Neue Prüfungsstandards bei Auslagerung

28.08.2012  — Online-Redaktion Verlag Dashöfer.  Quelle: Warth Klein Grant Thornton.

Ob Personalbuchhaltung, Rechenzentrumsbetrieb oder Ersatzteilservice - viele Unternehmen lagern heutzutage Funktionen aus. Wenn Outsourcing richtig gemacht wird, kann dies viele betriebswirtschaftliche Vorteile bringen. Allerdings besteht immer die Gefahr, dass ein auslagerndes Unternehmen auch von Schwächen in den internen Kontrollen des Dienstleisters betroffen wird.

Wer ein Outsourcing in Erwägung zieht, muss beurteilen, ob sich aus einer Auslagerung von Funktionen Risiken für die Rechnungslegung ergeben können und entsprechend darauf reagieren. Zwei neue Prüfungsstandards (ISAE 3402, SSAE 16) haben die Prüfung von internen Kontrollsystemen und der Kontrollwirksamkeit bei Dienstleistern zum Gegenstand. Der bis zum 15. Juni 2011 über 18 Jahre weltweit angewandte de-facto-Standard SAS 70 ist abgelöst. Entsprechende Prüfungen und Zertifizierungen gemäß ISAE 3402 oder SSAE16 bieten sowohl dem Dienstleister als auch dem auslagernden Unternehmen ein hohes Maß an Sicherheit und weitere Vorteile.

Prüfungsstandards bei Auslagerung

Beide Standards regeln in ähnlicher Weise die Vorgehensweise des Prüfers des Dienstleistungsunternehmens (Service Auditor), der einen Bericht über die Prüfung von dessen dienstleistungsbezogenem internen Kontrollsystem erstattet, sowie die Möglichkeiten zur Verwertung eines solchen Berichts durch das Management und den Abschlussprüfer des auslagernden Unternehmens (User Auditor). Berichte nach SSAE 16 SOC 1 richten sich primär an die auslagernden Unternehmen, die den SEC-Regeln verpflichtetet sind, während Berichte nach ISAE 3402 von allen übrigen Unternehmen angefordert werden.

Die wichtigsten Neuerungen des ISAE 3402-Standards für Dienstleister: Das Management des Dienstleisters hat nunmehr die Pflicht, eine schriftliche Erklärung abzugeben, dass das dienstleistungsbezogene IKS angemessen aufgebaut und eingerichtet ist, um die definierten Kontrollziele zu erreichen (Typ-1-Bericht), und dass die Kontrollen im Berichtszeitraum von mindestens 6 Monaten nachweislich beachtet wurden (Typ-2-Bericht). Die Erklärung des Managements des Dienstleisters ist zwingender Bestandteil des Prüfungsberichts. Die Verpflichtung erstreckt sich auch auf einbezogene Sub-Dienstleister.

Außerdem enthalten die neuen Standards präzisere Vorgaben für die vom Dienstleister zu erstellende Kontrollbeschreibung (mehr Details zu Kontrollen, Kontrollzielen und Gefährdungspotenzialen, Minimalkriterien zur Vereinheitlichung der Beurteilung, Beschreibung der beim auslagernden Unternehmen erforderlichen Kontrollen) und die Erwartung, dass das Management eine interne Überwachung des dienstleistungsbezogenen IKS einrichtet, um selbst eine vertrauenswürdige Erklärung zur Angemessenheit und ggf. zur Wirksamkeit abgeben zu können.

Die Vorteile einer Zertifizierung nach ISAE 3402 oder SSAE 16 SOC 1:

  • Transparenz: Umfassende Information über das dienstleistungsbezogene IKS als Ergänzung des Kennzahlen-Reportings zu vereinbarten Service Levels.

  • Compliance-Nachweis: Unabhängige Überprüfung und Beurteilung des dienstleistungsbezogenen IKS durch einen Wirtschaftsprüfer nach Kriterien, die für die Ordnungsmäßigkeit und Sicherheit rechnungslegungsrelevanter Systeme und Funktionen beim auslagernden Unternehmen wesentlich sind; von Bedeutung für den Abschlussprüfer ist nur der Typ-2-Bericht über die Wirksamkeit der Kontrollen.
  • Differenzierung gegenüber Wettbewerbern: Erhalt der bestehenden Kunden durch einen Nachweis, der die Zuverlässigkeit des Services belegt und Vertrauen schafft, sowie Wettbewerbsvorteil in Ausschreibun-gen durch Demonstration eines kundenorientierten Kontrollbewusstseins und eines angemessenen Kontrollniveaus.

  • Kontinuierliche Verbesserung: Ausrichtung der Services und internen Kontrollen an den von der Mehrheit der auslagernden Unternehmen erwarteten Leistungen und Kontrollzielen.

  • Zeit- und Kosten-Einsparung:
  • Verwertung eines Prüfungsberichts statt diverser Vor-Ort-Audits mit ähnlichem Prüfungszweck durch die Abschlussprüfer der auslagernden Unternehmen.

Fazit

Unternehmen, die Outsourcing-Überlegungen anstellen, sollten von vornherein ihre Ansprüche an die Angemessenheit und Wirksamkeit des internen Kontrollsystems beim Dienstleister als Kriterium für die Auswahl des Dienstleisters definieren. Die Dienstleistungsunternehmen, die sich erstmalig nach einem der beiden Standards zertifizieren lassen wollen, müssen klären, welcher Standard den Bedürfnissen der Kunden am besten entgegenkommt.

Warth & Klein Grant Thornton ist eine der größten partnerschaftlich geführten Wirtschaftsprüfungsgesellschaften in Deutschland mit über 750 Mitarbeitern an elf Standorten. Sie betreut einen repräsentativen Querschnitt der deutschen Wirtschaft mit Unternehmen und Institutionen aus nahezu allen Branchen sowie private Vermögensinhaber. Die Services umfassen Wirtschaftsprüfung, Steuerberatung, Corporate Finance & Advisory Services sowie Private Finance. Bei grenzüberschreitenden Aufgabenstellungen arbeitet sie seit mehr als zehn Jahren mit „Grant Thornton International“ zusammen, einer weltweit tätigen Dachorganisation unabhängiger Wirtschaftsprüfungsgesellschaften.
nach oben