Wir unterstützen jegliche Art von Dienstleistern dabei, robuste ISAE- und SOC-Kontrollrahmenwerke sowie aussagekräftige Prüfberichte effizient aufzubauen und nachhaltig zu verankern.

In einer Zeit, in der sich Anforderungen an AI, Cloud-, Security- und Technologielösungen rasant und oftmals tiefgreifend verändern, schaffen wir klare Strukturen, die Vertrauen, Transparenz und Nachvollziehbarkeit gewährleisten.

Unser Ansatz kombiniert fachliche Expertise mit praxisbewährten Methoden, sodass Unternehmen ihre Ziele zuverlässig erreichen und gleichzeitig operative Aufwände reduzieren können.

Dadurch unterstützen wir Sie dabei, regulatorische Entwicklungen sicher zu meistern und Ihre Dienstleistungen und Produkte konsequent an den Erwartungen von Kunden, Partnern und Prüfern auszurichten. Mit unseren Lösungen bleiben Sie nicht nur konform, sondern auch relevant, wettbewerbsfähig und bestens auf zukünftige Marktanforderungen vorbereitet.

Stefan Wälti
Stefan Wälti

Partner, Leiter Assurance Technology

KPMG Switzerland

François El Assad
François El Assad

Partner, Assurance Technology

KPMG Switzerland

Warum KPMG?

  • Branchenspezifisches Know-how

    Wir kennen die individuellen Heraus­forderungen Ihrer Branche und richten unsere Leistungen mass­geschneidert auf Ihre spezifischen Anforderungen aus. 

  • Tiefgreifende Fachkompetenz

    Profitieren Sie von unserer langjährigen Erfahrung in der Anwendung und Umsetzung von ISAE- und SOC-Berichten.  

  • Umfassende Unterstützung

    Von der Risikoanalyse über den Aufbau eines Kontrollrahmenwerks bis zum finalen Prüfbericht unterstützen wir Sie ganzheitlich durch den gesamten Attestierungsprozess.

  • Kundenfokus

    Unsere Beratung ist praxisnah, umsetzungsorientiert und konsequent auf Ihre Unternehmensbedürfnisse ausgerichtet – statt theoretischer Konzepte.

  • Smarte Durchführung

    AI ist in unsere Prüfung integriert und unterstützt uns in der Prüfung von Anfang bis Ende. Hierdurch können wir Ihre Zeit optimieren, die Prüfzeit reduzieren und die Qualität weiter steigern. Hierbei stehen das kritische Denken und Hinterfragen der Prüfer stets im Vordergrund. 

Der Bedarf an Sicherheit wächst stetig

Märkte, Technologien, Geschäftsmodelle und regulatorische Vorgaben verändern sich heute schneller denn je. Die fortschreitende Digitalisierung schafft neue Anforderungen und stellt Unternehmen weltweit zunehmend vor komplexe Herausforderungen.

Besonders Organisationen, die Dienstleistungen auslagern oder Software-as-a-Service-Produkte einsetzen, müssen darauf vertrauen können, dass ihre externen Anbieter über ein wirksames internes Kontrollsystem verfügen.

Der ISAE 3402-Standard bietet hierfür einen etablierten und anerkannten Rahmen. Unabhängige Wirtschaftsprüfer beurteilen dabei jährlich die Wirksamkeit zentraler Kontrollen, zum Beispiel im Netzwerk- und Zugriffsmanagement, im Änderungsmanagement oder im IT-Betrieb. 

Die resultierenden Berichte – etwa ISAE 3402, SOC 1 oder SOC 2 / ISAE 3000 – können mit definierten Anspruchsgruppen geteilt werden und folgen dem Prinzip «test once, use many».

Synergien mit anderen Standards (ISO27001, ISO42001, BSI C5, AIC4, NIST, EU AI Act etc.)

Zwischen den unterschiedlichen Standards (bspw. ISO 42001, ISO 27001, NIST, EU AI Act, BSI C5) bestehen typischerweise grössere Überlappungen, die zusammengeführt werden sollten.

Ganz nach dem Motto «test once, use many» können Unternehmen ihre Aufwände optimieren und Kontrollen ressourcenschonend in bestehende Abläufe integrieren. 

Unsere ISAE- und SOC-Dienstleistungen

Wir begleiten Unternehmen und Organisationen von der Konzeption bis zur Attestierung ihrer Kontroll­rahmenwerke – einschliesslich der Erstellung von SOC- und ISAE-Berichten.

Unsere Leistungen umfassen sowohl Kontrollen der finanziellen Berichterstattung (ISAE 3402 / SOC 1) als auch die operative und sicherheitsrelevante Prozessumgebung (ISAE 3000 / SOC 2). Die zugrunde liegenden internationalen Standards (ISAE 3402, ISAE 3000, SSAE 18) sind komplex. Unternehmen benötigen daher häufig Unterstützung, um die Anforderungen korrekt zu interpretieren und bewährte Vorgehensweisen praxisgerecht umzusetzen.

Dank unserer umfassenden Projekterfahrung wissen wir, welche Ansätze sich in der Praxis bewähren und welche individuellen Elemente für Ihr Unternehmen entscheidend sind:

  • ISAE 3000

    Assurance-Aufträge, die sich nicht auf historische Finanzinformationen beziehen, sondern auf die Wirksamkeit von Kontrollen zur Einhaltung gesetzlicher Vorschriften (bspw. EU AI Act), Sicherheitsstandards (bspw. NIST) und betrieblicher Prozesse (bspw. Aufbereitung von ESG-Kennzahlen, Immobilienbuchhaltung).

  • ISAE 3402

    Prüfungsberichte zu den Kontrollen einer Dienstleistungsorganisation, die für die Finanzberichterstattung seiner Anspruchsgruppen relevant sind.

  • SOC 1

    Fokus auf ausgelagerte Dienstleistungen, die von externen Anbietern erbracht werden und für die Finanzberichterstattung des Unternehmens als Nutzer dieser Leistungen von Bedeutung sind.

  • SOC 2+

    Für Unternehmen, die SOC 2 Kriterien mit einem anderweitigen Standard kombinieren möchten (bspw. BSI C5, AIC4, Cyber Resilience Act).

  • SOC 2

    Konzentriert sich auf die operativen Risiken ausgelagerter Dienstleistungen ausserhalb der Finanzberichterstattung. Die Beurteilung erfolgt auf Basis der fünf AICPA Trust Services Categories:
     

    • Sicherheit (obligatorisch)

    • Verfügbarkeit

    • Integrität 

    • Vertraulichkeit

    • Datenschutz

  • SOC 3

    Ein SOC‑3‑Bericht baut auf einem SOC‑2‑Bericht Typ 2 auf, ist jedoch kompakter gestaltet. Vertrauliche Informationen werden ausgeblendet, sodass der Bericht für die breite Öffentlichkeit und externe Stakeholder eignet.

Unser technologiegestützter Prüfansatz

Wir setzen auf einen bewährten, technologiegestützten Dreiphasen-Ansatz, der Effizienz, Transparenz und Skalierbarkeit miteinander verbindet.

Der Ansatz umfasst, je nach anwendbarem Standard, die folgenden Phasen: 

  • Bestandsaufnahme

    Wir analysieren und beurteilen die Dienstleistung, das Produkt oder die End-zu-End-Prozesse, identifizieren relevante Risiken und unterstützen bei der Ableitung der massgeblichen Kontrollen.

  • Testing

    Wir prüfen Ihren bestehenden Kontrollrahmen effizient und systematisch und entwickeln bei Bedarf gezielte Optimierungen. Unsere Prüfungsaktivitäten sind AI-unterstützt: dies bedeutet verkürzte Prüfzeiträume sowie eine geringere Belastung Ihrer Mitarbeitenden während der Prüfung, 

  • Berichterstattung

    Wir erstellen den Prüfbericht standardkonform, klar strukturiert und zugleich verständlich für die relevanten Interessengruppen.

Unterstützt durch unsere globale, cloudbasierte Smart-Audit-Plattform KPMG Clara führen wir diese Prüfungen effizient, konsistent und mit höchster Qualität durch – weltweit einheitlich und zugleich modular. Dadurch lassen sich sowohl Kontrollen der finanziellen Berichterstattung als auch Cloud- oder IT-gestützte Kontrollsysteme effektiv abdecken.

Mit diesem Ansatz bieten wir Dienstleistern geprüfte Sicherheit und Transparenz – kombiniert mit modernster Technologie, eingespielten Prüfprozessen und globaler Standardisierung.

KPMG Clara platform > Klicken Sie auf die Grafik, um diese zu vergrössern

Zusammenarbeit mit KPMG: Jetzt Kontakt aufnehmen

Wir freuen uns auf Ihre Anfrage und beantworten gerne Ihre offenen Fragen. 

Ihre Ansprechpersonen

Stefan Wälti
Stefan Wälti

Partner, Leiter Assurance Technology

KPMG Switzerland

François El Assad
François El Assad

Partner, Assurance Technology

KPMG Switzerland