Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18
Hintergrund
Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren.
Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf das Rechnungswesen und den Jahresabschluss des Auftraggebers vorhanden. Grundsätzlich gilt, dass die Ordnungsmäßigkeit des Rechnungswesens nicht ausschließlich anhand von Verarbeitungsergebnissen zu beurteilen ist, sondern in hohem Maß an die Funktionsfähigkeit des internen Kontrollsystems geknüpft wird. Eine grobe Abhandlung findet sich auch hier.
Das Auditing Standard Board (ASB) am American Institute of Certified Public Accountants (AICPA) hat einen überarbeiteten Prüfungsstandard – Statement on Standards for Attestation Engagement (SSAE 18) – ausgefertigt.
Das Ziel dieser Neuveröffentlichung ist es, die Anforderungen und Qualität der Berichtserstattung für Service-Organization-Control-Berichte (SOC) zu verbessern und mit dem internationalen Standard "Internation Standard for Assurance Engagement 3402" (ISAE 3402) von International Auditing Assurance Standards Board (IAASB) zu vereinheitlichen. Die beiden Standards SSAE 18 und ISAE 3402 bilden eine Basis für den SOC1-Prüfungsbericht, der von einem US-amerikanischen Wirtschaftsprüfer (CPA) geprüft wird. SOC2 und SOC3 sind weitere Berichtstypen und haben unterschiedliche Ziele und Adressaten.
SSAE18 ersetzt den bisherigen SSAE 16 zum 01. Mai 2017.
Der unter SSAE 18 erstellte Prüfungsbericht (SOC1, SOC2 oder SOC3, jeweils Typ 1 oder 2) ist zur Weitergabe an den Kunden bzw. dessen Prüfer bestimmt, der diesen typischerweise in sein Gesamturteil einfließen lässt.
Welche Veränderungen treten mit SSAE 18 in Kraft?
Eine Serviceorganisation muss nunmehr sicherstellen, dass ihre Dienstleister ebenfalls laufend in die Prüfung/Überwachung der Wirksamkeit des internen Kontrollsystems einbezogen sind. Die Kontrollen, die hierfür notwendig sind, sind explizit darzustellen und zu dokumentieren.
Der Prüfer ist aufgefordert, die seitens des Dienstleisters getroffenen Maßnahmen zur Überwachung seiner „Subdienstleister“ zu beurteilen. Insofern bietet es sich an, hierfür standardisierte Kontrollen zu implementieren, die einerseits eigene Prüfungshandlungen, andererseits aber auch die Entgegennahme und Würdigung eines Berichts über die Prüfung des internen Kontrollsystems beinhalten können. Selbstverständlich setzt dies voraus, dass ein Dienstleister sämtliche für die Dienstleistungserbringung relevanten Subdienstleister identifiziert.
Außerdem muss ein Dienstleister regelmäßige Risk-Assessments vornehmen und deren Ergebnisse dokumentieren.
Beide Anforderungen sind logische Konsequenzen die sich aus dem Zweck des internen Kontrollsystems ergeben. In der Praxis bietet es sich an, diese als Kontrolle(n) in die Dokumentation der Risiken und Kontrollen (Risiko-Kontrollmatrix/RCM) aufzunehmen. Damit reihen sie sich in die Routinetätigkeiten des IKS ein und es wird keine gesonderte Dokumentation benötigt.