Dienstleistersteuerung – "Auslagerung entlässt nicht aus der Verantwortung"

Erstellt von Stefan Neubauer | |  BTadvice 2019-Q2

Viele Unternehmen stehen vor der Herausforderung, den steigenden Anforderungen durch Digitalisierung und Automatisierung zu begegnen und dabei den digitalen Wandel bestmöglich zu nutzen, um marktfähig zu bleiben. Personalkompetenz und die vorhandene IT-Infrastruktur müssen in diesem Zusammenhang häufig neu ausgerichtet werden – im Zeitalter von Cloud Computing stellt sich so schnell die Frage nach der Zukunftsfähigkeit der internen IT. Hierbei darf jedoch der Gesamtüberblick über ausgelagerte Prozesse und Aktivitäten nicht verloren gehen, um die Risiken der Auslagerung beim Dienstleister zu steuern.

Die Herausforderung der Digitalisierung beflügelt das Outsourcing in Deutschland – ein Trend, der auch in den kommenden Jahren weiter zunehmen wird. Durch die Vielfalt unterschiedlicher Anforderungen außerhalb der Kernkompetenz des Unternehmens können diese intern oft nur noch bedingt abgedeckt werden – Virtualisierung, Applikationsentwicklung, Cloud Computing und Managed Services spielen dann eine entscheidende Rolle und zeigen, wie sich die bisherige IT-Auslagerung wandelt. So sorgen Cloud-Alternativen als „Infrastructure as a Service (IaaS)“ sowie „Software as a Service (SaaS)“ für eine Veränderung im Markt. Spezialisierte Dienstleister betreiben dank entsprechendem Know-how ganzheitlich relevante Geschäftsprozesse wie Buchhaltung, Logistik oder HR im Rahmen eines Business Process Outsourcing (BPO). Und wenn dann neue IT-Funktionen als Dienstleistungen für Kunden angeboten werden, wird das eigene Unternehmen selbst zum Service Provider und muss rechtlichen und regulatorischen Anforderungen genügen.

Dabei sollte man nicht vergessen: Auslagerung entlässt nicht aus der Verantwortung!

Läuft beim Dienstleister etwas schief, so ist nicht der eigentliche Datenverarbeiter, sondern der Auftraggeber verantwortlich, wenn dieser seine Pflichten vernachlässigt hat. Auch wer die eigene IT an einen externen Dienstleister auslagert, ist für die Einhaltung von Gesetzen, Richtlinien und Standards verantwortlich (z. B. GoBD, BAIT, MaRisk, IT-Grundschutz (BSI) und IDW RS FAIT 1).

Neben den gesetzlichen und regulatorischen Anforderungen besteht auch betriebswirtschaftlich die Notwendigkeit, Dienstleistungen Dritter qualitativ und quantitativ einer regelmäßigen Kontrolle zu unterziehen. Hier sind der Grad der Abhängigkeit der Geschäftsprozesse von der Verfügbarkeit der IT und der Qualität der Dienstleistungserbringung sowie die Sensitivität der vom Dienstleister verarbeiteten Daten gute Indikatoren für die Bedeutung einer funktionierenden Auslagerung. Somit sollte es im firmeneigenen Interesse liegen, die Wirksamkeit der internen Kontrollen beim Dienstleister regelmäßig zu überprüfen bzw. überprüfen zu lassen. Gerade für die stark regulierte Finanzbranche bestehen hier striktere Vorgaben (u. a. Überwachung beim Leistungserbringer), die jedoch im Kern auch für alle Nicht-Banken von Relevanz sind. Die Dienstleistersteuerung entwickelt sich zu einer wichtigen Schaltstelle im Unternehmen – stetige Optimierung und Standarisierung der Prozesse erfordern eine effiziente Steuerung und Überwachung des Dienstleisters durch das Unternehmen.

Welche Themen sind hier jeweils besonders zu würdigen?

Nachdem die Verantwortung für die Ordnungsmäßigkeit und Sicherheit beim auslagernden Unternehmen verbleibt, sind insbesondere folgende Aspekte zu beachten:

  • Abstimmung des Risiko- und Kontrollsystems beim Dienstleister mit dem unternehmenseigenen internen Kontrollsystem (IKS), auch deshalb, weil nach IDW PS 331 der Wirtschaftsprüfer verpflichtet ist, ausgelagerte Prozesse und deren Kontrollen beim Dienstleister im Rahmen seiner IKS-Prüfung zu berücksichtigen.
     
  • Regelung der Verfügbarkeit und Leistungsfähigkeit in einem Service Level-Agreement (SLA) mit Key-Performance-Indikatoren (KPIs) zur regelmäßigen Messung und Beurteilung der Leistung des Dienstleisters.
     
  • Sicherstellen von Compliance hinsichtlich der IT-Security, bei Leistungen wie der Installation von Updates und Patches, Datensicherung oder Security-Checks via vertraglich vereinbarte Reports und Berichte.
     
  • Audit des externen Dienstleisters zur Sicherstellung der gesetzlichen Pflichten und Vorgaben sowie der Normen und Branchenstandards.

Beim Dienstleistungsunternehmen sind insbesondere folgende Aspekte zu berücksichtigen:

  • Aufbau eines internen Kontrollsystems für auf das Dienstleistungsunternehmen ausgelagerte Funktionen zur Darstellung der Konformität mit handels- und steuerrechtlichen Vorgaben, ISO-Normen sowie anerkannten Frameworks (COBIT, ITIL).
     
  • Nachweis der Wirksamkeit durch Prüfberichte nach IDW PS 951 („Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen“) oder ISAE 3402 oder SOC 1 bzw. SOC 2.
     
  • Kontinuierliches Reporting der SLA-Einhaltung, in welchem die Leistungskenngrößen und der KPI transparent dargestellt werden.

Baker Tilly unterstützt und berät Sie umfassend bei all Ihren Outsourcing-Maßnahmen als Kunde oder Dienstleister – von der projektbegleitenden Implementierung einer maßgeschneiderten und effizienten Dienstleistersteuerung bis hin zur Prüfung nach IDW PS 951, ISAE 3402 / SSAE 18, § 8a BSIG oder einer Zertifizierung nach ISO 27001. Dabei berücksichtigen wir neben betriebswirtschaftlichen Aspekten auch die komplexen rechtlichen, regulatorischen und steuerlichen Anforderungen an Ihre IT-Umgebung.

Zurück