FAQ

Wird neben der Bescheinigung über die Prüfung durch den Wirtschaftsprüfer (Service Auditor‘s Assurance Report i, S. d. ISAE 3402.53 if.) auch ein Prüfungsbericht erstellt, können entsprechende Besonderheiten in Letzterem dargestellt werden. Dazu könnte auch ein besonders hohes Niveau des Kontrollstandards zählen.

Eine Bescheinigung (Service Auditor‘s Assurance Report) sollte sich nach unserer Einschätzung an den im ISAE 3402 gegebenen Beispielen (vgl. Appendix 2 f.) orientieren. Allerdings sind diese Musterbescheinigungen explizit nur als „guidance“ zu verstehen, sodass der Wirtschaftsprüfer abweichende Formulierungen im Rahmen seiner Eigenverantwortlichkeit aufnehmen kann.

Eine Einbeziehung der Prüfungsergebnisse interner Audits des Mandanten (bspw. durch eine interne Revision) ist nur unter den in ISAE 3402.30 if. und A37 if. genannten Voraussetzungen möglich.

Die Anforderungen an einen ISAE 3402 Bericht, d. h. die einzelnen erforderlichen Berichtsbestandteile und -inhalte, ergeben sich ausschließlich und unmittelbar aus den Regelungen im Standard selbst. Die konkrete Ausgestaltung der Berichtsinhalte, also die Ausführungen zu den Berichtsinhalten und deren Detailtiefe, hängt dabei u. a. von den jeweiligen Gegebenheiten des zu prüfenden Unternehmens und der Prüfungsdurchführung ab. Sollte der Abschlussprüfer des auslagernden Unternehmens weitere Informationen für notwendig erachten, die über die Berichtsanforderungen des ISAE 3402 hinausgehen (wie bspw. die Auflistung sämtlicher gezogenen Stichproben o. ä.) so können diese selbstverständlich in den ISAE 3402 Bericht aufgenommen werden. Die Anforderungen des Abschlussprüfers an diese weitergehenden Informationen sollten mit diesem abgestimmt werden, da diese eben nicht „Standard-basiert“ sind, sondern auf freiwilliger Basis erfolgen.

Gemäß ISAE 4302 muss der Abschlussprüfer des auslagernden Unternehmens ein Verständnis von Art und Bedeutung der vom Dienstleister erbrachten Leistung sowie von deren Auswirkungen auf das für die Abschlussprüfung relevante IKS der auslagernden Organisation erlangen, welches ausreicht, um die Risiken wesentlicher Falschdarstellungen festzustellen und zu beurteilen sowie Prüfungshandlungen zu planen und durchzuführen, um diesen Risiken zu begegnen.

Für die Feststellung und Beurteilung der Risiken falscher Darstellungen im Abschluss des auslagernden Unternehmens aufgrund der Auslagerung ist die Darstellung von Optimierungspotenzial beim Dienstleistungsunternehmen in der Prüfungsbescheinigung i.d.R. nicht erforderlich. ISAE 3402 sieht weder hinsichtlich Typ I noch Typ II eine entsprechende Angabepflicht von Optimierungspotenzial vor.

Optimierungsbedarf ist lediglich in folgenden Fällen zu erwähnen:

• ISAE 3402.54 - Im Falle einer Typ II Bescheinigung hat der Prüfer des Dienstleistungsunternehmens Art, Umfang und Ergebnis seiner Funktionstests darzustellen. Festgestellte Defizite sind anzugeben, selbst wenn diese keine Auswirkung auf das Prüfungsurteil haben.

• ISAE 3402.55 - Hat der Prüfer des Dienstleistungsunternehmens sein Prüfungsurteil modifiziert, so sind die Gründe für die Einschränkung oder Versagung darzulegen.

ISAE 3402 sieht in den Abschnitten 30-37 grundsätzlich die Möglichkeit der Einbindung der internen Revision des Dienstleistungsunternehmens in die Prüfung vor.

Der externe Prüfer hat dabei eigenverantwortlich zu entscheiden in welchem Ausmaß er die Arbeitsergebnisse der internen Revision in seine Arbeit einfließen lässt. Dabei muss neben dem Umfang und der Relevanz der durch die interne Revision geprüften Kontrollen und Prozesse u.a. auch die Objektivität, die Kompetenz sowie die Sorgfalt der internen Revision beurteilt werden. Der externe Prüfer muss auf dieser Grundlage zu dem Ergebnis kommen, dass er unter Verwertung der Arbeitsergebnisse der internen Revision ein eigenverantwortliches Urteil über das dienstleistungsbezogene interne Kontrollsystem des Mandanten abgeben kann.

Änderungen am Prüfungsgegenstand auf Initiative des Mandanten sind gemäß ISAE 3402.14 zu behandeln.

Änderungen am Kontrollset durch den Wirtschaftsprüfer sind möglich, um eine wirtschaftliche Prüfungsdurchführung zu ermöglichen. Stellt der Prüfer erst im Verlauf der Prüfung fest, dass eine bestimmte Kontrolle bspw. keinen Bezug zur Finanzberichterstattung hat oder überflüssig ist, da der zu kontrollierende Sachverhalt möglicherweise durch eine nachgelagerte Kontrolle auf einer höheren Ebene effizienter geprüft wird, sollte dies entsprechend im weiteren Prüfungsvorgehen berücksichtigt werden können.

Hinsichtlich Inhalt und Umfang bestimmt ISAE 3402.45, dass die Prüfungsdokumentation so zu erstellen ist, dass sie ausreicht, einen erfahrenen, zuvor nicht mit der Prüfung befassten Prüfer in die Lage zu versetzen, folgendes zu verstehen:

• Art, Zeitpunkt und Umfang der Prüfungshandlung,

• die Ergebnisse der durchgeführten Prüfungshandlungen und die erlangten Prüfungsnachweise,

• bedeutsame Sachverhalte, die sich während der Prüfung ergeben, die dazu gezogenen Schlussfolgerungen und bedeutsame Beurteilungen nach pflichtgemäßem Ermessen, die im Zusammenhang mit diesen Schlussfolgerungen getroffen wurden.

Bezüglich der Dokumentation von Art, Zeitpunkt und Umfang der Prüfungshandlungen sieht ISAE 3402 Tz. 46 vor, dass der Prüfer festzuhalten hat:

• die kennzeichnenden Merkmale der geprüften Elemente oder Sachverhalte,

• von wem die Prüfungsarbeit durchgeführt und wann sie abgeschlossen wurde sowie

• von wem, wann und in welchem Umfang die durchgeführten Prüfungsarbeiten durchgesehen wurden.

Dementsprechend ist es bspw. im Rahmen einer Kontrollprüfung mittels Stichproben nicht erforderlich, dass Kopien der gezogenen Stichproben zu den Arbeitspapieren genommen werden. Die gezogenen Prüfungsnachweise müssen anhand von kennzeichnenden Merkmalen lediglich identifizierbar dokumentiert sein.

Die „Service Organisation Assertion“ ersetzt nicht die berufsübliche Vollständigkeitserklärung des Mandanten. Letztere ist explizit in ISAE 3402.38 ff. geregelt und ist an den Prüfer gerichtet, um diesem die Vollständigkeit der zu Verfügung gestellten Auskunft und Informationen zu bestätigen. Ein Verweis auf die Trennung von „Service Organisation Assertion“ und Vollständigkeitserklärung findet sich in ISAE 3402.A42.

Art und Umfang einer eventuellen Auswirkung auf die Rechnungslegung bzw. den Jahresabschluss hängt von der Art der Tätigkeit des Drittanbieters im Einzelfall ab. Übernimmt dieser bspw. Buchführungsleistungen, hat der Abschlussprüfer durch geeignete Prüfungshandlungen, wie bspw. die Einholung entsprechender Drittbestätigungen i.S.d. ISAE 3402, die Ordnungsmäßigkeit der Buchführung i.S.d. § 317 Abs. 1 HGB zu beurteilen. Insoweit kann die Nichtvorlage einer Bescheinigung nach ISAE 3402 in Verbindung mit einem Mangel an geeigneten alternativen Prüfungshandlungen Einfluss auf die Urteilssicherheit des Abschlussprüfers hinsichtlich der Rechnungslegung haben.

Insofern die Zertifikate eine Erklärung über das Prüfungsergebnis i.S.d. § 48 Abs. 1 Satz 2 WPO darstellen, können diese wahlweise gesiegelt werden. Eine diesbezügliche Pflicht besteht jedoch nicht.

Unabhängig von der Größenklassifizierung nach § 267 HGB ist ein Finanzdienstleistungsinstitut i.S.d. § 1 KWG i.V.m. § 340 HGB prüfungspflichtig. Eine Wirtschaftsprüfungsgesellschaft, die eine vorgenannte gesetzliche Abschlussprüfung durchführen will, benötigt eine Teilnahmebescheinigung (alternativ eine Ausnahmegenehmigung) an der Qualitätskontrolle nach § 57a WPO. Sofern der prüfungspflichtige Mandant kein Unternehmen von öffentlichem Interesse ist (gem. § 264d HGB), ist diese Bescheinigung auf sechs Jahre zu befristen.

Grundsätzlich sind die beiden Zertifizierungen hinsichtlich Zielrichtung und Schwerpunktsetzung definitionsgemäß nicht deckungsgleich. Damit Ergebnisse einer ISO 27000/27001 Zertifizierung im Rahmen einer ISAE 3402 Prüfung zulässigerweise Berücksichtigung finden können, muss sichergestellt sein, dass Prüfungsziele und -handlungen identisch sind bzw. den Anforderungen an eine ISAE 3402 Prüfung entsprechen. So sollten bspw. im Rahmen der ISO Zertifizierung vorgenommene Prüfungshandlungen und daraus resultierende Prüfungsergebnisse zu bestimmten Kontrollen, nach Art und Umfang mit derselben Zielsetzung bei einer „reinen“ ISAE 3402 Prüfung durchzuführen sein.

Da zum einen ein ISO-Prüfungsbericht weitergehende Informationen zum Prüfungsgegenstand enthält, wie bspw. Prüfungsvorgehen, aufgedeckte geringfügige Missstände oder Verbesserungsvorschläge die ggf. aus Sicht des ISAE 3402 Prüfers relevant sein könnten, zum anderen sich der ISAE 3402 Prüfer sowohl bei den ISO-Prüfungen als auch bei Prüfungen durch die interne Revision oder andere Prüfer konkret mit den Inhalten dieser Prüfungen vertraut machen sollte, ist die Heranziehung des ISO-Prüfungsberichtes zu empfehlen.

Die Verwendung des Prüfungsberichtes eines externen Prüfers ist vertretbar, sofern die Regelungen im ISAE 3402 zur Arbeit einer internen Revision (ISAE 3402.30 ff., A37 ff.) — in analoger Anwendung — berücksichtigt werden.

Grds. spricht nichts dagegen, dass eine deutsche Wirtschaftsprüfungsgesellschaft eine derartige Compliance Prüfung durchführt. Diese wäre als betriebswirtschaftliche Prüfung i. S. d. § 2 Abs. 1 WPO anzusehen. Die diesbezüglichen Anforderungen werden aus dem sogenannten „pilot audit program“ des HHS Office of Civil Rights (OCR) zur Prüfung der Kontrollen und Prozesse der betroffenen Unternehmen ersichtlich.

In der Regel spricht nichts dagegen, dass Ergebnisse einer vorangegangenen Prüfung im Rahmen einer nachfolgenden prüferischen Tätigkeit, gemäß den allgemeinen beruflichen Grundsätzen verwertet werden. Es sollte jedoch sichergestellt sein, dass etwaige zwischenzeitliche Änderungen an den Systemen und Prozessen des Mandanten festgestellt und gewürdigt werden.

Zur internen Umsetzung eines ITSM gibt es verschiedene Ansätze von weltweit führenden IT-Frameworks. Es wird empfohlen, dass ein Framework gewählt wird, das einen formalisierten Service-Level-Management-Prozess zwischen dem Kunden und dem Service-Provider bietet.

Das Rahmenwerk sollte sich kontinuierlich an den geschäftlichen Anforderungen und Prioritäten orientieren und ein gemeinsames Verständnis zwischen Kunden und Anbietern ermöglichen. Das Framework sollte Prozesse zum Erstellen von Serviceanforderungen, Servicedefinitionen und SLAs enthalten. Diese Attribute sollten in einem Servicekatalog organisiert werden.

Der Rahmen sollte die Organisationsstruktur für das Service Level Management definieren und die Rollen, Aufgaben und Verantwortlichkeiten von internen und externen Service Providern und Kunden abdecken.

Führend sind hier die Information Technology Infrastructure Library (ITIL) sowie Control Objectives for Information and Related Information (COBIT). Diese Rahmenwerke bieten eine Hilfestellung bei der operativen Umsetzung innerhalb des Unternehmens.

Es ist jedoch sinnvoll sich bereits bei der Unternehmensgründung Gedanken über die Implementierung eines ITSM zu machen. Hierbei ist insbesondere auch das führende Rahmenwerk zur IT-Architektur, The Open Group Architecture Framework (TOGAF), zu integrieren.

Innerhalb dieser führenden Frameworks kristallisiert sich die detaillierte Betrachtung der Vereinbarungen mit Service Dienstleistern als einer der relevantesten Punkte heraus.

Ja, die Befugnis von Wirtschaftsprüfern und vereidigten Buchprüfern (WP/vBP) betriebliche Prüfungen durchzuführen (§ 2 Abs. 1 WPO) umfasst auch die Prüfung von IT-Systemen. WP/vBP unterliegen den Berufspflichten der WPO und insbesondere den Kardinalspflichten der Unabhängigkeit, Gewissenhaftigkeit, Verschwiegenheit, Eigenverantwortlichkeit und Unparteilichkeit. Wirtschaftsprüfer und vereidigte Buchprüfer sowie ihre Berufsgesellschaften sind daher die „geborenen“ Prüfer.