SSAE 18 – Standards zur Bewertung der internen Kontrollen eines auslagernden Unternehmens

SSAE 18
Entscheidet sich ein Unternehmen für das Outsourcing von bestimmten Geschäftsbereichen, müssen interne Kontrollen eines auslagernden Unternehmens bewertet werden. SSAE 18 – eine Verordnung des AICPA (American Institute of Certified Public Accountants). Die Vorschrift SSAE18 definiert diese Standards und betrifft alle outsourcenden Organisationen, z.B. Subscription Management- und Cloud-Service-Anbietern, welche in einem amerikanischen Kundenumfeld tätig sind.

Was ist SSAE 18?

SSAE steht für Statement on Standards for Attestation Engagements, das vom American Institute of Certified Public Accountants (AICPA) beaufsichtigt wird. Das SSAE regelt, wie Unternehmen ihre Geschäfte abwickeln und definiert insbesondere, wie Unternehmen über Compliance-Kontrollen berichten. Die SSAE 18 Auditierung spezifiziert die internen Kontrollen in Bezug auf die Identifizierung und Klassifizierung von Risiken und ein angemessenes Management der Beziehungen zu Drittanbietern. Es handelt sich hierbei um den strengeren amerikanischen Standard, dessen Pendant der deutsche Standard IDW PS 951 und das korrespondierende internationale Pendant ISAE 3402 sind.

Die SSAE 18 Auditierung ist der Nachfolger des SSAE 16 und seit Mai 2017 in Kraft. Nach dem neuen Standard muss eine Serviceorganisation Kontrollen zur Überwachung ihrer Sub-Service-Organisationen entwickelt und implementiert haben und diese Kontrollen in die Beschreibung ihres Systems aufnehmen.

Dienstleistungsorganisationen, die rechnungslegungsrelevante Informationen für ihre Kunden verarbeiten, sind sogar verpflichtet, einen Bericht über die Kontrollen in einer Dienstleistungsorganisation zu erstellen.

Ist Ihre Subscription Management Lösung konform mit allen EU-Richtlinien und hilft Ihnen bei der Automatisierung Ihrer Prozesse?

 

Jetzt Checkliste herunterladen

Was ist ein internes Kontrollsystem (IKS)?

Unternehmen sind mit verschiedensten Risiken konfrontiert. Interne Kontrollsysteme (IKS) sorgen daher dafür, dass die Ziele der Organisation erreicht werden. Mit der Einrichtung eines internen Kontrollsystems und der Überwachung der Einhaltung vorab festgelegter Kontrollziele stellen sie sicher, dass Risiken rechtzeitig erkannt und minimiert werden. Unternehmen können sich auf die eigenen Kernkompetenzen konzentrieren, in dem Wissen, dass sie bestmöglich vor Bedrohungen geschützt sind. Aber auch ein ordnungsgemäß konzipiertes und funktionierendes internes Kontrollsystem wird Risiken nie vollständig verhindern. Eine regelmäßige Überprüfung der Kontrollziele und die Anpassung der Kontrollen gewährleistet jedoch eine kontinuierliche Risikominimierung.

Weshalb ist die Prüfung gemäß SSAE 18 wichtig?

Mit der zunehmenden digitalen Vernetzung steigt auch die Bedrohung durch Cyberkriminalität. Jedes neue Gateway ist ein potenzielles Einfallstor für Angreifer. Daten, vor allem sensible Kundendaten, sind wertvoll für Unternehmen, aber gleichzeitig auch ein beliebtes Angriffsziel. Je sensibler diese Daten sind, umso höher sind die Anforderungen an deren Sicherheit. Unternehmen müssen aber nicht nur dafür Sorge tragen, dass die eigenen Prozesse und die eigene Infrastruktur sicher sind, sondern auch die der eigenen Dienstleister. Um sicher zu sein, dass diese Dienstleister im Rahmen von Outsourcingaktivitäten alle notwendigen Maßnahmen und Kontrollmechanismen installiert haben, um Bedrohungen abzuwehren, bedarf es eines international verständlichen Nachweises. Für den amerikanischen Raum ist dies die SSAE 18 Auditierung.

Für welche Unternehmen ist die Prüfung nach SSAE 18 relevant?

SSAE 18 und ISAE 3402 werden vor allem von Unternehmen genutzt, die Finanzdaten ihrer Kunden speichern bzw. verarbeiten, z. B. Gehaltsabrechnungen, Rechenzentren, externe Administratoren, Software als Dienstleistung (SaaS), Logistik, Vermögensverwaltung usw.

Insbesondere wenn das Nutzerunternehmen börsennotiert ist, werden Dienstleister aufgefordert, eine SSAE 18 Zertifizierung vorzulegen.

Der Sarbanes-Oxley-Act (bezieht sich auf die Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen) hat beispielsweise einen starken Einfluss auf die Auditing- und Berichtsprozesse in Unternehmen. Er definiert die unternehmensseitige Verantwortung für Finanzberichte und gibt vor, dass die Unternehmensführung die Wirksamkeit interner Kontrollen und Verfahren bewerten muss. SSAE 18 und ISAE 3402 regeln die internen Kontrollen dieser Gesetzgebung.

SSAE 18 für Unternehmen mit Abo-Geschäftsmodell?

Insbesondere für börsenorientierte Subscription-Unternehmen ist die Auditierung nach SSAE 18 ein wichtiges Qualitätsmerkmal. Bei ihren Prozessen greifen sie regelmäßig auf kritische Kundendaten, wie etwa Kontoverbindungen, zu. Unternehmen stehen daher unter zunehmendem Druck, nachzuweisen, dass sie effektiv gegen die allgegenwärtigen Sicherheitsbedrohungen vorgehen und über wirksame Prozesse und Kontrollen verfügen, um Sicherheitsverletzungen zu erkennen. Dabei garantiert die SSAE 18 Auditierung die Einhaltung höchster Sicherheits- und Compliance-Standards insbesondere für Unternehmen die an der amerikanischen Börse gelistet sind.

Wie läuft eine Prüfung nach SSAE 18 ab?

Dienstleistungsunternehmen, die sich zertifizieren lassen wollen, müssen sich einer strengen Prüfung nach SSAE 18 durch einen externen Prüfer unterziehen. Dabei werden Tests in den Bereichen Kontrollumfeld, physische Sicherheit, Umweltschutz, Informationssicherheit, Kontrolle von Anwendungsänderungen, Datenkommunikation sowie Dateneingabe und -Validierung durchgeführt.

  • 1. Vorbereitung: Bereits hier werden die Prozesse und Kontrollen, die durchgeführt werden, definiert. In der ersten Phase geht es zudem um die Auswahl der externen Prüfungsgesellschaft.
  • 2. Bewerbung bzw. interner Audit In dieser Phase werden die geschäftlichen Verpflichtungen definiert und die aktuellen Kontrolllücken identifiziert. Das Ziel ist, bereits vor der eigentlichen Prüfung gemäß SSAE 18 alle Schwachstellen zu finden und zu beheben.
  • 3. Behebung Nach dem internen Audit werden die identifizierten Probleme dokumentiert und bestehende Lücken beseitigt. Des Weiteren werden Systembeschreibungen und ein Kommunikationsplan entwickelt. Vor allem geht es aber um die Implementierung notwendiger Maßnahmen und Kontrollmechanismen.
  • 4. Prüfung Die eigentliche SSAE 18 Auditierung. Die externen Prüfer führen Tests durch und untersuchen die internen Prozesse. Im Anschluss erfolgt – bei bestandenem Audit – die entsprechende Bescheinigung.

Die Vorteile einer Prüfung nach SSAE 18

Die Prüfung nach SSAE18 ist für Unternehmen die an der amerikanischen Börse gelistet sind Pflicht. Vorteile der Umsetzung des SSAE 18 Standards für Unternehmen sind z.B. in der Transparenz und der Schaffung eines Vertrauensverhältnis zu Anwendern zu sehen, da Kontrollen und Prozesse von einem unabhängigen Dritten geprüft werden.

  • Sich von der Konkurrenz abheben: Eine Auditierung nach SSAE 18 unterstreicht das Bewusstsein für Datenschutz und die Sicherheit der eigenen Prozesse. Da immer mehr Unternehmen Prozesse und Aufgaben auslagern, steigt auch die Anzahl an Dienstleistern auf dem Markt. Wer über Zertifizierungen oder Auditierungen – etwa nach SSAE 18 – verfügt, kann sich sowohl von der nationalen wie auch der internationalen Konkurrenz abheben. Die eigenen Werbeversprechen werden quasi von der AICPA bestätigt.
  • Dienstleistungen für öffentlich Unternehmen übernehmen: Wenn ein öffentliches Unternehmen in den USA finanziell bedeutsame Aufgaben wahrnimmt, ist es verpflichtet, einen Anbieter mit einer gültigen SSAE 18 Auditierung zu beauftragen. So bekommen Investoren Sicherheit in Bezug auf vom auslagernden Unternehmen durchgeführte Kontrollen.
  • Aufhören, sich um die Sicherheit der eigenen Systeme zu sorgen: Im Rahmen der SSAE 18 Prüfung wird sichergestellt, dass die Rechenzentren, Systeme und Dienste vor unbefugtem Zugriff, unbefugter Nutzung aber auch unbeaufsichtigter Änderung geschützt sind. Das eigene IT-Team kann sich auf andere Aufgaben konzentrieren.
  • Die eigenen Prozesse kontinuierlich verbessern: Durch SSAE 18 Prüfung werden Sicherheitslücken schonungslos aufgezeigt. Aber nur so werden auch Verbesserungen angestoßen. Schäden werden vermieden, bevor sie auftreten können. Zeitgleich steigt auch das Bewusstsein für Cybersecurity über alle Unternehmensbereiche hinweg.

Erfahren Sie mehr über billwerk & optimieren Sie jetzt Ihr Subscription Business
Mit billwerk Subscription Management & Recurring Billing automatisieren Sie nahezu alle Geschäftsprozesse Ihres Subscription Business.

in Wiki: Standards & Normen