Begriffsvielfalt und verschiedene Standards verwirren die Marktteilnehmer 

Mit der Wirtschaftskrise hat sich der seit mehr als einem Jahrzehnt anhaltende Trend von Unternehmen zur Konzentration auf das Kerngeschäft und die damit verbundene Auslagerung von Dienstleistungen an Dritte (Outsourcing) massiv verstärkt. Richtig gemachtes Outsourcing kann erhebliche betriebswirtschaftliche Vorteile bringen. Andererseits darf nicht darauf vergessen werden, dass der Geschäftsführung immer eine gewisse Letztverantwortung verbleibt; Verantwortung kann nie vollständig an Dritte ausgelagert werden, vor allem, wenn es sich um Kernverantwortungsbereiche wie Rechnungslegung und internes Kontrollsystem handelt. 

Nun kann die Auslagerung von (Teil )Prozessen dazu führen, dass wesentliche interne Kontrollen an Stelle des auslagernden Unternehmens („Kundenunternehmen“) vom Dienstleistungsunternehmen durchgeführt werden (müssen). Dies wirft hinsichtlich der Vorstandsverantwortung zahlreiche Fragen auf, auf die hier nicht eingegangen wird. Dieser Beitrag setzt sich ausschließlich damit auseinander, wie nationale und internationale Standardsetzer für Abschlussprüfer auf solche Situationen reagiert haben und möchte ein wenig Klarheit hinsichtlich anzuwendenden Prüfungsstandards schaffen. 

Während die internationalen Standardsetzer¹  bislang nur ISA 402 „Audit Considerations Relating to an Entity Using a Service Organization“ veröffentlicht haben, hat das amerikanische Institut der Wirtschaftsprüfer AICPA² den Standard SAS 70³ „Service Organizations“ herausgegeben. Der Unterschied zwischen den beiden Standards ist, dass ISA 402 lediglich Hinweise gibt, wie der Abschlussprüfer des Kundenunternehmens („Kundenabschlussprüfer“) vorzugehen hat, wenn Geschäftsprozesse an Dienst­leistungsorganisationen ausgelagert worden sind; SAS 70 hingegen enthält detaillierte Regeln über die Prüfung des sogenannten dienstleistungsbezogenen internen Kontrollsystems („DIKS“) beim Dienstleistungsunternehmen und die Berichterstattung hierüber für den vom Dienstleistungsunternehmen beauftragten Prüfer („Dienstleistungsprüfer“). Das Dienstleistungsunternehmen kann seinen Abschluss­prüfer oder jeden anderen Wirtschaftsprüfer als Dienstleistungsprüfer beauftragen.

ISA 402 ist daher anders als SAS 70 keine geeignete Grundlage für die Prüfung des DIKS beim Dienstleistungsunternehmen und wendet sich ausschließlich an die Kundenabschlussprüfer. Weiters ist ISA 402 international ausgerichtet und knüpft an keine be­stimmten Rechtsordnungen an. SAS 70 ist Teil der US-amerikanischen Prüfungsstandards⁴ und in diesem Kontext zu verstehen. Nur auf Grund der fehlenden nationalen und internationalen Regelungen zur Prüfung eines DIKS hat sich die Bezeichnung „SAS 70“ als „Quasimarke“ für Kontrollprüfungen bei Dienstleistungsunternehmen etabliert.

Um diesem unbefriedigenden Umstand abzuhelfen, hat des Institut der Wirtschaftsprüfer in Öster-reich (iwp) im Juni 2007 die Richtlinie IWP/PE 14 „Prüfung bei ausgelagerten Funktionen“ ausge-arbeitet, die auf ISA 402 und bezüglich Prüfung und Berichterstattung auf SAS 70 basiert. Damit wurde SAS 70 in Österreich „rechtsverträglich“ gemacht, sozusagen austrifiziert. Kurz danach hat auch das Institut deutscher Wirtschaftsprüfer (IDW) den Prüfungsstandard IDW PS 951 verabschiedet, der dem österreichischen IWP/PE 14 sehr ähnlich ist. Nationale Standards wurden auch in anderen Ländern erlassen, zB in Großbritannien, Kanada, Australien und der Schweiz, was die Lücke eines fehlenden internationalen Standards nur umso offensichtlicher und drängender machte.

Internationaler Prüfungsstandard ISAE 3402 seit kurzem verfügbar 

Spät aber doch hat auch das IAASB der IFAC die Unzulänglichkeiten vieler unterschiedlicher nati-onaler Regelungen erkannt und im Dezember 2007 einen ersten Entwurf eines Prüfungsstandards ISAE 3402 veröffentlicht. Schließlich wurde im Dezember 2009 der endgültige Standard ISAE 3402 „Assurance Reports on Controls at a Service Organization“ herausgegeben, der spätestens für Berichtsperioden die nach dem 15.  Juni 2011 enden in Kraft tritt (freiwillige frühere Anwendung möglich). Auch das amerikanische ASB des AICPA wird SAS 70 demnächst durch einen neuen Standard SSAE 16⁵ ersetzen,⁶ womit SAS 70 dann der Geschichte angehören wird. SSAE 16 wird zwar materiell weitgehend mit ISAE 3402 übereinstimmen, jedoch darf angenommen werden, dass der neue US-Standard in seiner Anwendung fast vollständig auf die USA bzw US-gelistete Unternehmen beschränkt bleiben wird.

Die beiden neuen Prüfungsstandards verfolgen ein neues Konzept, das vor allem die Dienstleistungsunternehmen vor einige Herausforderungen stellen wird. Unmittelbarer Prüfungsgegenstand durch den Dienstleistungsprüfer wird nicht mehr das DIKS sein, sondern eine Erklärung der Geschäftsführung des Dienstleistungsunternehmens, dass die von ihm erstellte Beschreibung des DIKS angemessen ist und – bei Typ 2 Berichten – das DIKS im Prüfungszeitraum effektiv (wirksam) war. Damit die Geschäftsführung eine solche Erklärung abgeben kann, muss sie sich auf eine wirksame Überwachung (Monitoring) des DIKS etwa im Sinne des COSO Rahmenwerks stützen können. Der Dienstleistungsprüfer wird daher zunächst die Existenz und Funktionsfähigkeit des Überwachungssystems prüfen müssen. Fehlt ein solches oder ist es grob mangelhaft, wird es keinen positiven Bericht geben können. Eine genauere Darstellung von ISAE 3402 mit seinen Unterschieden zu SAS 70 wird in einem künftigen Beitrag vorgestellt werden.

Zum Abschluss 

Weiters ist festzuhalten, dass einziger Zweck einer SAS 70-Prüfung (oder nach einem Nachfolgestandard) die Information an das Kundenunternehmen und dessen Abschlussprüfer über die Zuverlässigkeit der dienstleistungsbezogenen internen Kontrollen ist, damit der Kundenabschlussprüfer im Rahmen seiner Abschlussprüfung das rechnungslegungsbezogene Kontrollsystem beim Kunden insgesamt beurteilen kann. Ein SAS 70-Bericht enthält weder eine Aussage über das interne Kontrollsystem bezüglich der Rechnungslegungsprozesse beim Dienstleistungsunternehmen noch eine Aussage über die Qualität der Dienstleistungen, die das Dienstleistungsunternehmen an seine Kunden erbringt.

Dennoch ergeben sich für das Dienstleistungsunternehmen zwei wesentliche Nutzen:

• Statt vieler Prüfungen durch die Abschlussprüfer jedes einzelnen Kunden erfolgt die Prüfung des DIKS nur durch einen Prüfer, quasi stellvertretend für alle anderen.
• Als Nebeneffekt erhält das Dienstleistungsunternehmen zahlreiche Informationen über die implementierten Kundenprozesse und  systeme sowie die Funktionsfähigkeit der Kontrollen: Daraus können Verbesserungspotenziale hinsichtlich Effektivität und Effizienz gewonnen werden, aber auch Sicherheit über einen Teilbereich der vertragskonformen Leistungserbringung. 

Kann ein Dienstleistungsunternehmen einen Prüfbericht über sein DIKS vorweisen, dann liegt auch der Nutzen für die Kunden auf der Hand: diese erhalten detaillierte und geprüfte Informationen über das interne Kontrollsystem beim Dienstleistungsunternehmen – das schafft Vertrauen – und sein Abschlussprüfer muss das DISK nicht mehr selbst prüfen – die Abschlussprüfung wird kostengünstiger.

DI Michael Vertneg
mvertneg@deloitte.at