Unternehmen suchen vermehrt Lösungen für Themen, die nicht zu ihrer Kernkompetenz zählen. Immer mehr Prozesse und Systeme werden auf Dienstleister ausgelagert. Neben dem klassischen Outsourcing geht es dabei auch um das aktuelle Thema Cloud Computing. Die Verantwortung für diese Prozesse und Systeme verbleiben in den Unternehmen – das erfordert Vertrauen in den jeweiligen Dienstleister. Wir helfen Ihnen dabei, dieses Vertrauen zu generieren.
Die Auslagerung von Dienstleistungen ist mit rechtlichen Vorgaben verbunden. Für alle Unternehmen gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) bzw. das Bundesdatenschutzgesetz (BDSG). Daneben gibt es branchentypische Vorgaben, u. a. für Pharmaindustrie, Banken, Versicherungen und Finanzdienstleister.
Die EU-DSGVO fordert, dass das auslagernde Unternehmen den Dienstleister regelmäßig prüft bzw. Nachweise über die Einhaltung der Vorgaben einholt. In der von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigten Industrie gibt es konkrete Vorgaben für die Vertragsgestaltung sowie Anforderungen an die Erbringung der Dienstleistung. Geregelt sind diese in den Mindestanforderungen an das Risikomanagement (MaRisk) bzw. den Bankaufsichtlichen Anforderungen an die IT (BAIT) für Banken und Finanzinstitute. Diese beinhalten auch eine Prüfungspflicht durch die Interne Revision der Institute.
Je nach Art der Auslagerungen sind nach ISA (DE) 402 „Überlegungen bei der Abschlussprüfung von Einheiten, die Dienstleister in Anspruch nehmen“ die Wirtschaftsprüfer des zu prüfenden Unternehmens verpflichtet, die ausgelagerten Prozesse zu prüfen. Der Wirtschaftsprüfer kann eigene Prüfungshandlungen durchführen oder sich auf einen Prüfungsbericht stützen.
Grundsätzlich müssen alle Kunden eines Dienstleisters bzw. die Wirtschaftsprüfer Prüfungshandlungen durchführen. Vor diesem Hintergrund wurde der Prüfungsstandard des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) PS 951 n.F. „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen“ entwickelt, der Vorgaben für die Durchführung dieser Prüfungen und der Berichterstattung enthält. Alternativ kann der internationale Standard ISAE 3402 „assurance reports on controls at a service organisation“ des International Auditing and Assurance Standards Board (IAASB) für die Prüfung genutzt werden. Der IDW PS 951 basiert auf diesem internationalen Standard, berücksichtigt aber zusätzliche deutsche Besonderheiten. Neben diesen beiden Standards gibt es noch den amerikanischen Standard SSAS 18, der in der Fassung des SOC 1 ebenfalls weitgehend dem ISAE 3402 entspricht und für die Prüfung von Dienstleistern erstellt wurde, die im Bereich der Finanzberichterstattung aktiv sind. Der SOC 2 befasst sich mit der Prüfung der IT-Sicherheit, Verfügbarkeit und Integrität der Systeme, die der Dienstleister zur Verfügung stellt. Zusätzlich gibt es noch den SOC 3, der grundsätzlich dem SOC 2 entspricht, aber für die Öffentlichkeit erstellt wird.
Im deutschen Umfeld macht grundsätzlich die Prüfung nach IDW PS 951 Sinn. Wenn die Prüfung auch auf internationaler Ebene genutzt werden soll, sollte als Prüfungsstandard der ISAE 3402 genutzt werden. Für Prüfungen bei Konzernen und Gesellschaften, die bei der US-Börsenaufsicht (SEC) gelistet sind, empfiehlt sich der Einsatz des SSAS 18.
Alle Standards unterscheidet die Prüfung als zeitpunktbezogene Prüfung (Typ 1) ohne Funktionsprüfung oder als zeitraumbezogene Prüfung (Typ 2) mit Funktionsprüfung. Für die Beurteilung des Dienstleisters durch den Kunden bzw. den Wirtschaftsprüfer sollte aber eine Prüfung nach Typ 2 vorgelegt werden.
Für alle Standards ist aber wichtig, dass bei der Erstellung der für die Prüfung notwendigen Kontrollbeschreibung die für die jeweilige Branche notwendigen Rahmenbedingungen bekannt sind und berücksichtigt werden.
Unser Angebot:
Wir bieten Beratungen bei der Erstellung der Kontrollbeschreibung sowie der Implementierung der notwendigen Kontrollen im Vorfeld einer Prüfung nach den vorgenannten Prüfungsstandards.
Daneben bieten wir Prüfungen beim Dienstleister nach IDW PS 951, ISAE 3402 und SSAS18 an. Dabei wird ein Prüfungsbericht erstellt, der eine Beurteilung des dienstleistungsbezogenen Internen Kontrollsystems (IKS) des Dienstleisters durch den Kunden, dessen Interne Revision, Datenschutzbeauftragten oder Abschlussprüfer ermöglicht. Wir prüfen nicht nur das IKS, sondern können aufgrund unserer Erfahrungen auch Empfehlungen für Prozessoptimierungen geben.
