7. Video: Macht Typ I Sinn oder immer Typ II?
Im Aviator-Pitch heute: Sollen wir Zerti I und II machen?
Die Perspektive des Prüfers richtet sich auf die Adressaten, also die Prüfer, die für die Kunden des Dienstleisters tätig sind, und konzentriert sich dabei auf die rechnungswesenspezifischen Teile der Organisation. Die Berichterstattung liefert eine Bewertung des Kontrolldesigns in Bezug auf die Angemessenheit der definierten Ziele und der entsprechenden Kontrollmechanismen – stets aus der Sicht des Kunden.
Es gibt zwei verschiedene Ansätze für die Durchführung der Prüfung:
- Die Prüfung beschränkt sich auf das Design und die Implementierung der Kontrollen, ohne dass die festgelegten Kontrollmaßnahmen durch Stichproben auf ihre Wirksamkeit überprüft werden. Diese Art der Prüfung oder Bescheinigung ist als Type 1 (SSAE 16, ISAE 3402) bzw. Typ A (PS 951) bekannt.
- Zusätzlich zur Bewertung des Designs und der Implementierung der Kontrollen wird deren tatsächliche Durchführung und damit die Effektivität der Kontrollen über einen festgelegten Zeitraum hinweg geprüft und dokumentiert. Diese Form der Prüfung oder Bescheinigung wird als Type 2 (SSAE 16, ISAE 3402) bzw. Typ B (PS 951) bezeichnet.
Die Berichte gehen grundsätzlich sehr detailliert auf die spezifischen Kontrollziele, einzelnen Kontrollen und festgestellten Abweichungen ein. Dadurch erhält der Adressat neben dem zusammenfassenden Urteil des Prüfers auch eine detaillierte Darstellung der erkannten Mängel. Es ist wichtig zu verstehen, dass eine Organisation nicht einfach „SSAE 16“, „ISAE 3402“ oder „PS 951“-konform sein kann. Vielmehr können die internen Kontrollsysteme einer Organisation mithilfe dieser Standards auf die Einhaltung („Compliance“) bestimmter Anforderungen geprüft werden.
Mehr dazu auch auf unserer Audit-Vorbereitung für ein ISAE 3402 Zertifikate Seite.