DIE AKTUELLE FRAGE: «Wozu dient ein Bericht SAS 70, und wie
Transcrição
DIE AKTUELLE FRAGE: «Wozu dient ein Bericht SAS 70, und wie
FORUM M I C H E L H U I S SO U D, L I C . I U R , C I SA , C I A , V I ZED I R E K TO R , E I D G . F I N A N Z KO N T RO L L E , B ER N ZU R A K T U E L L EN F R AG E «Wozu dient ein Bericht SAS 70, und wie soll man diesen interpretieren?»* DIE AKTUELLE FRAGE: Dies ist ein Thema, das sehr technisch scheint, das aber spannende Grundsatzfragen aufwirft. Kann ein Abschlussprüfer, der mit Outsourcing zu tun hat, sich ausschliesslich auf einen Bericht Statement on Auditing Standards No. 70, Service Organizations (SAS 70) verlassen, den ein Berufskollege, nämlich der Prüfer des betreffenden Leistungserbringers, verfasst hat? Eine Präzisierung: Die Situation unterscheidet sich nicht grundsätzlich danach, ob ein Bericht SAS 70 nach dem Standard des American Institute of Certified Public Accountants (AICPA) oder ein Bericht nach dem Schweizer Prüfungsstandard (PS) 402 erstellt wurde. Der amerikanische Standard geht zwar stärker in die Details und hat sich in der Praxis als sehr nützlich erwiesen, aber gewisse inhaltliche Fragen bleiben bestehen. «Ein Bericht SAS 70 ist eine nützliche Diskussionsgrundlage. Es ist aber wichtig zu prüfen, ob nicht zusätzliche Tests notwendig wären.» DIE ANTWORT: Ein bekanntes Problem betrifft den Berichtstyp. Der amerikanische Standard kennt, wie der PS 402, einen Berichtstyp I (der einem Bericht 402 vom Typ A entspricht), der sich auf eine Beschreibung und eine Beurteilung der Konzeption des internen Kontrollsystems beschränkt, und einen Berichtstyp II (402 B), der darüber hinausgeht und eine Beurteilung der operationellen Wirksamkeit der Kontrollen enthält. é Erste Empfehlung: Ein Bericht des Typs I ist durch eine geeignete Prüfung der Wirksamkeit des internen Kontrollsystems zu ergänzen, damit dieses Kontrollsystem abschliessend beurteilt werden kann. gestützt auf eine Prüfung ausgearbeitet wird, die eine Periode von nur 6 Monaten (von März bis September beispielsweise) erfasst. Als problematisch erweisen kann sich das Verhältnis dieser Bestimmung zur Anforderung des PS 400 (Ziffer 37), wonach der Prüfer beurteilen muss, ob «die internen Kontrollen während der ganzen Rechnungsperiode in Funktion waren». é Dritte Empfehlung: Ein Bericht des Typs II, der nicht die ganze Rechnungsperiode abdeckt, ist durch Zusatzprüfungen zu ergänzen, damit beurteilt werden kann, ob die internen Kontrollen während der ganzen Periode wirksam waren. Es lohnt sich, den Bereich, der durch die Standards abgedeckt ist, näher zu prüfen. Die Standards konzentrieren sich faktisch auf allgemeine Informatikkontrollen und schliessen nicht automatisch eine Prüfung der Anwendungskontrollen mit ein. Ebenfalls nicht eingeschlossen ist die Prüfung, ob bestimmte, für die betreffende Branche relevante Normen eingehalten werden, etwa im Bereich der Banken oder der Arzneimittel. é Zweite Empfehlung: Ein Bericht des Typs II ist durch Zusatzprüfungen zu ergänzen, die den Geschäftsbereich des Kunden berücksichtigen – insbesondere im Bankensektor, aber eventuell auch, was die Anwendungskontrollen betrifft. Die ewige Problematik der Schnittstellen muss ebenfalls beachtet werden. Ein Outsourcing ohne Schnittstelle zwischen Kunde und Leistungserbringer scheint undenkbar. Wichtige Daten müssen übermittelt werden, manchmal von Hand, in den meisten Fällen aber auf elektronischem Weg. Die Kontrollen, die die Zuverlässigkeit der Datenübermittlung sicherstellen, betreffen sowohl den Leistungserbringer als auch den Kunden. Die Gesamtprüfung dieser Kontrollen in den beiden Unternehmen ist in der Praxis nicht Teil eines Berichts SAS 70. é Vierte Empfehlung: In Zusammenarbeit mit dem Autor des Berichts SAS 70 sind die wichtigen Schnittstellen zwischen Leistungserbringer und Kunde zu erfassen und zu prüfen. Ein weiterer Diskussionspunkt ist die Zeitdauer. Sowohl der PS 402 als auch der Standard 70 erlauben es, dass ein Bericht Das (vorläufig) letzte Problem betrifft die Beziehungen zwischen den vier beteiligten Akteuren. Die beiden Prüfer (der 12 | 2006 D E R S C H W E I Z E R T R E U H Ä N D E R 925 FORUM Autor des Berichts SAS 70 und der Prüfer, für den der Bericht bestimmt ist) sind von ihren jeweiligen Kunden beauftragt. Diese wünschen in der Regel nicht, dass ihre Prüfer in direktem Kontakt stehen. Der Prüfer, für den der Bericht bestimmt ist, muss sich aber vergewissern, dass der Autor des Berichts unabhängig und kompetent ist. Er muss auch Zugang haben zu einer detaillierten Beschreibung der durchgeführten Arbeiten, damit er sicherstellen kann, dass die nach seiner Risikoanalyse wichtigen Kontrollen alle in geeigneter Form geprüft worden sind. é Fünfte Empfehlung: Die beiden beteiligten Prüfer (der Autor des Berichts und der Prüfer, für den der Bericht bestimmt ist) müssen regelmässige und direkte Kontakte haben, unabhängig davon, was ihre jeweiligen Kunden davon halten. Der SAS 70 (Ziffer 19) sieht dies ausdrücklich vor: 926 «If the user auditor believes that the service auditor’s report may not be sufficient to meet his or her objectives, the user auditor may supplement his or her understanding of the service auditor’s procedures and conclusions by discussing with the service auditor the scope and results of the service auditor’s work.» Fazit: Die Durchführung eines Audits ist ein komplexer Vorgang. Es wäre gefährlich, zu glauben – oder die Kunden glauben zu machen –, dass ein Bericht SAS 70 die Prüfung des Outsourcings abschliessend und umfassend abdeckt. Anmerkung: * Titel eines Seminars, das die Treuhand-Kammer im Juni 2006 in Zusammenarbeit mit der ISACA organisiert hat und an dem der Autor mitgewirkt hat. D E R S C H W E I Z E R T R E U H Ä N D E R 2006 | 12