ISAE 3402: Third Party Assurance im E-Commerce

Der Einstieg in die Branche erfordert jedoch hohe Investitionen in Technologie und Logistik. Viele Retailer lagern deshalb ihre E-Commerce-Aktivitäten an externe Dienstleister aus, die das Shop-Management, die Logistik und die finanzielle Geschäftsabwicklung als Full-Service-Dienstleister anbieten. Diese Anbieter gewähren zudem, dass sie immer auf den aktuellen Stand im E-Commerce-Umfeld sind – beispielsweise bei der Einbindung von Social Media und Omni-Channel Shopping – und somit einen nachhaltigen Wertbeitrag für die Profitabilität ihrer Kunden leisten.

Das E-Commerce-Geschäft wird im Verhältnis zum traditionellen Retail Business immer bedeutender. Daher werden die Abschlussprüfer des Retailers ihren Fokus verstärkt auf dieses Geschäft richten. Im Falle einer Auslagerung der Aktivitäten auf  Dienstleister wird der Fokus auf Prozessen liegen, die für Bilanz- und GuV-Posten wie Umsatz, Debitoren und Vorräte wichtig sind. In der Regel wird zwischen Retailer und Dienstleister vertraglich vereinbart, dass der Wirtschaftsprüfer des Retailers das Recht hat, die ausgelagerten Prozesse beim Dienstleister zu prüfen. Da ein Dienstleister jedoch gewöhnlich mehrere Retailer als Mandant hat, können verschiedene Wirtschaftsprüfer die gleichen Prozesse prüfen. Für den Dienstleister resultieren daraus jährlich hohe Aufwände bei den Prüfungsbegleitungen.

Dies lässt sich durch eine Prüfung nach ISAE 3402 vermeiden. In diesem Fall werden die Prozesse nämlich durch einen vom Dienstleister beauftragten Wirtschaftsprüfer einmal jährlich geprüft. Dieser erstattet nach dem international anerkannten ISAE-3402-Standard Bericht darüber, der den Mandanten und ihren Wirtschaftsprüfern zur Verfügung gestellt werden kann.

Neben dem Vorteil der Kostenersparnis bietet eine Zertifizierung noch weitere Vorteile. Im Folgenden werden diese anhand einer Inhaltserläuterung des ISAE-3402-Standards vorgestellt.

Third Party Management und ISAE 3402

Bei der Auslagerung von E-Commerce-Funktionen liegt die Verantwortung für das zugehörige interne Kontrollsystem bei den gesetzlichen Vertretern des auslagernden Unternehmens, also des Retailers. Aus diesem Grund ist die Wirksamkeit des dienstleistungsbezogenen internen Kontrollsystems für die Abschlussprüfung von zentraler Bedeutung. Das Ziel eines ISAE-3402-Reports ist es, den Kunden eines Dienstleistungsunternehmens und deren Abschlussprüfer Informationen über die Wirksamkeit des Kontrollsystems bereitzustellen.

Typ 1 versus Typ 2 des ISAE-3402-Reports

Die einem ISAE-3402-Service-Auditor-Report zugrunde liegenden Verfahren sind im International Standard On Assurance Engagements (ISAE) 3402 „Assurance Reports On Controls At A Service Organization“ beschrieben. Dieser Standard ist herausgegeben vom „International Auditing and Assurance Standards Board“ (IAASB), einer internationalen Organisation von Wirtschaftsprüferkammern zur Standardisierung von Prüfungen; er beschreibt zwei Typen von Reports:

Bestandteile eines ISAE-3402-Berichtes

Ein ISAE-3402-Bericht besteht in der Regel aus fünf Abschnitten. Abschnitt I enthält die Bescheinigung des unabhängigen Wirtschaftsprüfers über die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems und die Ausgestaltung sowie Wirksamkeit von Kontrollen. Abschnitt II umfasst die sogenannte Management Assertion. Dieses ist eine Erklärung der gesetzlichen Vertreter des Dienstleisters über die Angemessenheit und Funktionsfähigkeit des Kontrollsystems. Laut Standard braucht der Dienstleister eine geeignete Grundlage, um zu einer Schlussfolgerung zu kommen. Dabei dürfen die Prüfungsergebnisse des externen Wirtschaftsprüfers nicht berücksichtigt werden. In Abschnitt III beschreibt der Dienstleister das Kontrollsystem. Die Detailergebnisse der Prüfung werden in Abschnitt IV erläutert. In Abschnitt V hat der Dienstleister die Möglichkeit, weitere für den Retailer wichtige Informationen aufzunehmen.

Berichtszeitraum

Ein Berichtszeitraum wird im Standard nicht vorgegeben. Es wird lediglich erwähnt, dass der Wirtschaftsprüfer im Falle eines Berichtszeitraums von weniger als sechs Monaten die Gründe für den kürzeren Zeitraum in seinem Bericht darstellen muss. In der Regel wird der Berichtszeitraum jedoch an das Geschäftsjahr der Retailer angelehnt, die einen ISAE-3402-Bericht verlangen. Falls die Kunden unterschiedliche Geschäftsjahre haben, hat es sich für einige Dienstleister bewährt, eine halbjährliche Berichterstattung zu etablieren, um die unterschiedlichen Berichtserstattungszeiträume von Kunden in angemessenem Umfang abzudecken.

 Wie kann ein E-Commerce-Dienstleister sich auf eine Prüfung nach ISAE 3402 vorbereiten?

Um eine erfolgreiche Prüfung nach ISAE 3402 zu gewährleisten, sollten Dienstleister frühzeitig mit der Prüfungsvorbereitung beginnen. Abhängig von der Größe des Dienstleisters und der Dienstleistungskomplexität empfiehlt es sich, mindestens ein Jahr vor dem ersten angestrebten Zertifizierungszeitraum zu starten. Ein früher Start stellt derzeit noch einen Wettbewerbsvorteil dar, da die Zertifizierung gerade in der E-Commerce-Branche noch nicht flächendeckend etabliert ist.

Bei der Erstellung von Abschnitt III des Berichts sollte der Dienstleister zunächst den Scope der Zertifizierung festlegen. Dies erfordert:

-eine Analyse der erbrachten Dienstleistungen im Hinblick auf ihre Relevanz für das Rechnungswesen der Kunden sowie,

-die Identifikation der Prozesse,  die die Leistungserbringung unterstützen.

Im zweiten Schritt erfolgt

-eine Aufnahme der in der Scoping-Phase identifizierten Ist-Prozesse sowie

-die Identifikation von internen Kontrollen und möglicher Gaps beziehungsweise Schwachstellen.

In einem dritten Schritt werden Maßnahmen definiert, um identifizierte Schwachstellen zu beheben. Durch die Schwachststellenbehebung werden Prozesse effizienter und transparenter gestaltet, was werttreibend zum Erfolg des Retailers beiträgt.

Des Weiteren müssen alle internen Kontrollen über den definierten Berichtszeitraum implementiert und angewendet werden. Bei der Prozessbegleitung hat der Dienstleister Mitarbeiter bereitzustellen, die auch beim Erstellungsprozess der Management Assertion involviert werden können.

Im Zusammenhang mit der Management Assertion sollte ein Verfahren festgelegt und dokumentiert werden, wie die gesetzlichen Vertreter mit hinreichender Sicherheit ein Urteil über die Angemessenheit und Funktionsfähigkeit des internen Kontrollsystems abgeben können. Dieses wird im Idealfall durch einen Compliance Manager und/oder die interne Revision überwacht.

Insbesondere empfiehlt sich eine rechtzeitige Einbeziehung des Wirtschaftsprüfers in die Vorbereitungsphase, so dass die Prüfung projektbegleitend aufgebaut werden kann. Der Vorteil dieses Vorgehens ist die zeitnahe Identifikation und Behebung von Schwachstellen, die sonst erst im Laufe der Prüfung auftreten.

 Fazit

Das E-Commerce-Geschäft wird im Verhältnis zum traditionellen Retail Business immer bedeutender. Wirtschaftsprüfer, die den Jahresabschluss des Retailers prüfen, werden ihren Prüfungsfokus verstärkt auf diesen Bereich verlagern. Eine Prüfung nach ISAE 3402 bietet neben einer Reduktion der Prüfungsaufwände für den Dienstleister auch noch weitere Vorteile:

-Ein frühzeitiger Start der Prüfungsvorbereitung bietet einen Wettbewerbsvorteil, da die ISAE-3402-Zertifizierung in der Branche noch nicht flächendeckend etabliert ist.

-Durch die Zertifizierungsvorbereitungsmaßnahmen werden Prozesse effizienter und transparenter gestaltet, wodurch ein Wertbeitrag am Erfolg des Retailers geleistet wird.

Autor: Luc Ernes ist Senior Manager im Bereich Enterprise Risk Services bei Deloitte in Düsseldorf. Seit mehr als neun Jahren ist er verantwortlich für die Durchführung von Prüfungs- und Beratungsdienstleistungen im Third-Party-Assurance-Umfeld sowie für die Durchführung von IT- und Prozess-Audits im Rahmen von Jahres- und Konzernabschlussprüfungen. Er ist außerdem Register-Accountant (niederländischer Wirtschaftsprüfer) sowie Certified Information Systems Auditor.

Info: Bestandteile eines ISAE-3402-Berichtes

Typ 1 

Ein Typ-1-Report beinhaltet Aussagen seitens des Prüfers zur

-Angemessenheit der Kontrollbeschreibungen

-Korrektheit und Vollständigkeit der Kontrollzielabdeckung durch die jeweiligen Kontrollen

Fokus:

Sind die Kontrollen zum Stichtag so beschrieben, dass sie geeignet sind, die prüfungsrelevanten Risiken  hinreichend abzudecken?

 Typ 2

Ein Typ-2-Report beinhaltet die im Typ 1 getroffenen Aussagen sowie zusätzlich eine prüferische Aussage, dass die beschriebenen Kontrollen im betreffenden Betrachtungszeitraum wirksam gewesen sind.

Fokus:

Kamen die eingerichteten Kontrollen im beschriebenen Zeitraum durchgängig zur Anwendung?

Dieser Beitrag erschien erstmals im e-commerce Magazin 07/2014