Die Wirtschaftsprüfung und der cyberphysische «Taylorismus»: Kontrollberichte, ein Abbild der Zeit, ein Instrument mit Zukunft?

Ein kurzer Blick zurück

Viele Unternehmen lagern Bereiche ihrer Geschäftsaktivitäten teilweise oder vollständig an andere Unternehmen aus. Deren Dienstleistungen reichen von der Durchführung bestimmter Prozesse oder der Ausführung von Teilaufgaben unter der Führung eines Kunden bis hin zur Auslagerung ganzer Geschäftseinheiten oder -funktionen eines Kunden wie Informations- und Kommunikationstechnologie («IKT»), Personal, Steuern oder Compliance-Funktionen. Der Abschlussprüfer ist verpflichtet, sich im Rahmen seiner Planung für die Prüfung der Jahresrechnung als Ganzes ein ausreichendes Verständnis über die Risiken wesentlicher falscher Darstellungen im Abschluss und die Risiken des Umfelds der zu prüfenden Gesellschaft, einschliesslich des internen Kontrollsystems (IKS), zu verschaffen, diese zu identifizieren und zu beurteilen. Der Abschlussprüfer orientiert sich dabei u. a. an PS 315, PS 402 und PS 890. Die Geschichte solcher Berichte reicht zurück in die 1990er-Jahre und wurde seither in regelmässigen Abständen insbesondere aufgrund zusätzlicher regulatorischer Anforderungen in den USA weiterentwickelt. Der internationale Prüfungsstandard ISAE 3402 für die Prüfung von Kontrollen bei Dienstleistungsunternehmen datiert aus dem Jahr 2011 und ist seither unverändert geblieben. Im Schweizer Treuhänder 2015/4 wurden als praktischer Leitfaden insbesondere IT-nahe Standards und ISO-Zertifikate (z. B. ISO 27000) vorgestellt. Das Thema «Prüfung von Kontrollen bei Dienstleistungsunternehmen» wurde im neuen HWP-Band «Betriebswirtschaftliche und verwandte Dienstleistungen» (HWP BP) erstmals aufgenommen. Bislang wurde der Abschlussprüfer indirekt durch die Anwendung von PS 402 auf den ISAE-3402-Standard aufmerksam.

Was sind die Besonderheiten dieses Standards?

Der ISAE-3402-Standard leitet Berufsangehörige für Prüfungsaufträge an, welche die Prüfung von Kontrollen bei Dienstleistungserbringern zuhanden der Dienstleistungsnutzer und deren Abschlussprüfer zum Gegenstand haben. Der Dienstleistungserbringer führt Dienstleistungen oder Tätigkeiten aus, welche für die finanzielle Berichterstattung der Nutzer relevant sind. In diesem Kontext ist ein ISAE-3402-Bericht, der die notwendigen Prüfungsnachweise ausschliesslich mit einer hinreichenden Sicherheit vermittelt, komplementär zu den Prüfungen des Abschlussprüfers nach PS 402.

Ausgestaltung der Prüfung und des Berichts

Der Standard unterscheidet zwischen zwei Arten von Prüfungen bzw. Berichten: Typ 1 und Typ 2. Eine Prüfung und Berichterstattung i. S. v. Typ 1 schliesst die Prüfung der Angemessenheit der Beschreibung des Kontrollumfelds sowie die Prüfung der Angemessenheit der Ausgestaltung der Kontrollen zur Erreichung der beschriebenen Kontrollziele ein. Der Prüfungsumfang wird in einem Auftrag für einen Typ-2-Bericht mit der Prüfung des wirksamen Anwendens der Kontrollen zur Erreichung der beschriebenen Kontrollziele erweitert. Die Prüfung für einen Bericht des Typs 1 wird im Hinblick auf einen Stichtag (Point in Time) ausgeführt, wohingegen bei einem Typ-2-Bericht die Angemessenheit und die Wirksamkeit für einen bestimmten Zeitraum zu prüfen ist (Period over Time). Der Standard sieht für einen Typ-2-Bericht üblicherweise einen Mindestzeitraum von sechs Monaten vor. Der Berufsangehörige sollte von diesem Mindestzeitraum nur in begründeten Fällen abweichen, wenn bspw. eine Dienstleistung neu lanciert oder vom zu prüfenden Unternehmen während einer Teilperiode ausgelagert wurde und der ISAE-3402-Bericht ergänzend erstellt wird. Der Dienstleistungserbringer stellt in seiner Beschreibung die erbrachte Dienstleistung und die damit verbundenen internen Kontrollziele und Kontrollen dar. Zudem gibt er eine Erklärung ab, in welcher er über die Gestaltung und Einführung des Systems und seine Komponenten, Kontrollziele und Kontrollen Auskunft gibt. Mit dem verbindlichen Charakter dieser schriftlichen Erklärung übernimmt die Unternehmung für ihre Dienstleistung Verantwortung. Wenn die Unternehmung zur Leistungserbringung die Hilfe von Subdienstleistern in Anspruch nimmt, sieht der Standard die Möglichkeiten vor, dass diese Kontrollziele und Kontrollen im Prüfungsauftrag berücksichtigt (sogenannte Inklusiv Methode) oder ausgeschlossen werden (sogenannte Curve-out-Methode). Bei der Inklusiv-Methode geben sowohl die Unternehmung als auch alle einbezogenen Subdienstleister eine Erklärung nach den gleichen Anforderungen über die an sie ausgelagerten Bereiche ab. Bei der Ausgestaltung der Systeme und Kontrollen durch den Dienstleistungserbringer kann dieser sich auf den Standpunkt stellen, dass die nutzende Unternehmung ihre internen Kontrollaktivitäten auf den Erbringer ausrichtet. In solchen Fällen weist er in seiner Beschreibung wie auch in seiner Erklärung auf diesen komplementären Umstand explizit hin. Der Berufsangehörige legt seinerseits (dem Standard folgend) diesen Sachverhalt in seinem Testat offen. Mit beiden Aussagen erhalten die Berichtsempfänger wesentliche Informationen über den vereinbarten Geltungsbereich der Prüfung bzw. des Prüfungsberichtes, welche insbesondere für den Abschlussprüfer des auslagernden Unternehmens im Hinblick auf die Beurteilung des Kontrollumfelds von Relevanz sein können. Dies kann bedeuten, dass auch Prüfungen direkt beim Subdienstleister durch den Abschlussprüfer vorzusehen und ggf. durch eigene Prüfungen oder mittels eines anderen Berichts nach ISAE 3402 oder einer anderen betriebswirtschaftlichen Prüfung nach PS 950 Prüfungsnachweise zu erlangen sind (z. B. eine kundenspezifische elektronische Archivierungslösung). Ein Bericht nach ISAE 3402 umfasst mindestens vier Kapitel (siehe Tabelle 1): Immer öfter wünschen sich Dienstleistungserbringer, andere Informationen an die Berichtsempfänger zu vermitteln, welche nicht Teil der Beschreibung der internen Kontrollen
in ihrem Bericht sind, bspw. Hintergrundinformationen über die Unternehmung selbst und ihre übrigen Dienstleistungen (Vgl. Ziff. 49 in Technical Release AAF 01/06 des Audit and Assurance Faculty of ICAEWs). Auch für den unabhängigen Prüfer kann es interessant sein, zusätzliche Informationen über das Prüfungsvorgehen im Bericht des Dienstleisters zu platzieren, um so bspw. über die Umstände der Prüfung oder des Stichprobenumfangs zu berichten. Solche Kapitel mit «anderen Informationen» sind jeweils in einem eigenständigen Kapitel 5 und/ oder 6 zu platzieren. Der Prüfer des Dienstleisters sollte, um sein Prüfungsrisiko zu reduzieren, in seinem Prüfbericht nach der Prüfungsaussage einen entsprechenden Ausschluss hinzufügen und damit festhalten, dass das Kapitel 5 und/oder 6 nicht Bestandteil der Beschreibung der Kontrollziele und der Kontrollaktivitäten in Kapitel 3 darstellen. Gleichzeitig sollte er damit auch die anderen Informationen seiner Prüfungsaussage i. S. v. PS 706 mithilfe von Hinweisen auf sonstige Sachverhalte ausschliessen.

Tabelle 1: Mindestumfang eines ISAE-3402-Berichts

Weitere Aspekte zur Planung der Prüfung

Der Abschlussprüfer sollte bei seiner Prüfungsplanung mit seinem
Kunden frühzeitig die Anforderungen an einen ISAE 3402-Bericht über die für die Abschlussprüfung relevanten Systeme und die damit verbundenen internen Kontrollen besprechen, sodass der Prüfer des Dienstleistungserbringers sein Prüfungsprogramm bedürfnisgerecht ausrichten kann. Dem Auftragsverhältnis entsprechend obliegt es dem Dienstleistungserbringer, den Dialog mit seinen Kunden rechtzeitig zu führen, ist er doch dem Nutzer gegenüber vertraglich verpflichtet.

Prüfungskriterien

In der Erklärung und in der Beschreibung führt der Dienstleistungserbringer auch aus, nach welchen Kriterien die Kontrollziele und Kontrollen bestimmt wurden. Aus den Erfahrungen im Umgang mit PS 890 und im US-amerikanischen Umfeld werden insbesondere auf das im Abschnitt 404 des Sarbanes-Oxley Act explizit genannte Rahmenwerk für interne Kontrolle für die finanzielle Berichterstattung von 1992 des Committees of Sponsoring Organizations of the Treadway Commission (COSO) oder das COBIT-Rahmenwerk von ISACA verwiesen. Aus Ziff. 15 des ISAE-3402-Standards ergibt sich für den Berufsangehörigen die Anforderung, dass das Prüfungskriterium angemessen sein muss. Mit Ausnahme auf einen Verweis auf das IKS-Rahmenwerk (1992) von COSO muss der Berufsangehörige bereits bei der Planung der Prüfung den Dienstleistungserbringer dahingehend anweisen, dass in der Beschreibung die Prüfziele anhand des COBIT-Rahmenwerks oder anderer Standards oder Anforderungen (z. B. ISO Standards, eCH-Standards) einerseits konkret auf das verwendete Detail im Referenzwerk verwiesen werden und andererseits ebenso bestimmend die Kontrollaktivität spezifisch eine im Referenzwerk beschriebene oder erwartete Handlung für die Buchführung und ggf. Rechnungslegung massgeblich widerspiegelt. Ein zu allgemeiner oder unsachgemässer Verweis auf ein Prüfungskriterium birgt sowohl für den Dienstleistungserbringer als auch für den Berufsangehörigen die Gefahr, dass im Verhältnis zur Beschreibung eines Kontrollziels und der darauf abgestimmten Prüfungsaussage eine nicht beabsichtige Erwartungshaltung gegenüber den Berichtsempfängern resultiert. Diese Schwierigkeit zeigt sich in der Finanzindustrie anhand der Rundschreiben (RS) der FINMA. Die Mehrzahl dieser Rundschreiben weisen keinen Bezug zum IKS für die finanzielle Berichterstattung auf, sondern dienen aufsichtsrechtlichen Aspekten ohne Bezug zur Buchführung und Rechnungslegung. Deshalb sind sie prinzipiell als Prüfungskriterium für eine Prüfung nach ISAE 3402 nicht geeignet. Solchen Informationsbedürfnissen kann nur mit Prüfungen nach PS 950 entsprochen werden. Hierzu ein konkretes Beispiel: Dem FINMA-RS 2018/3 «Outsourcing – Banken und Versicherer» kommt für Banken, Versicherungsunternehmen und Effektenhändler in diesem Kontext eine besondere Bedeutung zu, d. h. eine allgemeine Nennung einer Randziffer in einem FINMA-RS mag nicht ausreichend für die Definition eines Kontrollziels sein, weil der Sachverhalt prinzipienbasiert verfasst wurde oder mehrere Punkte subsumiert. Eine Konkretisierung ist in solchen Fällen im Interesse aller beteiligten Parteien, da sich i. d. R. hinter solchen Beschreibungen umfassende Konzepte verbergen (vgl. Abbildung 1). 

Ähnliche Vorsicht ist bei der Verwendung von ISO-Normen angezeigt, stellen diese doch allgemeine Grundlagen für Verhaltensweisen und keine detaillierten Handlungsanweisungen dar. Daraus folgend, ist ein Prüfungsnachweis für den Abschlussprüfer mit einem Verweis auf ein bestehendes ISO-Zertifikat bspw. zu einem Information Security Management System (ISMS) nach ISO 27001:2013 unsachgemäss, wenn keine konkrete Beschreibung durch den Dienstleistungserbringer und eine entsprechende Zuordnung auf die Kontrollziele und Kontrollaktivitäten vorliegt.

Andere Anwendungen

Ein Dienstleistungserbringer stellt einen ISAE-3402-Bericht mit dem Ziel aus, die mehrfachen Kontrolltätigkeiten von verschiedenen Abschlussprüfern seiner Kunden auf eine Prüfung zu reduzieren. Effizienzüberlegungen haben in den letzten Jahren zur Erstellung von ISAE-3402-Berichten als Informationsquelle innerhalb von Konzernen oder Unternehmensgruppen geführt. In solchen Situationen erstellt z. B. der Konzernprüfer einen Bericht über die zentral, konzernweit genutzten Informationsverarbeitungssysteme und die damit verbundenen allgemeinen Computerkontrollen (engl. «IT General Controls», «ITGC-Kontrollen») für die Konzerneinheiten und deren Teilbereichsprüfer. Damit lässt sich auch die juristische Fragestellung der kontrollierten Weitergabe von Informationen zwischen verschiedenen Revisionsgesellschaften regeln. Obwohl ISAE 3402 keine Mindestanforderungen an die Prüfung dieser ITGC definiert, hat sich aufgrund von international anerkannten Rahmenkonzepten für IT-Kontrollen sowie den Anforderungen von SOX 404/AS5, ISA 315 bzw. PS 890 diesbezüglich eine gewisse Praxis etabliert. In einer ausführlichen Abbildung (Nr. 20) mit den ITGC-Bereichen und deren zwölf wichtigsten Kontrollzielen wurden diese im neuen HWP BP, S. 120 ff. zusammengefasst.

Verhältnis zu anderen betriebswirtschaftlichen Prüfungen

Da der ISAE 3402 ein spezifischer Standard innerhalb der betriebswirtschaftlichen Prüfungen ist, hat er einen begrenzten Fokus auf die Unterstützung der Abschlussprüfung. Deshalb kann dieser Standard nicht unbesehen für andere Prüfungen eingesetzt werden, welche für den Abschlussprüfer von Interesse sein können. Somit wäre eine andere Fragestellung bspw. die Einhaltung der Vorschriften der Sozialversicherungen, welche für die Beurteilung des Kontrollumfelds i. w. S. bei der Auslagerung der Lohnbuchhaltung an einen Dritten massgeblich ist, ausserhalb des Geltungsbereichs des ISAE 3402. Wohl können die relevanten Rechnungs- und Zahlungsströme für die Erbringung berücksichtigt werden und somit eine korrekte Darstellung der Erfolgsrechnungskonten unterstützen, aber eine Aussage zur Ausführungsqualität (Compliance), zur Verfügbarkeit und zeitnahen Ausführung hat keine direkte Relevanz für die finanzielle Berichterstattung. Der Abschlussprüfer erhält somit weder Informationen für die Abschätzung der Folgen ausserhalb des geprüften Unternehmens
(für die Beurteilung der möglichen Auswirkung auf die Unternehmensfortführung), noch erhalten die Verantwortlichen des Dienstleistungsnutzers eine ausreichende rechtliche Sicherheit. Für einen Abschlussprüfer kann es demnach naheliegend sein, anstelle eigener Prüfungen konkrete Prüfungsnachweise durch eine betriebswirtschaftliche Prüfung nach PS 950 oder, sofern international relevant, nach ISAE 3000 (Revised) für bestimmte Fragestellungen einzuverlangen. Weshalb solche Überlegungen bereits heute anzustellen sind, wird in den nachfolgenden Ausführungen skizziert.

Ein Blick in die Glaskugel und damit in die weitere Zukunft

Bereits heute Realität ist die fortschreitende Entwicklung in der IKT. Obwohl die Grundprinzipien für den Einsatz von IKT weiterhin bestehen, haben und werden sich die organisationalen und operativen Möglichkeiten in den kommenden Jahren weiter rasant verändern, wie die Entwicklung der «GIFA»-Gesellschaften («GIFA» steht für Google bzw. Alphabet, Apple, Facebook und Amazon) aufzeigen. Der Betrieb von Systemen «in der Wolke» (Cloud Computing) oder der Bezug von IKT-Dienstleistungen, ohne Eigentümer von Hard- oder Software sein zu müssen, eröffnet neue Fragestellungen, wie Geschäftsprozesse gestaltet, betrieben und überwacht werden. Welche Akteure führen wann und wo welche Tätigkeiten in einem Plattform-Eco-System aus (Vgl. BMWi, Digitale Geschäftsmodelle für die Industrie 4.0)? Das damit einhergehende weitere Aufbrechen der Wertschöpfungsketten bzw. der stetigen Erweiterung bestehender Geschäftsmodelle durch ergänzende Dienstleistungen Dritter (Service- Design oder «Servitization») stellen aus Sicht des Abschlussprüfers andere Anwendungsmöglichkeiten für ISAE 3402 oder andere Berichte dar, um geeignete Prüfungsnachweise nach PS 315, PS 890 oder gar PS 570 zu erhalten. Cloud-Service-Provider unterstützen dabei rein private, öffentliche oder hybride Cloud-Lösungen oder sprechen ganze Industriezweige mit ihren Lösungen an. Für den Nutzer besteht die Möglichkeit, einen ganzen Geschäftsprozess als Lösung (Software as-a-Service [SaaS], Business Process as-a-Service [BPaaS]) einzukaufen oder die Dienste einer Plattform (Platform as-a Service [PaaS]) oder gar die gesamte Infrastruktur (Infrastructure as-a-Service [IaaS]) virtuell zu nutzen. In dieser Aufzählung noch nicht berücksichtigt sind weitere absehbare Entwicklungen, welche bereits Realität sind oder in unmittelbarer Zukunft innerhalb der nächsten zwei bis drei Jahre umgesetzt werden (z. B. Bluetooth 5 Low Energy IoT – (BLE) Certified Module oder Fog Computing). Es wird künftig möglich sein, mittels Digitalisierung und in einer «smarten» Art und Weise Geschäftsprozesse autonom, teilautonom (z. B. Smart Contracts) oder im Verbund (z. B. Internet der Dinge (IoT), vgl. Gabler Wirtschaftslexikon, Revision von «Internet der Dinge» vom 19. Februar 2018,13:18) abwickeln zu können (z. B. Abwicklung von Smart-Grid-Transaktionen). Wie die Diskussionen in der Schweiz rund um das Thema «Blockchain» aufzeigen, gelten die Grundprinzipien der hiesigen Rechtsordnung und – insbesondere von den Schweizer Stellungnahmen zur Rechnungslegung (RS) 10 und RS 20 (Schweizer Stellungnahme zur Rechnungslegung 10: Grundsätze ordnungsmässiger Buchführung beim Einsatz von Informationstechnologie bzw. RS 20 bei Cloud Computing. – Schweizer Stellungnahmen zur Rechnungslegung (RS) haben den gleichen Verbindlichkeitsgrad wie Schweizer Prüfungshinweise (PH), d. h. die Anwendung wird empfohlen, sie ist jedoch nicht verpflichtend) – auch im digitalen Zeitalter. Es ist daher notwendig, bestehende Denkmuster teilweise zu überdenken. Industrie 4.0 ist nicht nur die vierte industrielle Revolution, sondern führt auch zu anderen Geschäftsmodellen und IKT -Anwendungen. Die bekannten Anwendungen wie ERP-, CRM-, SCM- und MES-Systeme müssen weitgehend ersetzt werden, um künftig in sogenannte cyber-physische Systeme (Cyber-physische Systeme sind Systeme, bei denen informations- und softwaretechnische mit mechanischen Komponenten verbunden sind, wobei Datentransfer und -austausch sowie Kontrolle bzw. Steuerung über eine Infrastruktur wie das Internet in Echtzeit erfolgen. Wesentliche Bestandteile sind mobile und bewegliche Einrichtungen, Geräte und Maschinen (darunter auch Roboter), eingebettete Systeme und vernetzte Gegenstände (Internet der Dinge). In der Industrie 4.0 haben cyber-physische Systeme eine zentrale Funktion (vgl. Gabler Wirtschaftslexikon, Revision von Cyber-physische Systeme vom 15. März 2019 – 18:53) im «digitalen Taylorismus» eingebunden werden zu können. Blockchain, Smart Contracts, Big Data oder Sensoren (Internet der Dinge) sind dabei in virtuelle Netzwerke eingebunden. Die buchführungspflichtige Unternehmung gelangt auf teilweise neue Art und Weise zu den Informationen, welche sie chronologisch zu erfassen, zu verarbeiten, zu rapportieren und schlussendlich zu archivieren hat. Somit kann die zu Beginn gestellte Frage, ob ISAE 3402 ein etabliertes Instrument mit Zukunft sei, klar bejaht werden.

<< back to top