IT Compliance
Bei der Vorbereitung einer Prüfung nach den Standards PS 951 bzw. SAS 70 stellt sich immer wieder die Frage nach dem sogenannten "Scope". Welche Prozesse und Kontrollen beim Dienstleister sind Bestandteil der Prüfung? Das mag bei manuellen Prozessen noch einfach abgrenzbar sein, spätestens bei komplexen IT-Dienstleistungen ist diese Abgrenzung jedoch ein teilweise schwieriges Unterfangen. Grundsätzlich sollte man sich hier vom Ziel der Prüfung und Berichterstattung leiten lassen. Üblicherweise ist das Ziel, dem Abschlussprüfer des Auftraggebers einen Einblick in die für ihn relevanten Bestandteile des internen Kontrollsystems des Dienstleisters zu verschaffen. Konkret wird dargestellt, wie das interne Kontrollsystem aufgebaut ist und ob es (soweit eine entsprechende Prüfung Typ "B" bzw. Type "II" durchgeführt wird) auch tatsächlich wirksam ist. Der Abschlussprüfer hat nun die Aufgabe den Jahresabschluss und seine Bestandteile des Auftraggebers zu prüfen und zu beurteilen und insofern ist in den Prüfungsumfang alles einzubeziehen, was einen Einfluss auf die Ordnungsmäßigkeit (z.B. Vollständigkeit, Richtigkeit, Autorisierung, Zeitgerechtheit, Nachweisbarkeit) der Rechnungslegung des Auftraggebers haben könnte. Es mag hier im Einzelfall Ausnahmen geben, aber die Prüfungsstandards selbst sehen vor, dass der Service-Auditor eine entsprechende Einschätzung vornimmt. Insofern muss eine Dienstleistungsorganisation vor Beginn der Prüfung ein klares Bild über den "Scope" haben, also in der Lage sein, zu definieren, was in die Prüfung einzubeziehen ist. In komplexen IT-Landschaften kann dies eine wahre Herausforderung sein. |
|||
Im Zuge der immer stärkeren Fokussierung auf interne Kontrollsysteme stellt sich die Frage, wie die Prozesse und internen Kontrollen bei Shared-Service Centern oder Outsourcing-Dienstleistern geprüft und beurteilt werden sollen.
|
|||
|
|||
|
powered by:
|
