IT-AuditDirectory
Alle Artikel
Assurance7 Min. Lesezeit

IDW PS 951 Dienstleisterprüfung: Ablauf & Standards

IT-Audit Directory

Die IDW PS 951 Dienstleisterprüfung ist der maßgebliche deutsche Standard, mit dem Serviceorganisationen die Wirksamkeit ihrer internen Kontrollsysteme unabhängig nachweisen können. Herausgegeben vom Institut der Wirtschaftsprüfer (IDW), schließt dieser Prüfungsstandard eine entscheidende Lücke: Er gibt Auftraggebern und Aufsichtsbehörden die nötige Sicherheit über ausgelagerte Prozesse – und das auf Basis eines in Deutschland anerkannten Formats. Für Dienstleister, die Geschäftsprozesse oder IT-Services für regulierte Unternehmen erbringen, ist das IDW PS 951 Testat heute oft keine Option mehr, sondern eine Voraussetzung.

Was ist die IDW PS 951 Dienstleisterprüfung?

IDW PS 951 regelt die Prüfung von internen Kontrollsystemen bei Serviceorganisationen durch einen unabhängigen Wirtschaftsprüfer. Der Standard beschreibt, wie Kontrollziele, Kontrollaktivitäten und deren Wirksamkeit dokumentiert und geprüft werden. Er orientiert sich am internationalen Standard ISAE 3402, ist jedoch speziell auf den deutschen Rechtsrahmen und die Anforderungen des deutschen Marktes zugeschnitten.

Zweck der Prüfung ist es, Nutzerorganisationen – also den Auftraggebern der Serviceorganisation – eine verlässliche Grundlage für ihre eigene Jahresabschlussprüfung oder ihr Risikocontrolling zu liefern. Der resultierende Serviceorganisation Prüfbericht ersetzt aufwendige Einzelprüfungen und reduziert den Abstimmungsaufwand zwischen Dienstleister und Auftraggeber erheblich.

IDW PS 951 vs. ISAE 3402: Die entscheidenden Unterschiede

Unternehmen mit internationalem Kundenstamm stehen häufig vor der Frage: IDW PS 951 oder ISAE 3402? Beide Standards verfolgen dasselbe Grundziel, unterscheiden sich aber in Anwendungsbereich, Akzeptanz und regulatorischem Kontext. Die folgende Tabelle zeigt die wichtigsten Unterschiede auf einen Blick.

KriteriumIDW PS 951ISAE 3402 / SOC 1
HerausgeberInstitut der Wirtschaftsprüfer (IDW)IAASB (international)
Primärer MarktDeutschlandInternational (USA, EU, global)
Regulatorische AnerkennungBaFin, deutsche WirtschaftsprüferSEC, PCAOB, internationale Prüfer
Sprache des BerichtsDeutsch (Standard)Englisch (Standard)
PrüfungstypenTyp 1 und Typ 2Typ 1 und Typ 2
EinsatzbereichJahresabschluss, AuslagerungscontrollingJahresabschluss, internationale Compliance
Empfohlen beiDeutschen Kunden & AufsichtsbehördenInternationalem Kundenstamm

Für Dienstleister, die ausschließlich für deutsche Unternehmen tätig sind oder unter BaFin-Aufsicht stehende Kunden betreuen, ist IDW PS 951 in der Regel die effizientere Wahl. Wer hingegen internationale Auftraggeber bedient, sollte prüfen, ob eine kombinierte Berichterstattung nach beiden Standards sinnvoll ist.

Typ 1 und Typ 2: Welcher Bericht passt zu Ihrem Unternehmen?

IDW PS 951 unterscheidet zwei Berichtstypen, die unterschiedliche Prüfungstiefe und Aussagekraft bieten. Die Wahl hängt von den Anforderungen Ihrer Auftraggeber sowie von Ihrem eigenen Reifegrad im Kontrollumfeld ab.

  • Typ 1 (Stichtagsbericht): Beschreibt das Kontrollsystem zu einem bestimmten Datum und bestätigt dessen angemessene Gestaltung – ohne Aussage zur Wirksamkeit über einen Zeitraum. Geeignet für Erstprüfungen oder als Einstieg in die Assurance-Berichterstattung.
  • Typ 2 (Berichtszeitraum): Umfasst typischerweise 6–12 Monate und prüft nicht nur die Gestaltung, sondern auch die tatsächliche Wirksamkeit der Kontrollen im Prüfungszeitraum. Dieser Bericht ist für die meisten regulierten Kunden und BaFin-Anforderungen erforderlich.
  • Entscheidungskriterium: Auftraggeber aus dem Finanz- oder Versicherungssektor fordern fast immer einen Typ-2-Bericht. Ein Typ-1-Bericht kann als erster Schritt sinnvoll sein, wenn das Kontrollsystem neu aufgebaut wurde.

Viele Dienstleister beginnen mit einem Typ-1-Bericht und wechseln im Folgejahr auf Typ 2. Dieser schrittweise Ansatz erlaubt es, das interne Kontrollsystem zunächst zu stabilisieren, bevor eine umfassende Wirksamkeitsprüfung stattfindet. Qualifizierte IDW PS 951 Auditoren vergleichen können Sie helfen, den richtigen Einstieg zu wählen.

IDW PS 951 Prüfung jetzt starten

Erhalten Sie ein unverbindliches Angebot von erfahrenen Wirtschaftsprüfern für Ihre IDW PS 951 Dienstleisterprüfung – Typ 1 oder Typ 2, individuell auf Ihr Kontrollumfeld zugeschnitten.

Jetzt Angebot anfordern

Auslagerungsprüfung und BaFin-Anforderungen

Für Banken, Zahlungsdienstleister und Versicherungen ist die Auslagerungsprüfung kein freiwilliges Qualitätsmerkmal – sie ist regulatorische Pflicht. Die BaFin verlangt im Rahmen der MaRisk (AT 9) und VAIT bzw. BAIT, dass auslagernde Institute die Kontrollwirksamkeit ihrer Dienstleister nachweisen und dokumentieren. Ein Prüfbericht nach IDW PS 951 Dienstleisterprüfung ist das in Deutschland anerkannte Format, um dieser Nachweispflicht zu genügen.

Ohne ein aktuelles Testat müssen Nutzerorganisationen eigene Prüfungshandlungen beim Dienstleister durchführen – ein erheblicher Aufwand für beide Seiten. Dienstleister, die ein IDW PS 951 Testat vorweisen, reduzieren die Prüflast ihrer Kunden und stärken gleichzeitig ihre Marktposition. Jetzt IDW PS 951 Prüfung beauftragen und regulatorische Anforderungen proaktiv erfüllen.

Ablauf einer IDW PS 951 Prüfung Schritt für Schritt

Eine strukturierte Vorbereitung ist entscheidend für einen reibungslosen Prüfungsprozess. Der typische Ablauf gliedert sich in folgende Phasen:

  • Scoping & Vorbereitung: Definition des Prüfungsumfangs (In-Scope-Systeme, Prozesse, Standorte), Festlegung des Berichtszeitraums und Auswahl des Prüfers.
  • Kontrollbeschreibung: Dokumentation aller relevanten Kontrollaktivitäten und Kontrollziele durch die Serviceorganisation – häufig in Form einer Control Matrix.
  • Walkthroughs & Tests: Der Wirtschaftsprüfer führt Befragungen, Beobachtungen und Stichproben durch, um die Gestaltung (Typ 1) bzw. Wirksamkeit (Typ 2) der Kontrollen zu beurteilen.
  • Identifikation von Ausnahmen: Festgestellte Kontrollschwächen oder Ausnahmen werden dokumentiert und bewertet; ggf. werden Gegenmaßnahmen vereinbart.
  • Berichtserstellung: Der Wirtschaftsprüfer erstellt den Prüfbericht inkl. Systembeschreibung, Prüfungsergebnis und Testat-Vermerk.
  • Übergabe & Nutzung: Der fertige Bericht wird an die Nutzerorganisationen weitergegeben, die ihn für ihre eigene Jahresabschlussprüfung oder ihr Auslagerungscontrolling verwenden.

Serviceorganisationen: Wer braucht ein IDW PS 951 Testat?

Nicht jeder Dienstleister benötigt zwingend ein IDW PS 951 Testat – aber die Zielgruppe ist breiter als vielfach angenommen. Typische Serviceorganisationen sind IT-Outsourcing-Anbieter, Rechenzentren, Payroll-Dienstleister, Treuhänder und Finanzdienstleister, die Kernprozesse für regulierte Unternehmen übernehmen.

Entscheidend ist, ob die ausgelagerten Prozesse die Finanzberichterstattung oder das Risikoprofil der Nutzerorganisation wesentlich beeinflussen. Ist das der Fall, werden Auftraggeber früher oder später ein Testat einfordern. Wer bereits jetzt handelt, vermeidet Last-Minute-Prüfungsdruck und signalisiert Professionalität. Gegenüber anderen Assurance-Standards wie ISO 27001 oder SOC 2 hat IDW PS 951 den Vorteil der direkten Anschlussfähigkeit an deutsche Jahresabschlussprüfungen.

Häufig gestellte Fragen

Was kostet eine IDW PS 951 Dienstleisterprüfung?
Die Kosten variieren je nach Prüfungsumfang, Anzahl der Kontrollbereiche und gewähltem Berichtstyp. Ein Typ-1-Bericht für ein mittelgroßes Unternehmen beginnt typischerweise bei 15.000–25.000 Euro, ein Typ-2-Bericht liegt häufig zwischen 25.000 und 60.000 Euro. Für ein individuelles Angebot empfiehlt sich eine Anfrage bei spezialisierten Wirtschaftsprüfern.
Wie lange dauert eine IDW PS 951 Prüfung?
Von der Scoping-Phase bis zur Übergabe des finalen Berichts sollten Sie 3–6 Monate einplanen. Typ-2-Prüfungen benötigen aufgrund des Berichtszeitraums (meist 6–12 Monate) zusätzliche Vorlaufzeit. Eine frühe Prüfungsplanung ist daher empfehlenswert.
Wie lange ist ein IDW PS 951 Testat gültig?
Ein Typ-1-Bericht ist auf einen Stichtag bezogen und verliert schnell an Aktualität. Typ-2-Berichte decken einen definierten Zeitraum ab – nach dessen Ablauf sollte eine neue Prüfung beauftragt werden. In der Praxis fordern Nutzerorganisationen jährlich aktuelle Berichte.
Was ist der Unterschied zwischen IDW PS 951 und ISAE 3402?
IDW PS 951 ist der deutsche Standard, ISAE 3402 der internationale Pendant. Beide prüfen interne Kontrollsysteme bei Serviceorganisationen und unterscheiden Typ 1 und Typ 2. IDW PS 951 ist in Deutschland bei BaFin und deutschen Wirtschaftsprüfern anerkannt, ISAE 3402 eignet sich für internationale Auftraggeber. Inhaltlich sind die Standards weitgehend kompatibel.
Erkennt die BaFin den IDW PS 951 Bericht an?
Ja. Die BaFin akzeptiert IDW PS 951 Prüfberichte als Nachweis im Rahmen der Auslagerungscontrolling-Anforderungen nach MaRisk AT 9, BAIT und VAIT. Der Bericht ermöglicht es auslagernden Instituten, ihre Prüfpflichten gegenüber dem Dienstleister effizient zu erfüllen.
Wann sollte ich Typ 1 und wann Typ 2 wählen?
Typ 1 eignet sich als Einstieg oder wenn das Kontrollsystem neu aufgebaut wurde – er bestätigt die angemessene Gestaltung zu einem Stichtag. Typ 2 ist erforderlich, wenn Auftraggeber oder Aufsichtsbehörden eine Aussage zur Wirksamkeit über einen Zeitraum benötigen. Regulierte Unternehmen fordern fast immer Typ 2.
Wie häufig muss die IDW PS 951 Prüfung wiederholt werden?
Es gibt keine gesetzlich festgelegte Pflichtfrequenz, aber in der Praxis wird eine jährliche Prüfung erwartet. Auftraggeber aus dem Finanz- und Versicherungssektor verlangen in der Regel einen aktuellen Bericht, der nicht älter als 12 Monate ist.
Können IDW PS 951 und ISAE 3402 kombiniert werden?
Ja. Viele Wirtschaftsprüfer erstellen kombinierte Berichte, die beide Standards abdecken. Dies ist sinnvoll für Dienstleister mit sowohl deutschen als auch internationalen Auftraggebern. Die Prüfungshandlungen überschneiden sich weitgehend, sodass der Mehraufwand überschaubar bleibt.

Fazit: IDW PS 951 als verlässliches Testat für den deutschen Markt

Die IDW PS 951 Dienstleisterprüfung ist für Serviceorganisationen in Deutschland das Instrument der Wahl, um Kontrolltransparenz gegenüber Auftraggebern und Aufsichtsbehörden zu schaffen. Ob als Typ-1-Einstieg oder als jährlicher Typ-2-Bericht – das Testat stärkt Vertrauen, reduziert Prüfungsaufwand auf beiden Seiten und erfüllt regulatorische Anforderungen der BaFin nachweisbar. Wer jetzt proaktiv plant, sichert sich einen klaren Wettbewerbsvorteil. Auf IT-Audit Directory qualifizierte IDW PS 951 Auditoren finden und noch heute mit der Prüfungsplanung beginnen.

Empfohlene Auditoren für IDW PS 951 (Dienstleister-Prüfung)

BFMT Audit GmbH
BFMT Audit GmbH
Muenchen
Curacon
Curacon
Muenster
DMP Wirtschaftspruefung
DMP Wirtschaftspruefung
Frankfurt am Main
S&P Wirtschaftspruefung
S&P Wirtschaftspruefung
Muenchen

IT-Auditor gesucht?

Vergleichen Sie Auditoren und fordern Sie kostenlos ein unverbindliches Angebot über IT-Audit Directory an.

Auditoren anzeigen
Angebot