Home
Intern
zuletzt aktualisiert am 26. Februar 2020 | Lesedauer ca. 3 MinutenBei der Auslagerung rechnungslegungsrelevanter (Teil-)Geschäftsprozesse ist die Einhaltung rechtlicher Vorgaben auch bei einem Dienstleister sicherzustellen. Die Steuerung der Risiken erfolgt u.a. über ein beim Dienstleister eingerichtetes internes Kontrollsystem (IKS). Die Prüfung der Ausgestaltung solcher Kontrollen durch einen Wirtschaftsprüfer weist deren Angemessenheit und Funktionsfähigkeit nach und bringt die nötige Sicherheit. Der Artikel richtet sich gleichwohl an Auftraggeber wie an Dienstleister.
Typische Beispiele für eine Auslagerung (im Nachfolgenden kurz Outsourcing) sind der Betrieb der IT-Infrastruktur bei einem Rechenzentrumsbetreiber oder die Abwicklung bestimmter (Teil-)Unternehmensprozesse (Business Process Outsourcing) bis hin zu einzelnen digitalisierten Services (Microfunctions, Functions-as-a-Service, eingebettete Cloudservices, etc.). Vermehrt nehmen die Unternehmen solche und weitere Dienstleistungen auch in Form des Cloud Computings, z.B. durch die Nutzung von Plattformen, Software oder Sicherheitsleistungen wie die permanente Überwachung von Netzwerken, in Anspruch.
Häufig spielt bei diesen Ausprägungen die Erfassung und Verarbeitung von rechnungslegungsrelevanten Daten und Transaktionen sowie die Speicherung von Daten und Aufzeichnungen beim Dienstleister eine zentrale Rolle. Die gesetzlichen Ordnungsmäßigkeits- und Sicherheitsanforderungen, die mit den neuen GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) hinsichtlich der Buchführungs- und Aufzeichnungspflichten aktuell im Gespräch sind, gelten auch bei Outsourcing ohne Einschränkung. Die Verantwortung für die Einhaltung der Vorgaben verbleibt bei den gesetzlichen Vertretern des auslagernden Unternehmens.
Rechnungslegungsrelevante Daten sind allgemein dem Risiko ausgesetzt, in unberechtigter Weise eingesehen oder verändert zu werden, sowohl beim Dienstleister als auch auf dem Übertragungsweg. Ebenso sind an die Verfügbarkeit der ausgelagerten Dienste und Daten hohe Ansprüche gerichtet. Ein Ausfall der Anbindung zum Dienstleister oder der dort vorgehaltenen Systeme kann existenzbedrohend sein und stellt damit ein vorherrschendes Risiko dar.
Neben der allgemeinen IT-Sicherheit kommen für die ausgelagerten Prozesse auch handels- und steuerrechtliche Vorschriften zur Geltung. Ein Beispiel dafür ist die elektronische Rechnungseingangsverarbeitung durch einen Dienstleister: Beim Scannen von Papierrechnungen und der anschließenden digitalen Weiterverarbeitung ist darauf zu achten, dass das Verfahren die Belegfunktion erfüllt. Die Rechnungen sind vollständig und richtig zu erfassen und müssen mit dem gebuchten Geschäftsvorfall verknüpft werden. Das gilt auch für Rechnungen, die per E-Mail oder als EDI-Daten übermittelt und verarbeitet werden.
Übernimmt der Dienstleister anschließend auch die längerfristige Speicherung dieser oder anderer digitaler Belege oder Unterlagen, so stellt sich zwingend die Frage nach der Einhaltung der gesetzlichen Aufbewahrungsfrist und der jederzeitigen Zugriffsgewährung auf die Unterlagen. Bei der Inanspruchnahme von Cloud-Diensten besteht verstärkt das Risiko, bei einem eventuellen grenzüberschreitenden Wechsel des Speicherorts (weil dynamisch vom Dienstleister gesteuert) gegen steuerrechtliche Mitteilungs- und Aufbewahrungsvorschriften zu verstoßen.
Weitere rechtliche Risiken betreffen bspw. den Bereich der Datenschutzgrundverordnung (DSGVO), sofern der Dienstleister personenbezogene Daten erhebt, verarbeitet oder nutzt und das ist die Regel. Auch dabei kann sich das auslagernde Unternehmen als Auftraggeber nicht aus der Verantwortung lösen.
Auslagernde Unternehmen sollten ihrem Dienstleister kein blindes Vertrauen entgegenbringen und davon ausgehen, dass bei ausgelagerten Prozessen die Ordnungsmäßigkeit und Sicherheit automatisch gegeben seien. Gerade weil ein auslagerndes Unternehmen die Verantwortung in dem Bereich nicht abgeben kann, müssen bestehende Prozess- und Sicherheitsrisiken identifiziert und über die Ausgestaltung eines internen Kontrollsystems (IKS) gesteuert werden. Wichtig ist einerseits die Bestimmung der geltenden Anforderungen, andererseits natürlich die Implementierung der dafür notwendigen Kontrollen und ihre Aufteilung zwischen Dienstleister und auslagerndem Unternehmen.
Die für den Gesamtprozess nötige Sicherheit kann allerdings erst dann gewährleistet werden, wenn die Kontrollen auf beiden Seiten auch funktionieren. Um nicht auf die Anfragen zahlreicher auslagernder Unternehmen antworten zu müssen, besteht für den Dienstleister die Möglichkeit, die Funktionsfähigkeit seines internen Kontrollsystems durch einen Wirtschaftsprüfer nachzuweisen. Gegenstand einer solchen Prüfung ist die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems. Der Wirtschaftsprüfer beurteilt auf Grundlage der entsprechenden nationalen (IDW PS 951) und internationalen (ISAE 3402) Standards, ob die dargestellten Kontrollen eingerichtet und angemessen ausgestaltet sind und im zu prüfenden Zeitraum (üblich sind zwölf Monate) wirksam waren. Zusammen mit der IKS-Beschreibung bietet die jährliche Berichterstattung des Wirtschaftsprüfers eine hohe Transparenz und Verlässlichkeit für ordnungsmäßige Prozessabläufe.
Die oben beschriebenen (Teil-)Prozesse werden häufig auch als Dienstleistung in einem Unternehmensverbund von einer darauf spezialisierten Einheit (Shared Service Center = SSC) erbracht. Gerade in internationalen Unternehmen ist zu beachten, dass sich aufgrund landesspezifischer Buchführungs- und Aufbewahrungspflichten Risiken für die jeweilige ausländische Gesellschaft oder den gesamten Unternehmensverbund ergeben können, wenn die Anforderungen nicht hinlänglich bekannt sind oder vom SSC unzureichend umgesetzt werden. Um den auslagernden Gesellschaften und deren Abschlussprüfern einen Einblick in die Umsetzung länderspezifischer wie auch länderübergreifender Anforderungen durch das SSC zu geben und eine Aussage zur Ausgestaltung bzw. Wirksamkeit der Kontrollen beim SSC zu treffen, empfiehlt sich auch eine jährliche Prüfung im Zusammenhang mit dem internen Kontrollsystem des Shared Service Centers.
Bitte beachten Sie:
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor
Partner
Anfrage senden
Digital GRC: Governance, Risk & Compliance konsequent digital
Kein Themenspecial verpassen mit unserem Newsletter!