-- WEBONDISK OK --

03765 Interne Kontrollsysteme (IKS) – Ausgelagerte Prozesse nach IDW PS 951 n. F. prüfen

Die Auslagerung von (Teil-)Prozessen (sog. Outsourcing) kann einer Organisation helfen, Kosten zu sparen und flexibel auf ein geändertes Umfeld zu reagieren. Neben der Einsparung von Ressourcen, die ansonsten in nicht zu den Kernprozessen gehörenden Aktivitäten gebunden wären, kann auch das Fehlen von speziellem Know-how der Grund für eine Auslagerung sein. Verschiedene Formen der Auslagerung (von Kooperationen über Co-Sourcing bis hin zum Total Outsourcing) haben gemeinsam, dass die Wirksamkeit des Internen Kontrollsystems (IKS) für die ausgelagerten (Teil-)Prozesse sichergestellt werden muss. Die Verantwortung für die ausgelagerten (Teil-)Prozesse verbleibt beim auslagernden Unternehmen. Das auslagernde Unternehmen kann diese Verantwortung durch eine Prüfung des IKS beim Dienstleistungsunternehmen wahrnehmen. Aufgrund der weltweit steigenden Bedeutung der Auslagerung von Funktionen und Dienstleistungen hat das IDW einen Prüfungsstandard verabschiedet, der auf internationalen Normen basiert. Die Anforderungen und notwendigen Maßnahmen zur Sicherstellung der Wirksamkeit eines IKS für spezielle Funktionen und Dienstleistungen stellt den Schwerpunkt der folgenden Ausführungen dar. Dabei sollen praxisnahe Hilfestellungen gegeben werden, die zur Vorbereitung auf eine Prüfung nach IDW PS 951 n. F. aus Sicht des zu prüfenden Dienstleisters dienen können.
Arbeitshilfen:
von:

1 Einführung

Die Auslagerung von (Teil-)Prozessen (Outsourcing) wie z. B. von Dienstleistungen im Bereich der Buchführung, des Personals und der Informationstechnologie (IT) soll insbesondere dazu dienen, Kosten zu sparen und flexibel auf geänderte Rahmenbedingungen reagieren zu können. Organisationen versuchen damit zu vermeiden, dass Ressourcen in Prozessen gebunden werden, die nicht zu ihren Kernkompetenzen gehören. Auch das Fehlen von speziellem Know-how kann der Grund für die Auslagerung von Prozessen sein.
Formen der Auslagerung
In der Praxis existieren verschiedene Formen der Auslagerung von Tätigkeiten. Beginnend bei der Unterstützung in speziellen Fragestellungen (Kooperation) über die teilweise Auslagerung von Tätigkeiten (Co-Sourcing oder Partial Outsourcing) bis hin zur vollständigen Auslagerung von Prozessen (Total Outsourcing) finden sich heute viele Abstufungen der Zusammenarbeit (insbesondere im Bereich der IT).
Risikobeurteilung
Bei der Beurteilung des Kontrollrisikos und der Überwachung des Internen Kontrollsystems (IKS) im eigenen Unternehmen sind die Ergebnisse von Systemprüfungen des IKS im Dienstleistungsunternehmen zu berücksichtigen. In den Dienstleistungsunternehmen können organisatorisch vom eigenen Unternehmen abweichende Regelungen (d. h. Grundsätze, Verfahren und Maßnahmen) eingerichtet sein und räumlich getrennt durchgeführt werden, die sich unmittelbar auf das IKS des eigenen Unternehmens auswirken.
Die Risikobeurteilung des eigenen IKS ist von der Gestaltung des Vertrags mit dem Dienstleistungsunternehmen abhängig. Ein Dienstleistungsunternehmen, das mit Teilen der Prozesse des Unternehmens betraut ist, kann diese Tätigkeit auf folgender Grundlage ausüben:
eindeutige Anweisungen und Durchführung von Tätigkeiten
Erzielung eines vorher vertraglich vereinbarten Ergebnisses durch eigene Regelungen
Ausgelagerte Prozesse kontrollieren
Die Risikobeurteilung des eigenen Unternehmens muss die Erkenntnisse über die Arten der vertraglichen Regelungen berücksichtigen. In diesem Zusammenhang wird deutlich, dass die Auslagerung von Prozessen nicht zu einem „sorglosen” Umgang mit Kontrollrisiken führen darf. Die vertraglich gesicherte Auslagerung von Tätigkeiten allein entlastet die Unternehmensleitung nicht von der Verpflichtung zur Einrichtung und Aufrechterhaltung eines verlässlichen IKS bezogen auf die ausgelagerten Dienstleistungen (dienstleistungsbezogenes IKS). Die ausgelagerten Prozesse sind in Bezug auf das IKS im Prinzip so zu behandeln, als würden die Tätigkeiten im eigenen Unternehmen ausgeführt.
Aspekte der Beurteilung
Die Beurteilung des Kontrollrisikos muss die Umstände des Einzelfalls und dabei insbesondere die folgenden Aspekte berücksichtigen:
Art der von einem Dienstleistungsunternehmen übernommenen Aufgaben
Standardisierungsgrad der Arbeiten
Auftragsbedingungen
Auswirkungen der ausgelagerten Tätigkeiten auf wesentliche Aussagen im Jahresabschluss und im Lagebericht
Regelungen des IKS im eigenen Unternehmen, die die in das Dienstleistungsunternehmen ausgelagerten Tätigkeiten betreffen
wirtschaftliche Situation des Dienstleistungsunternehmens und seine Fähigkeit zur Durchführung der übernommenen Aufgaben im vertraglich vereinbarten Zeitraum
Auswirkungen eines Ausfalls des Dienstleistungsunternehmens auf das eigene Unternehmen
Betriebliche Notwendigkeit
Die Prüfung des dienstleistungsbezogenen IKS wird inzwischen zur betrieblichen Notwendigkeit, um für andere Unternehmen Dienstleistungen zu erbringen. Immer mehr wird im Fall der Auslagerungen der explizite Nachweis eines wirksamen IKS für diese Dienstleistungen als Voraussetzung der Geschäftsbeziehung verlangt.
Aufgrund der stetig wachsenden Bedeutung der Auslagerung von Dienstleistungen und damit der Prüfung von dienstleistungsbezogenen IKS hat das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) [1] erstmals im Jahr 2007 einen eigenen Prüfungsstandard dazu verabschiedet.

2 IDW PS 951 n. F. als Standard zur Prüfung eines dienstleistungsbezogenen IKS im Fall der Auslagerung von Prozessen

Neufassung des Prüfungsstandards
Das IDW hat im Jahr 2013 eine Neufassung des „IDW Prüfungsstandards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW PS 951 n. F.)” [2] verabschiedet, in dem die Gewinnung eines Verständnisses über Art, Inhalt und Ausgestaltung der zu prüfenden Dienstleistungen sowie über deren Bedeutung für das auslagernde Unternehmen und dessen Abschlussprüfer konkretisiert wird.
Internationale Entsprechungen
IDW PS 951 n. F. steht im Einklang mit dem International Standard on Assurance Engagements (ISAE) 3402 „Assurance Reports on Controls at a Service Organization” sowie mit dem diesem Standard zugrunde liegenden ISAE 3000 „Assurance Engagements Other Than Audits or Reviews of Historical Financial Information”. Während im internationalen Bereich unterschieden wird, ob es sich um interne Kontrollen mit Bezug auf die Rechnungslegung (ISAE 3402) oder um operationelle interne Kontrollen (ISAE 3000) handelt, gibt es diese Unterscheidung bei IDW PS 951 n. F. nicht. Voraussetzung für die Anwendung des IDW PS 951 n. F. ist jedoch, dass der Auftraggeber die Verantwortung für das dienstleistungsbezogene IKS trägt und bereit ist, dazu eine schriftliche Erklärung abzugeben.
Verantwortung
In dem IDW PS 951 n. F. wird betont, dass die Verantwortung für die in den ausgelagerten Prozessen enthaltenen internen Kontrollen beim auslagernden Unternehmen verbleibt. Mit Anwendung des Prüfungsstandards soll eine Aussage zu dem die ausgelagerten Prozesse und Funktionen betreffenden IKS getroffen werden.

Weiterlesen und den „Information Security Management“ 4 Wochen gratis testen:

  • Das komplette Know-how in Sachen Informationssicherheit und Datenschutz
  • Zugriff auf über 230 Fachbeiträge und 210 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal