Risiken beim Outsourcing: Als Auftraggeber vermeiden und als Dienstleister kundenorientiert denken

zuletzt aktualisiert am 26. Februar 2020 | Lesedauer ca. 3 Minuten

Bei der Auslagerung rechnungslegungsrelevanter (Teil-)Geschäftsprozesse ist die Einhaltung rechtlicher Vorgaben auch bei einem Dienstleister sicherzustellen. Die Steuerung der Risiken erfolgt u.a. über ein beim Dienstleister eingerichtetes internes Kontrollsystem (IKS). Die Prüfung der Ausgestaltung solcher Kontrollen durch einen Wirtschaftsprüfer weist deren Angemessenheit und Funktionsfähigkeit nach und bringt die nötige Sicherheit. Der Artikel richtet sich gleichwohl an Auftraggeber wie an Dienstleister.

Typische Beispiele für eine Auslagerung (im Nachfolgenden kurz Outsourcing) sind der Betrieb der IT-Infra­struktur bei einem Rechenzentrumsbetreiber oder die Abwicklung bestimmter (Teil-)Unternehmensprozesse (Business Process Outsourcing) bis hin zu einzelnen digitalisierten Services (Microfunctions, Functions-as-a-Service, eingebettete Cloudservices, etc.). Vermehrt nehmen die Unternehmen solche und weitere Dienst­leis­tungen auch in Form des Cloud Computings, z.B. durch die Nutzung von Plattformen, Software oder Sicher­heits­leistungen wie die permanente Überwachung von Netzwerken, in Anspruch.

Häufig spielt bei diesen Ausprägungen die Erfassung und Verarbeitung von rechnungslegungsrelevanten Daten und Transaktionen sowie die Speicherung von Daten und Aufzeichnungen beim Dienstleister eine zentrale Rolle. Die gesetzlichen Ordnungsmäßigkeits- und Sicherheitsanforderungen, die mit den neuen GoBD (Grund­sätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) hinsichtlich der Buchführungs- und Aufzeichnungspflichten aktuell im Gespräch sind, gelten auch bei Outsourcing ohne Einschränkung. Die Verantwortung für die Ein­haltung der Vorgaben verbleibt bei den gesetzlichen Vertretern des auslagernden Unternehmens.

Rechnungslegungsrelevante Daten sind allgemein dem Risiko ausgesetzt, in unberechtigter Weise eingesehen oder verändert zu werden, sowohl beim Dienstleister als auch auf dem Übertragungsweg. Ebenso sind an die Verfügbarkeit der ausgelagerten Dienste und Daten hohe Ansprüche gerichtet. Ein Ausfall der Anbindung zum Dienstleister oder der dort vorgehaltenen Systeme kann existenzbedrohend sein und stellt damit ein vorherr­schendes Risiko dar.

Neben der allgemeinen IT-Sicherheit kommen für die ausgelagerten Prozesse auch handels- und steuerrecht­liche Vorschriften zur Geltung. Ein Beispiel dafür ist die elektronische Rechnungseingangsverarbeitung durch einen Dienstleister: Beim Scannen von Papierrechnungen und der anschließenden digitalen Weiterverarbeitung ist darauf zu achten, dass das Verfahren die Belegfunktion erfüllt. Die Rechnungen sind vollständig und richtig zu erfassen und müssen mit dem gebuchten Geschäftsvorfall verknüpft werden. Das gilt auch für Rechnungen, die per E-Mail oder als EDI-Daten übermittelt und verarbeitet werden.

Übernimmt der Dienstleister anschließend auch die längerfristige Speicherung dieser oder anderer digitaler Belege oder Unterlagen, so stellt sich zwingend die Frage nach der Einhaltung der gesetzlichen Aufbe­wahrungs­frist und der jederzeitigen Zugriffsgewährung auf die Unterlagen. Bei der Inanspruchnahme von Cloud-Diensten besteht verstärkt das Risiko, bei einem eventuellen grenzüberschreitenden Wechsel des Speicherorts (weil dynamisch vom Dienstleister gesteuert) gegen steuerrechtliche Mitteilungs- und Aufbe­wahrungsvorschriften zu verstoßen.

Weitere rechtliche Risiken betreffen bspw. den Bereich der Datenschutzgrundverordnung (DSGVO), sofern der Dienstleister personenbezogene Daten erhebt, verarbeitet oder nutzt und das ist die Regel. Auch dabei kann sich das auslagernde Unternehmen als Auftraggeber nicht aus der Verantwortung lösen.

Einrichtung eines internen Kontrollsystems

Auslagernde Unternehmen sollten ihrem Dienstleister kein blindes Vertrauen entgegenbringen und davon ausgehen, dass bei ausgelagerten Prozessen die Ordnungsmäßigkeit und Sicherheit automatisch gegeben seien. Gerade weil ein auslagerndes Unternehmen die Verantwortung in dem Bereich nicht abgeben kann, müssen bestehende Prozess- und Sicherheitsrisiken identifiziert und über die Ausgestaltung eines internen Kontrollsystems (IKS) gesteuert werden. Wichtig ist einerseits die Bestimmung der geltenden Anforderungen, andererseits natürlich die Implementierung der dafür notwendigen Kontrollen und ihre Aufteilung zwischen Dienstleister und auslagerndem Unternehmen.

Die für den Gesamtprozess nötige Sicherheit kann allerdings erst dann gewährleistet werden, wenn die Kontrollen auf beiden Seiten auch funktionieren. Um nicht auf die Anfragen zahlreicher auslagernder Unter­nehmen antworten zu müssen, besteht für den Dienstleister die Möglichkeit, die Funktionsfähigkeit seines internen Kontrollsystems durch einen Wirtschaftsprüfer nachzuweisen. Gegenstand einer solchen Prüfung ist die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems. Der Wirtschaftsprüfer beurteilt auf Grundlage der entsprechenden nationalen (IDW PS 951) und internationalen (ISAE 3402) Standards, ob die dargestellten Kontrollen eingerichtet und angemessen ausgestaltet sind und im zu prüfenden Zeitraum (üblich sind zwölf Monate) wirksam waren. Zusammen mit der IKS-Beschreibung bietet die jährliche Berichterstattung des Wirtschaftsprüfers eine hohe Transparenz und Verlässlichkeit für ordnungsmäßige Prozessabläufe.

Auslagerung auf ein Shared Service Center

Die oben beschriebenen (Teil-)Prozesse werden häufig auch als Dienstleistung in einem Unternehmensverbund von einer darauf spezialisierten Einheit (Shared Service Center = SSC) erbracht. Gerade in internationalen Unternehmen ist zu beachten, dass sich aufgrund landesspezifischer Buchführungs- und Aufbewahrungs­pflichten Risiken für die jeweilige ausländische Gesellschaft oder den gesamten Unternehmensverbund ergeben können, wenn die Anforderungen nicht hinlänglich bekannt sind oder vom SSC unzureichend umge­setzt werden. Um den auslagernden Gesellschaften und deren Abschlussprüfern einen Einblick in die Um­setz­ung länderspezifischer wie auch länderübergreifender Anforderungen durch das SSC zu geben und eine Aussage zur Ausgestaltung bzw. Wirksamkeit der Kontrollen beim SSC zu treffen, empfiehlt sich auch eine jährliche Prüfung im Zusammenhang mit dem internen Kontrollsystem des Shared Service Centers.

Fazit

Bitte beachten Sie:

• Sofern ausgelagerte Prozesse für die Rechnungslegung relevant sind, sollten Risiken hinsichtlich Ordnungs­mäßigkeit, Sicherheit und darüber hinausgehender rechtlicher Vorgaben identifiziert und über ein internes Kontrollsystem sowohl beim auslagernden Unternehmen als auch beim Dienstleister abgebildet werden;
• Der Dienstleister (auch ein Shared Service Center) sollte die Angemessenheit und Funktionsfähigkeit seines internen Kontrollsystems mind. jährlich mit einer Prüfung nach gängigen Standards nachweisen;
• Bei der Inanspruchnahme von Dienstleistungen im internationalen Unternehmensverbund sind länderspezifische Anforderungen zu beachten.