In einem zunehmend komplexen und stark regulierten Umfeld des Asset Managements sehen sich Asset Manager, Master-Kapitalverwaltungsgesellschaften (Master-KVGen)1 und Verwahrstellen2 stetig wachsenden Anforderungen an Governance, Kontrollsysteme und Transparenz gegenüber. Der internationale Prüfungsstandard ISAE 34023, herausgegeben von der International Federation of Accountants (IFAC), hat sich als bewährtes Instrument etabliert, um die Wirksamkeit interner Kontrollsysteme (IKS) nachvollziehbar, vergleichbar und prüfbar zu dokumentieren.
Gerade für Master-KVGen, die häufig mehrere Fondsstrukturen koordinieren und die Schnittstelle zwischen Asset Managern und Verwahrstellen bilden, ist die Qualität ausgelagerter Dienstleistungen zentral. ISAE 3402 bietet eine standardisierte Basis zur Prüfung finanzrelevanter Auslagerungen4 – insbesondere im Hinblick auf IT-Anwendungskontrollen sowie übergreifende IT-Kontrollen wie Änderungsmanagement, Zugriffsschutz und IT-Betrieb. Der Standard hat 2011 den SAS-70-Bericht5 abgelöst und findet heute internationale Anwendung, etwa in den USA als SSAE 166.
Für Verwahrstellen und spezialisierte Dienstleister, die häufig im Auftrag mehrerer Kapitalverwaltungsgesellschaften tätig sind, stellt ein geprüfter ISAE-3402-Bericht ein effektives Mittel dar, um regulatorische Konformität nachvollziehbar zu belegen. Einerseits unterstützt der Bericht die KVGen dabei, ausgelagerte Dienstleistungen – etwa Fondsbuchhaltung, IT-Services oder Middle-Office-Funktionen – systematisch auszuwählen, Risiken zu analysieren und ihre Überwachungspflichten gemäß § 36 KAGB7 zu erfüllen. Andererseits dokumentiert er auf Seiten der Verwahrstellen und Dienstleister die Qualität und Wirksamkeit der implementierten Kontrollsysteme. Typ-I-Berichte bescheinigen dabei die Existenz und Angemessenheit von Kontrollen zu einem bestimmten Stichtag, während Typ-II-Berichte zusätzlich deren tatsächliche Wirksamkeit über einen definierten Zeitraum hinweg evaluieren.
Vor dem Hintergrund zunehmend verteilter Wertschöpfungsnetzwerke und komplexer Auslagerungsstrukturen bietet ISAE 3402 eine wertvolle Orientierung für Abschlussprüfer, interne Revisionen sowie die Geschäftsleitung von KVGen. Der Standard ermöglicht fundierte Aussagen zur Qualität und Integrität externer Kontrollsysteme – insbesondere bei ausgelagerten, technologiegestützten Prozessen.
Angesichts der zunehmenden Digitalisierung, technologischen Disruption und dynamischen Regulatorik steigen die Anforderungen an Transparenz, Sicherheit und Resilienz kontinuierlich. Asset Manager und KVGen, die auf Cloud- oder SaaS-Anbieter8 setzen, benötigen nachweislich belastbare Kontrollsysteme – insbesondere im Hinblick auf Datenschutz, IT-Verfügbarkeit und Compliance. Der Stellenwert von ISAE 3402 wächst in diesem Kontext weiter. Ergänzend ist darauf hinzuweisen, dass der IDW Prüfungsstandard RS FAIT 5 spezifische Anforderungen an die Auslagerung von Cloud-Diensten definiert und eine strukturierte Prüfung der Kontrollsysteme aufseiten der Anbieter fordert. Ein ISAE-3402-Bericht kann hierbei einen wesentlichen Beitrag zur Erfüllung der FAIT-5-Anforderungen leisten, insbesondere im Hinblick auf Risikotransparenz und Governance bei wesentlichen IT-Auslagerungen. Auch weitere Rahmenwerke wie für das Risikomanagement (COBIT 5), das IT-Servicemanagement (ITIL) oder aber auch für physische Sicherheitskontrollen (ISO 27002) können nahtlos in eine ISAE 3402-Prüfung eingebunden werden.
Ein zentraler Vorteil liegt im Prinzip „test once, use many“: Ein durch unabhängige Prüfer erstellter Bericht – sei es ISAE 3402, SOC 1 oder ISAE 30009 – kann einmal erstellt und anschließend mit mehreren Stakeholdern geteilt werden. In Deutschland wird daneben auch der IDW PS 951 (Typ B) angewendet, der insbesondere die Anforderungen an die Prüfung von ausgelagerten Dienstleistungen im Finanzsektor adressiert und als nationales Äquivalent zu ISAE 3402 gilt.
Dieses Vorgehen ermöglicht ein modulares Prüfmodell: Während ISAE 3402 primär finanzbezogene Prozesse im Outsourcing adressiert, erweitert ISAE 3000 das Spektrum auf Governance-, Compliance- und regulatorische Anforderungen10 – etwa im Hinblick auf Vertragskonformität, Datenschutz oder betriebliche Resilienz. Für KVGen mit komplexen Fondsplattformen ergibt sich daraus ein konsistentes, revisionssicheres Kontroll- und Nachweissystem.
Dabei geht es längst nicht mehr nur um klassische Outsourcing-Kontrollen. Im Zuge datengetriebener Geschäftsmodelle und algorithmischer Entscheidungsprozesse müssen Prüfstandards wie ISAE 3402 zunehmend auch regulatorische Anforderungen an Plattformabhängigkeiten und Cyberresilienz11 abbilden.
Mit Blick auf aktuelle und künftige Regulierungsinitiativen wie den Digital Operational Resilience Act (DORA)12, der ab dem 17. Januar 2025 die bisherigen nationalen Standards wie den deutschen KAIT-Standard13 abgelöst hat sowie den geplanten EU AI Act14 wird deutlich: Der Druck auf Asset Management Gesellschaften und Verwahrstellen wächst, belastbare und transparente Prozesse nachzuweisen. Diese Regularien adressieren unter anderem die Widerstandsfähigkeit digitaler Infrastrukturen, den sicheren Betrieb von KI-Systemen und die standardisierte Handhabung von IT-Auslagerungen.
ISAE 3402 kann – entsprechend ausgestaltet – als geeignetes Prüf- und Kommunikationsinstrument dienen, um diese Anforderungen proaktiv zu erfüllen. Der Standard unterstützt bei der Abbildung DORA-konformer Prozesslandschaften, der Dokumentation konformer Auslagerungsstrukturen sowie der Nachvollziehbarkeit KI-gestützter Kontrollsysteme. Für Asset Manager und Verwahrstellen bedeutet das: Wer heute in strukturierte, geprüfte und auditierbare Prozesse investiert, sichert sich nicht nur regulatorisch ab, sondern stärkt auch seine strategische Wettbewerbsposition.
Neben bereits implementierten oder unmittelbar bevorstehenden Regulierungen wie DORA, EU AI Act, DSA und DMA15 befinden sich weitere Gesetzesinitiativen in Vorbereitung, die mittel- bis langfristig auch für Finanzdienstleister und Verwahrstellen relevant sein werden: EU Data Act, Cyber Resilience Act (CRA) und eIDAS 2.0.
ISAE 3402 ist längst mehr als ein technischer Prüfbericht – er entwickelt sich zum strategischen Steuerungsinstrument einer Branche im Wandel. In einer Zeit, in der technologische Innovation, regulatorische Komplexität und tiefgreifende Auslagerung ineinandergreifen, bietet ISAE 3402 geprüfte Sicherheit in einem unsicheren Umfeld.
Für Asset Manager, KVGen und Verwahrstellen ermöglicht der Standard nicht nur regulatorische Compliance und operative Resilienz, sondern auch Differenzierung in Ausschreibungsprozessen, Effizienzgewinne und Vertrauensbildung bei Investoren. Besonders im Rahmen von RfPs16 wird ein geprüfter Typ-II-Bericht zum echten Wettbewerbsvorteil.
Und in einer digitalen Welt, in der API-Schnittstellen wichtiger sind als Empfangshallen, gilt: Geprüftes Vertrauen ist das neue Kapital.
ISAE 3402 liefert das strukturierte Backup – auditierbar, revisionssicher und mehrsprachig interpretierbar. Fast so essenziell wie der Zwei-Faktor-Login: Nicht verpflichtend für alle – aber wer ihn hat, spielt ganz vorne mit.
Ob bei Tech-Due-Diligence, Cloud-Audits oder KI-basierten Kontrollsystemen: ISAE 3402 ist der Proof-of-Control in einer tokenisierten Fondswelt. Wer heute sauber prüft, bevor er steuert, hat morgen weniger Trouble im Logfile – und dafür umso mehr Vertrauen auf seiner Seite.
Dieser Artikel ist zunächst im Private Banking Magazin erschienen.
1 §§ 17 ff. Kapitalanlagegesetzbuch (KAGB): Aufgaben und Organisationspflichten von Kapitalverwaltungsgesellschaften.
2 §§ 68 ff. KAGB: Pflichten und Rolle der Verwahrstelle, insbesondere im Hinblick auf Assetkontrolle und Mittelverwendung.
3 ISAE 3402: „Assurance Reports on Controls at a Service Organization“, Standard des IAASB (IFAC), veröffentlicht 2009.
4 § 36 Abs. 1 KAGB i. V. m. Art. 75 AIFM-Richtlinie (Richtlinie 2011/61/EU).
5 AICPA SAS 70, ersetzt 2011 durch SSAE 16.
6 SSAE 16 (USA) → heute SSAE 18 mit SOC-1/SOC-2/SOC-3-Berichten.
7 § 36 KAGB: Anforderungen an Auslagerung, Steuerung und Überwachung.
8 EBA/GL/2019/02, ESMA50-164-4285: Leitlinien zu IT- und Cloud-Auslagerungen.
9 ISAE 3000 (Revised): Prüfung nicht-finanzieller Sachverhalte, z. B. DSGVO, Nachhaltigkeit.
10 Relevante Standards: DSGVO (EU 2016/679), Lieferkettensorgfaltspflichtengesetz, ISO 27001:2022.
11 Vgl. NIS-2 (EU) 2022/2555, DORA (EU) 2022/2554.
12 DORA – Digital Operational Resilience Act, EU-Verordnung 2022/2554, gilt ab 17.01.2025.
13 BaFin-Rundschreiben KAIT 2021 (Kriterien für IT-Auslagerungen und IT-Steuerung in KVGs).
14 Vorschlag für eine Verordnung über KI – EU AI Act (COM(2021) 206 final).
15 DSA: Verordnung (EU) 2022/2065; DMA: Verordnung (EU) 2022/1925.
16 RfP = „Request for Proposal“ – Ausschreibungsverfahren im Finanzsektor mit Nachweisanforderungen für IKS, Compliance und Prüfberichte.