Prüfungsstandard IDW PS 951 / ISAE 3402 zur Prüfung des internen Kontrollsystems

IDW PS 951 / ISAE 3402
Unternehmen müssen ausgelagerte finanzrelevanten Daten durch ein internes Kontrollsystem nach IDW PS 951/ISAE 3402 absichern. Die Implementierung eines solchen System gemäß des Standards unterstützt auslagernde Dienstleistungsunternehmen darin, einen Nachweis der Etablierung und Wirksamkeit verlässlicher Prozesse und interner Kontrollen für die ausgelagerten geschäftskritischen Dienstleistungen zu erlangen.

IDW PS 951 ist das deutsche Pendant der internationalen Prüfungsstandards ISAE 3402 und des im US-Markt und bei SEC-gelisteten Gesellschaften weit verbreitetem Statement on Standards for Attestation Engagements SSAE 18 (SOC-Prüfungen).

Was ist IDW PS 951 / ISAE 3402?

Die Auslagerung (Outsourcing) von Buchhaltungs- oder IT-Prozessen steht heute für viele Unternehmen an der Tagesordnung; für die Wirtschaftlichkeit eines Unternehmens ist Outsourcing oft sogar unabdingbar. Die Unternehmen stehen dabei in der Pflicht, die ausgelagerten finanzrelevanten Daten durch ein internes Kontrollsystem und ein ausreichendes Risikomanagement sowohl firmenintern als auch beim externen Dienstleister abzusichern. Bei einer Jahresabschlussprüfung steht somit auch die Prüfung des internen Kontrollsystems für ausgelagerte Prozesse bei einem externen Dienstleister im Fokus. Diese Prüfung kann durch ein Vor-Ort-Audit stattfinden oder durch die Vorlage eines ISAE 3402 Prüfberichtes des IT-Dienstleisters ersetzt werden.

Die Regelkonformität gegenüber diversen Standards und der DSGVO sowie die Wirksamkeit des internen Kontrollsystems werden durch eine regelmäßige Prüfung nach IDW PS 951 / ISAE 3402 durch einen unabhängigen Wirtschaftsprüfer nachgewiesen.

Ist Ihre Subscription Management Lösung konform mit allen EU-Richtlinien und hilft Ihnen bei der Automatisierung Ihrer Prozesse?

 

Jetzt Checkliste herunterladen

Was ist ein internes Kontrollsystem (IKS)?

Das interne Kontrollsystem umfasst die Gesamtheit aller Regelungen, Prozesse sowie technischen, organisatorischen und personellen Maßnahmen zur Steuerung von Risiken in Bezug auf die Erreichung der Ziele und den Schutz der Vermögenswerte einer Organisation.

Es berücksichtig damit alle wesentlichen Geschäftsprozesse, die für Leistungsfähigkeit und Effizienz des Unternehmens von Bedeutung sind.

So werden in einem internen Kontrollsystem Grundsätze, Verfahren und Regelungen vereint, die auf die Sicherung von Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit zielen.

Sie gewährleisten u.a. ordnungsgemäße und verlässliche interne sowie externe Rechnungslegung unter Einhaltung der für das Unternehmen relevanten, rechtlichen Normen. Ein IKS umfasst dabei einerseits Regelungen zur Steuerung der Geschäftsprozesse und beinhaltet andererseits Regelungen, die die Einhaltung der ersteren überwachen und sicherstellen.

Zudem muss eine angemessene Dokumentation dieser Prozesse gewährleistet sein. Die Angemessenheit und Wirksamkeit des IKS lässt sich nach dem IDW PS 951 n.F., ISAE 3402 oder SSAE18 zertifizieren bzw. bescheinigen.

Eine Vielzahl von Gesetzen und regulatorischen Vorgaben fordern ein IKS und stellen daran konkrete Anforderungen.

Dazu zählen die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen, und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD), die die Dokumentation des IKS als Bestandteil der Verfahrensdokumentation erfordern, das Ordnungswidrigkeitengesetz (OWiG) §§30 und 130, dass die unzureichende Aufsicht des Geschäftsbetriebs mit Geldbuße und Strafe sanktioniert sowie andere.

Hierbei sind die einschlägigen, gesetzlichen Regelungen für ein internes Kontrollsystem sehr umfangreich und beinhalten nationale wie internationale Gesetzestexte.

Eine Überprüfung des IKS auf Angemessenheit, Wirksamkeit und Einhaltung der gesetzlichen Vorgaben findet intern und im Rahmen einer ISAE 3402/ IDW PS 951 Prüfung durch einen unabhängigen Wirtschaftsprüfer statt.

Weshalb ist die Prüfung gemäß IDW PS 951 / ISAE 3402 wichtig?

Durch die zunehmende Digitalisierung werden Unternehmensprozesse und Daten vermehrt ausgelagert. Da es beim Outsourcing oft um sensible Kundeninformationen und personenbezogene Daten geht, sind entsprechende Kontrollen zur Sicherheit für das Unternehmen und seine Kunde unbedingt notwendig.

Die Prüfung eines Dienstleistungsunternehmens wird häufig im Rahmen einer Jahresprüfung durch einen Wirtschaftsprüfer durchgeführt. Dienstleister können einer Vielzahl externer Anforderungen unterliegen, daher ist es ratsam, dass das Dienstleistungsunternehmen die Prüfung seines internen Kontrollsystems einer unabhängigen Wirtschaftsprüfungsgesellschaft anvertraut. Mit erfolgreichem Prüfungsabschluss gemäß IDW PS 951-Standard wird die Angemessenheit Typ 1 (A) bzw. die Angemessenheit Typ 2 (B) bestätigt.

Für welche Unternehmen ist die Prüfung nach IDW PS 951 / ISAE 3402 relevant?

Der Prüfungsstandard IDW PS 951/ISAE 3402 wird von Dienstleistungsunternehmen unterschiedlichster Branchen angewendet. Im Rahmen eines Prüfberichtes durch einen unabhängigen Wirtschaftsprüfer wird die Implementierung und die Wirksamkeit des internen Kontrollsystems in Bezug auf die von externen Kunden in Anspruch genommenen Accounting-relevanten Dienstleistungen nachgewiesen.

Die Prüfung ist dann relevant, wenn das Dienstleistungsunternehmen Funktionen, welche Auswirkungen auf die Rechnungslegung haben können (z.B. Outsourcing des Personalmanagements, der Lohnbuchhaltung, oder den Betrieb zugehöriger Systeme in einem elektronischen Rechenzentrum), ausgelagert hat. Denn im Falle einer Auslagerung verbleibt die Verantwortung für die Durchführung interner Kontrollen in der Verantwortung des auslagernden Unternehmens.

IDW PS 951 / ISAE 3402 für Unternehmen mit Abo-Geschäftsmodell

Gerade für Subscription-Unternehmen ist eine Zertifizierung nach IDW PS 951/ ISAE 3402 sehr relevant. Mit einer hohen Anzahl ausgelagerter Prozesse steigt die Fehleranfälligkeit und damit die Notwendigkeit einer Prüfung des internen IKS.

Subscription-Unternehmen mit ausgelagerten, die Rechnungslegung betreffenden Funktionen können durch eine entsprechende Zertifizierung sich selbst, ihren Kunden, sowie externen Prüfungsstellen eine Unbedenklichkeitsbescheinigung vorweisen, welche die Kontrolle und Einhaltung höchster Sicherheits- und Compliance-Standards attestiert.
Neben dem Sicherheits- und Vertrauensspekt lässt sich eine Prüfung nach IDW PS 951 auch hervorragend als Marketinginstrument nutzen.

Vorgehen bei einer Prüfung nach IDW PS 951/ISAE 3402

Das Vorgehen bei einer Prüfung nach IDW PS 951/ISAE 3402 lässt sich in drei Phasen untergliedern: die Vorbereitung, die Prüfungsdurchführung und die eigentliche Berichterstellung.

Prüfungsstandard IDW PS 951 / ISAE 3402 zur Prüfung des internen Kontrollsystems | billwerk Wiki | billwerk GmbH

Gegenstand der Prüfung ist eine Beschreibung des mit der Leistungserbringung verbundenen internen Kontrollsystems sowie der darin beschriebenen Kontrollziele und Maßnahmen zur Erreichung dieser Ziele. Das dienstleistungsbezogene IKS berücksichtigt alle Maßnahmen, Kontrollen, und Verfahren, die sich direkt oder indirekt auf die Erbringung der zugesagten Leistung auswirken. Im Rahmen der Prüfung unterscheidet man zwischen zwei verschiedenen Berichten:

  • Typ 1 (A): Dieser Berichttyp beinhaltet die Beurteilung der Angemessenheit und Ausgestaltung von Kontrollen zu einem vorgegebenen Zeitpunkt, ohne deren Wirksamkeit zu beurteilen.
  • Typ 2 (B): Dieser Berichttyp beinhaltet zusätzlich eine Bewertung der Wirksamkeit der durch das IKS implementierten Kontrollen, die über einen vorgegebenen Prüfungszeitraum erfolgt. Im Rahmen einer Jahresabschlussprüfung ist insbesondere Typ 2 relevant.

Anschließend wird über die Prüfung ein ausführlicher Bericht verfasst, der alle das IKS betreffende Details aufzeigt.

Die Vorteile einer Prüfung nach IDW PS 951 /ISAE 3402

Mit einer Prüfung und Zertifizierung nach IDW PS 951/ISAE 3402 geht eine Vielzahl von Vorteilen einher.

  • Höchste Daten-Sicherheit: Datenschutzstandards erfahren seit geraumer Zeit erhöhtes öffentliches Interesse. Entsprechende gesetzliche Regelungen sind implementiert. Eine Prüfung nach IDW PS 951/ISAE 3402 betrachtet neben den DSGVO Vorschriften auch andere Standards wie PCI DSS oder GoBD und bestätigt Unternehmen, dass alle Vorkehrungen zum sachgemäßen Risikomanagement und dem Schutz sensibler Daten für das Unternehmen und seine Kunden getroffen wurden. Strafen und Sanktionierungen durch Nichteinhaltung geltender Regelungen sind oftmals erheblich. Eine Prüfung bringt hier erhebliche Vorteile für Unternehmen.
  • Stärkere Kundenbindung: Nach IDW PS 951/ISAE 3402 geprüfte Unternehmen können einen hohen Qualitätsanspruch nachweisen und somit die Kundenbindung und das Vertrauen in die angebotene Dienstleistung stärken. Zudem kann eine nicht vorhandene Prüfung schnell ein K.O.-Kriterium für Kunden darstellen.
  • Wettbewerbsvorteil: Der Schutz sensibler Daten, die Einhaltung von IT- Sicherheitsstandards und weiteren regulatorischer Vorgaben in Bezug auf finanzrelevante Prozesse sind sowohl für auslagernde Unternehmen als auch für deren Kunden von höchster Priorität. Der Nachweis eines angemessenen Qualitäts- und Sicherheitsniveaus bietet daher nicht nur Wettbewerbsvorteile gegenüber der Konkurrenz, vielmehr wird der IDW PS 951/ISAE 3402 Prüfbericht inzwischen standardmäßig verlangt.
  • Ressourcenoptimierung: Der Ressourcenaufwand des auslagernden Unternehmens für externe Prüfungen lässt sich stark reduzieren. Die Prüfung durch unabhängige Wirtschaftsprüfer ermöglichen eine Prüfung und einen Nachweis, welcher für alle Kunden genutzt werden kann. Individuelle bzw. weitere Prüfungen der durch die IDW PS 951/ISAE 3402 Auditierung abgedeckten Bereiche werden so überflüssig.
  • Compliance-Nachweis: Für den Fall der Fälle, dass ein internes Kontrollsystem Lücken aufweisen sollten, haben Unternehmen nach der regelmäßigen Prüfung nach IDW PS 951/ISAE 3402 den Nachweis, dass Sie alle Maßnahmen zur Risikoabwendung ergriffen haben. Ein unternehmenseigenes Verschulden lässt sich durch die beweisbare Darlegung der Qualitätsleistung, im Vergleich zu nicht zertifizierten Unternehmen, ausschließen.

Erfahren Sie mehr über billwerk & optimieren Sie jetzt Ihr Subscription Business
Mit billwerk Subscription Management & Recurring Billing automatisieren Sie nahezu alle Geschäftsprozesse Ihres Subscription Business.

Kontinuierliche Verbesserung

Die Prüfung des internen Kontrollsystems nach IDW PS 951 / ISAE 3402 wird in einem regelmäßigen Rhythmus wiederholt und sichert somit eine kontinuierliche Überprüfung des IKS auf Angemessenheit und Wirksamkeit.

in Wiki: Standards & Normen