Vertrauen durch Prüfung

ISAE: Wertvoller Austausch mit PwC Schweiz

Bei aXenta wird die ISAE-Prüfung nach der Modernisierung von PwC Schweiz durchgeführt. Im Rahmen der Fachmesse 2. Säule 2025 nutzte aXenta’s CEO Christine Richartz die Gelegenheit für einen offenen Austausch mit Robert Borja, Partner Digital Assurance & Trust, Financial Services bei PricewaterhouseCoopers Schweiz.Robert Borja, Partner Digital Assurance & Trust, Financial Services von PwC Schweiz und aXenta's CEO Christine Richartz an der Fachmesse 2. Säule.

Die aXenta setzt sich dafür ein, das Vertrauen von Kunden und Partnern nachhaltig zu stärken. Ein zentraler Bestandteil dieses Engagements ist die Erstellung eines ISAE-Berichts durch PricewaterhouseCoopers Schweiz. Dieser dokumentiert transparent und verifizierbar die Wirksamkeit und Verlässlichkeit der internen Kontrollen von aXenta (mehr dazu im entsprechenden Journal-Artikel).

Offener Austausch mit PwC zu wichtigen Fragen

Im Fokus des Gesprächs standen Fragen, die für Pensionskassen, Sammelstiftungen und andere Vorsorgeeinrichtungen zu­nehmend an Bedeutung gewinnen. Die wichtigsten Fragen und Antworten haben wir in diesem Artikel für Sie zusammen­gestellt.

Was zeichnet PricewaterhouseCoopers Schweiz als Prüfer im Bereich ISAE 3402 aus?

PricewaterhouseCoopers Schweiz ist Marktführerin in der Kontrollprüfung von Dienst­leistern von Schweizer Finanz­instituten und hat somit eine breite und tiefe Erfahrung im Markt. Zudem hat PricewaterhouseCoopers Schweiz eine hohe Prüfqualität, welche jährlich von der staatlichen Revisions­aufsichtsbehörde (RAB) formell beurteilt wird.

Welche spezifischen Erfahrungen bringt PricewaterhouseCoopers Schweiz im Bereich SaaS- und Cloud-Dienstleistungen mit – insbesondere für regulierte Branchen wie die 2. Säule?

Einerseits prüft PricewaterhouseCoopers Schweiz jährlich diverse SaaS- und Cloud-Dienstleister in regulierten Branchen (v.a. für FINMA regulierte Institute) und andererseits sind wir in Umsetzungs­projekten bei diversen (Versicherungs-/­Vorsorge-) Unternehmen und Dienstleistern mandatiert zur Implementierung von sicheren Lösungen. Dadurch kennen wir die Schlüssel­kontrollen hinsichtlich der Kern­­funktionen für Pensions­kassen­lösungen und auch die zentralen Anforderungen, wie effektive Kontrollen für den sicheren SaaS-/Cloud-Software­betrieb ausgestaltet sein müssen (z.B. Zugriffsmanagement).

Inwiefern entlastet ein ISAE-Kontrollbericht des Software Dienstleisters die Vorsorgeeinrichtungen bei ihrer eigenen Governance und Compliance?

Die Leitung und Aufsicht der Vorsorge­einrichtung ist verantwortlich für die Überwachung von Dienst­leistern (z.B. hinsichtlich Informations­sicherheit der Kundendaten). Ein ISAE-Kontrollbericht gibt dem Unternehmen die Prüfresultate über ausgelagerte Schlüsselkontrollen und somit Klarheit, wie es um deren Qualität und Effektivität steht.
Des Weiteren können Vorsorge­einrichtungen die Prüfresultate für ihre interne Risiko­beurteilung und Abdeckung des Prüfuniversums nutzen und Effizienzen erzielen (reduzierte Abdeckung durch interne Revision, reduzierte Experten­prüfungen oder zur Beantwortung von Fragen vom Regulator oder externen Prüfer).

Wie stellt PricewaterhouseCoopers Schweiz sicher, dass trotz der Grösse und Teil der „Big Four“ die individuelle Qualität und Tiefe jeder Prüfung gewährleistet bleibt – auch bei mittelgrossen Dienstleistern wie aXenta?

PricewaterhouseCoopers Schweiz verfügt über eine grosse Anzahl Spezialisten welche Kontrollprüfungen durchführen. Somit können dedizierte Teams für verschiedene Bereiche und Fachgebiete ausgebildet und eingesetzt werden, wie bei aXenta als Software Dienstleister  im Vorsorgebereich oder z.B. für Crypto Dienstleister. Alle Spezialisten haben mehrmals pro Jahr organisierte Austausch­möglichkeiten, was sicherstellt, dass die umfassenden Erfahrungen von den verschiedensten Kunden dem Prüfteam der aXenta zur Verfügung stehen. Der Umfang und die Tiefe der Kontroll­prüfungen wird von den ISAs (International Standards of Auditing) vorgeschrieben, die Prüfqualität und -effizienz wird schliesslich durch die Erfahrung und Umsetzung  der Prüfteams sichergestellt.

Welchen Stellenwert hat das Thema Cybersecurity in einer ISAE 3402-Prüfung – und wie prüft PwC konkret auf Risiken durch Cyberkriminalität?

Cybersecurity Aspekte haben einen hohen Stellenwert – aufgrund der Bedrohungen empfiehlt PricewaterhouseCoopers Schweiz den Vorsorge­einrichtungen und ihren Dienstleistern die Abdeckung der entsprechenden Risiken mit gezielten Schlüsselkontrollen, z.B. gemäss dem NIST Standard, resp. den FINMA Anforderungen (Rundschreiben 2023/1: Operationelle Risiken und Resilienz – Banken, Rz 61-70: Management der Cyber-Risiken). In der Beurteilung und Prüfung stellen wir mit unserem Fachwissen sicher, dass aXenta alle wesentlichen Kontrollen integriert hat (z.B. zu technischen Themen wie: Vulnerability Management und Penetrationstests).

Wie stellt PricewaterhouseCoopers Schweiz sicher, dass die Prüfung auch künftigen regulatorischen Anforderungen (zum Beispiel FINMA, ESG, Cybersecurity) gerecht wird?

PricewaterhouseCoopers Schweiz hat Experten­teams, welche die regulatorischen Entwicklungen schon in der Entwurfsphase analysieren und die zentralen Erkenntnisse frühzeitig mit ihren Kunden besprechen. Dies ergibt für die Kunden den Mehrwert, rechtzeitig Anpassungen vornehmen zu können, Non-Compliance-Risiken zu minimieren sowie ihre strategische Planung zu optimieren und ihre Wettbewerbs­fähigkeit zu stärken. Dadurch wird sichergestellt, dass die Abdeckung und entsprechende Compliance spätestens beim Einführungs­termin vorhanden ist.    

Warum sollten Vorsorgeeinrichtungen heute nicht mehr auf einen aktuellen ISAE Typ 2-Bericht verzichten?

Transparenz, Sicherheit und Vertrauen sind im Zusammenhang mit Auslagerungen essenziell. Die Erwartungen der Anspruchs­gruppen steigen – vor allem der Kunden und Regulatoren. Ein ISAE Typ 2-Bericht des Dienstleisters ist ein wichtiger Baustein fürs Management und den Verwaltungs­rat der Vorsorge­einrichtung, um ihre Kontroll­verantwortung wahrzunehmen. Im Speziellen für das Management bietet ein Kontrollbericht eine zuverlässige Basis für fundierte Entscheidungen im Bereich der Governance. Er unterstützt zudem, gestiegene regulatorische Anforderungen effizient zu erfüllen und ermöglicht eine zielgerichtete interne Risikobeurteilung, was letztlich zur Optimierung der Prozesse und besseren Ressourcen­nutzung beiträgt.

Sind Sie am ISAE-Bericht interessiert oder möchten mehr darüber erfahren? Dann melden Sie sich gerne bei Ihrem Kundenberater.