This site uses cookies to provide you with a more responsive and personalized service. By using this site you agree to our use of cookies. Please read our cookie notice for more information on the cookies we use and how to delete or block them.

Bookmark Email Print page

Auf den Punkt gebracht Nr. 8, September 2011


DOWNLOAD  

Sehr geehrte Damen und Herren,

nach einer 6-monatigen Sommerpause freuen wir uns, Ihnen eine weitere Ausgabe unseres Newsletters Auf den Punkt gebracht. vorstellen zu dürfen. In dieser Ausgabe haben wir für Sie die Themen Risk & Governance: Goodbye SAS 70 - Hello ISAE 3402 & SSAE 16 sowie Steueraspekte unter UCITS IV unter die Lupe genommen.

Darüber hinaus stellen wir Ihnen in der Informationsrubrik Regulatorische & steuerliche Entwicklungen folgende Themen vor:

  • Spezialfondsgesetz gerüstet für die AIFMD
  • Risikomanagement für Investmentfonds: CSSF Rundschreiben 11/512
  • IFRSs in your pocket 2011

Wir möchten unsere neuen Leser darauf hinweisen, dass vergangene Ausgaben unseres Newsletters online verfügbar sind und abgerufen werden können.

Wir würden uns freuen, wenn Ihnen der Newsletter interessante und für Ihre Tätigkeit relevante Informationen und Impulse liefert. Für den Fall allerdings, dass Sie den Newsletter nicht weiter beziehen möchten, können Sie über den entsprechenden Link am Ende des Newsletters den Bezug deaktivieren lassen.

Wir wünschen Ihnen viel Spaß beim Lesen.

Unter der Lupe

Risk & Governance: Goodbye SAS 70 - Hello ISAE 3402 & SSAE 16

(Laurent Berliner, Partner Enterprise Risk Services, Sophie-Charlotte Binninger, Senior Manager Enterprise Risk Services)

Infolge der Ausweitung der externen Vergabe bzw. Auslagerung von Tätigkeiten und angesichts der Vertrauenskrise, die das internationale Wirtschafts- und Finanzsystem zuletzt erschütterte, sind Prüfberichte über die Kontrollsysteme von Dienstleistern vom Typ SAS 70 immer wichtiger geworden.

Mit dem Ziel der Effizienzsteigerung und der Kostensenkung legen viele Unternehmen heute den Schwerpunkt auf ihre Kernkompetenzen und lagern Nebenaktivitäten, die weniger Wettbewerbsvorteile bieten, vermehrt aus.

Auslagernde Unternehmen müssen jedoch die damit verbundenen Risiken kontrollieren. Werden Leistungen von Drittanbietern in Anspruch genommen, die sich unmittelbar auf die Finanzberichte auswirken, muss sich das Unternehmen vergewissern, dass bei seinen externen Dienstleistern adäquate Kontrollmechanismen eingerichtet wurden und den Anforderungen entsprechend funktionieren.

Bisher stellte der Standard SAS 70 diesbezüglich die international anerkannte Referenz dar. Dienstleister, die nach SAS 70 zertifiziert waren, verfügten über einen deutlichen Wettbewerbsvorteil und konnten die Erwartungshaltung ihrer Kunden besser erfüllen.

Am 15. Juni 2011 wurde der Standard SAS 70 jedoch endgültig von zwei neuen Standards abgelöst, einem internationalen (ISAE 3402) und einem amerikanischen (SSAE 16) Standard, die für alle Berichte über Perioden gelten, die am oder nach dem 15. Juni 2011 enden.

Wie werden sich diese neuen Standards auswirken und wie wird sich der Übergang für Dienstleister gestalten, die schon bisher über Prüfberichte nach SAS 70 verfügten?

Zu den Gründen für die Änderung und die Ablösung des Standards SAS 70

Der Standard Statements on Auditing Standards No. 70 (SAS 70) hat sich seit seiner Einführung durch das American Institute of Certified Public Accountants (AICPA) im Jahre 1992 als wirksam bewährt, was die Frage aufkommen lässt, warum dieser nun abgeschafft und durch neue Standards ersetzt wird.

Einer der Gründe für diese Entwicklung besteht darin, dass es bisher keinen international gültigen Standard für diese Art von Prüfberichten zum internen Kontrollsystem von Dienstleistern gab. Der SAS 70 ist zwar global weit verbreitet, ist aber ursprünglich ein US-amerikanischer Standard.

Aus diesem Grund hat das International Auditing and Assurance Standards Board (IAASB) einen neuen internationalen Standard herausgegeben: den International Standard on Assurance Engagements No. 3402 (ISAE 3402). Gleichzeitig hat das American Institute of Certified Public Accountants (AICPA) den Standard SAS 70 überarbeitet und durch den Statement on Standards for Attestation Engagements No. 16 (SSAE 16) ersetzt.

Diese beiden neuen Standards zielen nicht darauf ab, die Art und Weise, in der Prüfberichte über Kontrollsysteme erstellt werden, von Grund auf zu ändern. Sie stellen vielmehr eine Weiterentwicklung und Verfeinerung dar, um den derzeitigen Anforderungen des Marktes besser zu entsprechen und sich an den neuesten Standards im Bereich der Prüfung auszurichten.

Genau wie beim SAS 70 können die ISAE 3402 und SSAE 16 Prüfer gleichzeitig auch die externen Prüfer des Dienstleisters sein. Auch besteht nicht die Notwendigkeit für den ISAE 3402 / SSAE 16 Prüfer, von allen Unternehmen unabhängig zu sein, die die ISAE 3402 und SSAE 16-Berichte nutzen werden.

Die wesentlichste Neuerung gegenüber dem Standard SAS 70

Die Überarbeitung des Standards SAS 70 stellt die erste bedeutende Änderung seit dessen Herausgabe vor beinahe zwei Jahrzehnten dar. Die wichtigste Neuerung, die mit den Standards ISAE 3402 und SSAE 16 auf Dienstleistungsorganisationen zukommt, ist die Pflicht der Unternehmensleitung, eine formale schriftliche Erklärung abzugeben, die besagt, dass das Kontrollsystem angemessen dargestellt ist, Gestaltung und Implementierung des Kontrollsystems angemessen sind (bei Typ-1-Berichten) und dass die Kontrollen nachweislich geeignet und in einem bestimmten Zeitraum wirksam waren, die angegebenen Kontrollziele zu erreichen (bei Typ-2-Berichten).

Die Unternehmensleitung muss über eine hinreichend sichere Grundlage für ihre Erklärung verfügen, die sich auf klar definierte Kriterien stützt, woraus sich für die Unternehmensleitung die Notwendigkeit ergeben kann, eigene Evaluierungsverfahren der internen Kontrollen zu entwickeln, sofern solche Verfahren nicht bereits bestehen oder unzureichend formalisiert waren.

Die Standards ISAE 3402 und SSAE 16 enthalten diesbezüglich präzise Auflagen, die die Unternehmensleitung bei der Bewertung des internen Kontrollsystems einhalten muss. So ist die Unternehmensleitung dafür verantwortlich:

  • geeignete Kriterien für die Erstellung der Beschreibung, die Bewertung der Eignung der Gestaltung der Kontrollen und, für Typ-2-Berichte, die Bewertung der Wirksamkeit der eingerichteten Kontrollen im Berichtszeitraum auszuwählen. Die ausgewählten Kriterien müssen spezifisch, messbar und dem Kontrollsystem angemessen und in der von der Unternehmungsleitung schriftlich abzugebenden Erklärung klar beschrieben sein.
  • die Risiken zu identifizieren, denen das Unternehmen ausgesetzt ist und die die Erreichung der im Bericht angeführten Kontrollziele gefährden könnten.
  • die eingerichteten Kontrollen festzustellen und zu bewerten, um über eine hinreichende Sicherheit betreffend die Kontrolle dieser Risiken und die Erreichung der dazugehörigen Kontrollziele zu verfügen.

So blicken Dienstleistungsunternehmen, die noch keine strukturierten Prozesse entwickelt haben, anhand derer die Überwachung und Evaluierung ihrer Kontrollsysteme möglich ist, möglicherweise einer großen Herausforderung entgegen, was die Implementierung der Standards ISAE 3402 und SSAE 16 oder den Übergang vom SAS 70 auf diese neuen Standards betrifft.

Hier gilt es ferner anzumerken, dass in Fällen, in denen das Dienstleistungsunternehmen selbst von Kontrollen abhängt, die durch einen Subdienstleister durchgeführt werden und die Unternehmensleitung sich entscheidet, diese gemäß der „inclusive method“ zu behandeln (d.h. die Beschreibung des Kontrollsystems beim Dienstleistungsunternehmen beinhaltet auch die Beschreibung des Kontrollsystems beim Subdienstleister), die Unternehmensleitung auch das interne Kontrollsystem des Subdienstleisters bewerten und eine schriftliche Bestätigung von der Unternehmensleitung des Subdienstleisters erhalten muss.

Welche anderen Neuerungen gibt es?

Unter den weiteren Neuerungen, die ISAE 3402 und SSAE 16 mit sich bringen, seien folgende Elemente herausgegriffen:

Wenn bei der Berichterstattung nach Typ 2 ein interner Prüfer herangezogen wird, müssen die von diesem Prüfer durchgeführten Tests sowie die „Re-Performancetests“ über die durchgeführten Innenrevisionsverfahren beschrieben werden.

Sowohl ISAE 3402 als auch SSAE 16 fordern, dass die Art und die Ursache von festgestellten Abweichungen untersucht werden.

Nachweise aus früheren Prüfungen und Nachweise, die im Rahmen von Tests der Wirksamkeit der Kontrollen erbracht wurden, stellen nun keine hinreichende Grundlage für eine Verschlankung der Prüfungen und Tests mehr dar.

Welcher Standard ist der richtige?

In der Mehrzahl der Fälle ist die Wahl des anzuwendenden Standards einfach. SSAE 16 richtet sich an Unternehmen, die in den USA ansässig sind und dort ihre geschäftlichen Aktivitäten ausüben, wohingegen ISAE 3402 von allen anderen Unternehmen eingesetzt werden wird.

Vor dem Hintergrund der fortschreitenden Globalisierung der Wirtschaft ist jedoch festzustellen, dass eine Vielzahl von Dienstleistungsunternehmen ihre Tätigkeiten sowohl in den USA als auch in anderen Ländern ausüben bzw. Kunden sowohl hier als auch dort haben.

Dank der Bemühungen des AICPA, den Standard SSAE 16 mit dem internationalen Standard ISAE 3402 in Übereinstimmung zu bringen, unterscheiden sich die beiden Standards nicht wesentlich voneinander. Es ist somit für ein Dienstleistungsunternehmen durchaus möglich, einen kombinierten Bericht zu erstellen, der sowohl den Anforderungen von ISAE 3402 als auch jenen von SSAE 16 entspricht.

Was sind die nächsten Schritte?

Der Übergang vom SAS 70 auf die neuen Standards ISAE 3402 bzw. SSAE 16 erfordert eine gründliche Analyse, insbesondere um sicherzustellen, dass die Unternehmensleitung über eine hinreichend sichere Grundlage für die Erstellung ihrer schriftlichen Erklärung verfügt.

Wenn man auch in der Regel davon ausgehen kann, dass Unternehmen, die bereits über eine SAS 70 Zertifizierung verfügen, mit großer Wahrscheinlichkeit auf eine Reihe von Elementen zurückgreifen können, dank derer die neuen Anforderungen erfüllt werden können, gilt es nichtsdestotrotz, deren Bedeutung und die Auswirkungen, die Versäumnisse auf zukünftige ISAE 3402 bzw. SSAE 16-Berichte haben können, nicht zu unterschätzen.

 

Der vollständige Text befindet sich in der pfd Version weiter unten.

Share

 

Stay connected:
Get connected
Share your comments
More on Deloitte Luxembourg
Learn about our site

Recently published