02

Compliance - Fragen und Antworten

Bild

Berichterstattung

  • Ersetzt die in einem ISAE 3402 Bericht befindliche „Service Organisation Assertion“ die berufsübliche Vollständigkeitserklärung des Mandanten?

  • Die „Service Organisation Assertion“ ersetzt nicht die berufsübliche Vollständigkeitserklärung des Mandanten. Letztere ist explizit in ISAE 3402.38ff. geregelt und ist an den Prüfer gerichtet, um diesem die Vollständigkeit der zu Verfügung gestellten Auskünfte und Informationen zu bestätigen. Ein Verweis auf die Trennung von „Service Organisation Assertion“ und Vollständigkeitserklärung findet sich in ISAE 3402.A42.

  • Inwieweit können Prüfungsergebnisse eines ISO 27001 Berichts, welcher auf ISO Kontrollen beruht, im Rahmen eines ISAE 3402 Audits verwendet werden?

  • Grundsätzlich sind die beiden Zertifizierungen hinsichtlich Zielrichtung und Schwerpunktsetzung definitionsgemäß nicht deckungsgleich. Damit Ergebnisse einer ISO 27001 Zertifizierung im Rahmen einer ISAE 3402 Prüfung zulässigerweise Berücksichtigung finden können, muss sichergestellt sein, dass Prüfungsziele und -handlungen identisch sind bzw. den Anforderungen an eine ISAE 3402 Prüfung entsprechen. So sollten bspw. im Rahmen der ISO Zertifizierung vorgenommene Prüfungshandlungen und daraus resultierende Prüfungsergebnisse zu bestimmten Kontrollen, nach Art und Umfang mit derselben Zielsetzung bei einer „reinen“ ISAE 3402 Prüfung durchzuführen sein.

  • Welche Anforderungen bestehen an einen ISAE 3402 Bericht bzgl. Berichtsbestandteilen und -inhalten?

  • Die Anforderungen an einen ISAE 3402 Bericht, d. h. die einzelnen erforderlichen Berichtsbestandteile und -inhalte, ergeben sich ausschließlich und unmittelbar aus den Regelungen im Standard selbst. Die konkrete Ausgestaltung der Berichtsinhalte, also die Ausführungen zu den Berichtsinhalten und deren Detailtiefe, hängt dabei u. a. von den jeweiligen Gegebenheiten des zu prüfenden Unternehmens und der Prüfungsdurchführung ab.

    Sollte der Abschlussprüfer des auslagernden Unternehmens weitere Informationen für notwendig erachten, die über die Berichtsanforderungen des ISAE 3402 hinausgehen (wie bspw. die Auflistung sämtlicher gezogener Stichproben) so können diese selbstverständlich in den ISAE 3402 Bericht aufgenommen werden. Die Anforderungen des Abschlussprüfers an diese weitergehenden Informationen sollten mit diesem abgestimmt werden, da diese eben nicht „Standard-basiert“ sind, sondern auf freiwilliger Basis erfolgen.

Regulatorische Anforderungen an eine Prüfung gemäß ISAE 3402/SSAE 16/IDW PS 951

  • Ist es zulässig, ISAE 3402 \ SSAE 16 Zertifikate analog zur Verfahrensweise in den Berichten mit einem Wirtschaftsprüfersiegel zu versehen?

  • Insofern die Zertifikate eine Erklärung über das Prüfungsergebnis i.S.d. § 48 Abs. 1 Satz 2 WPO darstellen, können diese wahlweise gesiegelt werden. Eine diesbezügliche Pflicht besteht jedoch nicht.

  • Ist die Erwähnung eines Optimierungsbedarfs im Prüfungszertifikat oder -bericht im Rahmen einer ISAE 3402 Prüfung erforderlich?

  • Gemäß ISAE 3402 muss der Abschlussprüfer des auslagernden Unternehmens ein Verständnis von Art und Bedeutung der vom Dienstleister erbrachten Leistung sowie von deren Auswirkungen auf das für die Abschlussprüfung relevante IKS der auslagernden Organisation erlangen, welches ausreicht, um die Risiken wesentlicher Falschdarstellungen festzustellen und zu beurteilen sowie Prüfungshandlungen zu planen und durchzuführen, um diesen Risiken zu begegnen.

    Für die Feststellung und Beurteilung der Risiken falscher Darstellungen im Abschluss des auslagernden Unternehmens aufgrund der Auslagerung ist die Darstellung von Optimierungspotenzial beim Dienstleistungsunternehmen in der Prüfungsbescheinigung i.d.R. nicht erforderlich. ISAE 3402 sieht weder hinsichtlich Typ I noch Typ II eine entsprechende Angabepflicht bezüglich eines Optimierungspotenzials vor.

    Optimierungsbedarf ist lediglich in folgenden Fällen zu erwähnen:
    ISAE 3402.54 - Im Falle einer Typ II Bescheinigung hat der Prüfer des Dienstleistungsunternehmens Art, Umfang und Ergebnis seiner Funktionstests darzustellen.
    Festgestellte Defizite sind anzugeben, selbst wenn diese keine Auswirkung auf das Prüfungsurteil haben.
    ISAE 3402.55 - Hat der Prüfer des Dienstleistungsunternehmens sein Prüfungsurteil modifiziert, so sind die Gründe für die Einschränkung oder Versagung darzulegen.

  • Ist es sachgerecht, Kontrollen eines ISAE 3402 Kontrollsets ohne schriftlichen Nachweis in den Arbeitspapieren – lediglich durch Einsicht in Prüfungsnachweise vor Ort in Gegenwart von mehreren Prüfern – als gesehen zu dokumentieren und gleichzeitig zugrundeliegende Kontrollen als bestanden zu klassifizieren?

  • Hinsichtlich Inhalt und Umfang bestimmt ISAE 3402.45, dass die Prüfungsdokumentation so zu erstellen ist, dass sie ausreicht, einen erfahrenen, zuvor nicht mit der Prüfung befassten Prüfer in die Lage zu versetzen, folgendes zu verstehen:
    - Art, Zeitpunkt und Umfang der Prüfungshandlung,
    - die Ergebnisse der durchgeführten Prüfungshandlungen und die erlangten Prüfungsnachweise,
    - bedeutsame Sachverhalte, die sich während der Prüfung ergeben, die dazu gezogenen Schlussfolgerungen und bedeutsame Beurteilungen nach pflichtgemäßem Ermessen, die im Zusammenhang mit diesen Schlussfolgerungen getroffen wurden.

    Bezüglich der Dokumentation von Art, Zeitpunkt und Umfang der Prüfungshandlungen sieht ISAE 3402 Tz. 46 vor, dass der Prüfer festzuhalten hat:
    - die kennzeichnenden Merkmale der geprüften Elemente oder Sachverhalte,
    - von wem die Prüfungsarbeit durchgeführt und wann sie abgeschlossen wurde sowie
    - von wem, wann und in welchem Umfang die durchgeführten Prüfungsarbeiten durchgesehen wurden.

    Dementsprechend ist es bspw. im Rahmen einer Kontrollprüfung mittels Stichproben nicht erforderlich, dass Kopien der gezogenen Stichproben zu den Arbeitspapieren genommen werden. Die gezogenen Prüfungsnachweise müssen anhand von kennzeichnenden Merkmalen lediglich identifizierbar dokumentiert sein.

  • Kann im Rahmen eines ISAE 3402 Audits ein Prüfungsbericht verwendet werden, welcher von einem externen Prüfer erstellt wurde, der vom Mandanten zu seinem Subservice-Dienstleister entsendet wurde?

  • Die Verwendung des Prüfungsberichtes eines externen Prüfers ist vertretbar, sofern die Regelungen im ISAE 3402 zur Arbeit einer internen Revision (ISAE 3402.30 ff., A37 ff.) — in analoger Anwendung — berücksichtigt werden.

  • Innerhalb welcher Frist ist eine Qualitätssicherungsprüfung des Abschlussprüfers eines Finanzdienstleistungsinstituts i.S.d. § 1 KWG vorzunehmen?

  • Unabhängig von der Größenklassifizierung nach § 267 HGB ist ein Finanzdienstleistungsinstitut i.S.d. § 1 KWG i.V.m. § 340 HGB prüfungspflichtig. Eine Wirtschaftsprüfungsgesellschaft, die eine vorgenannte gesetzliche Abschlussprüfung durchführen will, benötigt eine Teilnahmebescheinigung (alternativ eine Ausnahmegenehmigung) an der Qualitätskontrolle nach § 57a WPO. Sofern der prüfungspflichtige Mandant kein Unternehmen von öffentlichem Interesse ist (gem. § 264d HGB), ist diese Bescheinigung auf sechs Jahre zu befristen.

  • Kann man dem Vorliegen eines ISO Zertifikats ohne Einsichtnahme in den dazugehörigen ISO-Prüfungsbericht vertrauen?

  • Da zum einen ein ISO-Prüfungsbericht weitergehende Informationen zum Prüfungsgegenstand enthält, wie bspw. Prüfungsvorgehen, aufgedeckte geringfügige Missstände oder Verbesserungsvorschläge die ggf. aus Sicht des ISAE 3402 Prüfers relevant sein könnten, zum anderen sich der ISAE 3402 Prüfer sowohl bei den ISO-Prüfungen als auch bei Prüfungen durch die interne Revision oder andere Prüfer konkret mit den Inhalten dieser Prüfungen vertraut machen sollte, ist die Heranziehung des ISO-Prüfungsberichtes zu empfehlen.

  • Ist es im Rahmen eines ISAE 3402 Audits zulässig, das bestehende Kontrollset zu ändern, sofern erkennbar wird, dass einzelne Kontrollen oder Tests obsolet sind?

  • Änderungen am Prüfungsgegenstand auf Initiative des Mandanten sind gemäß ISAE 3402.14 zu behandeln. Änderungen am Kontrollset durch den Wirtschaftsprüfer sind möglich, um eine wirtschaftliche Prüfungsdurchführung zu ermöglichen. Stellt der Prüfer erst im Verlauf der Prüfung fest, dass eine bestimmte Kontrolle bspw. keinen Bezug zur Finanzberichterstattung hat oder überflüssig ist, da der zu kontrollierende Sachverhalt möglicherweise durch eine nachgelagerte Kontrolle auf einer höheren Ebene effizienter geprüft wird, sollte dies entsprechend im weiteren Prüfungsvorgehen berücksichtigt werden können.

HIPAA

  • Darf ein deutscher Wirtschaftsprüfer eine Compliance-Prüfung gemäß HIPAA (Health Insurance Portability and Accountability Act) durchführen?

  • Grundsätzlich spricht nichts dagegen, dass eine deutsche Wirtschaftsprüfungsgesellschaft eine derartige Compliance Prüfung durchführt. Diese wäre als betriebswirtschaftliche Prüfung i. S. d. § 2 Abs. 1 WPO anzusehen. Die diesbezüglichen Anforderungen werden aus dem sogenannten „pilot audit program“ des HHS Office of Civil Rights (OCR) zur Prüfung der Kontrollen und Prozesse der betroffenen Unternehmen ersichtlich.

  • Ist es möglich, eine HIPAA Compliance Prüfung in Anlehnung an ein bereits abgeschlossenes ISAE 3402/ SSAE 16 Audit durchzuführen, wenn als Basis hierfür geeignete Kontrollen des ISAE 3402/ SSAE 16 Audit dienen, welche um obligatorische Kontrollen gemäß HIPAA ergänzt werden?

  • In der Regel spricht nichts dagegen, dass Ergebnisse einer vorangegangenen Prüfung im Rahmen einer nachfolgenden prüferischen Tätigkeit, gemäß den allgemeinen beruflichen Grundsätzen verwertet werden. Es sollte jedoch sichergestellt sein, dass etwaige zwischenzeitliche Änderungen an den Systemen und Prozessen des Mandanten festgestellt und gewürdigt werden.

Interne Revision

  • Dürfen die Prüfungsergebnisse interner Revisionen von Mandanten in ISAE 3402 Prüfungen durch den externen Prüfer einbezogen werden?

  • ISAE 3402 sieht in den Abschnitten 30-37 grundsätzlich die Möglichkeit der Einbindung der internen Revision des Dienstleistungsunternehmens in die Prüfung vor.

    Der externe Prüfer hat dabei eigenverantwortlich zu entscheiden in welchem Ausmaß er die Arbeitsergebnisse der internen Revision in seine Arbeit einfließen lässt. Dabei muss neben dem Umfang und der Relevanz der durch die interne Revision geprüften Kontrollen und Prozesse u.a. auch die Objektivität, die Kompetenz sowie die Sorgfalt der internen Revision beurteilt werden. Der externe Prüfer muss auf dieser Grundlage zu dem Ergebnis kommen, dass er unter Verwertung der Arbeitsergebnisse der internen Revision ein eigenverantwortliches Urteil über das dienstleistungsbezogene interne Kontrollsystem des Mandanten abgeben kann.

Rechnungslegungsrelevanz

  • Ist eine ISAE 3402 Prüfung für die Rechnungslegung relevant?

  • Art und Umfang einer eventuellen Auswirkung auf die Rechnungslegung bzw. den Jahresabschluss hängt von der Art der Tätigkeit des Drittanbieters im Einzelfall ab. Übernimmt dieser bspw. Buchführungsleistungen, hat der Abschlussprüfer durch geeignete Prüfungshandlungen, wie bspw. die Einholung entsprechender Drittbestätigungen i.S.d. ISAE 3402, die Ordnungsmäßigkeit der Buchführung i.S.d. § 317 Abs. 1 HGB zu beurteilen.

    Insoweit kann die Nichtvorlage einer Bescheinigung nach ISAE 3402 in Verbindung mit einem Mangel an geeigneten alternativen Prüfungshandlungen Einfluss auf die Urteilssicherheit des Abschlussprüfers hinsichtlich der Rechnungslegung haben.