Das Erstellen von relevanten Reports für Wirtschaftsprüfungsgesellschaften ist für den IT-Betrieb oftmals eine Herausforderung: Einerseits auf Grund der Anforderungen an die IT, die sich aus den Reports ergeben. Andererseits wegen des zeitlichen Aufwands, der benötigt wird, um den Report gemeinsam mit einer Prüfungsgesellschaft erarbeiten zu können. Trotzdem hat sich SPIRIT/21 dafür entschieden, ISAE 3402 Type 2 Reports zu erstellen.

ISAE 3402 Type 2 Report – was steckt dahinter?

Service Providern dürfte der ISAE 3402 Type 2 Report vermutlich aus Kundendiskussionen ein Begriff sein. Es handelt sich dabei um einen international anerkannten Prüfungsstandard für interne Kontrollsysteme. Viele unserer Kunden benötigen diesen Report, um gegenüber ihren Wirtschaftsprüfern nachzuweisen, dass ihr Managed Services Provider bestimmte Standards einhält und Kontrollen aufweist, die auch gelebt werden. Gerade im SAP Umfeld, wenn es um rechnungsrelevante Daten geht, ist dieser Report eine wichtige Grundlage. In Deutschland ist der IDW PS 951 Report bekannter. Inhaltlich haben beide Berichte denselben Fokus.

ISAE Report erstmals erstellt – warum?

Für uns als IT-Dienstleister schien die Erstellung des Reports immer mit einem großen Aufwand verbunden, aber nur mit wenig Chancen auf eine erfolgreiche Implementierung. Dennoch haben wir den Schritt gewagt und erstmals einen ISAE 3402 Type 2 Report für einen unserer Kunden erfolgreich erstellt. Warum sind wir diesen Schritt gegangen?

1. Unsere Kunden benötigen den Report als Nachweis gegenüber ihren Wirtschaftsprüfern. Unser Ziel ist es, unsere Kunden bestmöglich in ihrem Business zu unterstützen. Somit ist die Erstellung des Reports ein logischer Schritt.
2. Wir wissen, dass wir gute und sichere Services für unsere Kunden leisten. Gerade im Rahmen von Angebotspräsentationen und -verhandlungen mit potentiellen Neukunden ist dies aber oft nur schwer objektiv und transparent darstellbar. Der Report ist somit für uns eine Art marktbekanntes Gütesiegel für unsere Services.
3. Letztlich zeigt der Report auf, welche Kontrollen benötigt werden, welche bereits implementiert sind und gelebt werden, und wo es noch Abweichungen gibt. Für uns ist dies eine wichtige Basis, um Optimierungspotentiale unserer Serivces aufgezeigt zu bekommen und gemeinsam mit unseren Kunden Schritt für Schritt besser zu werden. Ohne Herausforderungen und externes Feedback ist eine stetige Verbesserung nur schwer möglich.

Hat es sich gelohnt?

Ja, es bedeutet Aufwand für den IT-Dienstleister; ja, es ist herausfordernd; aber ja, es lohnt sich. Unser IT-Betrieb ist wieder ein Stück professioneller geworden und unsere Kunden bekommen die Unterstützung, die sie benötigen.

Als nächstes wollen wir zum einen die erkannten Optimierungspotentiale umsetzen und ausschöpfen, zum anderen auch weitere Systeme in den ISAE-Report mit aufnehmen. Auf diese Weise sollen bald alle Kunden abgedeckt sein und der Report ganzheitlich zur Verfügung gestellt werden können.