Erfolgreiche Auditierung – IDW PS 951 und ISAE 3402

Seit 2013 lassen wir unser internes dienstleistungsbezogenes Kontrollsystem auf Basis des Prüfstandard IDW PS 951 auditieren. Damals wurde zunächst eine Unbedenklichkeitsbescheinigung des Typs A angestrebt. Diese wurde aktuell zum Typ B ausgebaut.

Erfolgreiche Auditierung IDW PS 951Ein wichtiger Schritt, denn die beiden Bescheinigungen unterscheiden sich in ihrer Qualität und Aussagekraft sowie dem jeweiligen Nutzen für die Kunden erheblich.

Die Auslagerung von bestimmten Leistungen und Geschäftsprozessen auf externe Dienstleister ist heutzutage gängige Praxis. Aber was bedeutet das eigentlich für den Jahresabschluss eines Unternehmens?

Fakt ist, spätestens wenn ein Unternehmen sich für eine Prüfung der Bilanz durch einen Wirtschaftsprüfer entscheidet, muss es sein sogenanntes internes Kontrollsystem (IKS) zwingend dokumentiert haben. Ein Wirtschaftsprüfer kontrolliert dann nicht nur alle für die Jahresbilanz des Unternehmens relevanten Zahlen und Daten inklusive der rechnungslegungsrelevanten Leistungen, sondern er prüft und betrachtet auch die Kontrollmaßnahmen, welche die Integrität, Korrektheit und Verfügbarkeit der bilanzrelevanten Daten sicherstellen sollen. Um ihren Kunden bei der Prüfung ihrer Jahresbilanz durch einen Wirtschaftsprüfer bestmöglich zur Seite zu stehen, hat ADACOR entschieden, ihr dienstleistungsbezogenes IKS auditieren zu lassen. Bereits in 2013 wurde initial die Unbedenklichkeitsbescheinigung des Typs A erworben. Anfang 2015 wurde diese jetzt zum Typ B ausgebaut. Mittels der Bescheinigung des Typs B möchte ADACOR zukünftig die Bestrebungen ihrer Kunden hinsichtlich Compliance und Datensicherheit im Zusammenhang mit der Prüfung durch einen Wirtschaftsprüfer unterstützen. Einen Überblick über unsere Zertifizierungen erhalten Sie hier.

Definiton eines IKS

Ein IKS besteht aus allen Maßnahmen, die ein Unternehmen getroffen hat, um die Daten abzusichern, die in der Bilanz erscheinen. Es geht dabei um die Klärung folgender Fragen:

  • Wer darf Buchungen durchführen?
  • Wer hat Kontovollmacht?
  • Wie hat ein Unternehmen sichergestellt, dass die Inventurdaten korrekt erfasst werden?
  • Wie gewährleistet es, dass die Buchhaltungsdaten auf den Servern immer verfügbar sind?
  • Wie ist die Integrität der Daten sichergestellt?

Ein IKS beschreibt in diesem Kontext die vom Management eingeführten Grundsätze, Verfahren und Maßnahmen.

Sie zielen ab auf:

  • Die Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit
  • Die Ordnungsmäßigkeit der in- und externen Rechnungslegung
  • Die Einhaltung von rechtlichen Vorschriften

Da der Prüfer nachweisen muss, dass er alle Risiken kontrolliert hat, welche die Herkunft der Bilanzzahlen betreffen, erfolgt im Rahmen der Prüfung auch eine gesonderte IT-Prüfung. Diese fokussiert vor allem auf die Einhaltung der Grundsätze ordnungsgemäßer Buchhaltung beim Einsatz der Informationstechnologie. Auf diese Weise macht sich der Wirtschaftsprüfer während der jährlichen Bilanzprüfung ein konkretes und umfassendes Bild von dem eingerichteten Kontrollsystem. Schließlich ist es seine Aufgabe, potenzielle Fehlerquellen und mögliche Risiken zu identifizieren.

Image

Hybrid Cloud treibt den Wandel in der IT

Welche Einsatzmöglichkeiten die Hybrid Cloud bietet und wie sie die jeweiligen Nachteile von Private und Public Cloud minimiert, das erklärt ADACOR CIO Andreas Bachmann in der neuen Behind The Scene.

PDF jetzt direkt downloaden (5 MB)

Spezialfall Dienstleistungsunternehmen

Besonders häufig werden ganze (Teil-)Geschäftsbereiche in Dienstleistungsunternehmen ausgelagert, so z. B. Personal-, Buchführungs- und auch IT-Dienstleistungen. Ein Dienstleistungsunternehmen ist dabei definiert als ein rechtlich eigenständiges Unternehmen, das betriebliche Funktionen des auslagernden Unternehmens in dessen Auftrag durchführt. Durch das Outsourcing bestimmter Geschäftsbereiche auf einen Dienstleister rückt dieser ebenfalls ins Interesse des Wirtschaftsprüfers, der beurteilen muss, ob die vom Dienstleister erbrachten Leistungen von Bedeutung für die Abschlussprüfung sind und es zu Fehlern in der Rechnungslegung gekommen ist. Im Fokus eines internen Kontrollsystems und dazugehörigen Audits stehen dementsprechend primär die Bereiche Risikomanagement, Informationssicherheit und Verfügbarkeitsmanagement.

Führt die Beurteilung zu dem Ergebnis, dass die Tätigkeit des Dienstleisters für die Abschlussprüfung von Bedeutung ist, muss der Wirtschaftsprüfer bewerten, ob die Tätigkeit des Dienstleisters ausreichend durch das IKS des Auftraggebers oder durch das IKS des Dienstleisters selbst überwacht wird. Nimmt ausgelagerte Informationstechnologie direkt oder indirekt Einfluss auf die Buchführung, dann ist eine Prüfung und Beurteilung des dienstleistungsbezogenen IKS des Dienstleisters notwendig. Das bei dem Dienstleister eingerichtete IKS ist hierdurch also für die Abschlussprüfung des Auftraggebers von Bedeutung. In der Regel vereinbaren Unternehmen mit ihren Dienstleistungsunternehmen deshalb vertragliche Prüfungs- und Kontrollrechte, um sich von der Angemessenheit und Wirksamkeit des IKS überzeugen zu können.

Bescheinigung nach IDW PS 951

Insbesondere für Dienstleistungsunternehmen ist es aufgrund der großen Zahl von Auftraggebern sinnvoll, der mehrfachen Prüfung durch die verschiedenen Wirtschaftsprüfer ihrer Kunden vorzubeugen, indem sie ihr eigenes dienstleistungsbezogenes IKS dokumentieren und ihre Geschäftspartner hierauf verweisen. Der vom Institut für Wirtschaftsprüfer in Deutschland e. V. verabschiedete Prüfstandard IDW PS 951 (die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen) sowie dessen internationales Pendant ISAE 3402 behandeln explizit diesen Fall.

Dabei werden zwei Möglichkeiten der Berichterstattung durch einen vom Dienstleister beauftragten Prüfer unterschieden:

Unbedenklichkeitsbescheinigung vom Typ A

Die Bescheinigung vom Typ A stellt die Komponenten eines in einem Unternehmen eingerichteten IKS dar und trifft Aussagen zu deren Angemessenheit. Die Komponenten und Maßnahmen werden einmalig an einem bestimmten Stichtag überprüft. Diese Form der Bescheinigung zieht zwangsläufig weitere Prüfungen nach sich, da der Wirtschaftsprüfer eine Aussage über die Wirksamkeit des IKS des Dienstleistungsunternehmens treffen muss. Er kann diese Bescheinigung somit nur als Grundlage für weiterführende Prüfungshandlungen nutzen.

Unbedenklichkeitsbescheinigung vom Typ B

Die Bescheinigung vom Typ B trifft Aussagen sowohl zur Angemessenheit als auch zur Wirksamkeit des eingerichteten dienstleistungsbezogenen IKS. Im Rahmen dieser Bescheinigung wird der Bezug zu im Vorhinein definierten Kontrollzielen hergestellt und bestätigt, dass das IKS des Dienstleisters in Bezug auf diese Ziele wirksam erscheint. Die Prüfung erfolgt über einen definierten Zeitraum (in der Regel das Kalenderjahr bzw. das letzte abgeschlossene Geschäftsjahr) und verifiziert, ob die beschriebenen Maßnahmen während des gesamten Zeitraumes installiert, angewendet und wirksam waren. Die Bescheinigung des Typs B kann durch den Abschlussprüfer des auslagernden Unternehmens im Rahmen seiner Eigenverantwortlichkeit als Ersatz für eigene Prüfungshandlungen verwendet werden.

Unser Video zu Datensicherheit und IT-Security

Datensicherheit und Compliance – Ein MUSS für ADACOR und ihre Kunden

Immer mehr Unternehmen achten bei ihren Ausschreibungen darauf, Dienstverträge so auszugestalten, dass die Verpflichtung, eine entsprechende Unbedenklichkeitsbescheinigung beizubringen, von Beginn an vertraglich verankert ist. Dienstleister, die über eine Bescheinigung vom Typ B verfügen, weisen ihren Auftraggebern die Existenz eines angewandten und wirksamen IKS nach. Bescheinigungen vom Typ A sind dagegen nicht mehr als eine Momentaufnahme und bescheinigen lediglich die Erfüllung von Mindestanforderungen. Vor diesem Hintergrund haben sich die Geschäftsführer von ADACOR entschieden, für ihr dienstleistungsbezogenes IKS eine Unbedenklichkeitsbescheinigung des Typs B anzustreben. Hierfür wurden alle Vorgänge und Prozesse des implementierten Systems sorgfältig und detailliert dokumentiert. Ich möchte unterstreichen, dass die Etablierung objektiver Qualitätsmerkmale für die ADACOR sehr wichtig ist, weil wir kein Produkt vertreiben, das der Kunde im Vorfeld ausprobieren kann. Der Mehrwehrt, den ein Kunde durch unsere die Dienstleistungen hat, ist im Vorhinein schwer zu erklären oder zu demonstrieren. Deshalb ist es für uns ausgesprochen wichtig, bestehende und neue Kunden durch unsere durchdachten Services, Erfolgsgeschichten, namhafte Referenzen, unseren beratungsintensiven Pre-Sales-Prozess und die externe Überprüfung unserer Abläufe und Sicherheitsmaßnahmen immer wieder aufs Neue von unserer hohen Professionalität und der Qualität unserer Arbeit zu überzeugen.

Das dienstleistungsbezogene IKS der ADACOR

Bei der Implementierung des IKS orientierte sich die ADACOR an COBIT (= Control Objectives for Information and Related Technology), einem international anerkannten Industriestandard für IT- und Datensicherheit, und den Vorgaben gemäß COSO (= Committee of Sponsoring Organizations of the Treadway Commission). Das ist eine privatwirtschaftliche Organisation in den USA, die anstrebt, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern. Das IKS ist zudem an das Informationssicherheits-Managementsystem (ISMS) der ADACOR angebunden und verwendet daher auch Vorgaben und Herangehensweisen der ISO 27001 und des IT-Grundschutzes.

Die ausführlich ausgearbeitete IKS-Beschreibung und der zugehörige IDW-PS-951-Prüfbericht wird den Wirtschaftsprüfern unserer Kunden zukünftig hinreichende Informationen bereitstellen, damit diese den IKS-Aufbau und die implementierten Kontrollen nachvollziehen und im Rahmen ihrer Prüfungshandlungen für den Kunden berücksichtigen können. Die beschriebenen Kontrollziele und Kontrollen machen die getroffenen Maßnahmen für die ADACOR-Kunden transparent, damit diese in die internen Kontrollsysteme der Auftraggeber übernommen werden können. Ergänzend listet die IKS-Beschreibung explizit auf, welche Kontrollen durch die ADACOR erbracht werden und welche weiteren Kontrollen durch den Kunden separat durchzuführen bzw. bei uns zu beauftragen sind.

ADACOR erfüllt nationale und internationale Standards

Um zukünftig auch die Rechnungslegungsstandards von international agierenden Unternehmen verbindlich zu erfüllen, haben wir entschieden, sich zeitgleich mit der Auditierung nach IDW PS 951 auch der Kontrolle nach internationalen Prüfungsstandards gemäß ISAE 3402 zu unterziehen. Auch diese wurde erfolgreich bestanden.

Können wir Ihnen weitere Fragen zum Prüfstandard IDW PS 951 beantworten?

Nehmen Sie direkt Kontakt zu mir oder unserem Sales-Team auf.

, , , , , , , ,


Weitere Artikel zum Thema lesen

Geschichte der ISO 27001

IT Security

Geschichte der ISO 27001

Die ISO 27001 ist der weltweit verwendete Standard zur Zertifizierung eines Informationssicherheitsmanagement- systems, kurz ISMS.

weiter lesen

IT-Sicherheitsgesetz – Das sind die wichtigsten Neuerungen im Überblick

IT Security

Deutsches Datenschutzrecht wird angepasst

Kabinett beschließt Anpassungs- und Umsetzungsgesetz zur EU-Datenschutz-Grundverordnung.

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.