Der nachfolgende Beitrag soll die beiden Prüfungs- bzw. Berichtsstandards nicht im Detail untersuchen und analysieren, sondern dem Leser einen Überblick verschaffen, in welchem Kontext diese Begrifflichkeiten zu sehen sind und was sich dahinter verbirgt.

Im Zuge der immer stärkeren Fokussierung auf interne Kontrollsysteme stellt sich die Frage, wie die Prozesse und internen Kontrollen bei Shared-Service Centern oder Outsourcing-Dienstleistern geprüft und beurteilt werden sollen.

Einführung

Das Outsourcing von Geschäftsprozessen oder Teilen davon (auch „Outtasking“ genannt) ist inzwischen ein ganz normaler Bestandteil der betrieblichen Prozesse und wird in nicht-operativen und strategischen Bereichen von einer Vielzahl von Unternehmen betrieben.

Soweit diese Prozesse  Prüfungsgegenstand beispielsweise bei einer Jahresabschlussprüfung sind, stellt sich die Frage, wie die Prüfung der internen Kontrollen beim Dienstleister erfolgen soll. Das interne Kontrollsystem einer Organisation umfasst immer auch solche Kontrollen, die bei einem Dienstleister ausgeführt werden und erst die Gesamtbetrachtung ermöglicht ein sicheres Urteil.
Über die Anforderungen anlässlich von Prüfungen hinaus sind Unternehmen ohnehin gut beraten, sich über die Prozesse und Prozesssicherheit beim Dienstleister ein Bild zu machen.
Es gilt nämlich der Grundsatz, dass zwar die Aufgaben abgegeben, aber die Verantwortung nicht „outsourced“ werden kann.

Insbesondere bei Prozessen oder Tasks, die die Ordnungsmäßigkeit des Rechungswesens betreffen, sind Kontrollen nicht nur Ergebniskontrolle, sondern sind selbst Bestandteil der Betrachtung und fließen in die Beurteilung der Ordnungsmäßigkeit ein. Insofern reicht eine Betrachtung der Arbeitsergebnisse des Dienstleisters in vielen Fällen nicht aus.

In den USA hat man früh erkannt, dass es für einen Dienstleister mit mehreren Kunden sinnvoll ist, eine Prüfung der relevanten Prozesse bzw. internen Kontrollen durchzuführen bzw. durchführen zu lassen, statt jeden der Kunden eigenständig prüfen zu lassen und damit auch ggf. unzulässige Einblicke in Abläufe und Daten zu gewähren.

Zu diesem Zweck wurde der Prüfungsstandard SAS 70 „Statement on Auditing Standard 70: Service Organizations“ vom American Institute of Certified Public Accountants (AICPA) herausgegeben.
Dieser Standard legt fest, in welcher Weise Prüfungen durch Wirtschaftsprüfer (bzw. US-CPAs) bei Dienstleistern durchgeführt werden müssen, damit sie die Erwartungen und den Informationsbedarf der Adressaten erfüllen. Dieser Standard ist inzwischen vom Standard SSAE 16 (USA) abgelöst worden, der dem internationalen Standard ISAE 3402 sehr ähnlich ist.

Der Prüfungsstandard PS 951, herausgegeben vom Institut der Wirtschaftsprüfer in Deutschland e.V., ist konzeptionell gleich, wobei natürlich eine Lokalisierung stattgefunden hat. Gegenüber den neueren SSAE 16 und ISA 3402 bestehen einige konzeptionelle Unterschiede, die für den Dienstleister in der Praxis hauptsächlich bedeuten, dass das Unternehmen eine eigene prüfung des IKS vornehmen muss und auf dieser Basis die Unternehmensleitung eine Erklärung gegenüber dem Prüfer abgibt. Siehe auch hier.

Häufige Anwendungsfälle für Prüfungen nach diesen Standards sind ausgelagerte Buchhaltungen (z.B. Fondsbuchhaltung), Lohn- und Gehaltsabrechnungen oder IT-Dienstleistungen in unterschiedlicher Ausprägung.

Im Folgenden wird das Konzept, das beiden Standards zugrunde liegt, dargestellt. Abweichungen werden explizit hervorgehoben.

Konzept der Prüfungsstandards

Die Prüfungsstandards sind grundsätzlich darauf ausgerichtet, einem Leser, der typischerweise Abschlussprüfer einer Kundenorganisation ist, ein Urteil über die betrachteten internen Kontrollen zu ermöglichen bzw. zu liefern, so dass dieser in der Lage ist, das interne Kontrollsystem „seiner“ Organisation als Ganzes, also einschließlich der ausgelagerten Teile davon, zu beurteilen.

Die Prüfungsstandards fordern vom Prüfer entsprechende Klarheit in der Berichterstattung, insbesondere im Hinblick auf mögliche Limitierungen der Verwendung oder ausgelassene Prüfungsfelder, die vom Leser normalerweise als Prüfungsgegenstand erwartet werden können.

Die Perspektive des Prüfers ist auf die Adressaten, also die Prüfer der Kunden des Dienstleisters ausgerichtet und fokussiert auf die für das Rechnungswesen relevanten Bestandteile der Organisation. Dennoch ist das Konzept dieser Prüfungen und Berichterstattung natürlich auch auf Dienstleistungen ohne Bezug zum Rechnungswesen übertragbar.

Die Prüfung basiert auf einer Beschreibung des internen Kontrollsystems der Dienstleistungsorganisation. Hierzu gehören Kontrollziele sowie die Kontrollaktivitäten, die (bei lückenloser Einhaltung) die Erreichung der Kontrollziele sicherstellen sollen.

In der Berichterstattung erfolgt eine entsprechende Beurteilung und Berichterstattung zum Kontrolldesign im Hinblick auf die Angemessenheit der Definition der Ziele und der zugehörigen Kontrollen (immer aus der Perspektive des Kunden).

Die Prüfung kann in zweierlei Hinsicht ausgerichtet sein:

1. Es erfolgt lediglich eine Prüfung des Kontrolldesigns und der Implementierung der Kontrollen, ohne, dass die definierten Kontrollmaßnahmen durch Stichproben auf ihre Wirksamkeit hin untersucht werden. Diese Art Prüfung bzw. Bescheinigung wird als Type 1 (SAS 70, SSAE 16, ISAE 3402) bzw. Typ A (PS 951) bezeichnet.
2. Zusätzlich zur Prüfung des Designs und der Implementierung wird die tatsächliche Ausführung und damit die Wirksamkeit der Kontrollen über einen definierten Zeitraum geprüft und entsprechend berichtet. Diese Art Prüfung bzw. Bescheinigung wird als Type 2 (SAS 70, SSAE 16, ISAE 3402) bzw. Typ B (PS 951) bezeichnet.

Grundsätzlich wird in der Berichterstattung sehr detailliert auf die einzelnen Kontrollziele, einzelne Kontrollen und Feststellungen eingegangen, so dass neben dem zusammenfassenden Urteil des Prüfers auch eine Einzeldarstellung der identifizierten Mängel für den Adressaten zur Verfügung steht.

Eine Organisation kann demzufolge auch nicht "SAS 70", "SSAE 16", "ISAE 3402" oder "PS 951"-compliant sein. Vielmehr kann eine Organisation (bzw. deren internes Kontrollsystem) mit Hilfe dieser Standards auf Übereinstimmung ("Compliance") mit bestimmten Standards geprüft werden.

Schlusswort

Für die geprüfte Dienstleistungsorganisation bedeutet eine solche Prüfung einerseits die Notwendigkeit einer sorgfältigen Vorbereitung, andererseits bietet sich die Chance, die eigenen Abläufe und Strukturen zu hinterfragen und gegenüber den Kunden und deren Prüfern eine professionelle Organisation nachzuweisen.

Um dem Prüfer gegenüber die notwendigen Nachweise führen zu können, ergeben sich ergänzende Dokumentationsanforderungen an die Kontrollstruktur und -durchführung. Die Praxis zeigt, dass hier Effizienzpotenzial steckt und erfahrene Berater und eine selbstkritische Analyse des Ist-Zustands wichtige Erfolgsfaktoren sind.

Nach PS 951 werden als Rahmen das COSO Framework oder gleichwertige und anerkannte Konzepte für die Strukturierung des internen Kontrollsystems angeführt. Sicher kann COBIT als anerkanntes Framework für den IT Bereich angeführt werden.

Auch die anderen Standards erfordern nicht explizit ein entsprechende Framework, allerdings wird nach dem US-Sarbanes Oxley Act ein solcher gefordert, so dass auch hier in der Praxis eine Anwendung eines Standards (COSO, COBIT) für das Design des internen Kontrollsystems unumgänglich erscheint.

Diese kurze Darstellung kann nicht alle Details und praktischen Implikationen beinhalten und beschränkt sich daher auf diesen Überblick. Der Autor dieses Beitrags verfügt über umfassende Erfahrungen bei der Implementierung von Kontrollsystemen und entsprechenden Prüfungen und steht für Fragen und Diskussionen gern zur Verfügung (zum Kontaktformular).