Compliance bei Outsourcing-Projekten – Teil 3

Richtlinien, Grundsätze und Rundschreiben haben keinen Gesetzes-Charakter. Auf sie wird jedoch in Gesetzestexten oft verwiesen, denn in einigen Fällen haben Richtlinien einen verbindlichen Charakter für eine besondere Zielgruppe.

Im Rahmen der Buchführung sind die Grundsätze ordnungsgemäßer Buchführung (GoB) und die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) zu beachten. Auch wenn eine DV-Buchführung im Auftrag durch Fremdfirmen durchgeführt wird, obliegt die Einhaltung der GoB und GoBS dem auftraggebenden Buchführungspflichtigen.

Vor allem bei der Auslagerung bestimmter Buchhaltungsaufgaben ist deshalb verstärkt auf die Kontrolle der Einhaltung der GoBS zu achten. Diese Grundsätze sind nur erfüllt, wenn das Rechnungslegungs-System bei der Erfassung, Verarbeitung, Ausgabe und Aufbewahrung der relevanten Daten die Einhaltung von Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit sicherstellt.

Wirtschaftsprüfungs-Standards

Eine Reihe von Wirtschaftsprüfungs-Standards des IDW konkretisieren die aus dem Gesetz geforderten Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme und verdeutlicht die beim Einsatz von IT möglichen Risiken für die Einhaltung der Grundsätze ordnungsmäßiger Buchführung. Sie beziehen sich in Teilen auch auf ausgelagerte IT-Prozesse, sofern diese rechnungslegungsrelevant sind.

Der Fachausschuss für Informationstechnologie (FAIT) des IDW hat mit der Stellungnahme zur Rechnungslegung (RS) FAIT 1 “Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie” einen für Wirtschaftsprüfer anzuwendenden Prüfungsstandard veröffentlicht. Dieser beschreibt Anforderungen an die Ordnungsmäßigkeit und Sicherheit für IT-gestützte Systeme und steht in engem Zusammenhang mit den GoBS.

FAIT 1 widmet einen kompletten Abschnitt dem IT-Outsourcing. Sofern im Rahmen des Outsourcings die Ausführung von Geschäftsvorfällen oder die Datenverarbeitung von einem damit beauftragten Dienstleistungs-Unternehmen wahrgenommen werden, verbleibt die Verantwortung für die Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen bei den gesetzlichen Vertretern des Unternehmens.

Der IDW Prüfungs-Standard 330 stellt einen Leitfaden für die Wirtschaftsprüfer zur “Abschlussprüfung bei Einsatz von Informationstechnologie” dar. Darin wird ebenfalls explizit auf das IT-Outsourcing eingegangen. Der Abschlussprüfer muss beurteilen, wie sich eine ausgelagerte IT-Komponente auf das interne Kontrollsystem des Unternehmens auswirkt.

In diesem Zusammenhang sind für die Abschlussprüfung auch die im Dienstleistungs-Unternehmen eingerichteten organisatorischen Regelungen und die vorgehaltenen Aufzeichnungen zu bewerten. Falls der Abschlussprüfer während seiner Prüfung die Auswirkung eines Outsourcing-Dienstleisters auf den Kunden als wesentlich einstuft, so müssen zur Risikoeinschätzung auch das Kontrollsystem des Outsourcing-Dienstleisters und weitere Informationen überprüft werden.

Normen und Referenzmodelle

Es gibt zahlreiche DIN-, ISO-, IEC-Normen und Referenzmodelle, die einen Maßstab für einwandfreies Verhalten bilden und können zumindest mittelbar verbindlich werden. Hierbei ist zu beachten, dass für die mittelbare Geltung eine ausdrückliche Bezugnahme durch Gesetze oder Verordnungen nicht zwingend ist. Vielmehr wird beispielsweise bei der Frage, ob ein Schaden schuldhaft verursacht wurde, häufig auf anerkannte Standards zurückgegriffen. Sofern ein anerkannter Standard eingehalten wurde, lassen sich in der Regel gute Argumente dafür finden, dass die im Verkehr erforderliche Sorgfalt beachtet wurde.

Exemplarisch zu nennen sind die:
– Normenreihe EN ISO 9000 ff., welche Grundsätze für Maßnahmen zum Qualitäts-Management dokumentiert,
– Normen ISO/IEC 9126, welche ein Modell zur Sicherstellung/Messung von Softwarequalität darstellen,
– Normen ISO/IEC 27001, welche die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Management-Systems für Informations-Sicherheit unter Berücksichtigung der Risiken innerhalb der gesamten Organisation spezifizieren.

Referenzmodelle schließlich stellen allgemeine Modelle für eine Klasse von Sachverhalten mit folgenden Eigenschaften dar: Auf Basis des allgemeinen Modells können spezielle Modelle (als Grundlage für die Konstruktion ganz bestimmter Sachverhalte) geplant werden.

Das allgemeine Modell kann als Vergleichsobjekt herangezogen werden, das heißt es ermöglicht Vergleiche mit anderen Modellen, die die gleichen Sachverhalte beschreiben.

Das Referenzmodell bildet somit ein Modellmuster, das als idealtypisches Modell für die Klasse der zu modellierenden Sachverhalte betrachtet werden kann.

Im Kontext der Compliance im Outsourcing dient es einer besseren Effizienz bei der Einführung von IT-Kontrollmaßnahmen in Unternehmen. In der Regel sind Referenzmodelle wie CoBIT oder ITIL an Gesetze, Richtlinien oder Standards angelehnt und versuchen den Brückenschlag über eine Vielzahl solcher Regelungen.

 

In der vierten Folge unserer Serie zum Thema ‘Compliance bei Outsourcing-Projekten’ erfahren Sie mehr über die vertragliche Abbildung rechtlicher Rahmenbedingungen und über die Risiken bei deren Nichteinhaltung.


Compliance bei Outsourcing-Projekten – Teil 1

Compliance bei Outsourcing-Projekten – Teil 2