Was ist ein Prüfungsbericht nach ISAE?

Ein ISAE-Bericht ist eine unabhängige Beurteilung, die von einem externen Prüfer durchgeführt wird. Ziel dieser Prüfung ist es zu bestätigen, dass Kontrollen und Prozesse eines Unternehmens, für ein Produkt oder eine Dienstleistung, angemessen ausgestaltet sind und wie vorgesehen funktionieren. Der Prüfer bewertet diese Kontrollen auf Basis der International Standard on Assurance Engagements (ISAE), einem international anerkannten Prüfungsstandard.

Heute sind ISAE-Berichte längst nicht mehr auf klassische IT-Themen beschränkt. Sie haben sich gleichermassen in Bereichen wie der Immobilienbewirtschaftung und -buchhaltung etabliert, werden zunehmend für die Aufbereitung und Prüfung von ESG Kennzahlen eingesetzt und gewinnen aktuell stark an Bedeutung im Kontext von AI – insbesondere bei der Attestierung der zugrunde liegenden Governance-Strukturen und -Modelle.

Im Kern ist ein ISAE-Bericht mit einem Service Organization Controls (SOC) Bericht vergleichbar. Beide Berichtstypen bieten Unternehmen die Sicherheit, dass die Systeme eines Dienstleisters zuverlässig, sicher und konsistent betrieben werden.

François El Assad
François El Assad

Partner, Assurance Technology

KPMG Switzerland

Stefan Wälti
Stefan Wälti

Partner, Leiter Assurance Technology

KPMG Switzerland

ISAE & SOC‑Readiness Studie Schweiz 2025

Diese erstmals in der Schweiz durchgeführte Studie bietet einen klaren Überblick darüber, wie Unternehmen aus verschiedenen Branchen ISAE- und SOC-Berichte anwenden und implementieren. Sie zeigt auf, wie diese Berichte strukturiert, verteilt und in der Praxis genutzt werden.

Zudem enthält die Studie wertvolle Erkenntnisse und Tipps, wie ein ISAE-Projekt zielgerichtet und ressourcenschonend umgesetzt werden kann. 

Schweizer Unternehmen, die sowohl lokal als auch international tätig sind, müssen eine Vielzahl regulatorischer Anforderungen erfüllen. Von FINMA-Rundschreiben über EU-Richtlinien bis hin zu Vorschriften der SEC: all diese Regulierungen führen zu einer steigenden Nachfrage nach ISAE- und SOC-Assurance, insbesondere in Bereichen wie Technologie, Immobilien und Gesundheitswesen. 

Neue Regulierungen wie der EU Cyber Resilience Act werden voraussichtlich in den kommenden Jahren zusätzlichen Einfluss auf die Assurance- Landschaft haben. Weitere Details hierzu finden sich in der Studie. 

Swiss ISAE & SOC Readiness Study 2025

Swiss ISAE & SOC Readiness Study

Diese einzigartige Schweizer Studie untersucht, wie ISAE/SOC Berichte branchenübergreifend eingesetzt werden (auf Englisch).

PDF herunterladen

Studienerkenntnisse

Die Studie umfasst Erkenntnisse aus 27 teilnehmenden Unternehmen sowie vier Experteninterviews aus fünf Schweizer Branchen. Die meisten dieser Unternehmen erstellen ihre ISAE/SOC-Berichte primär für den Schweizer Markt sowie den erweiterten europäischen Wirtschaftsraum. Unternehmen mit einer stärkeren internationalen Präsenz insbesondere aus dem Sektor Technologie, Media & Telekommunikation veröffentlichen ihre Berichte hingegen häufiger global. 
 
Weiten Unternehmen ihre Geschäftstätigkeit über die Schweiz und Europa hinaus aus, greifen sie zunehmend auf ISAE/ SOC-Berichte zurück, Diese dienen dazu, vielfältige internationale Compliance-Anforderungen zu erfüllen und beim Eintritt in neue Märkte Vertrauen aufzubauen.

Study insights > Klicken Sie auf die Grafik, um diese zu vergrössern

Wichtigste Erkenntnisse

  • 2 von 27 Befragten gaben an, dass ihre Berichte mit Einschränkungen versehen wurden (7%). Im Vergleich dazu zeigt ein aktueller britischer Benchmark, dass 20% der Berichte mit Einschränkungen abgeschlossen wurden.

  • Die meisten Teilnehmer schliessen Drittlieferanten mittels der Carve-out-Methode aus. Nur 7 von 26 Unternehmen wenden die Inklusionsmethode an.

  • Im Durchschnitt umfassen die Berichte 44 Kontrollen. ISAE 3402- und ISAE 3000-Berichte enthalten typischerweise rund 37 Kontrollen, während SOC 2 durchschnittlich 85 Kontrollen pro Bericht aufweist.

ISAE 3402 erklärt

ISAE 3402 gilt für Serviceorganisationen, die finanzielle oder operative Prozesse im Auftrag ihrer Kunden übernehmen. Der Bericht zeigt auf, wie die internen Kontrollen aufgebaut sind und wie wirksam sie im täglichen Betrieb funktionieren. 

Arten von ISAE 3402 Berichten:

  • ISAE 3402 Typ 1: Bewertet das Design (die Angemessenheit der Ausgestaltung) und Implementation von Kontrollen zur Finanzberichterstattung zu einem bestimmten Stichtag.
  • ISAE 3402 Typ 2: Prüft sowohl das Design/Implementierung als auch die Betriebswirksamkeit der Kontrollen über einen definierten Prüfungszeitraum. Dieser Bericht bietet eine höhere Prüfsicherheit, da er die Funktionsfähigkeit der Kontrollen im laufenden Betrieb nachweist.

Was ISAE 3402 abdeckt

Ein ISAE 3402 Bericht prüft interne Kontrollen, darunter Prozesskontrollen, IT und Sicherheitsmassnahmen, Zugriffsmanagement, Change Management sowie tägliche operative Abläufe. Zur Unterstützung der Prüfung stellen Unternehmen Richtlinien, Prozessbeschreibungen, Systemprotokolle, Vorfallsberichte sowie Beschreibungen der Kontrollziele zur Verfügung.

ISAE 3000 erklärt

ISAE 3000 ist ein breiter und flexibler Standard. Er kommt bei nichtfinanziellen Themen zum Einsatz, wie etwa Nachhaltigkeitsberichterstattung, Datenschutz, Compliance, AI oder dem Management operationeller Risiken.

Unternehmen nutzen ISAE 3000, um Transparenz in Bereichen zu schaffen, die von ISAE 3402 nicht zwingend abgedeckt werden. Zudem kann der Standard verwendet werden, um Berichte zu erstellen, die sich an den SOC 2-Kriterien orientieren. ISAE 3000 unterstützt Unternehmen dabei, ihre Vertrauenswürdigkeit zu belegen sowie robuste Datenschutz‑ und Sicherheitskontrollen nachzuweisen.

ISAE vs. SOC Berichte

ISAE und SOC-Berichte bewerten beide, ob die Kontrollen und Prozesse eines Unternehmens wirksam funktionieren. Sie verfolgen ähnliche Ziele, unterscheiden sich jedoch hauptsächlich in der Herkunft ihrer zugrunde liegenden Standards: ISAE ist international ausgerichtet, während SOC auf US-amerikanischen Standards basiert. 

Ein SOC 1 Report und ein ISAE 3402 Report konzentrieren sich beide auf Kontrollen im Zusammenhang mit der Finanzberichterstattung und liefern Prüfsicherheit darüber, dass finanzielle Prozesse und Kontrollen sicher, korrekt und zuverlässig funktionieren.

SOC 2-Berichte hingegen prüfen Bereiche wie Sicherheit, Verfügbarkeit, Vertraulichkeit,  Verarbeitungssintegrität und Datenschutz. ISAE 3000 kann diese Themen ebenfalls abdecken, bietet jedoch eine höhere Flexibilität und lässt sich auf ein breiteres Spektrum von Prüfaufträgen anwenden und masschneidern.

 

Vergleichstabelle: ISAE- vs. SOC-Berichte

SOC 1

  • Schwerpunkt: Interne Finanzkontrollen
  • Use case: Serviceorganisationen, die die Finanzberichterstattung unterstützen
  • Typischer Einsatzbereich: Prüfer und Kunden mit Bedarf an Assurance im Zusammenhang mit Finanzkontrollen. Beispiele: Immobilienbewirtschaftungsprozesse, IT-Kontrollen von SaaS Applikationen, ESG, Carve-Out/TSA Agreements, Hostings etc.
  • Arten: Typ I (Stichtagsprüfung) & Typ II (Zeitraumprüfung)

SOC 2

  • Schwerpunkt: Trust Services Criteria: Sicherheit, Verfügbar­keit, Verarbeitungs­integrität, Vertraulichkeit, Datenschutz
  • Use case: Weitgehend für Technologie‑, Cloud‑, SaaS‑ und Serviceanbieter
  • Typischer Einsatzbereich: Kunden, die Transparenz über IT‑ und Sicherheitskontrollen suchen. Beispiele: SaaS Applikationen & Produkte etc.
  • Arten: Typ I & Typ II



     

SOC 3

  • Schwerpunkt: Überblicksartige Zusammenfassung der SOC‑2‑Ergebnisse für ein allgemeines Publikum
  • Use case: Öffentliche, marketingfreundliche Vertrauenskommunikation
  • Typischer Einsatzbereich: Öffentliche Vertrauenssignale (z. B. Website-Siegel / Zusammenfassung). Beispiele: SaaS Applikationen & Produkte etc.
  • Arten: Keine Typ I/II-Struktur


     

ISAE 3000

  • Schwerpunkt: Assurance zu nichtfinanziellen Informationen (kann Sicherheit und Datenschutz einschliessen) 
  • Use case: Sehr flexibel: IT-Kontrollen, Compliance, ESG, Prozesse, nichtfinanzielle Informationen
  • Typischer Einsatzbereich: Organisationen mit individuellen oder gemischten Assurance Bedürfnissen, einschliesslich IT- und Sicherheitskontrollen. Beispiele: AI, ESG, SaaS Applikationen & Produkte, Compliance, IT-Kontrollen etc.
  • Arten: Typ I & Typ II

ISAE 3402

  • Schwerpunkt: Interne Kontrollen im Zusammenhang mit der Finanzberichterstattung 
  • Use case: Serviceorganisationen, die die Finanzberichterstattung unterstützen
  • Typischer Einsatzbereich: Prüfer und Kunden, die eine Bestätigung zu finanziellen Kontrollen benötigen
  • Arten: Typ I & Typ II




     

Attestierung vs. Zertifizierung

Eine Attestierung (wie jene nach ISAE 3402 oder ISAE 3000) wird von einem unabhängigen Prüfer durchgeführt. Dabei wird geprüft und bestätigt, ob die Kontrollen oder Informationen eines Unternehmens die definierten Anforderungen erfüllen.

Eine Zertifizierung (wie beispielsweise ISO 27001 oder 42001) werden von einer akkreditierten Zertifizierungsstelle ausgestellt. Sie liefern einen formalen Nachweis, dass ein Unternehmen einen konkreten Standard erfüllt.


Beide Verfahren schaffen Vertrauen, doch eine Attestierung ist eine Prüfung bzw. Überprüfung, während eine Zertifizierung eine formale Bestätigung der Standarderfüllung ist.

Im Allgemeinen gelten Attestierungen im Markt als stärkerer Nachweis dafür, wie gut Kontrollen implementiert sind und wie wirksam sie funktionieren.

Dies liegt vor allem daran, dass Prüfer im Rahmen einer Attestierung in der Regel umfangreichere Testhandlungen durchführen müssen, als dies bei einer Zertifizierung üblicherweise erforderlich ist.

FAQs

ISAE steht für International Standard on Assurance Engagements. Dabei handelt es sich um eine Reihe internationaler Standards, die vom International Auditing and Assurance Standards Board (IAASB) herausgegeben werden.

Ein ISAE-Bericht wird von einem unabhängigen Prüfer erstellt. Darin wird beurteilt, ob die Prozesse, Kontrollen und Informationen eines Unternehmens die definierten Anforderungen und Kriterien erfüllen.

Eine Attestierung ist ein Bericht eines unabhängigen Prüfers, der bestätigt, dass Kontrollen oder Prozesse eines Unternehmens bestimmte Kriterien erfüllen.

Eine Zertifizierung hingegen ist eine formale Anerkennung durch eine Zertifizierungsstelle, die bestätigt, dass eine Organisation oder ein System einen formalen Standard erfüllt.

Typ 1 Berichte bewerten das Design & Implementierung der Kontrollen zu einem bestimmten Zeitpunkt (Stichtag).

Typ 2 Berichte prüfen sowohl das Design/Implementierung als auch die operative Wirksamkeit der Kontrollen über einen definierten Zeitraum. Dadurch bieten sie ein höheres Mass an Assurance.

ISAE 3000 wird eingesetzt, um Assurance zu nichtfinanziellen Informationen zu bieten. Der Standard deckt unter anderem Bereiche wie Compliance, Nachhaltigkeit, interne Kontrollen sowie weitere operationelle Themen ab.

SOC 1 und ISAE 3402 gelten als gleichwertig. Beide konzentrieren sich auf Kontrollen im Zusammenhang mit der Finanzberichterstattung und verfolgen denselben Zweck: Nutzern Sicherheit darüber zu geben, dass finanzrelevante Prozesse sicher, korrekt und zuverlässig funktionieren.

SOC 2 berichtet über Sicherheits- und operationelle Kontrollen, insbesondere auf Basis der Trust Services Kriterien (Security, Availability, Confidentiality, Processing Integrity, Privacy).

ISAE 3000 kann eine vergleichbare Assurance bieten, allerdings in einem internationalen Rahmen und mit grösserer Flexibilität, da der Standard auf verschiedenste nichtfinanzielle Themen anwendbar ist.

Der Zeitbedarf für die Institutionalisierung des Kontrollrahmenwerks hängt wesentlich vom attestierten Produkt bzw. der Dienstleistung sowie vom gewählten Kontrollumfang ab. Erfahrungsgemäss ist hierfür ein Zeitraum von rund 3 bis 6 Monaten einzuplanen.

Im Anschluss kann ein Typ-1-Bericht erstellt werden, der die Ausgestaltung der Kontrollen zu einem bestimmten Stichtag beurteilt. Für einen Typ-2-Bericht müssen die Kontrollen hingegen über einen gewissen Zeitraum hinweg operativ wirksam sein – in der Praxis mindestens drei Monate –, um deren tatsächliche Durchführung und Effektivität prüfen zu können.

Ein Typ 1 Report dauert in der Regel wenige Tage. 

Ein Typ 2 Report benötigt mehr Zeit häufig mehrere Tage, da hierbei die Wirksamkeit der Kontrollen über einen längeren Zeitraum beurteilt wird.

Einen ISAE-Bericht dürfen ausschliesslich zugelassene Wirtschaftsprüfer oder akkreditierte Prüfungsgesellschaften ausstellen. Sie müssen ihre Prüfung strikt in Übereinstimmung mit den Anforderungen des jeweiligen ISAE-Standards durchgeführt werden.

ISAE-Attestierung: Vertrauen in Ihre Kontrollen schaffen

ISAE 3000- und ISAE 3402-Berichte bieten eine unabhängige Bestätigung über die Ausgestaltung und operative Wirksamkeit Ihrer Kontrollen.

Erfahren Sie, wie KPMG Sie von der Readiness-Analyse und Abgrenzung bis hin zur Umsetzung und Berichterstattung unterstützen kann – damit Sie die Erwartungen Ihrer Stakeholder erfüllen und Vertrauen stärken.

Entdecken Sie unsere Dienstleistungen

Ihre Ansprechpersonen

François El Assad
François El Assad

Partner, Assurance Technology

KPMG Switzerland

Stefan Wälti
Stefan Wälti

Partner, Leiter Assurance Technology

KPMG Switzerland

Verwandte Artikel und weitere Informationen

Entdecken Sie, wie SOC 2 und ISAE 3000 Schweizer Unternehmen dabei helfen, Daten zu schützen, regulatorische Standards zu erfüllen und Vertrauen in der heutigen digitalen Welt aufzubauen.
Weiterlesen