Home
Intern
veröffentlicht am 2. November 2017, von Armin Wilting
Eigentlich könnte man fragen: Warum interessiert sich der Wirtschaftsprüfer für die Azure Cloud Services von Microsoft? Tatsächlich lagern heute immer mehr Unternehmen insbesondere unternehmenskritische IT-Infrastruktur an Cloud-Anbieter aus – und ein wesentlicher Marktteilnehmer ist dabei Microsoft. Der Abschlussprüfer muss das interne Kontrollsystem (IKS) des zu untersuchenden Unternehmens auditieren und hierzu zählt auch das interne Kontrollsystem in der IT (Generelle IT-Kontrollen).
Neben den Anforderungen, die der Cloud-Anbieter erfüllen muss, gibt es ebenso Anforderungen an den Abschlussprüfer. Sie legen fest, wie er sich verhalten muss, wenn sein Mandant insbesondere Rechnungslegungssysteme in die Cloud verlagert. Deshalb hat das Institut der Wirtschaftsprüfer (IDW) einen Rechnungslegungsstandard (IDW RS FAIT 5) zur Auslagerung und zum Cloud Computing veröffentlicht. Er definiert aus Sicht des Wirtschaftsprüfers die Anforderungen, die bei der Auslagerung erfüllt werden müssen.
Ein wesentlicher Punkt im Rechnungslegungsstandard IDW RS FAIT 5: Die Auslagerung wird als Prozess gesehen, der mit der Vorbereitung und den Vertragsverhandlungen beginnt. Er geht dann in die Aufbauphase über, in der die Voraussetzungen für die Auslagerung geschaffen werden. Anschließend findet die Nutzungsphase statt. Aus Sicht der Wirtschaftsprüfer sollte aber auch der Prozess des Abschlusses bzw. der Beendigung der Auslagerung bereits beim Vertragsabschluss mitberücksichtigt werden.
Das folgende Bild zeigt die Phasen des Auslagerungsprozesses aus Sicht der Wirtschaftsprüfer:
In Anlehnung an: IDW RS FAIT 5
Hieraus leitet sich ab, dass schon bei Vertragsabschluss die Beendigung der Auslagerung und die damit zusammenhängen Prozesse, Rechte und Pflichten vereinbart werden sollten.
Rechtliche Anforderungen kommen aus dem Bereich des Datenschutzes aber auch aus dem Steuerrecht. So schreiben § 146 Abs. 2 und 2a AO vor, dass sich die Server, auf denen die Daten für die Rechnungslegung grundsätzlich gespeichert werden, in Deutschland befinden müssen. Auslagerungen in das Ausland sind möglich, bedürfen aber der Abstimmung mit den Finanzbehörden. Hier ermöglicht es die Azure Cloud von Microsoft, die Datenverarbeitung auf in Deutschland befindliche Rechenzentren zu konzentrieren. Das sollte in den Verträgen aber auch aufgenommen werden.
Neben den steuerrechtlichen gibt es auch noch die datenschutzrechtlichen Anforderungen, die bei der Nutzung der Azure Cloud eingehalten werden müssen. Derzeit ist das noch das Bundesdatenschutzgesetzt (BDSG) und hier insbesondere § 11 Abs. 2 BDSG. Künftig wird es aber Art. 28 DSGVO sein. Beide Regelungen sind jedoch weitgehend ähnlich: Wichtig ist, dass aus Sicht des Datenschutzes eine Überwachung des Dienstleisters und hier dann der Azure Cloud erfolgen muss.
Daneben existieren auch handelsrechtliche Vorschriften, die ggfs. berücksichtigt werden müssen. So sind empfangene Handelsbriefe aufbewahrungspflichtig. Das gilt auch, wenn es sich dabei um Mails handelt und hierfür Microsoft Office 365 genutzt wird.
Neben den Anforderungen an die Auslagernden gibt es aber auch eine Anforderung an den Wirtschaftsprüfer, die sich aus den berufsständischen Pflichten ergibt: Der Abschlussprüfer ist nach den nationalen (IDW PS 331) aber auch den internationalen Prüfungsstandards (ISA 402) verpflichtet, sich einen Überblick über das ausgelagerte IKS zu verschaffen.
Das Problem: Der Abschlussprüfer hat keinerlei rechtliche Beziehungen zum Dienstleister und muss damit auf die vertraglichen Vereinbarungen zwischen dem Auslagernden und dem Dienstleister (bei der Azure Cloud) zurückgreifen. In den datenschutzrechtlichen Anforderungen ist zwar enthalten, dass Prüfungsrechte ausbedungen werden müssen, sie umfassen aber nicht die Prüfungsrechte des Abschlussprüfers. Das sollte auch hinsichtlich etwaiger Kosten im Vertrag geregelt werden.
Mit Blick auf die Azure Cloud kann man feststellen, dass Microsoft nach dem Service auch unterschiedliche Prüfberichte anbietet, die sich allerdings an den US-amerikanischen Prüfungsstandards (SOC 1 bis 3SSAE 18 und SSAE 16) orientieren. Sie wiederum orientieren sich an den internationalen Standards (hier ISAE 3402) und der deutsche Standard orientiert sich auch am ISAE 3402: Somit können sich der Auslagernde und der Abschlussprüfer anhand dieser Prüfungsberichte einen Überblick verschaffen über das IKS der Azure Cloud – und damit ihren Überwachungspflichten, bzw. Prüfungspflichten nachkommen.
Wer auslagert, darf nicht glauben, dass er damit die Verantwortung für die Auslagerung abgibt – sie verbleibt beim Auslagernden. Daher wird auch auf Basis des IDW RS FAIT 5 erwartet, dass der Auslagernde einen Prozess zur Überwachung der Dienstleister einrichtet. Das kann in der Auswertung von Service Level Agreements liegen, aber auch (wie schon dargestellt) in der Auswertung von Prüfungsberichten.
Zusammenfassend ist festzustellen, dass die Auslagerungen in die Cloud für den Abschlussprüfer relevant ist – zumindest, wenn es sich um Rechnungslegungssysteme, die Auslagerung des IT-Betriebs oder Auslagerungen im Bereich der IT-Sicherheit handelt. Die Azure Cloud ermöglicht es, die steuer-, handels- und datenschutzrechtlichen Anforderungen zu erfüllen. Daneben unterstützt Microsoft Unternehmen dabei, die Überwachung des Dienstleisters anhand von Prüfungsberichten vorzunehmen. Wir können Sie im Prozess der Auslagerung begleiten und Ihnen bei der Auswahl des Dienstleisters und auch der Vertragsgestaltung zusammen mit unseren Fachanwälten für IT-Recht unterstützen.
Frank Reutter
Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA
Partner
Anfrage senden