IDW PS 951
Der Prüfungsstandard 951 des Institut der Wirtschaftsprüfer in Deutschland e.V., in der Regel abgekürzt als IDW PS 951 n.F., ist ein vom Institut der Wirtschaftsprüfer in Deutschland (IDW) veröffentlichter Prüfungsstandard, in dem die Prüfung eines ausgelagerten internen Kontrollsystems auf ein Dienstleistungsunternehmen geregelt ist.
Hintergrund
Am 16. Oktober 2013 wurde die derzeit gültige neue Fassung (n.F.) des IDW Prüfungsstandard veröffentlicht, welche den IDW Prüfungsstandard: „Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen“ i. d. F. vom 9. September 2010 ersetzt.[1] Der Standard berücksichtigt und orientiert sich am internationalen Standard ISAE 3000 und stellt das nationale Pendant zum internationalen Standard ISAE 3402 dar.[1] Im direkten Vergleich zum ISAE 3402 berücksichtigt der IDW PS 951 n.F. Besonderheiten aus nationaler Sicht, vor allem gesetzliche und sonstige Anforderungen einschließlich der Ordnungsmäßigkeits- und Sicherheitsanforderungen nach IDW RS FAIT 1.[1]
Einsatz
Der Prüfungsstandard kommt bei Dienstleistungsunternehmen zum Einsatz, welche einen Nachweis über angemessene und wirksame Maßnahmen für das implementierte, dienstleistungsbezogene interne Kontrollsystem benötigen. Dies ist insbesondere dann der Fall, wenn ein Kunde Funktionen auf ein Dienstleistungsunternehmen ausgelagert hat, welche sich auf die Rechnungslegung des auslagernden Unternehmens auswirken können. Bei Auslagerung bleibt das in diesen ausgelagerten Funktionen enthaltene interne Kontrollsystem in der Verantwortung des auslagernden Unternehmens.[1] Typische Beispiele sind die Auslagerung der Personalabrechnung oder der Rechenzentrumsbetrieb relevanter IT-Systeme.
Durchführung und Berichterstattung
Gegenstand der Prüfung ist die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems (kurz: IKS-Beschreibung) und die hierin beschriebenen Kontrollziele und Kontrollen (bzw. Maßnahmen) zur Erfüllung dieser Ziele.[1] Im dienstleistungsbezogenen internen Kontrollsystem werden all die Maßnahmen, Kontrollen und Verfahren (Regeln) des Dienstleistungsunternehmens in Bereichen und Prozessen, welche sich direkt oder indirekt auf die Erbringung der versprochenen Dienstleistung auswirken oder auswirken können, betrachtet.
Über die Prüfung wird ein detaillierter Bericht verfasst, der das implementierte interne Kontrollsystem (IKS) beim Dienstleistungsunternehmen darstellt. Die durch die Prüfungsgesellschaft durchgeführten Prüfungshandlungen und die Ergebnisse sind ebenfalls Bestandteil der Berichterstattung.
Es gibt zwei Typen für die Prüfung nach IDW PS 951 n.F., welche entweder die Prüfung
- der Angemessenheit des dargestellten internen Kontrollsystems und die Implementierung dieser Kontrollen umfasst (Typ 1'), oder
- der Angemessenheit, Implementierung und der Wirksamkeit für einen definierten Zeitraum umfasst (Typ 2).[2]
Im Rahmen der Jahresabschlussprüfung ist insbesondere Typ 2 relevant. Die Prüfung umfasst dann in der Regel das Geschäftsjahr als Wirksamkeitszeitraum.
Die Adressaten des Prüfungsberichtes sind neben dem Dienstleistungsunternehmen selbst, insbesondere die Kunden und deren Abschlussprüfer. Auslagernde Unternehmen und deren Abschlussprüfer fordern Nachweise der Umsetzung von hohen Sicherheitsstandards und eines angemessenen und wirksamen internen Kontrollsystems aufgrund zunehmender regulatorischer Anforderungen und Risiken.
Beschreibung des internen Kontrollsystems
Die Anforderungen an die Ausgestaltung des Internen Kontrollsystems des Dienstleistungsunternehmens leiten sich neben den regulatorischen Anforderungen, insbesondere aus den Kundenverträgen und der Erwartungshaltung der Kunden ab. Dies schließt eine Berücksichtigung des regulatorischen Umfelds der Kunden, sowie der Anforderungen von deren Stakeholdern und Abschlussprüfern eindeutig mit ein. Der IDW PS 951 ist ein Kriterien basierter Prüfungsstandard und insofern sind die genannten Anforderungen zu definieren und schriftlich festzulegen. Das Prüfungsurteil leitet sich abschließend von der Berücksichtigung und Umsetzung der genannten Anforderungen im zu definierenden Anwendungsbereich des Dienstleistungsunternehmen statt. Dieser Anwendungsbereich kann sich auf die Gesamtheit der dienstleistungsbezogenen Prozesse und somit auf alle Kunden beziehen. Es ist jedoch auch möglich dies auf eine spezielle Gruppe oder einen Kunden zu beschränken und die Berichterstattung entsprechend anzupassen.
Weblinks
Verlautbarung nach IDW