SAS 70

aus SecuPedia, der Plattform für Sicherheits-Informationen

(Weitergeleitet von ISAE 3402)
Anzeige
Wechseln zu: Navigation, Suche

Heutzutage ist es durchaus üblich, dass Unternehmen Teile Ihres operativen Geschäftsbetriebes von entsprechenden Dienstleistungsunternehmen erledigen lassen. Das gilt insbesondere für den IT-Betrieb, der oft in IT-Dienstleister (Rechenzentren, Application Service Provider usw.) ausgelagert oder per Cloud Computing bearbeitet wird.

Im Rahmen der Abschlussprüfung stellen solche Auslagerungen den Wirtschaftsprüfer vor die Problematik, dass er nicht mehr alle für den Jahresabschlusses beitragenden Geschäftsprozesse prüfen kann. Verstärkt durch den Sarbanes-Oxley Act (SOX), tritt hier die Fragestellung nach der Handhabung eines internen Kontrollsystems bei an Dienstleister ausgelagerten rechnungslegungsrelevanten Funktionen auf. Eine Lösung stellte einer Prüfung nach SAS 70 (Statement on Auditing Standards No. 70) aus dem Jahr 1992 dar. Der SAS 70 regelt detailliert, welche Anforderungen und welche Form die Prüfung eines dienstleistungsbezogenen internen Kontrollsystems zu erfüllen hat und wie und mit welchen Inhalten die Berichterstattung erfolgen muss.

International wurde SAS 70 ergänzt bzw. ersetzt durch den vom IAASB (International Auditing and Assurance Standards Board) im Dezember 2009 herausgegebenden ISAE 3402 (International Standard on Assurance Engagements No. 3402). Zur Vereinheitlichung wurde dann der amerikanische SAS 70 mit Bezug auf den ISAE 3402 überarbeitet und durch den SSAE 16 (Statement on Standards for Attestation Engagements No. 16) ersetzt. Aufgrund ihrer starken inhaltlichen Nähe werden in einer Prüfung und einem Bericht oft beide Standards abgedeckt. Dabei sind beide Standards für geprüfte Zeiträume ab dem 15. Juni 2011 anzuwenden.

Service Organization Control-Berichte (SOC-Berichte) sind übergreifende Rahmenwerke, die vom amerikanischen Institut für Wirtschaftsprüfer (AICPA) als de facto-Standard zur Verfügung stehen, um Dienstleister bzw. Serviceorganisationen nach festgesetzten Regeln zu prüfen bzw. zu auditieren. Bei SOC1-Berichten werden beim beauftragten Dienstleister internen Kontrollen im Rahmen der Finanzberichts­erstattung betrachtet. Der SOC1-Bericht ist vollständig äquivalent zu den standardisierten Prüfungs­grundlagen des SSAE 16. Bei SOC2-Berichten geht es um interne Kontrollen in Bezug auf, Ver­füg­barkeit, Integrität, Vertraulichkeit bzw. Datenschutz bei IT-Rechenzentren. SOC3-Berichte sind identisch, enthalten aber keine Informationen über die im Einzelnen geprüften Kontrollen und deren Ergebnisse.

In Deutschland ist zur Zeit der Prüfungsstandard PS 951 des IDW (Institut der Wirtschaftsprüfer in Deutschland e. V.) aktuell, der sich auf den internationalen Standard ISAE 3402 bezieht.

COBIT bietet eine gute Grundlage für eine Auditierung nach SSAE 16 bzw. PS 951. Im COBIT-Bereich der Control Objectives sind eine Vielzahl an Hinweisen aufgeführt, um die entsprechenden Kontrollziele und daraus abgeleitete Kontrollaktivitäten zu definieren.


Siehe auch



Diese Seite wurde zuletzt am 5. Juli 2017 um 08:39 Uhr von Oliver Wege geändert.

Anzeigen