2) erfolgt Ende 2024. finone erfüllt damit erneut die hohen regulatorischen Anforderungen.

Die Auslagerung von Bestandteilen der IT bzw. Software-Produkten ist durch bspw. die BaFin durch die Definition von Mindestanforderungen an das Risikomanagement (MaRisk) auf der Basis des §25a Kreditwesengesetz (KWG) und vertiefend in der Bankaufsichtlichen Anforderung an die IT (BAIT) in engen Leitplanken definiert.

Die Verantwortung verbleibt auch bei der Auslagerung an Dritte jedoch grundsätzlich beim Unternehmen selbst und geht nicht auf den Dienstleister über. Die ISAE 3402 bietet auslagernden Unternehmen deshalb die Möglichkeit, notwendige Informationen für die eigenen internen Kontrollen zu erhalten bzw. sich Prüfungen Dritter bedienen zu können.

ISAE 3402 unterscheidet zwei Berichtstypen:

• Typ 1: Es findet eine Beurteilung der Kontrollziele und deren Umsetzung statt.
• Typ 2: Neben den Kontrollzielen und deren Implementierung wird die operative Wirksamkeit der Kontrollen analysiert.

Insbesondere Kunden aus dem Finanzumfeld sollten solch einen Report als Anforderung an ihre Dienstleister stellen – den  die finone gern erfüllten. Bereits früh in der Unternehmenshistorie erfolgten die Zertifizierungen nach ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit). Durch den Schwerpunkt von finone auf die Finanzindustrie mit den erfolgreichen Marken finstreet und fintus,  wurde die Entscheidung getroffen, einen Prüfbericht nach ISAE 3402 (Typ 1 und 2) als weitere Dokumentation der internen Bestrebungen und aufgesetzten Kontrollen erstellen und extern auditieren zu lassen.

Neben einer Erklärung der Unternehmensleitung, die versichert, dass das Kontrollsystem korrekt dargestellt und dass die Kontrollziele während des gesamten Prüfungszeitraumes mit den durchgeführten Kontrollen erreicht werden konnten, enthält der ISAE 3402-Bericht unter anderem folgende Punkte:

• Dienstleistungen und Prozesse, die geprüft wurden
• Durch die Prüfungen abgedeckter Zeitraum
• Informationen über die Kontrollziele und den entsprechenden Kontrollen

Bereits 2023 wurde mit den Vorbereitungen begonnen und ein Wirtschaftsprüfer beauftragt, da eine Voraussetzung der Prüfung die Erstellung des Berichts durch eine unabhängige Instanz ist.  Bei der Formulierung der relevanten Prozesse und Kontrollziele orientierte sich die finone an den notwendigen Kontrollzielen der Kunden aus der Finanzindustrie.

Ab 2024 wird die finone jährlich einen ISAE 3402 (Typ2) Report erstellen lassen, der dann jeweils einen Prüfungszeitraum eines ganzen Jahres abdeckt. In diesem Kontext finden auch Reviews der Kontrollen statt, so dass der Bericht bei Bedarf um weitere Kontrollpunkte ergänzt werden kann.

Die Finanzindustrie gehört zu den reguliertesten Branchen in Europa. Wir stellen uns gemeinsam mit unseren Kunden der fortwährenden Herausforderung.