Rainer Egli, CEO iSource.
Glattbrugg – Als erster Outsourcing- und Cloud-Anbieter für KMU in der Schweiz hat die iSource AG sein internes Kontrollsystem nach dem derzeit höchsten internationalen Standard ISAE 3402 Typ II (International Standard on Assurance Engagements) zertifiziert. Mit dieser weltweit gültigen Norm wird jährlich von einem unabhängigen Wirtschaftsprüfungsunternehmen die Angemessenheit und Wirksamkeit des internen Kontrollsystems von iSource AG überprüft und dokumentiert. Der in Glattbrugg ansässige IT-Service-Anbieter erweitert damit seine Dienstleistungen insbesondere für KMU-Kunden, die beispielsweise Revisionsanforderungen erfüllen müssen. Damit qualifiziert sich iSource AG aber auch für alle KMU, die auf ein effizientes und effektives Internes Kontrollsystem (IKS) auch dann angewiesen sind, wenn sie ihre IT-Ressourcen auslagern wollen.
Nachweisbares Internes Kontrollsystem (IKS) Denn wer Teile oder seine gesamten IT-Ressourcen auslagert, kann empfindlich getroffen werden, wenn die Kontrollsysteme des Outsourcing-Anbieters Schwächen aufweisen. iSource AG begegnet diesem Risiko, indem sie via ISAE 3402 Typ II die eigene Organisation inklusive aller Prozesse transparent dokumentiert. Damit erfüllt iSource AG nicht nur die Ansprüche einer ordentlichen Revision für Kunden, die ihre IT-Ressourcen an iSource AG auslagern, sondern schafft die gleiche Transparenz auch für ihr gesamtes Cloud-Angebot. Werden doch neben den systematisch gestalteten technischen und organisatorischen Schutzmassnahmen für die Kunden, wie sie ein IKS verlangt, alle internen Prozesse von iSource AG und deren Wirksamkeit nachgewiesen.
Revisionssicher bis in die ausgelagerten IT-Ressourcen
Für jedes KMU, das in der öffentlichen Verwaltung, in der Finanz-Branche oder als Dienstleister tätig ist, ist dieser Nachweis dann unumgänglich, wenn beispielsweise für die Jahresabschlussprüfung oder den Geschäftsbericht gesicherte und belegbare Ergebnisse auch für die ausgelagerten Aufgaben auszuweisen sind. Eine solche Dokumentation wird im Prüfbericht nach der Prüfung gemäss ISAE 3402 Typ II festgehalten und den jeweiligen Kunden zur Verfügung gestellt. Denn der Prüfbericht beschreibt und formalisiert die ständigen Kontrollprozesse, sowie deren Ziele und Prozeduren, die für die Verarbeitungsverfahren genutzt werden. Bestätigt wird darin aber auch, dass die Systemkontrollen für die Kunden angemessen umgesetzt sind. Damit erhalten die Kunden von iSource AG den derzeit höchsten Grad an Transparenz.
Effizienzgewinne durch jährliche Beurteilung
Rainer Egli, Vorsitzender der Geschäftsleitung der iSource AG, sieht in der Zertifizierung erhebliche Vorteile: „Konkret weisen wir nach, dass unsere Kunden alle Services auf höchster organisatorischer Stufe, gesetzeskonform und sicher beziehen“. Und hinzukommt, so Egli weiter, dass „alle Dienstleistungen für Kunden, die ihre Prozesse an uns auslagern, einer unabhängigen externen Prüfung unterliegen“. Für Egli ist somit klar, dass mit ISAE 3402 Typ II ein wesentliches neues Qualitätsmerkmal für Cloud- und Outsourcing-Anbieter zur Verfügung steht. Und genau dies macht iSource AG mit seiner Zertifizierung als erster Outsourcing- und Cloud-Anbieter in der Schweiz der KMU-Branche zugänglich. iSource AG und seine Kunden weisen also einen Grad an Transparenz der eigenen Organisation und Prozesse aus, über den bisher allenfalls Grossunternehmen und Konzerne verfügen. (iSource/mc)
Über iSource AG
Das Unternehmen wurde im Oktober 1999 von 12 IT-Enthusiasten gegründet, zählt mittlerweile 35 Mitarbeitende und ist fokussiert auf hochwertige IT-Service-Lösungen im KMU-Umfeld. Die in Glattbrugg angesiedelte iSource AG betreut derzeit über 40 Unternehmenskunden mit ihren insgesamt rund 3‘700 Arbeitsplätzen. Dazu gehören so namhafte Unternehmen wie Starbucks (Schweiz und Österreich), HIAG AG (Holzhandel), Tertianum (Altersresidenzen) oder auch Swisscanto und ewl (Energie Wasser Luzern). Das Angebot umfasst die Konzeption, Realisierung und den Betrieb von hochverfügbaren und Disaster-Recovery-fähigen Lösungen. Es wird ergänzt durch professionelle Beratung in den Bereichen Business Impact Analyse (BIA) sowie Business-Continuity- Planung und -Management. Es bestehen über 40 massgeschneiderte OSC-Services wie Desktop as a Service, Infrastructure as a Service, Platform as a Service und die Integration von Cloud-Angeboten. iSource AG stellt ihre Leistungen aus drei hochverfügbaren Rechenzentren zur Verfügung.
Über ISAE 3402
Die Auditierung von Unternehmen und Organisationen im Dienstleistungssektor nach dem International Standard on Assurance Engagements (ISAE) 3402 wurde im Jahr 2011 verabschiedet und gilt als Nachfolge-Norm des ursprünglich amerikanischen Statement on Auditing Standard (SAS) 70. Entgegen dem Vorgänger gilt der ISAE 3402 als international anerkannter Audit-Standard, der vom International Auditing and Assurance Standards Board (IAASB) herausgegeben und verwaltet wird. Der ISAE 3402 ist in zwei Kategorien unterteilt: ISAE 3402 Typ I beurteilt nur die Eignung respektive Gestaltung der Kontrollen, also das Kontrolldesign und die Implementierung. Während der ISAE 3402 TYP II zusätzliche auch die Wirksamkeit der Kontrollen während der Prüfperiode beurteilt, also deren Definition und konkrete Umsetzung. Adressiert werden alle Dienstleister, die einer Pflicht zur Berichterstattung unterliegen oder die, wie Outsourcer, Kunde haben, die dazu verpflichtet sind. Voraussetzung für eine erfolgreiche Prüfung ist die vollständige und aktuelle Dokumentation der Unternehmensorganisation und der IT-Organisation. Einbezogen ist dabei auch das Interne Kontrollsystem (IKS), hinter dem die systematisch gestalteten technischen und organisatorischen Massnahmen und Kontrollen zur Einhaltung von Richtlinien und zur Abwehr von Schäden stehen. Der ISAE 3402 schliesst also auch alle an einen Dienstleister ausgelagerten Prozesse und Services ein.