Warum sollte bei der Wahl eines Outsourcing-Partners auf den Nachweis einer Prüfung des dienstleistungsbezogenen internen Kontrollsystems beim Outsourcing-Unternehmen nach IDW PS 951 bzw. ISAE 3402 geachtet werden?
Outsourcing in einer stärker vernetzen Geschäftswelt
In einer immer stärker vernetzten Geschäftswelt setzen Unternehmen zunehmend auf Outsourcing, um ihre Prozesse zu optimieren und Kosten zu senken. Dabei entstehen Abhängigkeiten zu Dienstleistern, da u.a. wesentliche Prozessschritte und Kontrollen nunmehr in der Hoheit des Outsourcing-Partners liegen, die das auslagernde Unternehmen nicht beeinflussen kann.
Dienstleistungsbezogenes Kontrollsystem beim Outsourcing-Unternehmen
Aus dem Blickwinkel des Abschlussprüfers eines Unternehmens, das Prozesse, z.B. den Betrieb des Personalabrechnungs- oder Finanzbuchhaltungssystems, an einen externen Dienstleister outgesourct hat, stellt sich die Frage nach dem dienstleistungsbezogenen Kontrollsystem beim Outsourcer-Partner. Dies ist insbesondere von Interesse, da im Rahmen einer Abschlussprüfung die durchgeführte IKS-Prüfung einen hohen Stellenwert einnimmt. Hierbei wird überprüft, welche Kontrollen in einem Prozess implementiert sind und ob diese im zu prüfenden Geschäftsjahr wirksam waren. Die wichtigsten Standards sind IDW PS 951 und ISAE 3402. Der Prüfungsstandard (PS) 951 wurde vom Institut der Wirtschaftsprüfer in Deutschland (IDW) entwickelt. Er legt die Anforderungen an die Prüfung des dienstleistungsbezogenen internen Kontrollsystems beim Outsourcer fest und zielt darauf ab, ein hohes Maß an Transparenz und Vertrauen zwischen den Outsourcing-Partnern zu schaffen. Der Standard ist generisch und der Inhalt kann entsprechend angepasst werden, sodass alle relevanten Belange wie auch Aspekte der IT-Sicherheit und Compliance Berücksichtigung finden können.
Parallel dazu bietet der International Standard on Assurance Engagements (ISAE) 3402, herausgegeben vom International Auditing and Assurance Standards Board (IAASB), ein Framework für die Prüfung des dienstleistungsbezogenen internen Kontrollsystems bei international agierenden Outsourcing-Unternehmen. ISAE 3402 legt einen global akzeptierten Benchmark für die Prüfung und Berichterstattung über die Effektivität des dienstleistungsbezogenen internen Kontrollsystems fest und fördert damit das Vertrauen der globalen Stakeholder in ausgelagerte Dienstleistungen.
Beide Standards haben gemein, dass jeweils eine Form der Prüfung und Berichterstattung existiert, die die Angemessenheit von implementierten und beschriebenen Kontrollen zu einem zu prüfenden Zeitpunkt (Typ 1) beinhaltet. Eine weitere Form der Prüfung und Berichterstattung beinhaltet die Wirksamkeit der implementierten und dargestellten Kontrollen während eines zu prüfenden Zeitraums (Typ 2). Basis ist in beiden Fällen eine IKS-Beschreibung des Outsourcing-Partners mit einer Darstellung und Beschreibung der implementierten Kontrollen in den relevanten Prozessen. Es ist darauf zu achten, dass der Abschlussprüfer die Berichterstattung vom Typ 1 für die Abschlussprüfung nur eingeschränkt verwerten kann, da diese keine Prüfungsaussagen über die Wirksamkeit der Kontrollen enthält. Kann der Abschlussprüfer die Wirksamkeit so nicht feststellen, bleibt ihm im Regelfall nur die Prüfung beim Outsourcing-Unternehmen übrig, sofern die vereinbarten Verträge entsprechende Prüfrechte vorsehen.
Dies bedeutet im Regelfall aber zumindest erhöhten Aufwand für den Abschlussprüfer, den er im Regelfall auch vergütet haben möchte.
Prüfungsprozess und Kernbereiche
Die Prüfungen nach IDW PS 951 und ISAE 3402 umfassen sowohl die Design- als auch die Betriebseffektivität des dienstleistungsbezogenen internen Kontrollsystems. Sie beinhalten eine gründliche Untersuchung der Kontrollumgebung, der Risikobewertung, der Kontrollaktivitäten, der Kommunikation, des Monitorings und der Dokumentation. Spezielle Aufmerksamkeit wird regelmäßig den technologischen Kontrollen gewidmet, die die Sicherheit und Integrität der Daten gewährleisten.
Häufige Anwendungsfälle für Prüfungen nach diesen Standards sind ausgelagerte Finanzbuchhaltungssysteme, Lohn- und Gehaltsabrechnungen oder IT-Dienstleistungen in unterschiedlicher Ausprägung. Die Umsetzung dieser Standards erfordert eine gründliche Vorbereitung und eine enge Zusammenarbeit
zwischen dem Outsourcing-Unternehmen und dem Prüfer.
Neben dem IDW PS 951 und ISAE 3402 sind weitere Standards von großem Interesse:
- ITIL (Information Technology Infrastructure Library) in der aktuellen Version 4 ist heute der De-facto-Standard im Bereich IT-Service-Management und beschreibt alle notwendigen Bestandteile für ein vollständiges Vorgehen im Bereich IT-Service-Management. Prozesse des IT-Service-Managements nach ITIL finden sich im Wesentlichen in Zertifizierungen nach ISO/IEC 20000-1 wieder.
- „Cloud Computing Compliance Controls Catalog“ (C5) basiert auf international anerkannten IT-Sicherheitsstandards wie ISO/IEC 27001:2013, der Cloud Security Alliance Cloud Controls Matrix 3.0.1 und den BSI-eigenen IT-Grundschutzkatalogen mit dem Ziel, einen einheitlichen Sicherheitsrahmen für die Zertifizierung von Clouddienstanbietern zu schaffen. Einzelne Zertifizierungen nach C5 existieren und sichern den jeweiligen Kunden zu, dass ihre Daten sicher verwaltet werden.
- ISO/IEC 27000 als internationale Norm bildet die Anforderungen für die Entwicklung, Umsetzung und Aufrechterhaltung sowie kontinuierliche Verbesserung von Sicherheitsstandards und Managementpraktiken im Rahmen eines „Informationsecurity- Managementsystems“ innerhalb einer Organisation ab. Zertifizierungen nach ISO/ IEC 27001 sind bei Outsourcing-Partnern häufig vorzufinden.
- „IT-Grundschutz“ ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen
von Sicherheitsmaßnahmen der Informationstechnik in einem Unternehmen mit dem Ziel, ein mittleres, angemessenes und ausreichendes Schutzniveaus für ihre IT-Systeme zu erreichen. Die meisten Zertifizierungen erfolgen nach ISO/ IEC 27001 auf der Basis von „IT-Grundschutz“
Fazit
Abschließend ist zu betonen, dass die Bescheinigungen über die Prüfung des dienstleistungsbezogenen internen Kontrollsystems nach IDW PS 951 und
ISAE 3402 entscheidende Instrumente zur Vertrauensbildung in Outsourcing-Beziehungen sind. Die entsprechende Zertifizierung dient als Nachweis der Qualität des internen Kontrollsystems. Daneben ist eine zusätzliche Zertifizierung, die speziell auf Belange der IT-Sicherheit abzielt, wie der ISO/ IEC 27000 von Vorteil. Bei der „Erst“-Auswahl eines neuen Dienstleisters wäre weiterhin eine Zertifizierung nach ISO/IEC 20000-1 hinsichtlich des IT-Service-Managements von Interesse, da diese das tägliche Miteinander zwischen Outsourcing-Partner und Unternehmen widerspiegelt.
Wir helfen Ihnen gerne dabei Ihre Outsourcing-Initiative mit Curacon audIT zu unterstützen. Jetzt mehr erfahren!
Dieser Artikel stammt aus unserem Mandantenmagazin Curacontact, das 4 x im Jahr aktuelle Themen für die Gesundheits- und Sozialwirtschaft, für Öffentlichen Sektor und Kirche aufbereitet. Interesse? Jetzt kostenlos abonnieren!
Erfahren Sie auch mehr zu unserer Mandantenzeitschrift Curacontact.