Category: Glossar

Das Public Company Accounting Oversight Board (PCAOB) ist eine unabhängige US-
Regulierungsbehörde, die für die Überwachung von Wirtschaftsprüfungen börsennotierter
Unternehmen zuständig ist. Es wurde 2002 durch den Sarbanes-Oxley Act gegründet und zielt darauf
ab, das Vertrauen in die Finanzberichterstattung zu stärken. Das PCAOB setzt Prüfungsstandards,
führt Inspektionen durch und sorgt dafür, dass Wirtschaftsprüfer hohe ethische und fachliche
Standards einhalten. Es überwacht sowohl US-amerikanische als auch ausländische
Prüfungsgesellschaften, die Unternehmen an US-Börsen auditieren.

Der Sarbanes-Oxley Act (SOX) ist ein US-Bundesgesetz, das 2002 erlassen wurde, um die Integrität der Finanzberichterstattung zu verbessern und Bilanzbetrug zu bekämpfen. Im Mittelpunkt steht Abschnitt 404 (SOX-404), der Unternehmen verpflichtet, ihre internen Kontrollen über die Finanzberichterstattung zu dokumentieren, zu überprüfen und von externen Wirtschaftsprüfern testen zu lassen. SOX zielt darauf ab, Transparenz zu schaffen und das Vertrauen von Investoren in die von börsennotierten Unternehmen veröffentlichten Finanzinformationen zu stärken. Es erhöht den Anlegerschutz, indem es Fehlverhalten frühzeitig erkennt.

Der Standard SAS 70, entwickelt von der American Institute of Certified Public Accountants (AICPA), wurde lange Zeit verwendet, um die internen Kontrollsysteme von Dienstleistungsorganisationen zu prüfen, besonders in Bezug auf die Finanzberichterstattung. Er wurde jedoch 2011 durch SSAE 16 ersetzt, das strengere Anforderungen an die Berichterstattung und Dokumentation stellte. Mit der Einführung von SSAE 18 wurden die Anforderungen weiter verschärft, und SAS 70 gilt heute als veraltet. Der Wandel spiegelt die wachsenden Anforderungen an moderne Kontrollsysteme und Prüfmethoden wider.

SOC 1-Berichte bewerten die internen Kontrollsysteme eines Dienstleisters, insbesondere hinsichtlich der Auswirkungen auf die Finanzberichterstattung der Kunden. Diese Berichte werden gemäß den SSAE 18-Standards erstellt und dienen dazu, die Wirksamkeit der implementierten Kontrollen zu bestätigen, die für präzise und verlässliche Finanzabschlüsse notwendig sind. SOC 1-Berichte sind besonders relevant für Dienstleister in Bereichen wie Buchhaltung oder Gehaltsabrechnung und sind von großer Bedeutung für Wirtschaftsprüfer und Finanzabteilungen, um die Compliance und Genauigkeit finanzieller Prozesse sicherzustellen

SOC 2-Berichte bewerten die internen Kontrollen eines Dienstleisters in Bezug auf Informationssicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Diese Berichte, basierend auf den AICPA-Standards, sind besonders relevant für Unternehmen, die Dienstleistungen wie Cloud Computing oder IT-Sicherheit anbieten und kritische Kundendaten verwalten. Im Gegensatz zu SOC 1-Berichten, die sich auf die Finanzberichterstattung konzentrieren, prüfen SOC 2-Berichte die Sicherungsmaßnahmen der Systeme eines Dienstleisters und dienen als vertrauensbildende Grundlage für Kunden und Partner.

SOC 3-Berichte sind öffentliche, zusammengefasste Versionen von SOC 2-Berichten, die speziell dafür konzipiert sind, Transparenz in Bezug auf Informationssicherheitskontrollen eines Dienstleisters zu bieten. Im Gegensatz zu den detaillierteren SOC 1 und SOC 2-Berichten, die nur für spezifische Stakeholder gedacht sind, richtet sich der SOC 3-Bericht an die allgemeine Öffentlichkeit. Er bestätigt, dass der Dienstleister angemessene Sicherheitsmaßnahmen implementiert hat, ohne vertrauliche Details offenzulegen. SOC 3-Berichte dienen dazu, Vertrauen bei Kunden und Partnern im Bereich Datenschutz und Sicherheit aufzubauen.

SSAE 16 war ein Prüfungsstandard, der 2010 von der AICPA eingeführt wurde und den früheren SAS 70 ersetzte. Der Standard verlangte strengere Anforderungen an die Prüfung der internen Kontrollsysteme von Dienstleistungsorganisationen, insbesondere in Bezug auf die Finanzberichterstattung ihrer Kunden. Eine wichtige Neuerung war die Management Assertion, in der die Verantwortlichkeit der Dienstleister für ihre Kontrollen bestätigt wurde. 2017 wurde SSAE 16 durch SSAE 18 ersetzt, das zusätzliche Anforderungen an die Überwachung von Subdienstleistern und eine verstärkte Dokumentation einführte.

Der SSAE 18 Standard, eingeführt von der AICPA (American Institute of Certified Public Accountants),
definiert die Anforderungen für Prüfberichte über Dienstleistungsorganisationen. Er ersetzt den
früheren SSAE 16 und legt einen stärkeren Fokus auf das Management von Subdienstleistern sowie
die interne Kontrolle. Unternehmen müssen gemäß SSAE 18 ihre internen Kontrollsysteme
umfassend dokumentieren und kommunizieren, um Vertrauen in ausgelagerte Geschäftsprozesse zu
gewährleisten. Besonders relevant ist dieser Standard bei der Erstellung von SOC 1-Berichten, die
sich auf die Finanzberichterstattung konzentrieren.

Ein Testat inklusive Prüfbericht ist ein rechtlich verbindliches Dokument, das nach einer Prüfung von
einem Wirtschaftsprüfer erstellt wird. Es bestätigt die Korrektheit und Vollständigkeit der geprüften
Daten, wie Finanzberichte oder interne Kontrollsysteme, in Übereinstimmung mit geltenden
Standards. Der Prüfbericht beschreibt im Detail den Prüfungsumfang, die Methoden und die
wichtigsten Erkenntnisse der Prüfung. Im Falle von Unregelmäßigkeiten oder Verstößen werden
diese im Bericht aufgeführt. Dieses Dokument ist entscheidend, um die Compliance und Integrität
von Finanzdaten zu belegen.