Herausforderungen bei der Auslagerung rechnungslegungsrelevanter Prozesse
Lagert ein Unternehmen rechnungslegungsrelevante Prozesse aus, muss es dafür Sorge tragen, dass ein angemessenes internes Kontrollsystem sowie ein angemessenes Risikomanagement eingerichtet und wirksam sind. Dies betrifft nicht nur das eigene Unternehmen sondern auch die ausgelagerten Funktionen beim Dienstleister.
Wenn diese Prozesse Prüfungsgegenstand einer Jahresabschlussprüfung werden, stellt sich für das auslagernde Unternehmen und dessen Wirtschaftsprüfer die Frage, wie die Prüfung der internen Kontrollen beim Dienstleister erfolgen kann - beispielsweise durch eine Vor-Ort-Kontrolle des dienstleistungsbezogenen internen Kontrollsystems des Dienstleisters durch die Wirtschaftsprüfer. Dies ist jedoch sehr zeitaufwendig und teuer.
ISAE 3402: Einheitliche Standards zur Prüfung interner Kontrollen bei Dienstleistern
Nun ist es so, dass Dienstleistungsunternehmen wie Claranet in der Regel nicht nur einen Kunden, sondern eine Vielzahl von Kunden bedienen, die wiederum von verschiedenen Wirtschaftsprüfungsgesellschaften geprüft werden. In der Konsequenz hieße das, dass regelmäßig für jeden Kunden und jede Wirtschaftsprüfungsgesellschaft eine Prüfung des dienstleistungsbezogenen internen Kontrollsystems beim Dienstleister durchführt werden müsste, was derzeit auch bei einzelnen Dienstleistern der Fall ist. Eine insgesamt für beide Seiten unbefriedigende Situation.
Die verantwortlichen internationalen Gremien haben dieses Problem erkannt und das International Auditing and Assurance Standards Board (IAASB) hat im Dezember 2009 den International Standard on Assurance Engagements No. 3402 (ISAE 3402), “Assurance Reports on Controls at a Service Organization“ herausgegeben. Das Institut der Wirtschaftsprüfer in Deutschland e.V. hat für Deutschland ebenfalls einen an ISAE 3402 angelehnten Prüfungsstandart IDW PS 951 herausgebracht. Die Ergebnisse einer solchen Prüfungshandlung bei einem Dienstleister werden in einem standardisierten Report (Service Organization Control / SOC Bericht) zusammengefasst und auf Anfrage kann dieser Bericht für Unternehmen und deren Wirtschaftsprüfer bereitgestellt werden.
Was ist ein SOC 2 Report?
In einem SOC Report geht es um interne Kontrollen in Bezug auf:
- Sicherheit
- Verfügbarkeit
- Integrität
- Vertraulichkeit (Datenschutz)
der verarbeiteten Daten und Prozesse. Es findet eine Beurteilung und Berichterstattung zum Kontrolldesign im Hinblick auf die Angemessenheit der Definition der Ziele und der zugehörigen Kontrollen zu einem bestimmten Zeitpunkt statt (Typ I). Eine Prüfung nach Typ II prüft darüber hinaus auch noch die Wirksamkeit der eingerichteten Kontrollen und beinhaltet die Testszenarien und das Ergebnis dieser Tests im Bericht - in der Regel für das zurückliegende Jahr. Hier liegt auch der entscheidende Unterschied zu einer ISO 27001 Zertifizierung, bei der ebenfalls nur ein Zeitpunkt betrachtet wird.
Fazit: Unternehmen, die rechnungslegungsrelevante Prozesse an einen Dienstleister auslagern, können viel Geld und Zeit einsparen, wenn der Dienstleister einen SOC 2 Typ II Report nach ISAE 3402 oder einen IDW PS 951 Bericht zur Verfügung stellt.
Lesen Sie, wie Traxpay vom SOC 2 Typ II Report profitiert
Informationen zum SOC 2 Typ II Report von Claranet und den weiteren Zertifizierungen finden Sie unter Compliance.