Das IDW hat am 4. November 2013 eine neue Fassung des PS 951 "Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen" verabschiedet. Mit der Neuauflage werden u.a. die Anforderungen des ISAE 3402 umgesetzt und weitere Konkretisierungen vorgenommen.
Die wesentlichen Änderungen sind:
- Gegenstand der Prüfung ist die Beschreibung des dienstleistungsbezogenen IKS sowie die hierzu abgegebene Erklärung der gesetzlichen Vertreter.
- Unterauftragnehmer werden explizit einbezogen oder ausgeschlossen; hierzu werden konkrete Gestaltungsmöglichkeiten aufgezeigt.
- Kontrollziele, die aus Risiken abgeleitet wurden, stehen weiterhin im Mittelpunkt der Betrachtung.
- Die Kriterien für die Bewertung des IKS müssen klar definiert und beschrieben sein und werden vom Prüfer beurteilt.
Der neue Standard ist anwendbar für Prüfungen mit Berichterstattungszeitpunkten bzw. -zeiträumen, die am oder nach dem 15. Dezember 2013 beginnen. Eine freiwillige vorzeitige Anwendung ist möglich.
Dienstleister, die bislang nach PS 951 geprüft werden, sollten sich mit dem neuen Standard frühzeitig auseinander setzen, da sich einige Änderungen ergeben, deren Einfluss im Einzelfall zu betrachten ist, aber durchaus beachtlich werden kann.
Insbesondere ist zu beachten, dass erweiterte Dokumentationspflichten vorliegen und dass das Management eine Erklärung gegenüber dem Prüfer abgeben muss. Diese Erklärung sollte eine belastbare Grundlage haben und kann damit nicht glaubhaft erfolgen, wenn das Management sich kein eigenes Bild über die Wirksamkeit des IKS gemacht hat. Dies kann durch monitoring controls, eine Revision bzw. eine Kombination beider Maßnahmen erfolgen. Empfehlenswert ist, sich damit bereits zum Beginn des Prüfungszeitraums der ersten Anwendung des neuen Standards auseinanderzusetzen, damit Überraschungen zu einem späteren Zeitpunkt vermieden werden können.
Darüber hinaus führen die nun stark präzisierten Ausführungen zu Unterauftragnehmern eventuell zu Gesprächs- und Handlungsbedarf mit eventuellen Lieferanten des geprüften Dienstleisters, um eine sachgerechte Berücksichtigung im Prüfungsumfang (carve-out oder inclusive-Methoden) gewährleisten zu können. Erfahrungsgemäß können hier langwierige Gespräche und Verhandlungen erforderlich werden.
Grundsätzliche Überlegungen zu den Kriterien und der Nachweisbarkeit des Zusammenhangs zwischen Risiken und Kontrollzielen sollten ebenfalls abgeschlossen und dokumentiert sein, bevor die Prüfung beginnt – im besten Fall sollte dies natürlich bereits zu Beginn des Prüfungszeitraums in die Konzeption und Beschreibung eingeflossen sein.
Sprechen Sie frühzeitig mit einem erfahrenen Berater und Ihrem Prüfer, um Überraschungen zu vermeiden!