Die durch den digitalen Wandel ausgelösten neuen Geschäfts- und Betriebsmodelle bringen höhere Anforderungen an die Finanzzuliefer-Firmen mit sich. Der Auftraggeber will nun evaluieren, ob der Typ 1-Bericht für die Zukunft ausreicht, ob auf den Typ 2-Bericht (oder auf einen anderen Bericht) gewechselt werden soll. Weiter stellt sich die Frage, welche Kontrollen und Prüfungen für das im Bericht dargelegte interne Kontrollsystem (IKS) Sinn machen und mit welchen Schritten der Soll-Zustand zu erreichen ist.

Für die Analysephase wurden die Methoden «Literaturrecherche» und «qualitative Interviews» verwendet. Es wurden Interviews mit internen Mitarbeitern, Partnerfirmen und Kunden geführt, sodass eine Rundumsicht der Thematik erfasst werden konnte. In der Konzeptionsphase wurden Handlungsempfehlungen abgeleitet, strategische Optionen erarbeitet und eine Roadmap erstellt.

Es zeigte sich, dass für die Compliance aus Sicht der FINMA Rundschreiben nur die ISAE-Berichte in Frage kommen. Das darin enthaltene interne Kontrollsystem kann aber nach eigenem Ermessen aufgebaut werden. Am besten eignet sich das Framework COBIT oder die auf IT-Sicherheit ausgerichteten, aber sehr umfassenden ISO 27002-Kontrollen. Es wurden Handlungsempfehlungen in den Bereichen Berichttyp, Vorgehen, Kosten, IKS-Aufbau, weitere Berichte und Erweiterungen abgeleitet. Zum Vorgehen betreffend dem Typ 2-Berichts wurden sechs strategische Optionen erarbeitet. Für die Erreichung des ISAE 3000 Typ 2-Berichts wurde eine Roadmap mit konkreten Schritten erstellt. Mittels der Roadmap hat der Auftraggeber nun die Möglichkeit, das Projekt ISAE 3000 Typ 2-Bericht operativ anzugehen.