ISAE 3402 und SSAE 16

PwC Financial Services*
Banken . Fonds . Real Estate . Versicherungen
Ausgabe 60, Juli/August 2010
Die neuen Prüfungsstandards bei Auslagerung:
ISAE 3402 und SSAE 16
*connectedthinking
Die neuen Prüfungsstandards bei Auslagerung:
ISAE 3402 und SSAE 16
Das interne Kontrollsystem (IKS) einer Dienstleistungsorganisation
kann auch Gegenstand der Abschlussprüfung bei deren Kunden
sein. Der Abschlussprüfer einer Organisation, welche wesentliche
Systeme und betriebliche Funktionen ausgelagert hat, ist dazu verpflichtet, die Auswirkung dieser Auslagerung auf die Wirksamkeit
des IKS der auslagernden Organisation zu beurteilen. Auch das
Management ist in die Pflicht genommen und kann die Verantwortung über das IKS der ausgelagerten Funktionen nicht abgeben.
Für diese spezielle Prüfungssituation (eine Dienstleistungsorganisation – viele Kunden) wurde in den USA Anfang der 1990er ein
Audit-Standard geschaffen: Statement on Auditing Standards
(SAS) No. 70 Service Organizations. Mittlerweile gibt es in den meisten Ländern lokale Standards, die sich daran orientieren, so auch
in Österreich mit der Richtlinie iwp PE 14 Prüfung bei ausgelagerten Funktionen. Die Anwendungssituation für SAS 70 ist daher
zusammenfassend wie folgt:
• Nur bei Auslagerung
• Nur hinsichtlich Finanzberichterstattung
• Nur dienstleistungsbezogenes IKS
• Immer dann, wenn das dienstleistungsbezogenen IKS beim
Dienstleister relevant und wesentlich für die Rechnungslegung
des Auslagernden ist
• Ursprünglich: Auditor zu Auditor-Kommunikation
• Heute: Qualitätsmerkmal
Soll Assurance
liefern
Wirtschaftsprüfer
Prüft und bestätigt
die Aussage zum
IKS
Erstellt IKS
Beschreibung
und bittet um eine
Bestätigung
Dienstleistungsorganisation
Stellt Prüfbericht
allen Kunden zur
Verfügung
Möchte etwas über
die Wirksamkeit
des IKS wissen
Interessent
(z.B. auslagernde
Organisation,
Abschlussprüfer)
Verwendet Prüfbericht für seine
Zwecke
Der SAS 70 Standard ist jedoch in die Jahre gekommen. Auch ist
er ein US-amerikanischer Standard, obwohl er weltweit eingesetzt
wird. Die Notwendigkeit für eine Erneuerung war gekommen:
Daher wurde erstmals ein internationaler Standard, der International Standard on Assurance Engagements (ISAE) 3402 Assurance
Reports on Controls at a Service Organization, geschaffen. Darauf
basierend wurden in Folge auch die Anforderungen und Vorgaben
für die Prüfung und Berichterstattung der US-amerikanischen Prüfer von Dienstleistungsorganisationen angepasst: Statement on
Standards for Attestation Engagements (SSAE) No. 16 Reporting
2
on Controls at a Service Organization wird SAS 70 ersetzen.
Der internationale Standard ISAE 3402 stellt eine Berichterstattungsmöglichkeit für Dienstleistungsorganisationen mit
einem weltweit einheitlichen Berichtsaufbau dar.
Obwohl die anfänglichen Diskussionen über diese neuen Standards
die Erweiterung des Umfangs der Prüfung berücksichtigten, liegt
der Schwerpunkt der beiden endgültigen Standards wieder auf
jenen Kontrollen bei den Dienstleistungsorganisationen, die in erster
Linie für das rechnungslegungsbezogene IKS des Kunden relevant
sind. Jedoch werden zusätzliche andere Kriterien wie Compliance- und Qualitätsanforderungen als Bewertungsmaßstäbe für die
Prüfung nicht ausgeschlossen. Das bedeutet, dass sich die zuvor
geschilderte Anwendungssituation praktisch nicht ändert (siehe
Grafik links).
Weiterhin wird es zwei Arten von Berichten geben: Typ-1 Berichte
betreffen die Beurteilung der Eignung der Kontrollen, die Kontrollziele zu erreichen. Typ-2 Berichte decken ergänzend die Wirksamkeit der eingerichteten Kontrollen ab. Beide Berichte sind von einem
unabhängigen Dienstleistungsprüfer (Wirtschaftsprüfer) zu erstellen.
Die neuen Standards gelten für Berichte über Perioden, die am oder
nach dem 15. Juni 2011 enden, und dürfen auch sofort angewendet
werden. Wir erwarten, dass ISAE 3402 zum bevorzugten Standard
für alle nicht-US-amerikanischen Unternehmen (Dienstleistungsorganisationen als auch deren Kunden) wird. SSAE 16 wird primär von
US-amerikanischen Unternehmen eingesetzt werden.
SSAE 16 und ISAE 3402 unterscheiden sich untereinander nur
geringfügig, gegenüber dem alten SAS 70 Standard in machen
Punkten jedoch deutlich. Im Folgenden möchte ich Ihnen die
Änderungen der neuen Standards gegenüber dem bisherigen SAS
70, einschließlich Erläuterungen zu den Auswirkungen dieser Neuerungen auf Dienstleistungsorganisationen, darstellen.
Erklärung der Unternehmensleitung
Gemäß der neuen Standards hat die Dienstleistungsorganisation
einige zusätzliche Verantwortlichkeiten, vor allem die Pflicht, eine
formale schriftliche Erklärung („assertion“) abzugeben, die besagt,
dass das Kontrollsystem angemessen dargestellt ist sowie die
Kontrollen während des gesamten Prüfungszeitraumes geeignet
und (bei Typ-2 Berichten) wirksam waren, die angegebenen Kontrollziele zu erreichen. Die Erklärung der Unternehmensleitung wird
der Beschreibung des Kontrollsystems durch die Unternehmensleitung beigefügt und ist zwingender Bestandteil des Berichts.
Damit wird die Unternehmensleitung in Ihrer Verantwortung für
das dienstleistungsbezogene IKS noch viel stärker in die Pflicht
genommen als bisher.
PwC Financial Services Newsletter
Ausgabe 60, Juli/August 2010
Die Unternehmensleitung sollte daher über eine hinreichend
sichere Grundlage für ihre Erklärung verfügen, die üblicherweise
durch eine Kombination von laufenden Überwachungstätigkeiten
und fallweisen Überprüfungen erreicht werden kann, welche den
Nachweis für die Eignung und Wirksamkeit der Kontrollen liefern.
Unterschied zu SAS 70
hoch
Aufwand
mittel
Beschreibung des Kontrollsystems
Zusätzlich zu einer schriftlichen Erklärung ist die Unternehmensleitung für die Erstellung einer Beschreibung Ihres Kontrollsystems
verantwortlich. Das Kontrollsystem ist definiert als die von der
Unternehmensleitung ausgestalteten, umgesetzten und dokumentierten Grundsätze und Vorgehensweisen, um den Kunden
jene Dienstleistungen zu liefern, die von dem Bericht des Dienstleistungsprüfers erfasst sind. Die Beschreibung sollte Folgendes
enthalten (sofern zutreffend):
• geprüfte Dienstleistungen,
• Zeitraum, auf den sich der Bericht bezieht,
• Beschreibung der abgewickelten Geschäftsvorfälle, Kontrollziele
und zugehörige Kontrollen,
• ergänzende Kontrollen der Kunden,
• von der Sub-Dienstleistungsorganisation durchgeführte
Kontrollen („inclusive method“),
• der bei der Erstellung von Kundenreports angewandte Prozess,
sowie
• Änderungen des Systems während des geprüften Zeitraums.
Weiters Teil der Beschreibung sind andere Aspekte der Kontrollumgebung, des Risikobeurteilungsprozesses, der Informations- und Kommunikationssysteme sowie die Überwachung der
Kontrollen der Dienstleistungsorganisation, wie im COSO-Modell
für interne Kontrollen definiert, welche für auslagernde Organisationen relevant sein könnten. In vielen Fällen ist die Mehrzahl der
Elemente, die in die Beschreibung des Kontrollsystems durch die
Unternehmensleitung gemäß neuer Standards aufzunehmen sind,
bereits in bestehenden SAS-70-Berichten enthalten. In solchen
Fällen sollte kein wesentlicher Mehraufwand für die Dienstleistungsorganisation erforderlich sein.
Unternehmensleitung sollte die Risiken identifizieren, die die
Erreichung der in der Kontrollsystembeschreibung angeführten
Kontrollziele gefährden. Die neuen Standards ermöglichen der
Unternehmensleitung, einen formellen oder informellen Prozess
zur Identifizierung der relevanten Risiken zu haben, und verlangen von der Unternehmensleitung nicht, derartige Risiken explizit
in den Bericht aufzunehmen. Unsere Ansicht ist jedoch, dass
die Unternehmensleitung eine Berücksichtigung der relevanten
Risiken durchführt und formal dokumentiert. Da viele Unternehmen diese Risikobeurteilung bereits als Teil der Festlegung von
Kontrollzielen und Kontrollaktivitäten für ihre bisherigen SAS70-Bemühungen durchgeführt haben, sollte die Identifizierung der
relevanten Risiken keinen wesentlichen zusätzlichen Arbeitsaufwand darstellen.
Unterschied zu SAS 70
gering
Aufwand
gering
Sub-Dienstleistungsorganisationen
Entsprechend dem vorherigen Standard ermöglichen ISAE 3402
und SSAE 16 der Dienstleistungsorganisation, den Einsatz von
Sub-Dienstleistungsorganisationen entweder mittels der „inclusive“ oder „carve-out“-Darstellungsmethode zu beschreiben.
„inclusive“ bedeutet, dass Kontrollziele und Kontrollen bei der
Sub-Dienstleistungsorganisation in die Berichterstattung miteinbezogen werden, während bei „carve-out“ die Services der
Sub-Dienstleistungsorganisation unberücksichtigt bleiben. Bei
Anwendung der „inclusive method“ sollte die Beschreibung des
Kontrollsystems durch die Unternehmensleitung eine Beschreibung und klare Abgrenzung der von der Sub-Dienstleistungsorganisation erbrachten Dienstleistungen beinhalten. Zudem unterliegt
die Sub-Dienstleistungsorganisation denselben Anforderungen
wie die Dienstleistungsorganisation. Die Anforderung, dass die
Sub-Dienstleistungsorganisation bei Anwendung der „inclusive
method“ eine schriftliche Erklärung beizubringen hat, dürfte die
größte Herausforderung darstellen, die die Unternehmensleitung lange vor einer Beauftragung eines Dienstleistungsprüfers
proaktiv koordinieren sollte.
Unterschied zu SAS 70
gering
Unterschied zu SAS 70
Aufwand
gering
Aufwand
hoch
mittel
Identifizierung von Risiken zur Erreichung der Kontrollziele
Ähnlich der Vorgaben gemäß SAS 70 sollte die Beschreibung
des Kontrollsystems durch die Unternehmensleitung die Kontrollziele und die dazugehörigen Kontrollen genau auflisten. Die
PwC Financial Services Newsletter
Ausgabe 60, Juli/August 2010
Zusammenfassend kann festgehalten werden, dass die Auswirkung der Änderungen auf die Dienstleistungsorganisationen nicht
wesentlich sein wird. PwC ist gerne bereit, Sie bei der aktiven Vorbereitung auf die neuen Standards zu unterstützen.
3
Zum Autor
Markus Ramoser
Mag. Markus Ramoser ist als Senior Manager in der Gruppe Systems & Process Assurance (SPA) seit rund zehn Jahren tätig. Er ist bei
PwC verantwortlich für den Aufbau, die Verbesserung und die Prüfung interner Kontrollsysteme (IKS) sowie für die Prüfung von Dienstleistungsorganisationen. Ein Schwerpunkt liegt in der Beratung und Prüfung von Rechenzentren der Finanzindustrie. Als Experte für ITKontrollen und CobiT ist er auch Mitglied in der Arbeitsgruppe „Serviceorganisationen“ des iwp sowie im Fachsenat für Datenverarbeitung der KWT. Markus Ramoser ist CISA (Certified Information Systems Auditor) und CIA (Certified Internal Auditor).
Tipps
Themenvorschau
Nützliche Links
Thema der nächsten Ausgabe
Foreign Account Tax Compliance Act (FATCA)
American Insitute of CPAs (Certified Public Accountants)
http://www.aicpa.org
Home > Interest Areas > Accounting & Auditing > Resources >
Audit and Attest Services > Standards
International Federation of Accountants
www.ifac.org
Publications & Resources > International Auditing and Assurance
Standards Board
Finanzinstitute sehen sich aktuell mit neuen Herausforderungen
im Bereich der Kundenidentifikation und Kundendokumentation
konfrontiert, die sich aus dem amerikanischen Foreign Account
Tax Compliance Act (FATCA) ergeben.
Betroffen sind in erster Linie US-Kunden und Investitionen in
US-Wertpapiere, wobei die neuen Regelungen wesentlich weiter
gehen als das bisherige Qualified Intermediary (QI)-System.
Obwohl die Änderungen im Wesentlichen erst im Jahr 2013 in
Kraft treten, gilt es bereits jetzt strategische Geschäftsentscheidungen durch gezielte Analyse der Kundenstruktur und des
Geschäftsmodells vorzubereiten, um eine zeitgerechte Anpassung der Systeme zu ermöglichen.
www.pwc.at
Medieninhaber und Herausgeber: PwC PricewaterhouseCoopers, Erdbergstraße 200, 1030 Wien
Für den Inhalt verantwortlich: StB Mag. Dieter Habersack, [email protected]
Für Änderungen der Zustellung verantwortlich: Michaela Pail, [email protected], Tel.: +43 1 501 88-3707,
Fax: +43 1 501 88-73707
Der Inhalt dieses Newsletters wurde sorgfältig ausgearbeitet. Er enthält jedoch lediglich allgemeine Informationen und spiegelt
die persönliche Meinung des Autors wider, daher kann er eine individuelle Beratung im Einzelfall nicht ersetzen. PwC übernimmt
keine Haftung und Gewährleistung für die Vollständigkeit und Richtigkeit der enthaltenden Informationen und weist darauf hin,
dass der Newsletter nicht als Entscheidungsgrundlage für konkrete Sachverhalte geeignet ist. PwC lehnt daher den Ersatz von
Schäden welcher Art auch immer, die aus der Verwendung dieser Informationen resultieren, ab.
Mit PricewaterhouseCoopers wird das Netz der Mitgliedsunternehmen von PricewaterhouseCoopers International Limited bezeichnet.
Jedes Mitgliedsunternehmen ist eine eigenständige und unabhängige juristische Person. *connectedthinking ist eine Schutzmarke von PricewaterhouseCoopers.