Häufig gestellte Fragen

Hier erhalten Sie Antworten auf häufige Fragen zur Plattform, zu ihren Funktionen und zum Registrierungsablauf, um mögliche Probleme zügig zu klären.

Eine eigentliche „PS 951-Zertifizierung“ gibt es nicht. PS 951 ist kein Zertifikat, sondern ein Prüfungsstandard, auf dessen Basis ein Bericht erstellt wird. Dieser Bericht bestätigt, dass die ausgelagerten Prozesse eines Dienstleistungsunternehmens so kontrolliert werden, dass eine korrekte und vollständige Finanzberichterstattung gewährleistet ist. Im Unterschied zu einer ISO 27001-Zertifizierung handelt es sich bei PS 951 also nicht um eine Bescheinigung, sondern um einen Prüfbericht. Für die Erstellung eines PS 951-Berichts müssen alle relevanten Kontrollen, die Einfluss auf die Finanzberichterstattung haben, dokumentiert und geprüft werden. Ein externer Wirtschaftsprüfer beurteilt diese Kontrollen und erstellt den Bericht. Dabei wird festgehalten, ob die Kontrollen angemessen gestaltet und vorhanden sind (Typ I) oder zusätzlich über einen definierten Zeitraum wirksam funktionieren (Typ II). Unternehmen können die Dokumentation der Kontrollen intern aufbereiten oder dafür spezialisierte Beratungsunternehmen beauftragen. Ein PS 951-Bericht setzt voraus, dass die internen Prozesse und Kontrollen ausreichend formalisiert und nachvollziehbar gestaltet sind, damit sie von einem Auditor geprüft und bestätigt werden können.
IT-Prozesse und andere betriebliche Abläufe werden immer häufiger an Dienstleistungsunternehmen ausgelagert. Werden Daten von externen Anbietern verarbeitet, steigen die Anforderungen an Informationssicherheit und an die Kontrolle dieser Prozesse. Viele Unternehmen konzentrieren sich auf ihre Kernaufgaben und geben unterstützende Tätigkeiten an Dienstleister ab. Da durch diese Abhängigkeiten das Vertrauen zwischen Unternehmen und Dienstleistern beeinträchtigt sein kann, wächst der Bedarf an nachvollziehbaren und wirksamen Kontrollmaßnahmen. So soll sichergestellt werden, dass die ausgelagerten Prozesse sicher und zuverlässig ablaufen. Ein PS 951-Bericht verschafft Kunden die Gewissheit, dass geeignete Kontrollen bestehen und dass die Dienstleistungsorganisation die Anforderungen an Sicherheit und Risikomanagement erfüllt.
Ein PS 951-Bericht wird durch einen unabhängigen Auditor geprüft und muss nach den geltenden Prüfungsstandards vorbereitet werden. Verfügen verantwortliche Mitarbeitende über Erfahrung im Prüfungswesen, vereinfacht dies den Vorbereitungsprozess deutlich. Zudem können spezialisierte Dienstleister Sie bei der Erstellung des Berichts unterstützen und den Prüfungsablauf begleiten, um sicherzustellen, dass sämtliche Anforderungen an Kontrollen und Dokumentation eingehalten werden.
Sind bestimmte Prozesse in Ihr Unternehmen eingebunden und haben sie einen wesentlichen Einfluss auf den Jahresabschluss der Dienstleistungsorganisation, ist ein PS 951-Bericht sinnvoll. Auch Unternehmen, die beispielsweise unter der Aufsicht von Regulierungsbehörden wie der FSA stehen, müssen belegen können, dass ausgelagerte Prozesse wirksam überwacht werden. Ein PS 951-Bericht schafft diese Sicherheit, indem er die Einrichtung und Wirksamkeit der internen Kontrollen bestätigt.
PS 951 ist der deutsche Prüfungsstandard zur Kontrolle ausgelagerter Prozesse. In (auch internationalen) Ausschreibungen wird bei Outsourcing häufig ein PS 951-Bericht verlangt, da er bestätigt, dass zentrale Kontrollanforderungen eingehalten werden. Darüber hinaus führt die Umsetzung dazu, dass interne Abläufe klarer strukturiert und formaler gestaltet werden, was die Effizienz und Transparenz innerhalb des Unternehmens erhöht.
Ja, es ist erforderlich, dass die informationsbezogenen Systeme im PS 951-Bericht berücksichtigt werden (vgl. PS 951 Abschnitt 16, angelehnt an ISAE 3402.16).
Dies orientiert sich an gängiger europäischer Praxis. Grundsätzlich verlangt PS 951, dass die gewählten Stichprobengrößen geeignet sind, das Prüfungsrisiko auf ein angemessenes Maß zu reduzieren. In den PCAOB-Leitlinien wird beispielsweise für tägliche Kontrollen eine Stichprobengröße von 25 empfohlen. Diese konkreten Vorgaben sind jedoch nicht Bestandteil des PS 951-Standards selbst.
Ein Subdienstleister ist ein externes Unternehmen, das bestimmte Prozesse im Auftrag einer Service-Organisation übernimmt. Ein Beispiel: Ein Vermögensverwalter lagert das Hosting seiner Server an einen externen Anbieter aus – dieses Hosting-Unternehmen ist dann der Subdienstleister. Wählt die Service-Organisation einen Carve-out, bedeutet das, dass die beim Subdienstleister liegenden Kontrollen nicht Teil des PS 951-Berichts der Hauptorganisation sind. Diese Kontrollen werden also nicht mitgeprüft und müssen gegebenenfalls separat (zum Beispiel durch einen eigenen PS 951-Bericht des Subdienstleisters) nachgewiesen werden.
Hierbei handelt es sich um eine Frage der Begrifflichkeit. Genau genommen handelt es sich bei einem PS 951-Bericht nicht um eine Zertifizierung, sondern um einen Prüfungsbericht für Dienstleistungsunternehmen, der nach den Vorgaben des PS 951 erstellt wird. In der Praxis wird jedoch häufig von einer „PS 951-Zertifizierung“ gesprochen, obwohl fachlich ein Prüfbericht gemeint ist.
Corporate Governance bezeichnet grundsätzlich eine gute, effiziente und verantwortungsbewusste Unternehmensführung. In den USA führten Unternehmensskandale wie bei Enron und WorldCom zur Einführung des Sarbanes-Oxley-Gesetzes (SOx), das Vorgaben für interne Kontrollen und die Unternehmensführung von börsennotierten US-Unternehmen festlegt. Neben dem jährlichen Finanzbericht muss dort ein Abschnitt zur Beurteilung der internen Kontrollen im Jahresbericht enthalten sein. Auch Unternehmen außerhalb der USA, die an der NYSE notiert sind, müssen die SOx-Bestimmungen erfüllen. In Deutschland sorgt der Deutsche Corporate Governance Kodex (DCGK) für vergleichbare Anforderungen an Corporate Governance bei allen börsennotierten Unternehmen.