Cloud Computing/Outsourcing
Compliance in Outsourcingprozessen effektiv managen und zertifizieren
Outsourcing bietet viele Vorteile. Trotzdem bleiben beim Outsourcinggeber oft Zweifel bezüglich der Verarbeitungsqualität. Deshalb heißt es für den Outsourcinggeber: Risiken managen – während der Outsourcingnehmer die Transparenz- und Vertrauenslücke durch die Zertifizierung ausgewählter Kontrollen zu schließen hat.
Gemeinsam ans Ziel – unser Coaching-Ansatz
Projektbegleitend
Egal, ob Sie als Dienstleister Ihre Outsourcingprozesse zertifizieren möchten oder als Kunde eines Dienstleistungsunternehmens ein effektives Kontrollsystem zur Steuerung und Überwachung der ausgelagerten Prozesse etablieren möchten – wir unterstützen und coachen Sie während der gesamten Projektlaufzeit.
Zunächst bestimmen wir mit Ihnen gemeinsam die richtigen, für Ihre Zwecke passenden Prüfungsnormen und Prüfungszeiträume. Dann wählen wir die zu prüfenden Prozesse und Kontrollen aus. Auch beim Design und der Dokumentation Ihrer Kontrollen unterstützen wir Sie: mit Vorlagen, Frameworks, Best-Practice Dokumentationen und möglichen Prüfspuren. Auf Wunsch bewerten wir mit Ihnen kontinuierlich oder zu Milestones die Kontrollprozesse sowie die Qualität Ihrer Kontrollnachweise.
Maßgeschneidert
Genau so individuell wie Ihre Dienstleistung, ist auch Ihr Projektteam: Wir stellen es eigens für Sie zusammen. Unsere Mitarbeiter führen jedes Jahr über 30 branchenübergreifende Dienstleisterzertifizierungen durch.
Im Finanzdienstleister-Umfeld beispielsweise besteht unser interdisziplinäres Team aus ISMS-Experten mit technischer Expertise sowie aus Prozessspezialisten mit MaRisk/xAIT-Know-How. HR-Projekte dagegen betreuen unsere Lohnabrechnungsspezialisten. Internationale Projekte bilden wir über unser Netzwerk ab.
Integriert
Der Geschäftsbereich IT-Revision steht für ganzheitliche Lösungsansätze. Unsere Experten aus neun Schwerpunktthemen sind ein Team unter einheitlicher Führung. Deshalb arbeiten unsere Spezialisten eng zusammen – ganz ohne organisatorische Hürden.
Unsere Kollegen aus den verschiedenen Compliance-Bereichen erarbeiten gemeinschaftlich integrierte Lösungsansätze, die wir an die Bedürfnisse unserer Kunden anpassen.
Beispielsweise können wir für das Outsourcing wichtige Kontroll- und Überwachungsprozesse so in Ihren Prozessen verankern, dass Kontrollen ebenfalls bei einer ISO 27001-Zertifizierung als Nachweis des „Lebens des ISMS“ genutzt werden. Das vermeidet Redundanzen und Ineffizienz.
Sie sind Outsourcing-Geber oder -Nehmer? Wir bieten Lösungen für jeden Blickwinkel. Bitte wählen Sie Ihren Bereich aus für weitere Informationen.
Für Outsourcing-Nehmer
Mit einer Zertifizierung Transparenz und Vertrauen für Ihre Kunden
Ist das Kontrollumfeld für Ihre ausgelagerten Prozesse angemessen und sicher? Werden die verschiedenen Compliance-Anforderungen bei der Verarbeitung eingehalten? Um diese Fragen dreht sich alles, wenn Unternehmen Geschäftsprozesse (oder Teile davon) an Dienstleister auslagern. Sie stellen sich nicht nur Ihren Kunden, sondern auch dem Gesetzgeber, Aufsichtsbehörden, Wirtschaftsprüfern und Datenschützern.
Für sie alle sind die Kontrollprozesse der Auslagerung meistens intransparent. Deshalb schreiben berufs- und aufsichtsrechtliche Regelungen auch Prüfungen vor Ort bei Ihnen als Outsourcing-Nehmer vor: Funktionieren die internen Kontrollen? Sind Risiken vorhanden? Wie ist ihnen entgegenzuwirken? Solche Prüfungen pro Einzelkunde sind für Kunden, deren Wirtschaftsprüfer und für Sie selbst als Dienstleister jedoch aufwändig und kostenintensiv.
Probleme des Outsourcings aus Governance-Sicht
Abhilfe schafft hier eine Dienstleisterzertifizierung: Ausgewählte Kontrollen werden beim Dienstleistungsnehmer für ganze Kundengruppen geprüft und die Ergebnisse in einem transparenten Prüfungsbericht für Ihre Kunden dargestellt.
Ihr Weg zur erfolgreichen Zertifizierung
Als unabhängige Wirtschaftsprüfungsgesellschaft führen wir im Geschäftsbereich IT-Revision Dienstleisterzertifizierungen durch. Wir unterstützen Sie auch darüber hinaus: Damit Sie als Dienstleister die Bescheinigung zielführend nutzen können.
- Wahl des geeigneten Standards als Grundlage für die Prüfung
- Festlegen eines passenden Beurteilungszeitraums
- Bestimmen des Prüfungsansatzes (Typ 1 oder Typ 2)
- Auswahl von Kontrollen im richtigen Umfang
(Zu viele Kontrollen sind kostenintensiv, zu wenige bzw. die falschen Kontrollen entsprechen vielleicht nicht den Bedürfnissen des Outsourcinggebers.) - Umsetzung von im Unternehmensalltag lebbaren Kontrollen
- Wir sind nicht nur „Prüfer“, sondern Sparringspartner und begleiten Sie durch Ihr gesamtes Projekt. Mit uns erfüllen Sie die Anforderungen der Berichtsempfänger optimal.
- Wir coachen Sie bei Kontrollbeschreibungen und bewerten mit Ihnen in optionalen Workshops die Kontrollprozesse sowie die Qualität Ihrer Kontrollnachweise.
- Durch die verteilte kontinuierliche Prüfung erhalten Sie regelmäßig und zeitnah Feedback. So können Sie zum Beispiel eine IKS-Beschreibung frühzeitig anpassen.
Überblick zu den gängigen Standards für Dienstleisterzertifizierungen
ISAE 3402
Standard: ISAE 3402
Bezeichnung: Assurance Report on Controls at a Service Organization
Fokus: Interne Kontrollen mit Relevanz für den Jahresabschluss
Adressat: In erster Linie Wirtschaftsprüfer
Kriterienkatalog: Keiner, Kontrollziele und Kontrollen sind individuell zu erarbeiten
SOC 1
Standard: SOC1
Bezeichnung: Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting
Fokus: Interne Kontrollen mit Relevanz für den Jahresabschluss
Adressat: In erster Linie Wirtschaftsprüfer
Kriterienkatalog: Keiner, Kontrollziele und Kontrollen sind individuell zu erarbeiten
IDW PS951
Standard: IDW PS951
Bezeichnung: Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen
Fokus: Interne Kontrollen mit Relevanz für den Jahresabschluss
Adressat: In erster Linie Wirtschaftsprüfer
Kriterienkatalog: Keiner, Kontrollziele und Kontrollen sind individuell zu erarbeiten
ISAE 3000
Standard: ISAE 3000
Bezeichnung: Assurance Engagements Other than Audits or Reviews of Historical Financial Information
Fokus: Interne Kontrollen die keine Relevanz für den Jahresasabschluss haben
Adressat: Breiter Adressatenkreis je nach ausgewählten Kriterien (z. B. Datenschützer, ISMS Verantwortliche, Kunden etc.)
Kriterienkatalog: Keiner, Kontrollziele und Kontrollen sind individuell zu erarbeiten
BSI C5
Standard: BSI C5
Bezeichnung: Cloud Computing Compliance Controls Catalogue (C5)
Fokus: Interne Kontrollen aus 17 Kontrollbereichen (Fokus Cloud Computing)
Adressat: Breiter Adressatenkreis je nach ausgewählten Kriterien (z. B. Datenschützer, ISMS Verantwortliche, Kunden etc.)
Kriterienkatalog: Definierter Kriterienkatalog mit Kontrollzielen und Kontrollvorgaben
IDW PS860
Standard: IDW PS860
Bezeichnung: IT-Prüfung außerhalb der Abschlussprüfung
Fokus: IT-Kontrollen die keine Relevanz für den Jahresasabschluss haben
Adressat: Breiter Adressatenkreis je nach ausgewählten Kriterien (z. B. Datenschützer, ISMS Verantwortliche, Kunden etc.)
Kriterienkatalog: Keiner, Kontrollziele und Kontrollen sind individuell zu erarbeiten
SOC2
Standard: SOC2
Bezeichnung: Reporting on an Examination of Controls at a Service Organizati-on Relevant to Security, Availability, Processing Integrity, Conf-dentiality, or Privacy
Fokus: Interne Kontrollen mit Relevanz in den Bereichen Informations-sicherheit, Verfügbarkeit, Vertraulichkeit, Verabeitungsintegri-tät und Personaldatenschutz
Adressat: Wirtschaftsprüfer, ISMS Verantwortliche, Datenschützer Revisoren, Kunden etc.
Kriterienkatalog: Definierter Kriterienkatalog mit Kontrollvorgaben
Für Outsourcing-Geber
Minimieren Sie Ihre Auslagerungsrisiken
Die Verantwortung für die ordnungsgemäßen Prozessabläufe liegt immer beim Unternehmen. Selbst wenn dieses ganze Geschäftsprozesse, Teilprozesse oder auch nur einzelne Tätigkeiten (z. B. die Speicherung und Verarbeitung von Daten) an Dienstleister auslagert. Als gesetzlicher Vertreter garantiert der Outsourcing-Geber die Einhaltung der jeweiligen Ordnungsmäßigkeitsanforderungen.
Diese können aus vielfältigen Compliancegebieten herrühren. Beispielsweise handels- und steuerrechtliche Vorgaben, aber auch datenschutz- oder informationssicherheitsrelevante Normen.
Doch als auslagerndes Unternehmen wissen Sie zunächst nicht, ob Ihr Dienstleister die entsprechenden Normen in Ihrem Sinne einhält. In der Praxis hat sich deshalb die Dienstleisterzertifizierung in Form der Prüfung des internen Kontrollsystem des Dienstleisters nach verschiedenen Standards etabliert. So gehen Sie sicher, dass der Dienstleister ein internes Kontrollsystem aufgebaut hat und dieses auch tatsächlich lebt. Das senkt Ihr Risiko, für fehlerhafte Prozessabläufe beim Dienstleister einstehen zu müssen oder Sie erkennen frühzeitig, dass Gegenmaßnamen notwendig werden.
Deshalb sollten Sie je nach Art der Auslagerung einen Outsourcing-Bericht über das dienstleistungsbezogene interne Kontrollsystem von Ihrem Dienstleister einholen. Diese Berichte liegen dort meistens bereits für die Standardauslagerungsprozesse vor.
Berichte zu Dienstleisterzertifizierungen richtig lesen – eine kleine Hilfestellung
Outsourcingberichte werden häufig nur abgelegt, der Outsourcing-Geber verwertet sie nicht weiter. Aber: Ein Outsourcingbericht sagt nicht automatisch aus, dass alle Kontrollen beim Dienstleister funktionieren. Im Gegensatz zu einer ISO 27001-Zertifizierung beispielsweise: Hier erhält man das Zertifikat nur nach bestandener Prüfung.
Outsourcingberichte führen jede einzelne interne Kontrolle im Bericht auf, bewerten sie und treffen jeweils ein Prüfungsurteil. Zu einer vollständigen Versagung kommt es nur, wenn das interne Kontrollsystem grundlegende Schwächen aufweist. Deshalb sollte für jede Kontrolle das einzelne Prüfungsurteil verwertet werden.
Zu einem eingeschränkten Prüfungsurteil kommt es, wenn einzelne Kontrollen nicht wie vorgesehen funktioniert haben oder nachvollziehbar waren und die Abweichung so wesentlich ist, dass eine Einschränkung im zusammenfassenden Prüfungsurteil geboten ist. Eine Einschränkung bedeutet nicht automatisch, dass der Dienstleister versagt hat.
Der wesentliche Part des Outsourcingberichtes befindet sich i. d. R. am Ende des Berichts: Die Anlage mit der Aufstellung der vom Wirtschaftsprüfer geprüften Kontrollen. Hier kann man transparent das Prüfungsergebnis pro Kontrolle entnehmen.
In der Regel verwerten Sie Outsourcingberichte selbst weiter. Bei Fragen (auch zum gewählten Prüfungsansatz) stehen wir Ihnen gerne zur Verfügung.
Auslagerungsmanagement beim Outsourcing-Geber – Das Outsourcingrisiko senken
Ist Ihre Auslagerung besonders umfangreich oder unterliegen Sie aufsichtsrechtlichen Vorgaben, ist ein effizientes Auslagerungsmanagement gefragt. Denn auch hier gilt: Die Verantwortung für die Einhaltung der Sicherheits- und Ordnungsmäßigkeitsanforderungen liegt immer beim auslagernden Unternehmen. Auch wenn Sie vom Dienstleistungsnehmer einen Outsourcingbericht erhalten, müssen Sie die Schnittstelle zum Dienstleistungsnehmer in Ihrem eigenen internen Konztrollsystem aufnehmen. Sie als Outsourcing-Geber müssen sicherstellen, dass entstehende Risiken und damit verbundene Auswirkungen auf das eigene Kontrollsystem früh erkannt und Gegenmaßnahmen getroffen werden können.
Dienstleister lassen sich anhand von Outsourcingberichten überwachen. Deshalb sollten sich Outsourcing-Geber neben Prüfrechten auch die Bereitstellung von Outsourcingberichten bereits bei Vertragsabschluss zusichern lassen. Das spart später Prüfungskosten und bringt Ihnen Sicherheit.
Zusätzlich oder aber auch stattdessen lassen sich Dienstleister je nach Umfang der Outsourcingbeziehungen durch eigene Prüfungen des Outsourcing-Gebers überwachen. Je nach regulatorischen Anforderungen (wie z. B. im Banken- und Versicherungsumfeld) besteht sogar die Pflicht zur eigenen Überwachung der Outsourcingbeziehungen. Insgesamt sollten Sie folglich ein Auslagerungsmanagement einführen – wir unterstützen Sie gerne dabei.
Unser Ansatz für Sie als Outsourcing-Geber im Bereich Auslagerungsmanagement:
- Wir unterstützen Sie beim Aufbau von Prozessen und Kontrollen zur Abbildung eines effektiven Auslagerungsmangements auf Basis etablierter Compliance-Standards wie COBIT 5 oder COBIT 2019.
- Wir überprüfen Ihre Prozesse zum Auslagerungsmanagement. Z. B. auf Basis des Prüfungsstandards IDW RS FAIT 5 oder regulatorischer Vorgaben wie BAIT, VAIT oder KAIT.
- Wir prüfen die Kontrollen bei Ihrem Dienstleister, wenn beispielsweise kein Outsourcingbericht vorliegt oder regulatorische Anforderungen zusätzlich eigene Prüfungen des Outsourcinggebers verlangen.
Ansprechpartner
