RWT Header Image

News der RWT

RWTkompakt September 2025_Titelbild_E-Rechnung: Entwurf des neuen BMF-Schreibens liegt vor

Prüfung von Dienstleistungsunternehmen nach IDW PS 951 und ISAE 3402: Warum diese Audits immer wichtiger werden

Unternehmen müssen heute flexibel und effizient agieren. Die Auslagerung von Geschäftsprozessen an spezialisierte Dienstleister ist ein zentraler Baustein für Wettbewerbsfähigkeit – von IT-Hosting und Housing bis hin zu digitalen Services wie Lohnbuchhaltung, Zentralregulierung oder Rechnungseingangsverarbeitung.

Auch wenn Prozesse ausgelagert werden, verbleibt die Verantwortung für die Ordnungsmäßigkeit, Sicherheit und Compliance beim Auftraggeber. Der Outsourcer ist bei Auslagerung von Prozessen verpflichtet, ein angemessenes und wirksames Internes Kontrollsystem (IKS) nachzuweisen. Der Dienstleister muss daher durch geprüfte Strukturen und transparente Kontrollen das Vertrauen seiner Kunden gewinnen.

Prüfungsstandards: IDW PS 951 und ISAE 3402

Die Standards IDW PS 951 (Institut der Wirtschaftsprüfer, Deutschland) und ISAE 3402 (International Standard on Assurance Engagements) sind anerkannte Rahmenwerke für die Prüfung von Dienstleistern. Ziel ist es, zu bestätigen, dass:

  • Compliance-Risiken beherrscht werden
  • Prozesse sicher und ordnungsgemäß ablaufen
  • Interne Kontrollen angemessen und wirksam implementiert sind

Das Besondere: Das interne Kontrollsystem (IKS) des Dienstleisters wird nicht isoliert betrachtet, sondern im Kontext der gesamten Prozesskette – also im Zusammenspiel mit dem IKS des Auftraggebers.

Type 1 vs. Type 2: Zwei Prüfungsansätze

Bei Audits nach IDW PS 951 und ISAE 3402 wird zwischen zwei Berichtstypen unterschieden:

  • Type 1: Bewertung der Angemessenheit und Implementierung der Kontrollen zu einem bestimmten Stichtag. Es wird geprüft, ob das IKS so gestaltet ist, dass es grundsätzlich geeignet ist, die definierten Kontrollziele zu erreichen. Die tatsächliche Durchführung (Wirksamkeit) über einen längeren Zeitraum wird nicht beurteilt.
  • Type 2: Zusätzlich zur Angemessenheitsprüfung wird auch die tatsächliche Durchführung (Wirksamkeit) und Dokumentation der Kontrollen über einen festgelegten Zeitraum (meist 6-12 Monate) getestet. Damit bietet der Bericht den deutlich belastbareren Nachweis, dass die Kontrollen im täglichen Betrieb zuverlässig funktionieren.

Für Auftraggeber ist der Type 2-Bericht meist wertvoller, da er ein vollständigeres Bild der Kontrollumgebung und ihrer Wirksamkeit liefert und in der Jahresabschlussprüfung in der Regel dieser Nachweis gefordert wird.

Ablauf und Nutzen der Prüfung

Ein Audit umfasst die Analyse des IKS, die Bewertung der Angemessenheit der Kontrollen sowie die Überprüfung ihrer Wirksamkeit in der Praxis. Der daraus resultierende Prüfbericht dient als:

  • Nachweis gegenüber Auftraggebern (Compliance, Qualität, Sicherheit)
  • Wettbewerbsvorteil im Auswahlprozess
  • Marketinginstrument als Qualitätssiegel

In vielen Branchen ist ein aktueller Prüfbericht inzwischen eine Mindestvoraussetzung für Ausschreibungen.

Anforderungen an das interne Kontrollsystem

Das interne Kontrollsystem (IKS) des Dienstleisters muss sich an rechtlichen, regulatorischen und branchenspezifischen Vorgaben orientieren.

Dabei lassen sich die Anforderungen in zwei Hauptkategorien einteilen: 

1. Regulatorik

  • GoB/GoBD (ordnungsgemäße Buchführung, digitale Aufbewahrungspflichten)
  • COBIT (IT-Governance-Framework)
  • Trust Services Criteria (SOC 2)
  • BAIT/ZAIT (bank- und zahlungsdienstespezifische IT-Anforderungen)
  • PCI-DSS (Kreditkarten-Sicherheitsstandard)
  • IDW RS FAIT 1
  • Versicherungswesen

2. Katalogprüfung (Kriterienkataloge)

  • ISO 27001/ISO 27002/ISO 27005 (Informationssicherheits-Management und Risikomanagement)
  • C5 (BSI Cloud-Compliance-Kriterien)

Je nach Art der Dienstleistung kommen weitere fachspezifische Standards hinzu – zum Beispiel bei Finanzprozessen die Grundsätze ordnungsmäßiger Buchführung (zum Beispiel SOC 1), bei Logistik oder Archivierung branchenspezifische Regularien.

Fazit

Audits nach IDW PS 951 und ISAE 3402 sind mehr als reine Pflichtprüfungen – sie sind ein entscheidender Baustein für Vertrauen, Compliance und Marktposition.
Dienstleister, die ihr IKS regelmäßig prüfen lassen, schaffen nicht nur Sicherheit für ihre Auftraggeber, sondern stärken auch ihre eigene Wettbewerbsfähigkeit.

 

RWTkompakt Ausgabe September 2025

 

 

Zu allen News der RWT

Autoren

Azad Zibari

Azad Zibari

Senior IT-Auditor · IT-AuditorIDW

+49 7121 489-484
Azad Zibari

Azad Zibari

Senior IT-Auditor · IT-AuditorIDW

Standort: Reutlingen

Fachgebiete

Stefan Reutin

Stefan Reutin

Senior Manager · IT-Auditor · Certified Internal Auditor (CIA), Certified Information System Auditor (CISA), Certificate in International Accounting (CINA)

+49 711 319400-135
Stefan Reutin

Stefan Reutin

Senior Manager · IT-Auditor · Certified Internal Auditor (CIA), Certified Information System Auditor (CISA), Certificate in International Accounting (CINA)

Standort: Reutlingen

Fachgebiete

Das könnte Sie auch interessieren

IT-Audit

IT-Audit

Mehr erfahren
Compliance-Management

Compliance-Management

Mehr erfahren
Interne Revision

Interne Revision

Mehr erfahren