03765 Interne Kontrollsysteme (IKS) – Ausgelagerte Prozesse nach IDW PS 951 n. F. prüfen

Die Auslagerung von (Teil-)Prozessen (sog. Outsourcing) kann einer Organisation helfen, Kosten zu sparen und flexibel auf ein geändertes Umfeld zu reagieren. Neben der Einsparung von Ressourcen, die ansonsten in nicht zu den Kernprozessen gehörenden Aktivitäten gebunden wären, kann auch das Fehlen von speziellem Know-how der Grund für eine Auslagerung sein. Verschiedene Formen der Auslagerung (von Kooperationen über Co-Sourcing bis hin zum Total Outsourcing) haben gemeinsam, dass die Wirksamkeit des Internen Kontrollsystems (IKS) für die ausgelagerten (Teil-)Prozesse sichergestellt werden muss. Die Verantwortung für die ausgelagerten (Teil-)Prozesse verbleibt beim auslagernden Unternehmen. Das auslagernde Unternehmen kann diese Verantwortung durch eine Prüfung des IKS beim Dienstleistungsunternehmen wahrnehmen. Aufgrund der weltweit steigenden Bedeutung der Auslagerung von Funktionen und Dienstleistungen hat das IDW einen Prüfungsstandard verabschiedet, der auf internationalen Normen basiert. Die Anforderungen und notwendigen Maßnahmen zur Sicherstellung der Wirksamkeit eines IKS für spezielle Funktionen und Dienstleistungen stellt den Schwerpunkt der folgenden Ausführungen dar. Dabei sollen praxisnahe Hilfestellungen gegeben werden, die zur Vorbereitung auf eine Prüfung nach IDW PS 951 n. F. aus Sicht des zu prüfenden Dienstleisters dienen können.

Die Vorlage unterstützt Sie bei der Beurteilung der Wirksamkeit eines IKS. Die Anwendung des Verfahrens ist im Beitrag beschrieben.

Zur Erfüllung des Prinzips „Auswahl und Entwicklung genereller IT-Kontrollen” ist für das dienstleistungsbezogene Interne Kontrollsystem bei Auslagerung von IT-Prozessen in der Arbeitshilfe ein Beispiel für den Ausschnitt aus einer IT-RKM basierend auf COBIT dargestellt. Darin werden die Subprozesse Entwicklung und Implementierung, Betrieb, Änderungsmanagement, Betriebskontinuität und Informationssicherheit unterschieden.

Die Arbeitshilfe ist eine umfassende Checkliste zur Vorbereitung einer Prüfung nach IDW PS 951 n. F. zur Sicherung einer vollständigen und effektiven Projektvorbereitung und Projektdurchführung. Sie fasst alle im Beitrag aufgeführten Punkte und Anforderungen zusammen: Projektziel, Prüfungsgegenstand und Prüfungsziel; relevante Rahmenwerke, Prüfungsstandards und Stellungnahmen; zugrunde gelegte Kriterien des dienstleistungsbezogenen IKS; Verwertung der Arbeit Dritter; Subdienstleistungen; Anforderungen an die IKS-Beschreibung und die Erklärung der gesetzlichen Vertreter; Selbstbeurteilung der Wirksamkeit des dienstleistungsbezogenen IKS und Gap-Analyse. Sie ermöglicht die umfassende Dokumentation zur Sicherstellung der Vollständigkeit aller notwendigen Maßnahmen und Inhalte.