SSAE 16: Der neue SAS 70 – Änderungen am bewährten Standard für Prüfungen bei Dienstleistern

Bild eines LautsprechersEs ist heutzutage durchaus üblich, dass Unternehmen Teile ihres operativen Geschäftsbetriebs auf entsprechende Dienstleistungsunternehmen auslagern. Im Rahmen der Abschlussprüfung stellt dies den Wirtschaftsprüfer vor die Problematik, dass er möglicherweise nicht (mehr) alle für die Erstellung und Prüfung des Jahresabschlusses beitragenden Geschäftsprozesse bzw. die Internen Kontrollen in diesen Geschäftsprozessen kennt und/oder prüfen kann. Darüber hinaus setzen rechtliche oder vertragliche Rahmenbedingungen den grundsätzlichen Prüfungsmöglichkeiten oftmals Grenzen. Eine ausführlichere Darstellung finden Sie hier.

Eine Lösung dieses Dilemmas ist es, das dienstleistende Unternehmen vertraglich zu verpflichten, die Effektivität der Internen Kontrollen durch einen unabhängigen Prüfer prüfen zu lassen und das Ergebnis dieser Prüfung an das auslagernde Unternehmen bzw. dessen Abschlussprüfer zu kommunizieren. Solche Prüfungen werden in Deutschland z.B. durch den Prüfungsstandard 951 des Instituts der Deutschen Wirtschaftsprüfer (IDW) berufsrechtlich normiert. Für Gesellschaften, die in den USA gelistet sind, sind regelmäßig Prüfungen nach dem sogenannten Standard SAS 70 gefordert. Der SAS 70 (Statement on Auditing Standards No. 70, Service Organisations (AU section 324)) wurde bereits 1992 veröffentlicht und erhielt durch den Sarbanes Oxley Act im Jahr 2002 eine erheblich größere Bedeutung.

Nach der sprachlichen Definition des SAS 70 wird das auslagernde Unternehmen als „user entity“ und der Abschlussprüfer des auslagernden Unternehmens als „user auditor“ bezeichnet, der Dienstleister ist die „service organisation“ und der Prüfer der Internen Kontrollen beim Dienstleister ist der „service auditor“. Neben inhaltlichen und formalen Aspekten regelt der SAS 70 auch das Verhältnis der auditors untereinander sowie die Verwendung der Ergebnisse des service auditors durch den user auditor. Auch wenn der SAS 70 ursprünglich dazu gedacht war, die Kommunikation zwischen den Prüfern zu regeln, so kann man heute feststellen, dass der SAS 70 auch als „Marketing-Argument“ in der (Neu-)Kundengewinnung zunehmend genutzt wird.

Nachdem der Standard nunmehr fast zwei Jahrzehnte lang ausreichend war, hat das Amerikanische Institut der Wirtschaftsprüfer (AICPA) im April das „Statement on Standards for Attestation Engagements No. 16, Reporting on controls at a Service Organisation“ (SSAE 16) veröffentlicht. Die Veröffentlichung ist eine Konsequenz aus der Harmonisierung der amerikanischen audit, attest und quality control standards des AICPA mit denen des International Auditing and Assurance Standards Board (IAASB). Dies führt in letzter Konsequenz dazu, dass statt bisher eines Standards, eben des SAS 70, künftig zwei Standards das Zusammenspiel der Prüfer regeln:

  • Die Vorschriften für die Prüfung der Internen Kontrollen bei der service organisation sind nunmehr vollständig im SSAE 16 hinterlegt, während
  • die einschlägigen Vorschriften für die Prüfung durch den user auditor und die Verwendung der Ergebnisse des service auditors in der AU section 324 verbleiben.

Das SSAE 16 ersetzt damit den SAS 70 als Prüfungsgrundlage für die Prüfung beim Dienstleister vollständig. Das SSAE 16 ist erstmalig auf Geschäftsjahre anzuwenden, die am oder nach dem 15.06.2011 enden. Eine Anwendung vor diesem Zeitpunkt ist – auf freiwilliger Basis – jederzeit möglich. Eine ausführliche Erläuterung zum SAS 70 und den aktuellen Änderungen sowie weiterführende Links finden Sie beim AICPA hier.

Was ändert sich inhaltlich? Auf den ersten Blick scheinbar nicht sehr viel. Es gibt nach wie vor zwei Arten der Prüfung (Typ I und Typ II), mit der gewohnten Unterscheidung: Eine Prüfung nach Typ I beurteilt die Darstellung des Managements der Internen Kontrollen und die Erreichung der Kontrollziele anhand des Kontrolldesigns. Eine Prüfung nach Typ II prüft darüber hinaus auch die Wirksamkeit der eingerichteten Kontrollen.

Allerdings: Während bisher im SAS-70-Bericht das Management der service organisation die Beschreibung der Internen Kontrollen beigesteuert hat, muss der service auditor nunmehr eine formale, schriftliche Bestätigung der Geschäftsführung der service organisation einholen, in der das Management z.B. für eine Prüfung nach Typ II bestätigt, dass:

  • Die Darstellung der Internen Kontrollen der service organisation vollständig ist und die Internen Kontrollen entsprechend konzipiert („designed“) und während des gesamten Prüfungszeitraums entsprechend implementiert waren.
  • Die Internen Kontrollen während des gesamten Prüfungszeitraums so konzipiert („designed“) waren, dass die Kontrollziele jederzeit angemessen erreicht wurden.
  • Die Internen Kontrollen während des gesamten Prüfungszeitraums wirksam waren und die Kontrollziele (wirksam) unterstützt haben. 

Es ist zwar noch keine Mustererklärung hierzu veröffentlicht, aber man darf davon ausgehen, dass hier eine persönliche Erklärung entsprechend der Erklärung der Geschäftsführung bei der user organisation verlangt werden wird. Dies wird voraussichtlich die Geschäftsführung der service organisation weit stärker als bisher in die Pflicht nehmen.

Darüber hinaus:

  • Das SSAE 16 enthält nunmehr in den Absätzen 14 bis 16 Kriterien zur Beurteilung der Angemessenheit der Darstellung des Internen Kontrollsystems, zur Beurteilung der Konzeption (des „design“) und der Wirksamkeit der Internen Kontrollen.
  • Der Prüfer der service organisation darf keine Testfälle mehr verwenden, die er in früheren Prüfungszeiträumen bereits geprüft hat, um den Testumfang zu verringern, selbst wenn zu diesen Testfällen neue, in der Prüfungsperiode aktuell hinzugekommene „evidences“ verwendet würden.
  • Der Prüfer der service organisation soll aus der Beschreibung der internen Wirksamkeitsprüfung diejenigen Fälle identifizieren, die die Interne Revision oder andere Prüfer verwendet haben.

Schließlich gibt es noch einige formale und inhaltliche Vorgaben zum Bericht des service auditors, auf die hier nicht weiter eingegangen werden soll.

Insgesamt wird mit diesen Änderungen die Qualität und Aussagekraft des Berichts ebenso wie die Verbindlichkeit der Aussagen weiter erhöht. Hier tragen die Erklärung der Geschäftsführung ebenso wie der Wegfall der Prüfungserleichterungen nicht unerheblich bei. Wie sich die Auswirkungen aber letztendlich konkret auf Prüfung und Berichterstattung auswirken, bleibt noch abzuwarten – die AICPA hat für das Frühjahr 2011 entsprechende Prüfungshinweise (analog zu „Service Organizations: Applying SAS No. 70, as Amended – AICPA Audit Guide“) angekündigt.

Für weitere Fragen stehen Ihnen die Partner der compliance-net GmbH hier gerne zur Verfügung.