PS951, SSAE18, ISAE3402

Compliance Management - Eine Standortbestimmung

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.

Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.

SSAE 18 ersetzt SSAE 16

Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18

Hintergrund

Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren.

Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf das Rechnungswesen und den Jahresabschluss des Auftraggebers vorhanden. Grundsätzlich gilt, dass die Ordnungsmäßigkeit des Rechnungswesens nicht ausschließlich anhand von Verarbeitungsergebnissen zu beurteilen ist, sondern in hohem Maß an die Funktionsfähigkeit des internen Kontrollsystems geknüpft wird. Eine grobe Abhandlung findet sich auch hier.

PS 951, SSAE 16 und ISAE 3402 kurz und bündig erklärt

Schaubild BerichtswegDer nachfolgende Beitrag soll die beiden Prüfungs- bzw. Berichtsstandards nicht im Detail untersuchen und analysieren, sondern dem Leser einen Überblick verschaffen, in welchem Kontext diese Begrifflichkeiten zu sehen sind und was sich dahinter verbirgt.

Im Zuge der immer stärkeren Fokussierung auf interne Kontrollsysteme stellt sich die Frage, wie die Prozesse und internen Kontrollen bei Shared-Service Centern oder Outsourcing-Dienstleistern geprüft und beurteilt werden sollen. Immer öfter stellt sich die Frage nach einer "Zertifizierung" nach PS 951, ISAE 3402 oder auch SSAE 16.

SSAE 16: Der neue SAS 70 – Änderungen am bewährten Standard für Prüfungen bei Dienstleistern

Bild eines LautsprechersEs ist heutzutage durchaus üblich, dass Unternehmen Teile ihres operativen Geschäftsbetriebs auf entsprechende Dienstleistungsunternehmen auslagern. Im Rahmen der Abschlussprüfung stellt dies den Wirtschaftsprüfer vor die Problematik, dass er möglicherweise nicht (mehr) alle für die Erstellung und Prüfung des Jahresabschlusses beitragenden Geschäftsprozesse bzw. die Internen Kontrollen in diesen Geschäftsprozessen kennt und/oder prüfen kann. Darüber hinaus setzen rechtliche oder vertragliche Rahmenbedingungen den grundsätzlichen Prüfungsmöglichkeiten oftmals Grenzen. Eine ausführlichere Darstellung finden Sie hier.

Eine Lösung dieses Dilemmas ist es, das dienstleistende Unternehmen vertraglich zu verpflichten, die Effektivität der Internen Kontrollen durch einen unabhängigen Prüfer prüfen zu lassen und das Ergebnis dieser Prüfung an das auslagernde Unternehmen bzw. dessen Abschlussprüfer zu kommunizieren. Solche Prüfungen werden in Deutschland z.B. durch den Prüfungsstandard 951 des Instituts der Deutschen Wirtschaftsprüfer (IDW) berufsrechtlich normiert. Für Gesellschaften, die in den USA gelistet sind, sind regelmäßig Prüfungen nach dem sogenannten Standard SAS 70 gefordert. Der SAS 70 (Statement on Auditing Standards No. 70, Service Organisations (AU section 324)) wurde bereits 1992 veröffentlicht und erhielt durch den Sarbanes Oxley Act im Jahr 2002 eine erheblich größere Bedeutung.