Outsourcing Berichte: Welcher Standard passt?

Outsourcing Berichte: Welcher Standard passt?

7. Dezember 2014 - Von Raffael Schweitzer

Verschiedene Standards stehen für die Berichterstattung von Outsourcing-Dienstleistungen bereit. Diese haben jedoch verschiedene Vor- und Nachteile. Welcher Standard soll für welchen Zweck verwendet werden?
Artikel erschienen in IT Magazine 2014/12
(Quelle: Isaca)
Immer mehr Unternehmen lagern einen Teil ihrer Leistungserbringung an Service-Provider aus, um sich auf ihre Kernkompetenzen zu konzentrieren beziehungsweise Kosten in unterstützenden Bereichen zu sparen. Insbesondere auch die Erbringung von Informatikdienstleistungen wird immer häufiger durch externe Partner unterstützt oder sogar ganz übernommen. Aus Sicht der Revision stellt sich dabei nicht zuletzt die Frage, wie ein Unternehmen ausreichende Sicherheit über die ausgelagerte Leistungserbringung gewinnt und wie diese sinnvoll überprüft werden kann.
Heute wird dabei vor allem der ISAE 3402 Standard für die finanzielle Berichterstattung verwendet. Jedoch ist die Verwendung dieses Standards auf die Prüfungen des internen Kontrollsystems im Rahmen der Finanzberichterstattung limitiert. Gerade bei Auslagerungen im IT Umfeld interessieren ein Unternehmen jedoch vielfach nicht nur finanzrelevante Aspekte sondern insbesondere auch Fragen der Verfügbarkeit oder der Einhaltung von regulatorischen Vorgaben. Insbesondere letztere können aufgrund ihrer Natur oftmals nicht durch den ISAE 3402 Standard abgedeckt werden.

Dabei existieren heute verschiedene Alternativen zu einem ISAE 3402 Bericht, welche diesen Anforderungen gerecht werden. Sie werden in diesem Artikel vorgestellt.
(Quelle: Isaca)
Raffael Schweitzer (Quelle: Isaca)


Von SAS 70 zu ISAE 3402

Insbesondere durch den Sarbanes-Oxley Act, ein amerikanisches Gesetz zur Verstärkung des internen Kontrollsystems von Unternehmen, hat sich nach der Jahrtausendwende der amerikanische SAS 70 Standard zur Erstellung von sogenannten Attestation Reports zum globalen Standard für die Kontrolle von ausgelagerten Dienstleistungen im Rahmen der Finanzberichterstattung entwickelt. Der SAS 70 Standard wurde im Juni 2011 vom neuen globalen ISAE 3402 Standard beziehungsweise dessen amerikanischer Variante (SSAE 16) abgelöst – inhaltlich hat sich aber kaum etwas geändert.
Diese Standards sind deshalb einzig für die finanzielle Berichterstattung zu verwenden und somit primär für die finanzielle Revision (auch nach dem Schweizer Prüfstandard PS 402?1) ) relevant. Bezüglich der Abdeckung von IT Komponenten einer Auslagerung sind sie geeignet, Prüfresultate bezüglich der IT Anwendungskontrollen in den ausgelagerten Geschäftsbereichen sowie bezüglich der diese unterstützenden Generellen IT Kontrollen wiederzugeben. Letztere stellen das korrekte Funktionieren der typischen IT Unterstützungsprozesse wie Änderungswesen, Zugriffschutz sowie IT Betrieb sicher.
Berichte nach dem ISAE 3402 Standard – sowie der meisten anderen später diskutierten Berichtsformate - können entweder nur die Ausgestaltung und Implementation der beschriebenen Kontrollen (Type I) oder aber auch deren operative Effektivität (Type II) beurteilen.
 
Seite 1 von 5

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
SPONSOREN & PARTNER