IKS, Risk Management, Corporate Governance

Den Reaktionen unserer Leser und den Reports der Nutzung unserer Website entnehmen wir, dass das Thema PS 951 bzw. SAS 70 derzeit viele Unternehmen beschäftigt.

Gleichzeitig besteht offenbar ein großer Informationsbedarf, der theoretisch zwar gut gedeckt werden kann, wenn es aber um Praxiserfahrungen geht, versiegen die Informationsquellen schnell. Es stellen sich viele Fragen, wie beispielsweise:

• Wie bereite ich mich vor?
• Welche Dokumentation brauche ich?
• Was steht in dem Bericht?
• Welche Bereiche sind betroffen?
• Was kostet so etwas?
• Womit kann ich als Kunde rechnen, wenn mein Dienstleister mir einen PS 951-Bericht ankündigt?

Rufen Sie uns einfach unter 06103 37696 0 an oder senden uns eine E-Mail. Wir melden uns umgehend bei Ihnen und vermitteln den Kontakt zur kurzfristigen Terminabsprache.

Bei der Vorbereitung einer Prüfung nach den Standards PS 951 bzw. SAS 70 stellt sich immer wieder die Frage nach dem sogenannten "Scope".

Welche Prozesse und Kontrollen beim Dienstleister sind Bestandteil der Prüfung?

Das mag bei manuellen Prozessen noch einfach abgrenzbar sein, spätestens bei komplexen IT-Dienstleistungen ist diese Abgrenzung jedoch ein teilweise schwieriges Unterfangen.

Grundsätzlich sollte man sich hier vom Ziel der Prüfung und Berichterstattung leiten lassen. Üblicherweise ist das Ziel, dem Abschlussprüfer des Auftraggebers einen Einblick in die für ihn relevanten Bestandteile des internen Kontrollsystems des Dienstleisters zu verschaffen. Konkret wird dargestellt, wie das interne Kontrollsystem aufgebaut ist und ob es (soweit eine entsprechende Prüfung Typ "B" bzw. Type "II" durchgeführt wird) auch tatsächlich wirksam ist.

Der Abschlussprüfer hat nun die Aufgabe den Jahresabschluss und seine Bestandteile des Auftraggebers zu prüfen und zu beurteilen und insofern ist in den Prüfungsumfang alles einzubeziehen, was einen Einfluss auf die Ordnungsmäßigkeit (z.B. Vollständigkeit, Richtigkeit, Autorisierung, Zeitgerechtheit, Nachweisbarkeit) der Rechnungslegung des Auftraggebers haben könnte.

Es mag hier im Einzelfall Ausnahmen geben, aber die Prüfungsstandards selbst sehen vor, dass der Service-Auditor eine entsprechende Einschätzung vornimmt.

Insofern muss eine Dienstleistungsorganisation vor Beginn der Prüfung ein klares Bild über den "Scope" haben, also in der Lage sein, zu definieren, was in die Prüfung einzubeziehen ist. In komplexen IT-Landschaften kann dies eine wahre Herausforderung sein.

Eine interessante Studie über Umsetzungsstand und Effektivität diverser Vorschriften zur Corporate Governance in Deutschland ist von Deloitte veröffentlicht worden.

Klicken Sie hier.