Zertifizierungen nach ISAE 3402, SSAE 18 und PS951

Insbesondere unsere Spezialisten im Bereich der IT-Prüfung machen uns hier zu einem starken Partner.

Steckbrief ISAE 3402, SSAE 18 und PS 951

Dienstleistungsunternehmen, wie beispielsweise

• IT-Dienstleister (Rechenzentren, Application Service Provider usw.) oder
• Geschäftsdienstleistungen (Übernahme der Personalabrechnung, der Buchhaltung etc.)
• Shared-Service-Center, Organisationseinheiten die Dienstleistungen innerhalb eines Konzerns oder einer Unternehmensgruppe erbringen

• Bestandskunden (das auslagernde Unternehmen und deren Wirtschaftsprüfer)
• Neukunden als Maßstab für Qualität
• Aufsichtsbehörden

*Aufgrund ihrer starken inhaltlichen Nähe werden die Standards ISAE 3402 und SSAE 18 oft in einer Prüfung und mit einem Bericht abgedeckt.

Ausgangssituation

Unternehmen lagern Leistungsprozesse und administrative Prozesse an Dienstleistungsunternehmen aus. Dazu gehören häufig auch Prozesse, die als rechnungslegungsrelevante Prozesse Einfluss auf die externe Rechnungslegung oder die Finanzberichterstattung haben oder ein unmittelbarer Teil von ihnen sind.

Eine typische Form der Auslagerung ist es, Teile oder die gesamten Informationstechnologie (IT) und das zugehörige IT Management durch externe Rechenzentrumsbetreiber oder spezialisierte IT-Dienstleistungsunternehmen erbringen zu lassen.

Auch werden in Unternehmensgruppen und Konzernen häufig Funktionen, wie z.B. das Rechnungswesen oder der IT- Betrieb, in einer eigenständigen Unternehmenseinheit oder auch Gesellschaft (Shared Service Center) anderen Konzerngesellschaften zentral zur Verfügung gestellt.

Ferner kann die Auslagerung im Sinne eines Business Process Outsourcing erfolgen. Hier werden u.a. administrative Routinetätigkeiten, wie beispielsweise Lohn- und Gehaltsabrechnungen an ein spezialisiertes Dienstleistungsunternehmen ausgelagert. In diesen Fällen umfasst die Dienstleistung im Allgemeinen neben der Abwicklung der Geschäftsvorgänge auch die Bereitstellung und den Betrieb des dafür notwendigen IT-Systems.

In der Unternehmensrealität sind diese drei Dienstleistungstypen sowie Mischformen und Kombinationen aus diesen häufig anzutreffen.

Anlass für eine externe Prüfung

Das auslagernde Unternehmen trägt Sorge dafür, dass ein angemessenes internes Kontrollsystem und ein angemessenes Risikomanagement im eigenen Unternehmen eingerichtet und wirksam sind, dies betrifft auch die ausgelagerten Funktionen. Letztendlich hierfür verantwortlich ist die Geschäftsführung beziehungsweise der Vorstand des auslagernden Unternehmens.

Hinsichtlich der Rechnungslegung und Finanzberichterstattung wird u.a. das interne Kontrollsystem des auslagernden Unternehmens durch Wirtschaftsprüfer geprüft, um eine hinreichende Sicherheit über dessen Angemessenheit und dessen Wirksamkeit zu erhalten.

Die an Dienstleistungsunternehmen ausgelagerten Geschäfts- und IT–Prozesse und das dazugehörige sogenannte dienstleistungsbezogene interne Kontrollsystem müssen ebenfalls durch den Wirtschaftsprüfer des auslagernden Unternehmens geprüft und beurteilt werden.

Dienstleistungsunternehmen, wie IT Dienstleister und Rechenzentrumsbetreiber, bedienen in der Regel nicht nur einen Kunden sondern eine Vielzahl von Kunden. Die Kunden werden von verschiedenen Wirtschaftsprüfungsgesellschaften geprüft. Das hieße in der Konsequenz, dass regelmäßig für jeden Kunden und jede Wirtschaftsprüfungsgesellschaft eine Prüfung des dienstleistungsbezogenen internen Kontrollsystems beim Dienstleister durchgeführt werden müsste, was derzeit auch bei einzelnen Dienstleistern anzutreffen ist.

Lösungsansatz

Eine Lösung dieser Problematik und damit eine Reduzierung des insgesamt zu erwartenden Prüfungsaufwandes des Dienstleisters – der Aufwand entsteht z.B. durch Bindung von Personal für Interviews und Recherchen sowie das Bereitstellen von Unterlagen und Systemzugriffen für unterschiedlichste Prüfungsansätze – sind Prüfungen durch einen externen Dritten (Wirtschaftsprüfer). Die Ergebnisse dieser Prüfung werden in einem standardisierten Bericht zusammenfassend dargestellt und auf Anfrage kann dieser Bericht für Kunden und deren Wirtschaftsprüfer bereitgestellt werden.

Unmittelbarer Vorteil für den Dienstleister ist es, dass sich nur ein externer Prüfer bzw. dessen Team in das Umfeld und die Besonderheiten der Dienstleistung sowie des Unternehmens einarbeiten muss bzw. eingewiesen wird. Gleiches gilt für Änderungen und ergänzende Informationen, diese brauchen nur an einen externen Prüfer kommuniziert werden und soweit relevant durch dessen Berichterstattung an die Kunden weitergeleitet werden.

SAS 70

Seit dem Jahr 2004 hat ein amerikanischer Prüfungsstandard international Furore gemacht, der vom American Institute of Certified Public Accountants (AICPA) herausgegebene Statement on Auditing Standards No. 70 (SAS 70). Der SAS 70 regelt detailliert welche Anforderungen und welche Form die Prüfung eines dienstleistungsbezogenen internen Kontrollsystems zu erfüllen hat und wie und mit welchen Inhalten die Berichterstattung zu erfolgen hat.

Unter anderem durch die amerikanischen Bilanzskandale ist das interne Kontrollsystem zur Rechnungslegung und zur Finanzberichterstattung wieder verstärkt in den Fokus der Öffentlichkeit und der Unternehmen geraten. Für die an der New Yorker Börse (SEC) notierten Unternehmen wurde ein Nachweis eines angemessenen und wirksamen internen Kontrollsystems zur Pflicht. Eingefordert wurde die Verpflichtung über den Sarbanes-Oxley Act (SOX), hier insbesondere der Abschnitt 404 (SOX-404). Auch hier trat die Fragestellung nach der Handhabung des internen Kontrollsystems bei an Dienstleister ausgelagerten rechnungslegungsrelevanten Funktionen auf. Die Lösung hierfür bot der bereits im Jahr 1992 veröffentlichte SAS 70 unter Berücksichtigung weiterer vom Public Company Accounting Oversight Board (PCAOB) vorgeschriebener Prüfungsstandards für amerikanische Wirtschaftsprüfer (Certified Public Accountants – CPA).

In der Folge wurden bei Dienstleistungsunternehmen die SEC gelistete Unternehmen zu ihren Kunden zählen – und in hohem Maße bei IT-Dienstleistern – SAS 70-Prüfungen und Berichterstattungen angefordert und auch durchgeführt.

Eine Prüfung des dienstleistungsbezogenen internen Kontrollsystems (IKS) wird durch den Dienstleister beauftragt. Die Prüfung kann je nach Beauftragung in zwei Ausprägungen, sogenannten Typen, ausgeführt werden:

Typ 1: Die Beurteilung der Beschreibung, der Implementierung und der Angemessenheit

Typ 2: Zusätzlich zu Type 1 die Beurteilung der Wirksamkeit des IKS.

Hierbei ist das IKS aus Sicht des auslagernden Unternehmens und dessen Abschlussprüfer zu betrachten.

Als Grundlage der Prüfung dient das durch den Dienstleister eingeführte und beschriebene IKS. Eine durch den Dienstleister bereitgestellte Beschreibung des IKS ist Bestandteil der Berichterstattung.

Aktuelle international anerkannte Standards: ISAE 3402 und SSAE 18

Die verantwortlichen internationalen Gremien haben die Erforderlichkeit erkannt, einen internationalen Prüfungsstandard bereitzustellen, der den US-amerikanischen SAS 70 ergänzt bzw. ersetzt. Hierzu hat das International Auditing and Assurance Standards Board (IAASB) im Dezember 2009 den International Standard on Assurance Engagements No. 3402 (ISAE 3402), “Assurance Reports on Controls at a Service Organization“ herausgegeben.

Zur Vereinheitlichung wurde der amerikanische SAS 70 mit Bezug auf den ISAE 3402 überarbeitet und durch den „Statement on Standards for Attestation Engagements No. 18 (SSAE 18) „Reporting on Controls at a Service Organization SSAE 18“ ersetzt.

Beide Standards sind für geprüfte Zeiträume ab dem 15. Juni 2011 anzuwenden.

Die Standards ähneln dem ursprünglichen SAS 70 in den Anforderungen und der Berichterstattung sowie in der Unterscheidung nach Type 1 und Type 2, sie sehen jedoch eine deutlichere Einbeziehung der Geschäftsführung in die Verantwortung, die Angemessenheit und Wirksamkeit des internen Kontrollsystems sicherzustellen und zu bestätigen, vor.

Aufgrund ihrer starken inhaltlichen Nähe werden oft in einer Prüfung und einem Bericht beide Standards abgedeckt.

Deutscher Prüfungsstandard PS 951

Neben den zuvor aufgeführten internationalen Standards bilden in Deutschland die Prüfungsstandards (PS) des Instituts der Wirtschaftsprüfer (IDW) eine anerkannte Grundlage für die Prüfung des dienstleistungsbezogenen internen Kontrollsystems durch einen externen Prüfer hier insbesondere:

• „Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken“, (IDW PS 261 n.F., Stand: 01.03.2012),
• „Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen“, (IDW PS 331 n.F., Stand: 11.09.2015), sowie
• "Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen", (IDW PS 951 n.F.; Stand: 16.10.2013).

Im Jahr 2007 wurde der IDW PS 951 in Anlehnung an den amerikanischen SAS 70 erstellt und herausgegeben. In 2013 wurde PS 951 überarbeitet und bezieht sich nun auf den internationalen Standard ISAE 3402. Der PS 951 ist in der neuen Fassung beginnend ab dem 31. August 2013 anzuwenden. Neben der Konformität zur ISAE 3402 wurden landesspezifische Anforderungen, beispielsweise Einhaltung der Ordnungsmäßigkeit über Hinweise auf die IDW Stellungnahme, "Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“, (IDW RS FAIT 1; Stand: 24.09.2002) einbezogen. Analog zum ISAE 3402 und zum SSAE 18 unterscheidet der PS 951 n.F. zwischen den beiden Prüfungstypen, Typ 1 (vormals im PS 951 a.F. Typ A benannt) und Typ 2 (vormals im PS 951 a.F. Typ B benannt).

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an