Scope von PS 951 und SAS 70

Bei der Vorbereitung einer Prüfung nach den Standards PS 951 bzw. SAS 70 stellt sich immer wieder die Frage nach dem sogenannten "Scope".

Welche Prozesse und Kontrollen beim Dienstleister sind Bestandteil der Prüfung?

Das mag bei manuellen Prozessen noch einfach abgrenzbar sein; spätestens bei komplexen IT-Dienstleistungen ist diese Abgrenzung jedoch ein teilweise schwieriges Unterfangen. Grundsätzlich sollte man sich hier vom Ziel der Prüfung und Berichterstattung leiten lassen. Üblicherweise ist das Ziel, dem Abschlussprüfer des Auftraggebers einen Einblick in die für ihn relevanten Bestandteile des internen Kontrollsystems des Dienstleisters zu verschaffen. Konkret wird dargestellt, wie das interne Kontrollsystem aufgebaut ist und ob es (soweit eine entsprechende Prüfung Typ "B" bzw. Type "II" durchgeführt wird) auch tatsächlich wirksam ist.

Der Abschlussprüfer hat nun die Aufgabe den Jahresabschluss und seine Bestandteile des Auftraggebers zu prüfen und zu beurteilen. Insofern ist in den Prüfungsumfang alles einzubeziehen, was einen Einfluss auf die Ordnungsmäßigkeit (z.B. Vollständigkeit, Richtigkeit, Autorisierung, Zeitgerechtheit, Nachweisbarkeit) der Rechnungslegung des Auftraggebers haben könnte. Es mag hier im Einzelfall Ausnahmen geben, aber die Prüfungsstandards selbst sehen vor, dass der Service-Auditor eine entsprechende Einschätzung vornimmt. Insofern muss eine Dienstleistungsorganisation vor Beginn der Prüfung ein klares Bild über den "Scope" haben, also in der Lage sein, zu definieren, was in die Prüfung einzubeziehen ist. In komplexen IT-Landschaften kann dies eine wahre Herausforderung sein. Hier ist entweder eine vollständige Prüfung vorzunehmen, die keine weitere Differenzierung erfordert. Alternativ muss eine detaillierte Analyse erfolgen, welche Software für den Kunden (also den Auftraggeber) Rechnungslegungsrelevanz (also potenziellen Einfluss auf das Rechungswesen) hat. Davon ausgehend müssen dann die Hard- und Softwarekomponenten identifiziert werden, die für diese Anwendungen von Bedeutung sind. Im konkreten Fall kann dies die Notwendigkeit nach sich ziehen, Netzwerksegmente nach Relevanz einzustufen, eine Serverliste zu erstellen und daraus abzuleiten, welche Organisationseinheiten beim Dienstleister in eine Prüfung einzubeziehen sind.

Für Dienstleister bedeutet dies eine frühzeitige Auseinandersetzung mit dieser Fragestellung und ggf. eine Einbeziehung der Auftraggeber in die Vorbereitung einer solchen Prüfung. Die Kunden ihrerseits sind gut beraten, im Vorfeld proaktiv zu klären, ob der Scope für ihren speziellen Fall sachgerecht definiert ist, um zu vermeiden, dass der spätere Prüfungsbericht unvollständig ist.