Seit 2013 lässt Adacor das interne dienstleistungsbezogene Kontrollsystem (IKS) auf Basis des Prüfstandards IDW PS 951 auditieren. Zuerst haben wir die Unbedenklichkeitsbescheinigung des Typs A erlangt und diese zum Typ B ausgebaut. Adacor unterstützt damit die Bestrebungen von Kunden hinsichtlich Compliance und Datensicherheit im Zusammenhang mit der Prüfung durch einen Wirtschaftsprüfer. Was ein IKS ist und welche Besonderheiten Unternehmen bei der Erstellung eines Jahresabschlusses beachten müssen, wenn sie Geschäftsprozesse an externe Dienstleister auslagern, erfahren Sie im folgenden Beitrag.
IKS – ein Muss bei der Bilanzprüfung
Wenn sich ein Unternehmen für eine Bilanzprüfung durch einen Wirtschaftsprüfer entscheidet, muss das interne Kontrollsystem (IKS) zwingend dokumentiert werden. In diesem Zusammenhang kontrolliert der Wirtschaftsprüfer alle für die Jahresbilanz relevanten Zahlen und Daten inklusive der rechnungslegungsrelevanten Leistungen. Überprüft werden außerdem die Kontrollmaßnahmen, welche die Integrität, Korrektheit und Verfügbarkeit der bilanzrelevanten Daten sicherstellen sollen.
Um Kundenunternehmen bei der Prüfung der Jahresbilanz durch einen Wirtschaftsprüfer optimal zur Seite zu stehen, hat Adacor 2013 initial die Unbedenklichkeitsbescheinigung des Typs A erworben. Diese wurde Anfang 2015 zum Typ B ausgebaut. Mittels der Bescheinigung des Typs B unterstützt Adacor die Bestrebungen von Kunden hinsichtlich Compliance und Datensicherheit im Zusammenhang mit der Prüfung durch einen Wirtschaftsprüfer.
Adacor lässt das IKS jährlich durch eine unabhängige Wirtschaftsprüfgesellschaft auditieren. So auch im Januar dieses Jahres. Im Audit nach IDW PS 951 Typ 2 wurde überprüft, ob Prozesse im Vorjahr angemessen beschrieben und wie vereinbart, durchgeführt wurden. Das Audit haben wir im Januar 2020 ohne jegliche Beanstandungen erfolgreich bestanden. Einen Überblick über unsere Zertifizierungen erhalten Sie hier.
Was ist ein IKS?
Ein internes Kontrollsystem (IKS) besteht aus allen Maßnahmen, die ein Unternehmen getroffen hat, um die in der Bilanz aufgeführten Daten abzusichern. Folgende Fragen stehen im Fokus:
- Wer darf Buchungen durchführen?
- Wer hat eine Kontovollmacht?
- Wie stellt ein Unternehmen sicher, dass die Inventurdaten korrekt erfasst werden?
- Wie wird gewährleistet, dass die Buchhaltungsdaten auf den Servern immer verfügbar sind?
- Wie ist die Integrität der Daten sichergestellt?
Ein IKS beschreibt die vom Management eingeführten Grundsätze, Verfahren und Maßnahmen hinsichtlich
- der Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit
- der Ordnungsmäßigkeit der internen und externen Rechnungslegung
- der Einhaltung von rechtlichen Vorschriften
Da der Prüfer nachweisen muss, dass er alle Risiken kontrolliert hat, welche die Herkunft der Bilanzzahlen betreffen, erfolgt im Rahmen der Prüfung eine gesonderte IT-Prüfung. Sie fokussiert auf die Einhaltung der Grundsätze ordnungsgemäßer Buchhaltung beim Einsatz der Informationstechnologie. Auf diese Weise macht sich der Wirtschaftsprüfer während der jährlichen Bilanzprüfung ein konkretes und umfassendes Bild von dem eingerichteten Kontrollsystem. Schließlich ist es seine Aufgabe, potenzielle Fehlerquellen und mögliche Risiken zu identifizieren.
Spezialfall Dienstleistungsunternehmen
Unternehmen lagern häufig ganze (Teil-)Geschäftsbereiche an Dienstleister aus, zum Beispiel Personal-, Buchführungs- und IT-Dienstleistungen. Als Dienstleistungsunternehmen gilt jedes rechtlich eigenständige Unternehmen, das betriebliche Funktionen des auslagernden Unternehmens in dessen Auftrag durchführt. Durch das Outsourcing bestimmter Geschäftsbereiche an einen Dienstleister rückt dieser ins Interesse des Wirtschaftsprüfers. Ihm obliegt die Beurteilung, ob die vom Dienstleister erbrachten Leistungen von Bedeutung für die Abschlussprüfung sind und ob es zu Fehlern in der Rechnungslegung gekommen ist. Im Fokus eines IKS und des dazugehörigen Audits stehen primär das Risikomanagement, die Informationssicherheit und das Verfügbarkeitsmanagement.
Führt die Beurteilung zu dem Ergebnis, dass die Tätigkeit des Dienstleisters für die Abschlussprüfung von Bedeutung ist, bewertet der Wirtschaftsprüfer, ob die Tätigkeit des Dienstleisters ausreichend durch das IKS des Auftraggebers oder durch das IKS des Dienstleisters überwacht wird. Beeinflusst ausgelagerte Informationstechnologie direkt oder indirekt die Buchführung, ist eine Prüfung und Beurteilung des dienstleistungsbezogenen IKS des Dienstleisters notwendig. Dadurch wird das bei dem Dienstleister eingerichtete IKS für die Abschlussprüfung des Auftraggebers bedeutsam. Deshalb vereinbaren Unternehmen mit ihren Dienstleistern vertragliche Prüfungs- und Kontrollrechte, um sich von der Angemessenheit und Wirksamkeit des IKS überzeugen zu können.
Bescheinigung nach IDW PS 951
Dienstleistungsunternehmen mit vielen Kunden können einer mehrfachen Prüfung durch verschiedene Wirtschaftsprüfer vorbeugen, indem sie ein eigenes dienstleistungsbezogenes IKS dokumentieren und ihre Geschäftspartner darauf verweisen. Der vom Institut für Wirtschaftsprüfer in Deutschland e. V. verabschiedete Prüfstandard IDW PS 951 (die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen) sowie dessen internationales Pendant ISAE 3402 behandeln explizit diesen Fall. Es werden zwei Möglichkeiten der Berichterstattung durch einen vom Dienstleister beauftragten Prüfer unterschieden, die sich in der Qualität, der Aussagekraft sowie im jeweiligen Kundennutzen unterscheiden:
Die Unbedenklichkeitsbescheinigung vom Typ A:
Die Bescheinigung vom Typ A stellt die Komponenten eines in einem Unternehmen eingerichteten IKS dar und trifft Aussagen zu deren Angemessenheit. Die Komponenten und Maßnahmen werden an einem bestimmten Stichtag einmalig überprüft. Diese Form der Bescheinigung zieht zwangsläufig weitere Prüfungen nach sich, da der Wirtschaftsprüfer eine Aussage über die Wirksamkeit des IKS des Dienstleistungsunternehmens treffen muss. Er kann diese Bescheinigung nur als Grundlage für weitere Prüfungshandlungen nutzen.
Die Unbedenklichkeitsbescheinigung vom Typ B:
Die Bescheinigung vom Typ B trifft Aussagen zur Angemessenheit und Wirksamkeit des eingerichteten dienstleistungsbezogenen IKS. Im Rahmen dieser Bescheinigung wird der Bezug zu im Vorhinein definierten Kontrollzielen hergestellt und bestätigt, dass das IKS des Dienstleisters hinsichtlich dieser Ziele wirksam erscheint. Die Prüfung erfolgt über einen definierten Zeitraum (in der Regel das Kalenderjahr oder das letzte abgeschlossene Geschäftsjahr) und verifiziert, ob die beschriebenen Maßnahmen während des gesamten Zeitraumes installiert, angewendet und wirksam waren. Die Bescheinigung des Typs B kann durch den Abschlussprüfer des auslagernden Unternehmens im Rahmen seiner Eigenverantwortlichkeit als Ersatz für eigene Prüfungshandlungen verwendet werden.
Unser Video zu Datensicherheit und IT-Security
Dienstleister benötigen ein angewandtes und wirksames IKS
Immer mehr Unternehmen achten bei ihren Ausschreibungen darauf, Dienstverträge so auszugestalten, dass die Verpflichtung eine entsprechende Unbedenklichkeitsbescheinigung einzubringen, von Beginn an vertraglich verankert ist. Dienstleister, die über eine Bescheinigung vom Typ B verfügen, weisen ihren Auftraggebern die Existenz eines angewandten und wirksamen IKS nach. Bescheinigungen vom Typ A sind nicht mehr als eine Momentaufnahme und bescheinigen lediglich die Erfüllung von Mindestanforderungen.
Vor diesem Hintergrund lässt sich Adacor im Rahmen des dienstleistungsbezogenen IKS für eine Unbedenklichkeitsbescheinigung des Typs B auditieren. Alle Vorgänge und Prozesse des implementierten Systems haben wir sorgfältig und detailliert dokumentiert. Die Etablierung objektiver Qualitätsmerkmale ist für uns wichtig, da Adacor individuelle Produkte und Services anbietet, die der Kunde nicht im Vorfeld anfassen und ausprobieren kann. Aus diesem Grund wollen wir unsere Interessenten und Kunden durch bedarfsgerechte Services, Erfolgsgeschichten, namhafte Referenzen, einen intensiven Beratungsprozess während der gesamten Laufzeit des Vorhabens sowie der externen Überprüfung der Abläufe und Sicherheitsmaßnahmen von der hohen Professionalität und Qualität unserer Arbeit überzeugen.
Das dienstleistungsbezogene IKS von Adacor
Bei der Implementierung des IKS orientierte sich Adacor an COBIT (= Control Objectives for Information and Related Technology), einem international anerkannten Industriestandard für IT- und Datensicherheit, und den Vorgaben gemäß COSO (= Committee of Sponsoring Organizations of the Treadway Commission). Die US-amerikanische privatwirtschaftliche Organisation strebt danach, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und eine gute Unternehmensführung qualitativ zu verbessern. Unser IKS ist an das nach ISO 27001 zertifizierte Informationssicherheits-Managementsystem (ISMS) angebunden. Deshalb werden dort die Vorgaben und Herangehensweisen der ISO 27001 und des IT-Grundschutzes beachtet.
Die ausführlich ausgearbeitete IKS-Beschreibung und der zugehörige IDW-PS-951-Prüfbericht versorgt die Wirtschaftsprüfer unserer Kunden mit umfassenden Informationen. Damit können diese den IKS-Aufbau und die implementierten Kontrollen nachvollziehen und im Rahmen ihrer Prüfungshandlungen berücksichtigen. Die beschriebenen Kontrollziele und Kontrollen machen die getroffenen Maßnahmen für die Kunden transparent und können in die internen Kontrollsysteme der Auftraggeber übernommen werden. Die IKS-Beschreibung listet explizit auf, welche Kontrollen wir selbst erbringen und welche Kontrollen der Kunde durchführen oder beauftragen muss.
Adacor erfüllt nationale und internationale Standards
Um die Rechnungslegungsstandards von international agierenden Unternehmen verbindlich zu erfüllen, hat sich Adacor zeitgleich mit der Auditierung nach IDW PS 951 einer Kontrolle nach internationalen Prüfungsstandards gemäß ISAE 3402 unterzogen. Diese Kontrolle haben wir ebenfalls erfolgreich bestanden.
Fazit: IKS vorteilhaft für Unternehmen und Dienstleister
Vor der Bilanzprüfung durch einen Wirtschaftsprüfer müssen Unternehmen ihr internes Kontrollsystem zwingend dokumentiert haben. Hat ein Unternehmen bestimmte Leistungen oder Geschäftsprozesse an einen externen Dienstleister ausgelagert, muss dies bei der Erstellung des Jahresabschlusses berücksichtigt werden. Vor allem wenn ausgelagerte Informationstechnologie Einfluss auf die Buchführung hat, ist eine Prüfung des IKS des Dienstleisters notwendig.
Von Vorteil ist, wenn das Dienstleistungsunternehmen sein eigenes dienstleistungsbezogenes IKS dokumentiert und den Geschäftspartner darauf verweisen kann. Die IKS-Beschreibung und der Prüfbericht machen die getroffenen Maßnahmen für die Auftraggeber transparent. Die beschriebenen Kontrollziele und Kontrollen können in die internen Kontrollsysteme des Auftraggebers übernommen werden. Dadurch profitieren nicht nur die Auftraggeber, sondern auch die Dienstleister, die einer mehrfachen Prüfung durch die verschiedenen Wirtschaftsprüfer ihrer Auftraggeber entgehen.
Um unseren Kundenunternehmen bei der Bilanzprüfung durch einen Wirtschaftsprüfer optimal zur Seite zu stehen, lässt sich Adacor regelmäßig nach IDW PS 951 und ISAE 3402 auditieren. Damit erfüllen wir sowohl die Rechnungslegungsstandards von national als auch international agierenden Unternehmen. Mit den Zertifizierungen unterstützen wir unserer Kunden hinsichtlich Compliance und Datensicherheit bei der Bilanzprüfung. Für die Auditierung im kommenden Jahr sind wir durch unser angewandtes und wirksames IKS bestens vorbereitet.