Inhaltsverzeichnis I

Inhaltsverzeichnis   

Abk  ürzungsverzeichnis  III

Abbildungsverzeichnis   V

Tabellenverzeichnis VI   

1  Einleitung  1

2  Begriffserläuterungen  3

2.1  Revisionssicherheit  3

2.2  IT-Prüfung  3

3  Gesetzliche Regelungen, Richtlinien und Standards  6

4  IT-Outsourcing  11

5  IT-Outsourcing am Beispiel von Application Service Providing  18

5.1  Application Service Providing  18

5.2  Planungsphase  23

5.2.1  Festlegung des Outsourcing-Gegenstandes  23

5.2.2  Festlegung der Verantwortlichkeiten  25

5.2.3  Auswahl des ASP-Dienstleisters  26

5.2.4  Vertragsgestaltung  27

5.2.4.1  Umfang der ASP-Dienstleistungen / Gegenstand des Vertrags  30

5.2.4.2  Erreichbarkeit und Reaktionszeit  31

5.2.4.3  Verfügbarkeit  31

5.2.4.4  Änderungswesen  33

5.2.4.5  Datensicherheit  33

5.2.4.6  Mitteilungspflichten des Auftragnehmers  36

5.2.4.7  Datenarchivierung  37

Abkürzungsverzeichnis II

5.2.4.8 Verfahrensdokumentation 38

5.2.4.9 Nachvertragliche Pflichten 38

5.2.4.10 Kontrollhandlungen und Weisungsbefugnisse des Auftragnehmers 39 5.2.4.11 Pönale 40

5.3 Migrationsphase ..................................................................................... 41

5.3.1 Migration der Anwendung 42

5.3.2 Datenmigration 43

5.3.2.1 Export der Daten aus dem Altsystem 43

5.3.2.2 Transformation des Datenbestandes 45

5.3.2.3 Import der Daten in das Neusystem 49 5.3.3 Testphase 50

5.3.3.1 Migrationstests 51

5.3.3.2 Integrations- und Funktionstests 52 5.3.4 Abnahme 52

5.3.5 Verfahrensdokumentation 53

5.4 Betriebsphase ......................................................................................... 53

5.4.1 Kontrollhandlungen beim Dienstleister 54

5.4.2 Regelmäßige Reports 56

5.4.3 Aktualisierung der Dokumentation und vertraglicher Übereinkünfte 57

6 Fazit 59

Literaturverzeichnis 61

Abkürzungsverzeichnis III Abkürzungsverzeichnis

AktG Aktiengesetz AO Abgabenordnung ASP Application Service Providing / Application Service Provider BDSG Bundesdatenschutzgesetz EU Europäische Union FAIT Fachausschuss für Informationstechnologie GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GmbH Gesellschaft mit beschränkter Haftung GmbHG GmbH-Gesetz GoB Grundsätze ordnungsmäßiger Buchführung GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme HGB Handelsgesetzbuch IDW Institut der Wirtschaftsprüfer in Deutschland e. V. IT Informationstechnologie KGW Gesetz über das Kreditwesen KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich PS Prüfungsstandard RS Rechnungslegungsstandard SaaS Software as a Service SAS Statement on Auditing Standards SLA Service Level Agreement

Abkürzungsverzeichnis IV SOX Sarbanes-Oxley Act VOI Verband Organisations- und Informationssysteme e. V. WORM write once read multiple

Abbildungsverzeichnis V Abbildungsverzeichnis

Tabellenverzeichnis VI

Tabellenverzeichnis

Einleitung 1

1 Einleitung

Das Auslagern des Managements von IT-Anwendungen an einen Dienstleister hat in den letzten Jahren vor allem durch die sich ergebenden technischen Möglichkeiten und die oftmals großen Kosteneinsparpotentiale stark an Bedeutung gewonnen. So rechnet die Experton Group in Deutschland mit einer Steigerung der Umsätze von 418 Mio. Euro (2009) um 67 Prozent auf 660 Mio. Euro im Jahr 2012

im Bereich des Geschäftsfelds Software-as-a-Service (SaaS) ¹ . Auch das Hosting rechnungslegungsrelevanter Anwendungen wie Finanzbuchführungsprogramme, Lohnbuchhaltungsanwendungen oder ERP-Systeme wird zunehmend an Outsourcing-Dienstleister ausgelagert - auch wenn in diesem Bereich noch eine gewisse Zurückhaltung seitens der Unternehmen besteht. ² Mit der Auslagerung von IT-Anwendungen, welche einen Einfluss auf die Rechnungslegung haben, ergeben sich für Unternehmen besondere Nachweis- und Sorgfaltspflichten, um die Ordnungsmäßigkeit der Rechnungslegung zu belegen bzw. sicherzustellen.

Ziel dieser Bachelor-Thesis soll es sein, aufzuzeigen, welche Anforderungen sich im Rahmen einer IT-Prüfung durch den Abschlussprüfer aus geltenden gesetzlichen Vorgaben sowie relevanten Standards und Normen für das auslagernde Unternehmen ergeben. Zudem sollen Handlungsempfehlungen für Unternehmen abgeleitet werden, deren Umsetzung dazu beiträgt diesen Anforderungen zu entsprechen und die mit dem Auslagern von IT-Anwendung verbundenen Risiken zu minimieren.

Zunächst werden in dieser Arbeit grundlegende Begrifflichkeiten erläutert. Im Kapitel 2 werden die gesetzlichen Anforderungen dargelegt, auf welche sich die Prü-fungshandlungen des Abschlussprüfers im Bereich IT im Wesentlichen stützen. Im dritten Kapitel wird das Outsourcing von IT dargestellt. Zudem wird die übergreifende IT-Sourcing-Strategie, die auch ein Nutzen von Application Service Provi- ¹ Vgl.Eriksdotter, IT-Mietmodelle halten Einzug in deutsche Firmen,

http://www.cio.de/2215713, abgerufen am 12.04.2010

² Vgl. Ellermann, Make or Buy, http://www.cio.de/804930, abgerufen am 12.04.2010

Einleitung 2

ding-Dienstleistungen durch das Unternehmen vorsehen kann, erläutert und erste Handlungsempfehlungen für Unternehmen aufgezeigt.

Im Kapitel 5 wird auf das Application Service Providing eingegangen. Es wird das Grundprinzip der Dienstleistung sowie Vor- und Nachteile für auslagernde Unternehmen aufgezeigt. Schließlich werden Handlungsempfehlungen, welche sich speziell auf das Application Service Providing und die Anforderungen der Abschlussprüfung an dieses beziehen, dargestellt. Dabei orientiert sich die Darstel- lung an einem typischen ASP-Projekt.

Begriffserläuterungen 3

2 Begriffserläuterungen

Im Folgenden werden Begriffe, welche eine zentrale Bedeutung in dieser Arbeit haben, kurz erläutert.

2.1 Revisionssicherheit

Der Begriff der Revisionssicherheit wurde im Jahr 1992 durch Herrn Ulrich Kampf- fmeyergeprägt und 1996 in einem „Code of Practice“ des Verbandes Organisations- und Informationssysteme e. V. (VOI) erstmalig schriftlich veröffentlicht. ³ Ursprünglich auf die digitale Aufbewahrung von Dokumenten bezogen, wird der Begriff der Revisionssicherheit mehr und mehr auch auf andere Themenbereiche angewandt. Eine einheitliche Definition gilt bislang allerdings nur für die Revisionssicherheit i.S. der Erfüllung relevanter gesetzlicher Vorgaben bei der digitalen Dokumentenarchivierung.

Als Eigenschaft eines Objekts verstanden, welches die Anforderungen eines Prüfers (Revisors) erfüllt, soll in dieser Arbeit ein Outsourcing der IT als revisionssicher gelten, wenn es den Erwartungen des Jahresabschlussprüfers und damit den geltenden gesetzlichen Anforderungen sowie Standards und Normen, die der Wirtschaftsprüfer zu seiner Beurteilung heranzieht, entspricht.

2.2 IT-Prüfung

Die IT-Prüfung ist Bestandteil der gesetzlichen Jahresabschlussprüfung. Nach § 316 HGB sind alle mittelgroßen und großen Kapitalgesellschaften verpflichtet, den Jahresabschluss durch einen Abschlussprüfer prüfen zu lassen.

³ Vgl. Kampffmeyer, Roggala, Grundsätze der elektronischen Archivierung, S. 10

Begriffserläuterungen 4

Prüfungsgegenstand der gesetzlichen Abschlussprüfung ist in jedem Fall die Rechnungslegung (Jahresabschluss) und die Buchführung eines Unternehmens. Abhängig vom Unternehmen ist auch der Lagebericht, Konzernlagebericht oder Konzernabschluss zu prüfen. Ziel dieser gesetzlichen Abschlussprüfung ist die Feststellung, ob die gesetzlichen Vorschriften und sie ergänzende Bestimmungen des Gesellschaftsvertrags oder der Satzung beachtet worden sind. Die im Jahresabschluss dargestellte Vermögens-, Finanz- und Ertragslage des Unternehmens soll daraufhin beurteilt werden, ob sie ein den Tatsachen entsprechendes Bild liefert.

Da die IT der Unternehmen heutzutage einen maßgeblichen Einfluss auf die Rechnungslegung und damit auf den Jahresabschluss hat, müssen Abschlussprüfer die Ordnungsmäßigkeit und Sicherheit der zur Rechnungslegung eingesetzten IT im Rahmen der Jahresabschlussprüfung beurteilen und bestätigen. Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) hat Rechnungsle-gungsstandards (RS) als Vorgabe für die Rechnungslegung durch Unternehmen und Prüfungsstandards (PS), als Vorgabe für die Prüfung dieser, durch den Abschlussprüfer entwickelt. Den direkten Bezug zur IT-gestützten Rechnungslegung bilden insbesondere der IDW RS FAIT 1 „Grundsätze ordnungsmäßiger Buchfüh- rungbei Einsatz von Informationstechnologie“ und der IDW PS 330 „Abschluss- prüfungbei Einsatz von Informationstechnologie“. Sie konkretisieren relevante gesetzliche Anforderungen auf die Informationstechnologie und deren Prüfung. Der IDW PS 330 definiert für eine Prüfung der IT verschiedene Prüfungsgegenstände, einer davon ist das IT-Outsourcing.

Soweit ein Unternehmen die IT oder Teile dieser auslagert, „muss der Abschluss- prüferbeurteilen, wie sich dies auf das Interne Kontrollsystem (IKS) des Unternehmens auswirkt.“ 4

Der Prüfer bestimmt im Verlauf der Prüfung das Fehlerrisiko, das dem Unternehmen durch das IT-Outsourcing entstehen kann. Darüber hinaus beurteilt er das IT-Kontrollsystem als Teil des Internen Kontrollsystems des Unternehmens, inwieweit es angemessen ist, die aus dem IT-Einsatz resultierenden Fehlerrisiken auf die festgelegten tolerierbaren Risiken zu begrenzen.

⁴ IDW PS 330 Tz. 90

Begriffserläuterungen 5

Bei der Prüfung des IT-Outsourcings ergibt sich die Besonderheit, dass nicht allein das Interne Kontrollsystem des auslagernden Unternehmens, sondern auch das des Dienstleisters für die Ordnungsmäßigkeit der Rechnungslegung entscheidend ist. IDW PS 331 „Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen“ unterscheidet nun zwei Fälle der Auslage- rungund damit notwendigen Reaktionen des auslagernden Unternehmens sowie des Abschlussprüfers um die entstehenden Risiken zu bewältigen. Handelt der Dienstleister ausschließlich auf Geheiß des auslagernden Unternehmens, „kann es ausreichen, allein im internen Kontrollsystem des zu prüfenden Unternehmens wirksame Regelungen zur Überwachung dieser Auslagerung von Teilen des Rechnungslegungssystems einzurichten.“ ⁵ Werden durch den Dienstleister Tätigkeiten eigenständig durchgeführt, muss das auslagernde Unternehmen ausreichende Prüfungs- und Kontrollrechte beim Dienstleister vertraglich vereinbaren und diese wahrnehmen. Aufgabe des Abschlussprüfers ist in diesen Fällen das IKS des Dienstleisters anhand eigener Prüfungshandlungen oder durch Einsicht in die Prüfungsergebnisse Dritter zu beurteilen. Die Beurteilung des IKS durch einen Dritten sollte idealerweise nach dem IDW PS 951 („Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen“) erfolgt sein.

Abbildung 1: Prüfungsgegenstand, Prüfungskriterien und Prüfungsziel einer IT-Prüfung (Quelle:

IDW PS 330)

⁵ IDW PS 331 Tz. 9

Gesetzliche Regelungen, Richtlinien und Standards 6

3 Gesetzliche Regelungen, Richtlinien und Standards

Bei der Auslagerung der IT an Outsourcing-Provider sind Unternehmen zur Einhaltung einer Vielzahl von Anforderungen verpflichtet, welche aus vielerlei Quellen entstehen. ⁶ Die Erfüllung vieler dieser Anforderungen wird im Rahmen der Jahresabschlussprüfung durch den Wirtschaftsprüfer kritisch bewertet und hat eine entsprechend hohe Bedeutung für Unternehmen. Auch wenn negative Prüfungsfeststellungen durch den Wirtschaftsprüfer bei der Beurteilung der Ordnungsmäßigkeit und Sicherheit der IT eines Unternehmens in der Praxis selten eine Einschränkung des Bestätigungsvermerks als Beurteilung der Prüfung des Jahresabschlusses oder gar einen Versagungsvermerk begründen, sollten Unternehmen sicherstellen, dass ihre IT den Anforderungen des Abschlussprüfers entspricht. Dies vor allem auch vor dem Hintergrund, dass im Rahmen der Abschlussprüfung der Wirtschaftsprüfer bestandsgefährdende Risiken zu erkennen und im Prüfungsbericht zu dokumentieren hat. ⁷ Diese Information weckt bei Stake- und Shareholdern des Unternehmens sicher kein Vertrauen in dieses. Da die gesetzlichen Vorgaben aufgrund ihres Abstraktionsgrades in der Regel keinen direkten Schluss auf die Anforderungen an die IT von Unternehmen zulassen, wurden konkretisierende Richtlinien durch den Gesetzgeber und Standards durch private und berufsständische Institutionen entworfen.

⁶ Vgl. Amberg, Biermann, Kramolisch, Lehr, Mossanen, Compliance im IT-Outsourcing, S. 32

⁷ Vgl. § 321 Abs. 1 Satz 3 HGB

Gesetzliche Regelungen, Richtlinien und Standards 7

Zunächst sollen die grundlegenden gesetzlichen Vorgaben dargestellt werden, aus denen sich die Richtlinien und Standards ableiten, welche wiederum im Kapitel 5 im Zusammenhang mit den Handlungsempfehlungen für Unternehmen aufgegriffen werden.

Branchenspezifische Vorgaben, wie z.B. Vergabe- und Vertragsordnung für Leistungen im öffentlichen Sektor oder die besonderen Anforderungen an das Risikomanagement in Finanz- und Versicherungsinstituten (MaRisk) werden in dieser Arbeit nicht betrachtet.

Sorgfaltspflicht

Die geschäftsführenden Personen in Unternehmen sind nach § 347 Abs. 1 HGB dazu verpflichtet, in allen Angelegenheiten die Sorgfalt eines ordentlichen Kaufmanns anzuwenden. Diese Sorgfaltspflichten sind nicht gesetzlich kodifiziert und werden als Handelsbräuche je nach Branche und Anwendungsbereich definiert. Im Wesentlichen lassen sich zu diesen Sorgfaltspflichten die Sicherstellung der Einhaltung relevanter gesetzlicher Vorgaben sowie die Sicherstellung des Fortbe-standes des Unternehmens zählen.

Bei Gesellschaften mit begrenzter Haftung trifft diese Sorgfaltspflicht die Geschäftsführer (§ 43 Abs. 1 GmbHG), bei Aktiengesellschaften insbesondere den Vorstand, aber auch die Aufsichtsratsmitglieder (§ 93 Abs. 1 Satz 1 AktG, § 116 Satz 1 AktG).

Nach § 91 Abs. 2 AktG hat der Vorstand von Aktiengesellschaften zur Erfüllung der Sorgfaltspflichten zudem ein Überwachungssystem zu installieren, welches unternehmensgefährdende Risiken frühzeitig erkennt. Diese Vorgabe ist mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft getreten und findet mit der Ausstrahlungswirkung des KonTraG auch An- wendung auf viele GmbH.