Kontrolle des IT-Dienstleisters über Zertifikate und Bescheinigungen am Beispiel des IDW PS 951

veröffentlicht am 9. April 2015

Mit der Vergabe von IT-Leistungen an einen Dritten sowie der sich anschließenden Vertragsschließung endet oftmals die systematisierte Kontrolle. Zu diesem Zeitpunkt verlangte Zertifikate und Bescheinigungen werden zu den Akten gelegt – Haken dran. Sie bieten aber einen häufig unterschätzten Ansatz, den IT-Dienstleister dauerhaft zu kontrollieren und sinnvolle Maßnahmen – auch unterjährig – anzulegen. Anhand des Prüfungsstandards 951 des IDW zeigen wir auf, wie solch eine Kontrolle – auch für beide Seiten – Nutzen stiften kann.

Sie kennen vielleicht die Bescheinigung nach IDW PS 951. Sie bekommt dann Geltung, wenn ein Unternehmen (A) Leistungen an ein Unternehmen (B) ausgelagert hat und diese Leistungen aus Sicht der Jahresabschlussprüfung relevant sind, also einen Rechnungslegungsbezug aufweisen.

Das ist dann der Fall, wenn es sich z. B. um Lohn- und Gehaltsabrechnungen oder den gesamten IT-Betrieb (Rechenzentrum) handelt.

Genau heißt diese Bescheinigung: „Bescheinigung eines unabhängigen Wirtschaftsprüfers über die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems und die Ausgestaltung und Wirksamkeit von Kontrollen”. Ein Titel, der nur schwer zum Weiterlesen verleitet.

Es gibt von der Bescheinigung zwei Arten. Der Typ 1 bestätigt lediglich die Beschreibung des internen Kontrollsystems sowie die Ausgestaltung der Kontrollen. Typ 2 geht eine Stufe weiter und bestätigt auch deren Wirksamkeit.

Wie muss man sich dies nun genau vorstellen?

Das Dienstleistungsunternehmen (B) beschreibt Kontrollziele und Kontrollen über die dem kompletten Dienstleistungsprozess zugeordnete Aufbau- und Ablauforganisation – inklusive den Prozessteilen, die der Kunde verantwortet. Ein Beispiel für eine Kontrolle wäre wie folgt:

Kontrollziel: Sicherstellung der Einhaltung der Vorgaben zur Genehmigung und Genehmigungsprüfung bei der SAP-Benutzeranlage/-änderung

Kontrollbeschreibung: Anhand der SAP-Änderungsbelege wird über eine Stichprobe eine definierte Anzahl von Belegen ausgewählt. Hier wird die Einhaltung der Vorgaben zur Genehmigung und Genehmigungsprüfung bei der SAP-Benutzeranlage/-änderung geprüft.

Kontrollmethode: Funktionstest, Sichtprüfung bzw. Belegprüfung in Stichproben, einmal im Quartal, schriftliche Dokumentation

Der Umfang einer Kontrollbeschreibung kann beachtlich sein und ist abhängig von Dienstleistergröße und Leistungsumfang.

Erste Qualitätsstufe

Zunächst einmal muss man festhalten, dass eine solche umfassende Beschreibung der internen Kontrollen durch den Dienstleister, wenn sie denn vorliegt, eine sehr gute Grundlage darstellt. Jedes Kundenunternehmen (A) wird sich im Rahmen der Auslagerung Prüfrechte beim Dienstleister (B) eingeräumt haben, um die Einhaltung der Ordnungsmäßigkeit in Bezug zu seinen Leistungen überprüfen zu können. Da ist es deutlich von Vorteil, wenn solche Dokumentationen vorliegen.

Zweite Qualitätsstufe

Ideal ist es, wenn ein neutraler Wirtschaftsprüfer die Beschreibung und Ausgestaltung (Typ 1) sowie – noch besser – die Wirksamkeit (Typ 2) der Kontrollen des Dienstleisters (B) prüft und diese bescheinigt, denn: Papier ist geduldig! Hierzu nimmt der Wirtschaftsprüfer Prüfungshandlungen vor, ob die beschriebenen Kontrollen vorhanden und wirksam sind.

Dritte Qualitätsstufe

Leider ist unsere Wahrnehmung, dass bei den Kundenunternehmen oftmals nur die zweite Qualitätsstufe erreicht wird, da sie die Bescheinigungen und die mit ihr gelieferten Beschreibungen kurz sichten und zu den Akten legen.

Aus unserer Sicht sind weitere Qualitätsstufen zu erreichen. Zum einen ist es notwendig, dass sich das Kundenunternehmen mit den Kontrollen des Dienstleisters in der Gestalt auseinander setzt, dass es feststellt, ob dessen Kontrollen zu dem eigenen internen Kontrollsystem und zu den ausgelagerten Leistungen passen.

Es dürfen keine Konflikte, Widersprüche oder Kontrolllücken entstehen. Leider ist dies trotz Bescheinigung oftmals gegeben.

Vierte Qualitätsstufe

Eine weitere Qualitätssteigerung ist zu erreichen, wenn sich das Kundenunternehmen aktiv auf die Kontrollen des Dienstleisters einlässt und ein konkretes unterjähriges Monitoring/Berichtswesen aufbaut bzw. ein bestehendes um die Kontrollen und Ergebnisse ergänzt. Am obigen Beispiel würde dies u. a. bedeuten, dass sich das Kundenunternehmen einmal im Quartal seitens des Dienstleisters bestätigen lässt, dass es bei den eigenen SAP-Nutzern explizit zu keinen Auffälligkeiten gekommen ist.

Fünfte Qualitätsstufe

Zu oft leben Steuerungsinstrumente nebeneinander her. Zum einen gibt es den Rahmenvertrag mit seinen Leistungsscheinen, dann werden auf sehr technischer Ebene Service-Level-Agreements getroffen, einmal im Monat findet eine abrechnungsspezifische Leistungskontrolle statt und zuletzt gibt es die Bescheinigung nach PS 951.

Alle Steuerungs- und Kontrollinstrumente sind aufwendig und werden noch aufwendiger, wenn sie nebeneinander her betrieben werden. Ein sinnvolles kunden- wie dienstleisterseitiges Verständnis für unternehmensübergreifendes IT-Governance ist hier zielführend.

Wenn Sie Interesse an einer Steigerung der Steuerungs- und Kontrollqualität haben, würden wir Sie gerne dabei unterstützen.