Apr
08
2011

Der Weg zu einem Internen Kontrollsystem (IKS)-Teil 4: Durch den Dschungel der Prüfungsstandards

In meinem letzten Post habe ich über den Aufbau und Begriff des IKS geschrieben, der heutige widmet sich den möglichen Prüfungsstandards. Nach einiger Recherche stellte ich fest, dass der Dschungel doch nicht so undurchsichtig ist. Der Schwerpunkt der  Prüfungsstandards liegt beim ordnungsgemäßen Betrieb von ausgelagerten Service-Prozessen.

SAS 70

Das Statement on Auditing Standards Nr. 70 (SAS 70 for Service Organizations) ist ein bekannter Prüfungsstandard, der durch das American Institute of Certified Public Accountants (AICPA) entstanden ist. Dieser bestätigt, dass Unternehmen adäquate Kontrollen, Kontrollziele sowie Effektivitätsbeurteilungen eines IKS von ausgelagerten Prozessen in einem Report führen.

In einem jährlichen Audit, welches ein Wirtschaftsprüfer durchgeführt, wird ein Service Auditors Report erstellt, der die Beurteilung des IKS und dessen Prozesse  dem Unternehmen bescheinigt. Der SAS-70-Report wird in Zusammenhang mit den Forderungen aus dem Sarbanes-Oxley Act (SOX) und in Bezug auf Ausschreibungen gefordert (US gelistete Unternehmen an der Börse).

Der SAS 70-Report unterteilt sich zwei Typen. Der Typ I enthält Beschreibungen des IKS und dessen Kontrollen zur Erreichung der entsprechenden Ziele, zu einem bestimmten Zeitpunkt. Der Typ II-Report schließt zusätzlich eine Effektivitätsbeurteilung der Kontrollen, die minimal in einer Periode von 6 Monaten erstellt wurden ein. Die Berichtserstattung des SAS 70 entspricht den Anforderungen von SOX 404.

SSAE 16

Der Statement on Standards for Attestation Engagements Nr.16 (SSAE16 Reporting on Controls at a Service Organization) wurde als Nachfolger von SAS 70 entwickelt und wird im 15. Juni 2011 wirksam.

SSAE 16 vereint auch den Reporting-Standard ISAE 3402 , um mehr Transparenz zwischen Kontrollen und Berichterstattung zu bringen. Im Gegensatz zu SAS 70 wird beim SSAE 16 nach dem ISAE 3402-Report eine komplexe Beschreibung der Systems und dessen Prozesse sowie eine schriftliche Geltendmachung des Managements benötigt.

IDW Prüfungsstandards

Eine weitere Vielzahl an Prüfungsstandards kommen vom Institut der Wirtschaftsprüfer in Deutschland e.V (IDW). Die Veröffentlichungen und Prüfungsstandards der IDW werden in Zusammenarbeit mit verschiedenen Fachgremien sowie der Öffentlichkeit entwickelt und erweitert.
Der bekannteste der IDW Prüfungsstandards (PS) ist der PS 951, Prüfungsstandard zur Prüfung des IKS beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen. Dieser Standard ist die deutsche Variante des SAS 70 und berücksichtigt die deutsche Besonderheit, dass durch eine gesonderte Prüfung ein Nachweis für die Effektivität des IKS erlangt werden kann. Analog zu SAS 70 findet eine Einteilung nach Typ I und Typ II der Berichterstattung statt.
Der PS 951 ergänzt den IDW PS 331 Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen.
Ein weiterer Standard ist der PS 330, Abschlussprüfung bei Einsatz von Informationstechnologie. Dieser wird bei Abschlussprüfungen eingesetzt, wenn die Rechnungslegung durch den Einsatz von Informationstechnologie umgesetzt wird. Der PS 330 beschreibt die Ziele, den Umfang, die Durchführung, Überwachungsmaßahmen sowie die Dokumentation von rechnungslegungsrelevanten IT-Systemen entsprechend GoBS und HGB.
In diesem Zusammenhang spielen außerdem noch einige andere Prüfungsstandards wie der PS 340 und PS 321 eine Rolle. PS 340 beschreibt den Vorgang einer Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB, der PS 321 die Interne Revision und Abschlussprüfung.  Ebenso erweitern diverse Stellungnahmen (IDW RS) zur Rechnungslegung, Prüfungs- und Rechnungslegungshinweise (IDW PH und IDW RH) die Prüfungsstandards, um wichtige Informationen und Prüfungsfragen.
Als Neuerung zum Thema IKS, existiert bereits ein Entwurf des IDW EPS 980 Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (CMS). Der Prüfungsstandard kann sich auf verschiedene Geschäftsbereiche oder auf bestimmte Rechtsgebiete beziehen und wird erstmals nach dem 30.06.2011 bei Prüfungen angewendet werden.

Nächste Woche folgt eine Zusammenfassung über Kontrollmöglichkeiten durch ein IKS.

Alle Artikel der Serie:

Teil 10: Monitoring und Evaluationsprozess
Teil 9: Die richtige Verbreitung von Information und Kommunikation
Teil 8: Der Jahres- /Monatsabschluss im Griff-Kontrollaktivitäten
Teil 7: Lauernde Risiken im Jahres- /Monatsabschluss
Teil 6: Framework zur Einführung in den Bereich Accounting
Teil 5: Kontrollaktivitäten und ihre Ausprägungen
Teil 4: Durch den Dschungel der Prüfungsstandards
Teil 3: Herzstück der Unternehmung
Teil 2: Ein IKS kann für unterschiedliche Compliance-Bereiche eingesetzt werden
Teil 1: Grundlagen Compliance

Quellen:

Bundesamt für Sicherheit in der Informationstechnik. BSI. Informationssicherheit – Ein Vergleich von Standards und Rahmenwerken. [Online] 2009. [Zitat vom: 21. Februar 2011.] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Doku/studie_ueberblick-standards.pdf?__blob=publicationFile.

Institut der Wirtschaftsprüfer in Deutschland e.V. Institut der Wirtschaftsprüfer. Verlautbarungen – IDW Prüfungsstandards. [Online] 2011. [Zitat vom: 22. Februar 2011.] http://www.idw.de/idw/portal/n281334/n281114/n302246/index.jsp

Institut der Wirtschaftsprüfer in Deutschland e.V. Institut der Wirtschaftsprüfer. IDW EPS 980-Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systeme. [Online] 11. März 2010. [Zitat vom: 22. Februar 2011.] http://www.idw.de/idw/download/IDW__EPS__980.pdf?id=595952&property=Inhalt.

PricewaterhouseCoopers. PricewaterhouseCoopers. SAS 70 Report: Auswirkungen und Trends. [Online] 2010. [Zitat vom: 8. April 2011.] http://www.pwc.de/de/automobilindustrie/sas-70-report-auswirkungen-und-trends.jhtml.

SAS70.com . SAS 70 Overview. [Online] 2011. [Zitat vom: 21. Februar 2011.] http://sas70.com/sas70_overview.html

SAS70.com. SAS 70 Service auditors reports. [Online] 2011. [Zitat vom: 21. Februar 2011.] http://sas70.com/sas70_reports.html.

ssae16.org. ssae16.org. SSAE 16 Definition | Provided by the SSAE 16 Resource Guide. [Online] 2010. [Zitat vom: 22. Februar 2011.] http://www.ssae16.org/what-is-ssae-16/ssae-16-definition.html.

ssae16.org. ssae16.org. SSAE 16 | Why a New Standard? [Online] 2010. [Zitat vom: 22. Januar 2011.] http://www.ssae16.org/what-is-ssae-16/why-a-new-standard.html.

 

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF

No Comments »

RSS feed for comments on this post. TrackBack URL

Leave a comment


6 × = eighteen

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions