deen

Geschäftsbereich IT-Revision

Sorge um Kontrollverlust in der Cloud? Durch Dienstleisterzertifizierung minimieren! Michael Burkhardt

Cloud Computing/Outsourcing

Com­pli­ance in Out­sour­cing­pro­zes­sen ef­fek­tiv ma­na­gen und zer­ti­fi­zie­ren

Out­sour­cing bie­tet viele Vor­teile. Trotz­dem blei­ben beim Out­sour­cing­ge­ber oft Zwei­fel bezüglich der Ver­ar­bei­tungs­qua­lität. Des­halb heißt es für den Out­sour­cing­ge­ber: Ri­si­ken ma­na­gen – während der Out­sour­cing­neh­mer die Trans­pa­renz- und Ver­trau­enslücke durch die Zer­ti­fi­zie­rung aus­gewähl­ter Kon­trol­len zu schließen hat.

Gemeinsam ans Ziel – unser Coaching-Ansatz

Projektbegleitend

Egal, ob Sie als Dienst­leis­ter Ihre Out­sour­cing­pro­zesse zer­ti­fi­zie­ren möch­ten oder als Kunde ei­nes Dienst­leis­tungs­un­ter­neh­mens ein ef­fek­ti­ves Kon­troll­sys­tem zur Steue­rung und Über­wa­chung der aus­ge­la­ger­ten Pro­zesse eta­blie­ren möch­ten – wir un­terstützen und coa­chen Sie während der ge­sam­ten Pro­jekt­lauf­zeit.

Zunächst be­stim­men wir mit Ih­nen ge­mein­sam die rich­ti­gen, für Ihre Zwecke pas­sen­den Prüfungs­nor­men und Prüfungs­zeiträume. Dann wählen wir die zu prüfen­den Pro­zesse und Kon­trol­len aus. Auch beim De­sign und der Do­ku­men­ta­tion Ih­rer Kon­trol­len un­terstützen wir Sie: mit Vor­la­gen, Frame­works, Best-Prac­tice Do­ku­men­ta­tio­nen und mögli­chen Prüfspu­ren. Auf Wunsch be­wer­ten wir mit Ih­nen kon­ti­nu­ier­lich oder zu Mi­les­to­nes die Kon­troll­pro­zesse so­wie die Qua­lität Ih­rer Kon­troll­nach­weise.

Maßgeschneidert

Ge­nau so in­di­vi­du­ell wie Ihre Dienst­leis­tung, ist auch Ihr Pro­jekt­team: Wir stel­len es ei­gens für Sie zu­sam­men. Un­sere Mit­ar­bei­ter führen je­des Jahr über 30 bran­chenüberg­rei­fende Dienst­leis­ter­zer­ti­fi­zie­run­gen durch.

Im Fi­nanz­dienst­leis­ter-Um­feld bei­spiels­weise be­steht un­ser in­ter­dis­zi­plinäres Team aus ISMS-Ex­per­ten mit tech­ni­scher Ex­per­tise so­wie aus Pro­zess­spe­zia­lis­ten mit Ma­Risk/xAIT-Know-How. HR-Pro­jekte da­ge­gen be­treuen un­sere Lohn­ab­rech­nungs­spe­zia­lis­ten. In­ter­na­tio­nale Pro­jekte bil­den wir über un­ser Netz­werk ab.

Integriert

Der Ge­schäfts­be­reich IT-Re­vi­sion steht für ganz­heit­li­che Lösungs­ansätze. Un­sere Ex­per­ten aus neun Schwer­punkt­the­men sind ein Team un­ter ein­heit­li­cher Führung. Des­halb ar­bei­ten un­sere Spe­zia­lis­ten eng zu­sam­men – ganz ohne or­ga­ni­sa­to­ri­sche Hürden.

Un­sere Kol­le­gen aus den ver­schie­de­nen Com­pli­ance-Be­rei­chen er­ar­bei­ten ge­mein­schaft­lich in­te­grierte Lösungs­ansätze, die wir an die Bedürf­nisse un­se­rer Kun­den an­pas­sen.

Bei­spiels­weise können wir für das Out­sour­cing wich­tige Kon­troll- und Über­wa­chungs­pro­zesse so in Ih­ren Pro­zes­sen ver­an­kern, dass Kon­trol­len eben­falls bei ei­ner ISO 27001-Zer­ti­fi­zie­rung als Nach­weis des „Le­bens des ISMS“ ge­nutzt wer­den. Das ver­mei­det Re­dun­dan­zen und In­ef­fi­zi­enz.

Wir beantworten sie Ihnen gerne. Sie haben Fragen?

Sie sind Out­sour­cing-Ge­ber oder -Neh­mer? Wir bie­ten Lösun­gen für je­den Blick­win­kel. Bitte wählen Sie Ih­ren Be­reich aus für wei­tere In­for­ma­tio­nen.

Für Outsourcing-Nehmer

Mit ei­ner Zer­ti­fi­zie­rung Trans­pa­renz und Ver­trauen für Ihre Kun­den

Ist das Kon­troll­um­feld für Ihre aus­ge­la­ger­ten Pro­zesse an­ge­mes­sen und si­cher? Wer­den die ver­schie­de­nen Com­pli­ance-An­for­de­run­gen bei der Ver­ar­bei­tung ein­ge­hal­ten? Um diese Fra­gen dreht sich al­les, wenn Un­ter­neh­men Ge­schäfts­pro­zesse (oder Teile da­von) an Dienst­leis­ter aus­la­gern. Sie stel­len sich nicht nur Ih­ren Kun­den, son­dern auch dem Ge­setz­ge­ber, Auf­sichts­behörden, Wirt­schaftsprüfern und Da­ten­schützern.

Für sie alle sind die Kon­troll­pro­zesse der Aus­la­ge­rung meis­tens in­trans­pa­rent. Des­halb schrei­ben be­rufs- und auf­sichts­recht­li­che Re­ge­lun­gen auch Prüfun­gen vor Ort bei Ih­nen als Out­sour­cing-Neh­mer vor: Funk­tio­nie­ren die in­ter­nen Kon­trol­len? Sind Ri­si­ken vor­han­den? Wie ist ih­nen ent­ge­gen­zu­wir­ken? Sol­che Prüfun­gen pro Ein­zel­kunde sind für Kun­den, de­ren Wirt­schaftsprüfer und für Sie selbst als Dienst­leis­ter je­doch aufwändig und kos­ten­in­ten­siv.

Probleme des Outsourcings aus Governance-Sicht

Ab­hilfe schafft hier eine Dienst­leis­ter­zer­ti­fi­zie­rung: Aus­gewählte Kon­trol­len wer­den beim Dienst­leis­tungs­neh­mer für ganze Kun­den­grup­pen geprüft und die Er­geb­nisse in einem trans­pa­ren­ten Prüfungs­be­richt für Ihre Kun­den dar­ge­stellt.

Ihr Weg zur erfolgreichen Zertifizierung

Als un­abhängige Wirt­schaftsprüfungs­ge­sell­schaft führen wir im Ge­schäfts­be­reich IT-Re­vi­sion Dienst­leis­ter­zer­ti­fi­zie­run­gen durch. Wir un­terstützen Sie auch darüber hin­aus: Da­mit Sie als Dienst­leis­ter die Be­schei­ni­gung zielführend nut­zen können.

  • Wahl des ge­eig­ne­ten Stan­dards als Grund­lage für die Prüfung
  • Fest­le­gen ei­nes pas­sen­den Be­ur­tei­lungs­zeit­raums
  • Be­stim­men des Prüfungs­an­sat­zes (Typ 1 oder Typ 2)
  • Aus­wahl von Kon­trol­len im rich­ti­gen Um­fang
    (Zu viele Kon­trol­len sind kos­ten­in­ten­siv, zu we­nige bzw. die fal­schen Kon­trol­len ent­spre­chen viel­leicht nicht den Bedürf­nis­sen des Out­sour­cing­ge­bers.)
  • Um­set­zung von im Un­ter­neh­mens­all­tag leb­ba­ren Kon­trol­len

Wir sind nicht nur „Prüfer“, son­dern Spar­rings­part­ner und be­glei­ten Sie durch Ihr ge­sam­tes Pro­jekt. Mit uns erfüllen Sie die An­for­de­run­gen der Be­richts­empfänger op­ti­mal.

Wir coa­chen Sie bei Kon­troll­be­schrei­bun­gen und be­wer­ten mit Ih­nen in op­tio­na­len Work­shops die Kon­troll­pro­zesse so­wie die Qua­lität Ih­rer Kon­troll­nach­weise.

Durch die ver­teilte kon­ti­nu­ier­li­che Prüfung er­hal­ten Sie re­gelmäßig und zeit­nah Feed­back. So können Sie zum Bei­spiel eine IKS-Be­schrei­bung frühzei­tig an­pas­sen.


Überblick zu den gängigen Standards für
Dienstleisterzertifizierungen


Für Outsourcing-Geber

Mi­ni­mie­ren Sie Ihre Aus­la­ge­rungs­ri­si­ken

Die Ver­ant­wor­tung für die ord­nungs­gemäßen Pro­zess­abläufe liegt im­mer beim Un­ter­neh­men. Selbst wenn die­ses ganze Ge­schäfts­pro­zesse, Teil­pro­zesse oder auch nur ein­zelne Tätig­kei­ten (z. B. die Spei­che­rung und Ver­ar­bei­tung von Da­ten) an Dienst­leis­ter aus­la­gert. Als ge­setz­li­cher Ver­tre­ter ga­ran­tiert der Out­sour­cing-Ge­ber die Ein­hal­tung der je­wei­li­gen Ord­nungsmäßig­keits­an­for­de­run­gen.

Diese können aus vielfälti­gen Com­pli­an­ce­ge­bie­ten herrühren. Bei­spiels­weise han­dels- und steu­er­recht­li­che Vor­ga­ben, aber auch da­ten­schutz- oder in­for­ma­ti­ons­si­cher­heits­re­le­vante Nor­men.

Doch als aus­la­gern­des Un­ter­neh­men wis­sen Sie zunächst nicht, ob Ihr Dienst­leis­ter die ent­spre­chen­den Nor­men in Ih­rem Sinne einhält. In der Pra­xis hat sich des­halb die Dienst­leis­ter­zer­ti­fi­zie­rung in Form der Prüfung des in­ter­nen Kon­troll­sys­tem des Dienst­leis­ters nach ver­schie­de­nen Stan­dards eta­bliert. So ge­hen Sie si­cher, dass der Dienst­leis­ter ein in­ter­nes Kon­troll­sys­tem auf­ge­baut hat und die­ses auch tatsäch­lich lebt. Das senkt Ihr Ri­siko, für feh­ler­hafte Pro­zess­abläufe beim Dienst­leis­ter ein­ste­hen zu müssen oder Sie er­ken­nen frühzei­tig, dass Ge­genmaßna­men not­wen­dig wer­den.

Des­halb soll­ten Sie je nach Art der Aus­la­ge­rung einen Out­sour­cing-Be­richt über das dienst­leis­tungs­be­zo­gene in­terne Kon­troll­sys­tem von Ih­rem Dienst­leis­ter ein­ho­len. Diese Be­richte lie­gen dort meis­tens be­reits für die Stan­dard­aus­la­ge­rungs­pro­zesse vor.

Berichte zu Dienstleisterzertifizierungen richtig lesen – eine kleine Hilfestellung

Out­sour­cing­be­richte wer­den häufig nur ab­ge­legt, der Out­sour­cing-Ge­ber ver­wer­tet sie nicht wei­ter. Aber: Ein Out­sour­cing­be­richt sagt nicht au­to­ma­ti­sch aus, dass alle Kon­trol­len beim Dienst­leis­ter funk­tio­nie­ren. Im Ge­gen­satz zu ei­ner ISO 27001-Zer­ti­fi­zie­rung bei­spiels­weise: Hier erhält man das Zer­ti­fi­kat nur nach be­stan­de­ner Prüfung.

Out­sour­cing­be­richte führen jede ein­zelne in­terne Kon­trolle im Be­richt auf, be­wer­ten sie und tref­fen je­weils ein Prüfungs­ur­teil. Zu ei­ner vollständi­gen Ver­sa­gung kommt es nur, wenn das in­terne Kon­troll­sys­tem grund­le­gende Schwächen auf­weist. Des­halb sollte für jede Kon­trolle das ein­zelne Prüfungs­ur­teil ver­wer­tet wer­den.

Zu einem ein­ge­schränk­ten Prüfungs­ur­teil kommt es, wenn ein­zelne Kon­trol­len nicht wie vor­ge­se­hen funk­tio­niert ha­ben oder nach­voll­zieh­bar wa­ren und die Ab­wei­chung so we­sent­lich ist, dass eine Ein­schränkung im zu­sam­men­fas­sen­den Prüfungs­ur­teil ge­bo­ten ist. Eine Ein­schränkung be­deu­tet nicht au­to­ma­ti­sch, dass der Dienst­leis­ter ver­sagt hat.

Der we­sent­li­che Part des Out­sour­cing­be­rich­tes be­fin­det sich i. d. R. am Ende des Be­richts: Die An­lage mit der Auf­stel­lung der vom Wirt­schaftsprüfer geprüften Kon­trol­len. Hier kann man trans­pa­rent das Prüfungs­er­geb­nis pro Kon­trolle ent­neh­men.

In der Re­gel ver­wer­ten Sie Out­sour­cing­be­richte selbst wei­ter. Bei Fra­gen (auch zum gewähl­ten Prüfungs­an­satz) ste­hen wir Ih­nen gerne zur Verfügung.

Auslagerungsmanagement beim Outsourcing-Geber – Das Outsourcingrisiko senken

Ist Ihre Aus­la­ge­rung be­son­ders um­fang­reich oder un­ter­lie­gen Sie auf­sichts­recht­li­chen Vor­ga­ben, ist ein ef­fi­zi­en­tes Aus­la­ge­rungs­ma­nage­ment ge­fragt. Denn auch hier gilt: Die Ver­ant­wor­tung für die Ein­hal­tung der Si­cher­heits- und Ord­nungsmäßig­keits­an­for­de­run­gen liegt im­mer beim aus­la­gern­den Un­ter­neh­men. Auch wenn Sie vom Dienst­leis­tungs­neh­mer einen Out­sour­cing­be­richt er­hal­ten, müssen Sie die Schnitt­stelle zum Dienst­leis­tungs­neh­mer in Ih­rem ei­ge­nen in­ter­nen Konzt­roll­sys­tem auf­neh­men. Sie als Out­sour­cing-Ge­ber müssen si­cher­stel­len, dass ent­ste­hende Ri­si­ken und da­mit ver­bun­dene Aus­wir­kun­gen auf das ei­gene Kon­troll­sys­tem früh er­kannt und Ge­genmaßnah­men ge­trof­fen wer­den können.

Dienst­leis­ter las­sen sich an­hand von Out­sour­cing­be­rich­ten über­wa­chen. Des­halb soll­ten sich Out­sour­cing-Ge­ber ne­ben Prüfrech­ten auch die Be­reit­stel­lung von Out­sour­cing­be­rich­ten be­reits bei Ver­trags­ab­schluss zu­si­chern las­sen. Das spart später Prüfungs­kos­ten und bringt Ih­nen Si­cher­heit.

Zusätz­lich oder aber auch statt­des­sen las­sen sich Dienst­leis­ter je nach Um­fang der Out­sour­cing­be­zie­hun­gen durch ei­gene Prüfun­gen des Out­sour­cing-Ge­bers über­wa­chen. Je nach re­gu­la­to­ri­schen An­for­de­run­gen (wie z. B. im Ban­ken- und Ver­si­che­rungs­um­feld) be­steht so­gar die Pflicht zur ei­ge­nen Über­wa­chung der Out­sour­cing­be­zie­hun­gen. Ins­ge­samt soll­ten Sie folg­lich ein Aus­la­ge­rungs­ma­nage­ment einführen – wir un­terstützen Sie gerne da­bei.

Unser Ansatz für Sie als Outsourcing-Geber im Bereich Auslagerungsmanagement:

Wir un­terstützen Sie beim Auf­bau von Pro­zes­sen und Kon­trol­len zur Ab­bil­dung ei­nes ef­fek­ti­ven Aus­la­ge­rungs­man­ge­ments auf Ba­sis eta­blier­ter Com­pli­ance-Stan­dards wie CO­BIT 5 oder CO­BIT 2019.

Wir überprüfen Ihre Pro­zesse zum Aus­la­ge­rungs­ma­nage­ment. Z. B. auf Ba­sis des Prüfungs­stan­dards IDW RS FAIT 5 oder re­gu­la­to­ri­scher Vor­ga­ben wie BAIT, VAIT oder KAIT.

Wir prüfen die Kon­trol­len bei Ih­rem Dienst­leis­ter, wenn bei­spiels­weise kein Out­sour­cing­be­richt vor­liegt oder re­gu­la­to­ri­sche An­for­de­run­gen zusätz­lich ei­gene Prüfun­gen des Out­sour­cing­ge­bers ver­lan­gen.

Haben wir Ihr Interesse geweckt?

Un­sere Ex­per­tin­nen und Ex­per­ten be­ant­wor­ten Ihre Fra­gen gerne.
Michael Burkhardt, Certified Information Systems Auditor und Certified in Risk and Information Systems Control bei Ebner Stolz in München
Michael Burkhardt
Cer­ti­fied In­for­ma­tion Sys­tems Au­di­tor, Cer­ti­fied in Risk and In­for­ma­tion Sys­tems Con­trol, ISO/IEC 27001 Lead Au­di­tor
Mark Alexander Butzke
Wirt­schaftsprüfer, Steu­er­be­ra­ter, Cer­ti­fied In­for­ma­tion Sys­tems Au­di­tor, Cer­ti­fied in Risk and In­for­ma­tion Sys­tems Con­trol, ISO/IEC 27001 Se­nior Lead Au­di­tor