DIE AKTUELLE FRAGE: «Wozu dient ein Bericht SAS 70, und wie

FORUM
M I C H E L H U I S SO U D,
L I C . I U R , C I SA , C I A ,
V I ZED I R E K TO R ,
E I D G . F I N A N Z KO N T RO L L E , B ER N
ZU R A K T U E L L EN F R AG E
«Wozu dient ein Bericht SAS 70, und wie
soll man diesen interpretieren?»*
DIE AKTUELLE FRAGE:
Dies ist ein Thema, das sehr technisch scheint, das aber spannende Grundsatzfragen aufwirft. Kann ein Abschlussprüfer,
der mit Outsourcing zu tun hat, sich ausschliesslich auf einen
Bericht Statement on Auditing Standards No. 70, Service Organizations (SAS 70) verlassen, den ein Berufskollege, nämlich der
Prüfer des betreffenden Leistungserbringers, verfasst hat?
Eine Präzisierung: Die Situation unterscheidet sich nicht
grundsätzlich danach, ob ein Bericht SAS 70 nach dem Standard des American Institute of Certified Public Accountants
(AICPA) oder ein Bericht nach dem Schweizer Prüfungsstandard
(PS) 402 erstellt wurde. Der amerikanische Standard geht
zwar stärker in die Details und hat sich in der Praxis als sehr
nützlich erwiesen, aber gewisse inhaltliche Fragen bleiben
bestehen.
«Ein Bericht SAS 70 ist eine nützliche
Diskussionsgrundlage. Es ist aber wichtig zu prüfen,
ob nicht zusätzliche Tests notwendig wären.»
DIE ANTWORT:
Ein bekanntes Problem betrifft den Berichtstyp. Der amerikanische Standard kennt, wie der PS 402, einen Berichtstyp I
(der einem Bericht 402 vom Typ A entspricht), der sich auf eine
Beschreibung und eine Beurteilung der Konzeption des internen Kontrollsystems beschränkt, und einen Berichtstyp II
(402 B), der darüber hinausgeht und eine Beurteilung der
operationellen Wirksamkeit der Kontrollen enthält. é Erste
Empfehlung: Ein Bericht des Typs I ist durch eine geeignete
Prüfung der Wirksamkeit des internen Kontrollsystems zu
ergänzen, damit dieses Kontrollsystem abschliessend beurteilt werden kann.
gestützt auf eine Prüfung ausgearbeitet wird, die eine Periode
von nur 6 Monaten (von März bis September beispielsweise)
erfasst. Als problematisch erweisen kann sich das Verhältnis
dieser Bestimmung zur Anforderung des PS 400 (Ziffer 37), wonach der Prüfer beurteilen muss, ob «die internen Kontrollen
während der ganzen Rechnungsperiode in Funktion waren».
é Dritte Empfehlung: Ein Bericht des Typs II, der nicht die
ganze Rechnungsperiode abdeckt, ist durch Zusatzprüfungen zu ergänzen, damit beurteilt werden kann, ob die internen Kontrollen während der ganzen Periode wirksam waren.
Es lohnt sich, den Bereich, der durch die Standards abgedeckt
ist, näher zu prüfen. Die Standards konzentrieren sich faktisch
auf allgemeine Informatikkontrollen und schliessen nicht automatisch eine Prüfung der Anwendungskontrollen mit ein.
Ebenfalls nicht eingeschlossen ist die Prüfung, ob bestimmte,
für die betreffende Branche relevante Normen eingehalten
werden, etwa im Bereich der Banken oder der Arzneimittel.
é Zweite Empfehlung: Ein Bericht des Typs II ist durch Zusatzprüfungen zu ergänzen, die den Geschäftsbereich des
Kunden berücksichtigen – insbesondere im Bankensektor,
aber eventuell auch, was die Anwendungskontrollen betrifft.
Die ewige Problematik der Schnittstellen muss ebenfalls beachtet werden. Ein Outsourcing ohne Schnittstelle zwischen
Kunde und Leistungserbringer scheint undenkbar. Wichtige
Daten müssen übermittelt werden, manchmal von Hand, in
den meisten Fällen aber auf elektronischem Weg. Die Kontrollen, die die Zuverlässigkeit der Datenübermittlung sicherstellen, betreffen sowohl den Leistungserbringer als auch den Kunden. Die Gesamtprüfung dieser Kontrollen in den beiden Unternehmen ist in der Praxis nicht Teil eines Berichts SAS 70.
é Vierte Empfehlung: In Zusammenarbeit mit dem Autor des
Berichts SAS 70 sind die wichtigen Schnittstellen zwischen
Leistungserbringer und Kunde zu erfassen und zu prüfen.
Ein weiterer Diskussionspunkt ist die Zeitdauer. Sowohl der
PS 402 als auch der Standard 70 erlauben es, dass ein Bericht
Das (vorläufig) letzte Problem betrifft die Beziehungen zwischen den vier beteiligten Akteuren. Die beiden Prüfer (der
12 | 2006 D E R S C H W E I Z E R T R E U H Ä N D E R
925
FORUM
Autor des Berichts SAS 70 und der Prüfer, für den der Bericht
bestimmt ist) sind von ihren jeweiligen Kunden beauftragt.
Diese wünschen in der Regel nicht, dass ihre Prüfer in direktem Kontakt stehen. Der Prüfer, für den der Bericht bestimmt ist, muss sich aber vergewissern, dass der Autor des
Berichts unabhängig und kompetent ist. Er muss auch Zugang haben zu einer detaillierten Beschreibung der durchgeführten Arbeiten, damit er sicherstellen kann, dass die nach
seiner Risikoanalyse wichtigen Kontrollen alle in geeigneter
Form geprüft worden sind. é Fünfte Empfehlung: Die beiden beteiligten Prüfer (der Autor des Berichts und der Prüfer,
für den der Bericht bestimmt ist) müssen regelmässige und
direkte Kontakte haben, unabhängig davon, was ihre jeweiligen Kunden davon halten. Der SAS 70 (Ziffer 19) sieht dies
ausdrücklich vor:
926
«If the user auditor believes that the service auditor’s report may
not be sufficient to meet his or her objectives, the user auditor may
supplement his or her understanding of the service auditor’s procedures and conclusions by discussing with the service auditor the
scope and results of the service auditor’s work.»
Fazit: Die Durchführung eines Audits ist ein komplexer Vorgang. Es wäre gefährlich, zu glauben – oder die Kunden glauben zu machen –, dass ein Bericht SAS 70 die Prüfung des
Outsourcings abschliessend und umfassend abdeckt.
Anmerkung: * Titel eines Seminars, das die Treuhand-Kammer im Juni
2006 in Zusammenarbeit mit der ISACA organisiert hat und an dem der
Autor mitgewirkt hat.
D E R S C H W E I Z E R T R E U H Ä N D E R 2006 | 12