Prüfungen beim Dienstleister nach IDW PS 951 in der Gesundheits- und Sozialwirtschaft

Durch die Digitalisierung von Verfahren und die Nutzung von Cloud Computing erfolgt zunehmend die Auslagerung von Unternehmensdaten und (Teil-)Prozessen. Das Outsourcing ermöglicht das Fokussieren auf die eigenen Kernprozesse. Auch die vereinfachte Umsetzung von Sicherheitsanforderungen kann ein Vorteil für auslagernde Unternehmen des Gesundheitswesens darstellen. 

Die Verantwortung bleibt bei Ihnen!

Hierbei ist jedoch zu beachten, dass die Verantwortung für die auslagernden Prozesse und Daten stets beim auslagernden Unternehmen verbleibt. Da gerade in der Gesundheits- und Sozialwirtschaft sensible Daten vorliegen, sind Kontrollmaßnahmen durch das auslagernde Unternehmen durchzuführen, um die Einhaltung von Anforderungen an den Dienstleister zu überwachen. Eine Prüfung beim Dienstleistungsunternehmen kann auch im Rahmen der Jahresabschlussprüfung des auslagernden Unternehmens durch den Wirtschaftsprüfer erfolgen. Professionelle Dienstleister können dadurch einer Vielzahl an externen Anforderungen und Prüfungen unterliegen, weshalb eine Prüfung durch den einzelnen Wirtschaftsprüfer meist nicht erwünscht ist.

Zertifizierung als Nachweis der Qualität des Internen Kontrollsystems

Für das Dienstleistungsunternehmen lohnt sich daher häufig die Beauftragung einer Prüfung des Internen Kontrollsystems (IKS) durch eine unabhängige Wirtschaftsprüfungsgesellschaft, um Kunden ein angemessenes und wirksames Internes Kontrollsystem vorweisen zu können. Nach erfolgreichem Abschluss einer Prüfung nach Prüfungsstandard IDW PS 951 wird die Angemessenheit (Typ 1) oder die Angemessenheit und Wirksamkeit (Typ 2) des Internen Kontrollsystems bescheinigt.

Eine Prüfung und Bescheinigung des Internen Kontrollsystems bringt dabei zwei entscheidende Vorteile mit sich.

„Eine Prüfung für alle”

Durch die Prüfung kann sich der Ressourcenaufwand der Mitarbeiter des Dienstleistungsunternehmens für externe Prüfungen stark reduzieren, denn der Bericht kann für alle Kunden genutzt werden, die diese Dienstleistung und das entsprechende IKS nutzen.

Durch die „Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen” (IDW PS 951) erfolgt eine umfassende Prüfung und Bescheinigung der Wirksamkeit eines angemessenen IKS, sodass sich weitere Prüfungen durch externe Prüfer in den abgedeckten Bereichen i.d.R. erübrigen.

Zertifizierung als Marketing-Instrument

Die Bedeutung von IT-Sicherheit und Transparenz nimmt deutlich zu, insbesondere für Dienstleister. Der Nachweis eines angemessenen IT-Sicherheitsniveaus bietet nicht nur Wettbewerbsvorteile gegenüber Konkurrenten, vielmehr wird dieser Nachweis mittlerweile standardmäßig verlangt und kann ein K.O.-Kriterium bei Nichterbringung sein.

Durch die zahlreichen Regelungen und gesetzlichen Anforderungen sowie der Sanktionierung bei Nichteinhaltung (Beispiel DSGVO) betrifft dies auch zunehmend kleine und mittlere Unternehmen (KMU). In der Gesundheitsbranche ist aufgrund der sehr sensiblen Daten und dem besonderen öffentlichen Interesse ohnehin eine erhöhte Sensibilität für IT-Risiken notwendig.

Als Nachweis einer professionellen Struktur und eines funktionierenden IKS der Dienstleister von Krankenhäusern und Krankenkassen hat sich der Standard IDW PS 951 bereits bewährt.

Eine Zertifizierung hilft Kunden und Dienstleistern

Egal ob Sie Kunde oder Dienstleister sind, der ausgelagerte Funktionen abgegeben bzw. übernommen hat: Sie profitieren von einer Zertifizierung nach IDW PS 951.

Als Kunde können Sie sicher sein, dass Ihre Prozesse in guten Händen sind und dass ein funktionierendes IKS vorliegt. Bei der Auswahl eines neuen Dienstleisters sollten Sie daher immer entsprechende Zertifizierungen verlangen!

Als Dienstleister können Sie Ihre Qualität gegenüber Neukunden nachweisen. Ein Internes Kontrollsystem funktioniert aber nie in allen Fällen – falls doch mal was passiert, haben Sie aber den Nachweis, dass Sie ein geeignetes IKS aufgebaut haben, um die Risiken zu vermeiden – und somit ein Organisationsverschulden von sich weisen können.

Wir unterstützen Sie gerne!

Sollten Sie Fragen zum Aufbau sowie der Dokumentation eines Internen Kontrollsystems oder zur Prüfung nach IDW PS 951 in der Gesundheits- und Sozialwirtschaft bzw. dem internationalen Standard ISAE 3402 haben, stehen wir Ihnen sehr gerne zur Verfügung.