IT-Outsourcing – Der Dienstleister im Fokus

​Bei der Auslagerung von IT-gestützten Geschäftsprozessen sind die damit verbundenen Risiken zu identifizieren und über ein internes Kontrollsystem (IKS) zu steuern. Die Prüfung der Ausgestaltung von Kontrollen beim Dienstleister durch einen Wirtschaftsprüfer bringt die nötige Transparenz und Sicherheit. 

 

Ausgelagerte IT-Funktionen dürfen nicht aus dem Blickfeld des Unternehmens geraten. Vielmehr ist das IKS, d. h. die Summe aller Maßnahmen zur Steuerung und Überwachung von Risiken, auf diese Situation auszurichten. Hier empfiehlt es sich, die Auslagerung als Prozess zu betrachten und sich dabei an den Rechnungslegungs­standard „Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing” (IDW ERS FAIT 5) des Instituts der Wirtschaftsprüfer (IDW) zu orientieren. Dabei ist sicherzustellen, dass der Dienstleister ein IKS für die ausgelagerten Funktionen und Prozesse eingerichtet hat. Bei Outsourcing ist es deshalb wichtig festzulegen, bei wem – auslagerndes Unternehmen oder Dienstleister – die erforderlichen Kontrollmaßnahmen verankert sind, so dass insgesamt die nötige Sicherheit für den Gesamtprozess gewährleistet ist. 

 

Entscheidend ist jedoch nicht allein, dass beim Dienstleister ein angemessenes IKS vorhanden ist, sondern auch, dass die eingerichteten Kontrollen wirksam sind. Dies sollte das auslagernde Unternehmen beim Dienstleister kontrollieren. Das verlässlichste Instrument dafür ist eine Prüfung, die der Dienstleister jährlich durchführen lässt. Grundlage einer solchen Prüfung und Bestandteil der Berichterstattung ist die Beschreibung des dienstleistungs­bezogenen IKS durch den Dienstleister. Nach den entsprechenden nationalen (IDW PS 951) und internationalen (ISAE 3402) Standards prüft der Wirtschaftsprüfer dann, ob die Beschreibung der Kontrollen ihrer tatsächlichen Ausgestaltung entspricht, die Kontrollen angemessen ausgestaltet sind und im zu prüfenden Zeitraum (üblich sind 12 Monate) wirksam waren. 

 

Häufig werden IT-gestützte Dienstleistungen im Unternehmens­verbund von einer hierauf spezialisierten Einheit (Shared Service Center, kurz SSC) erbracht. Dabei ist in internationalen Unter­nehmen zu beachten, dass die ausländischen Gesellschaften ungeachtet der Auslagerung ihren landesspezifischen gesetzlichen Anforderungen gerecht werden müssen. Werden diese durch das SSC unzureichend umgesetzt, ergeben sich Risiken für die jeweilige Gesellschaft oder den gesamten Unternehmensverbund. 
 
Deshalb empfiehlt sich auch hier eine Prüfung in Zusammenhang mit dem IKS des SSC, die sowohl länderspezifische als auch länder­über­greifende Anforderungen an die Dienstleistung, z. B. für digitale Rechnungseingangs- oder -ausgangsverarbeitung, berück­sichtigen sollte. Die Berichterstattung des Wirtschaftsprüfers zur Ausgestaltung bzw. Wirksamkeit der Kontrollen trägt wesentlich zur Transparenz und Sicherheit bei den auslagernden Gesellschaften und deren Abschlussprüfern bei.