Leseprobe
Inhaltsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
1 Einleitung
1.1 Motivation
1.2 Problemstellung
1.3 Gliederung
2 Grundlagen und Einordnung
2.1 IT-Sourcing
2.2 IT-Outsourcing
2.3 IT-Compliance
3 Relevante rechtliche Vorgaben und IT-Compliance Standards
3.1 Regulatorische Vorgaben
3.2 IT-Compliance Standards
3.3 Verträge und SLAs
3.4 Unternehmensinterne Regelwerke
4 Risikobetrachtung
4.1 Risikoeinordnung im IT-Outsourcing
4.2 Darstellung relevanter Risiken
5 Risikominimierung
5.1 Risikominimierungskonzepte
5.2 Spezifische Risikominimierung
5.3 Nutzenbetrachtung
6 Fazit
Abbildungsverzeichnis
Abbildung 1: IT-Sourcing Map (Jouanne-Diedrich 2014)
Abbildung 2: COBIT 5 Prozessreferenzmodell (ISACA 2012)
Tabellenverzeichnis
Tabelle 1: Risikokategorisierung (eigene Darstellung)
1 Einleitung
Diese Bachelorarbeit behandelt das Thema IT-Outsourcing unter besonderer Berücksichtigung der IT-Compliance und deren Nutzen. Ziel ist es, auftretende Risiken zu identifizieren sowie Wege zu deren Minimierung aufzuzeigen.
1.1 Motivation
Kostendruck und Umstrukturierungen haben unter anderem in den letzten Jahren die Zunahme von IT-Outsourcing beschleunigt (Abu-Musa 2011, Fitoussi/Gurbaxani 2012, Flecker 2009). Auch dadurch erfolgte ein Wandel beziehungsweise eine Anpassung der regulatorischen Vorgaben hinsichtlich des IT-Outsourcings, welches eine Auslagerung der IT darstellt (Heym/Seeburg 2012). Die fortlaufenden Änderungen und die sich daraus entwickelnden Anforderungen haben der IT-Compliance eine steigende Bedeutung verschafft (Mossanen/Amberg 2008). Jedoch treten durch die immer komplexer werdenden Anforderungen an die IT-Compliance durch den Gesetzgeber auch Risiken bezüglich der Anforderungsübereinstimmung mit der Einhaltung solcher Normen und Regulativen auf (Bachlechner et al. 2014). Einerseits können Anforderungen interferieren und andererseits bestehen Risiken hinsichtlich der Missachtung von Anforderungen. Verträge, SLAs, unternehmensexterne und -interne Regelwerke sind Beispiele für IT-Compliance Vorgaben und müssen von den Unternehmen beachtet, beziehungsweise umgesetzt werden (Klotz/Dorn 2008, Strasser/Wittek 2011).
IT-Compliance Standards, welche zu den unternehmensexternen Regelwerken zählen, versprechen Hilfestellungen zur Eindämmung von IT-Outsourcing Risiken zu bieten (Chou/Chou 2009). Außerdem sollen sie dazu beitragen, branchen- beziehungsweise wirtschaftsweite rechtliche Vorgaben standardisiert umzusetzen. Dabei werden vor allem die weit verbreiteten IT-Compliance Standards wie COBIT und COSO genutzt, aber auch die durch Wirtschaftsprüfer verwendeten Standards IDW PS 951 oder ISAE 3402 (Gaskin 2009). Wobei letztere noch zusätzlich die Möglichkeit der Zertifizierung beinhalten.
Durch die Auslagerung von Services an Dienstleister entstehen für das Unternehmen weitere Risiken (Aundhe/Mathew 2009). Eine zu große Abhängigkeit, kulturelle Schwierigkeiten, Sicherheit der übertragenen Daten oder auch ein Wissensverlust sind nur einige Exempel für Risiken, die in dieser Bachelorarbeit dargestellt und analysiert werden.
Im Zusammenhang mit IT-Compliance und den Risiken im IT-Outsourcing ist der Profitabilitätsgedanke natürlich nicht nachrangig, sodass vor allem Nutzenbetrachtungen für Unternehmen von großer Bedeutung sind. Dies ergibt sich aus der Tatsache, dass Offshoring oder IT-Outsourcing generell als kostengünstige Varianten der IT-Beschaffung wahrgenommen werden und sich das auslagernde Unternehmen durch seine Outsourcing Strategie einen Nutzengewinn erhofft (Chang/Gurbaxani 2012). Dies ist jedoch auch Grund für die Minimierung von IT-Outsourcing-Risiken. Im Zusammenhang mit regulatorischen Vorgaben wird dieser Vorgang im Laufe dieser Arbeit analysiert, um zu zeigen welche Rolle IT-Compliance im IT-Outsourcing spielt und wie IT-Compliance nutzenbringend angewandt werden kann, damit IT-Outsourcing erfolgreich für das Unternehmen angewendet wird.
1.2 Problemstellung
Outsourcing als eine Möglichkeit für die Unternehmen, Restrukturierungen durchzuführen bietet viele Chancen, jedoch ergeben sich für das outsourcende Unternehmen ebenfalls verschiedene Probleme. Diese hängen häufig mit rechtlichen Vorgaben, die das Unternehmen erfüllen muss, zusammen. Beispielsweise ist relevant, wie eine Befolgung rechtlicher Vorgaben durch den zur Durchführung der ausgelagerten Tätigkeit ausgewählten Service Provider gesichert werden kann. Daraus ergeben sich weitere Fragen, zum Beispiel welcher IT-Compliance-Standard in Übereinstimmung mit dem Service-Dienstleister verwendet wird. Hierbei relevante interne Audits, Überprüfungen von Prozessen mit Hilfe von Kontrollen und Richtlinien, müssen im IT-Outsourcing-Vertrag genannt bzw. in rechtlicher Übereinstimmung durchgeführt werden (IDW PS 951, ISAE 3402). Es stellt sich die Frage, welche Risiken die outsourcenden Unternehmen eingehen, wie diese vermieden werden können, und welcher Nutzengewinn durch das IT-Outsourcing erlangt wird. Dies wird anhand verschiedener Forschungsfragen erörtert werden. In Kapitel 2 wird die Frage, was die Begriffe IT-Compliance, IT-Sourcing und IT-Outsourcing bedeuten, erläutert. Es folgt in Kapitel 3 die Frage, welche regulatorischen Vorgaben Unternehmen beim IT-Outsourcing beachten und umsetzten müssen. Dabei ist auch relevant, inwieweit IT-Outsourcing über verschiedene Unternehmen hinweg in der Durchführung standardisiert werden kann. Kapitel 4 soll beantworten, welche Risiken für Unternehmen beim IT-Outsourcing bestehen bzw. entstehen und wie man diese Risiken kategorisieren kann. Schließlich stellt sich die Frage der Minimierung dieser Risiken und ob hierbei die Umsetzung der IT-Compliance Vorgaben von Nutzen ist.
1.3 Gliederung
Nach der Einführung in das IT-Outsourcing in Kapitel 1 erfolgt eine Darstellung der relevanten Grundlagen in Kapitel 2, wobei eine Einordnung des IT-Outsourcings in den Kontext erfolgt. In Kapitel 3 werden die rechtlichen Vorgaben und IT-Compliance Standards hinsichtlich ihrer Anwendung im Bereich IT-Outsourcing analysiert. Kapitel 4 handelt von der Analyse der Risiken und der Betrachtung von Vor- und Nachteilen des IT-Outsourcings. Es folgt die Betrachtung der Minimierung dieser Risiken, hierbei werden insbesondere die Kongruenz mit den regulatorischen Vorgaben überprüft. Am Ende wird ein Fazit gezogen und die wichtigsten Erkenntnisse zusammengefasst sowie Möglichkeiten der weiteren Forschung aufgezeigt.
2 Grundlagen und Einordnung
Dieses Kapitel gibt einen Überblick über die Grundlagen von IT-Sourcing, IT-Outsourcing und IT-Compliance und ordnet die Begriffe in den jeweiligen thematischen Kontext ein.
2.1 IT-Sourcing
Informationstechnologie stellt heutzutage einen integralen Bestandteil der Firmenaktivität dar und trägt zum Funktionieren der Kernkompetenzen bei (Mohapatra/Das 2013). Dennoch wurde diese in der ersten bekannten vertraglichen Outsourcing Partnerschaft zwischen der Kodak Eastman Company und IBM von 1989 (Qi/Chau 2012) ausgelagert. Seit der ersten Auslagerung hat sich der Prozess nicht nur verändert, sondern wurde auch definitorisch in den wissenschaftlichen Quellen überarbeitet (BITKOM 2008).
IT-Sourcing stellt den Oberbegriff des IT-Outsourcings dar. Die IT-Auslagerung ist also eine Strategieoption des Sourcings. Im Folgenden findet diese Definition für IT-Sourcing Verwendung:
„ obtaining IT services through a specific and formal organizational arrangement for the purpose of production and delivery of IT services as well as the management of the necessary resources and activities“ (Jayatilaka/Hirschheim 2009)
IT-Sourcing beschreibt die durch eine angepasste formale Gestaltung durchgeführte Beschaffung der IT-Dienstleistungen mit dem Ziel der Produktion. Außerdem die Erbringung von IT-Dienstleistungen im Zusammenhang mit dem Management der notwendigen Aktivitäten und Betriebsmittel.
„Outsourcing“, das englische Wort für Ausgliederung, wird im Folgenden lediglich im Kontext der IT verwendet. Es beschreibt das Auslagern eines IT-Services. Diese Arbeitsleistung wurde zuvor intern durchgeführt und wird nun von einem IT-Service-Dienstleister übernommen (Gurbaxani 2007, Han/Mithas 2013). Das IT-Sourcing beinhaltet verschiedene Beschaffungsmethoden, wie beispielsweise das IT-Outsourcing. Hierbei erfolgen Differenzierungen unter anderem nach Standort, der finanziellen Abhängigkeit und dem Grad des externen Leistungsbezugs (siehe Abbildung 1) .
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: IT-Sourcing Map (Jouanne-Diedrich 2014)
Weitere Unterscheidungen erfolgen mittels dem Grad der Geschäftsorientierung, der Anzahl der Leistungsersteller, dem zeitlichen Aspekt sowie strategische Aspekte. Der Standort beschreibt, wo die Leistungserstellung erfolgt. Wie der Service-Dienstleister mit dem outsourcenden Unternehmen verbunden ist, wird durch die finanzielle Abhängigkeit dargestellt. Der Umfang des Outsourcings, totale, selektive oder keine Auslagerung wird durch den Grad des externen Leistungsbezugs benannt. Hierbei wird weiter differenziert nach dem Grad der Geschäftsorientierung. Diese beschreibt die Leistungsform des IT-Sourcings, also beispielsweise das Auslagern von Business Prozessen oder Applikationen. Die Leistungserstellung muss nicht nur durch einen Service-Dienstleister durchgeführt werden, sondern kann auch von mehreren realisiert werden. Der zeitliche Aspekt, beispielsweise, dass Outsourcing rückgängig gemacht wird - „Backsourcing“ genannt - ist eine weitere Unterteilung. Die strategischen Aspekte schließen die Unterteilung ab, hierbei wird das Ziel des Sourcings definiert. Jedes gewinnorientierte Unternehmen wählt aus den möglichen Varianten die für sich vorteilhafte Art des IT-Sourcings (Chang/Gurbaxani 2012). Ausführlicher eingegangen wird in dieser Arbeit auf den zeitlichen Aspekt. Hierbei insbesondere auf das IT-Backsourcing als Risikofaktor und dem IT-Outsourcing im Zusammenhang mit Nutzen und Risiken.
2.2 IT-Outsourcing
Die Entscheidung einer Durchführung von IT-Outsourcing wird auf Grund von Abwägungen individuell von jedem Unternehmen getroffen. Einflussfaktoren auf diese Entscheidung sind unter anderem:
1. Kostenreduktion
2. Konzentration auf Kernkompetenzen
3. Qualitätsverbesserung des ausgelagerten Services/ Anwendung neuer Technologien
(Ali/Green 2009, Chang/Gurbaxani 2012, Mohapatra/Das 2013, Pujals 2005, Xi et al. 2013) Die Kostenreduktion, als einer der bekanntesten Einflussfaktoren, ergibt sich aus der Überlegung, dass Service-Dienstleister davon profitieren nur eine Art von Service durchzuführen. Es entstehen dadurch Verbundeffekte („economies of scope“). Diesen Vorteil kann nicht von dem outsourcenden Unternehmen direkt genutzt werden, da dieses andere Kernkompetenzen hat. Die Konzentration auf diese verspricht Produktionsverbesserungen auf Grund zusätzlicher Ressourcen (Peslak 2012). Das auslagernde Unternehmen hat ebenfalls den Vorteil, durch einen Outsourcingvertrag die Kosten für die IT besser planen zu können (Bergkvist/Johansson 2007, Dhar 2012, Jayatilaka/Hirschheim 2009). Die durch den Vertrag eingekaufte externe Expertise stellt eine weitere Motivation für das Outsourcing dar. Die Unternehmen erwarten hierbei eine Qualitätsverbesserung des jeweiligen Services (Bergkvist/Johansson 2007). Außerdem können möglicherweise auch neuere Technologien schneller implementiert werden, da Investitionen in Nicht-Kernkompetenzen meist zu wenig Erfolg versprechen (Pujals 2005). Hierbei werden Investitionen durch den Service Provider eher durchgeführt. Dies hängt damit zusammen, dass der Service-Dienstleister seine Kernkompetenzen auf dem Feld des ausgelagerten Services besitzt. Bei den in dieser Arbeit betrachteten Unternehmen ist dies die IT, bei welcher zum Beispiel Investitionen im Bereich Hard- und Software regelmäßig von Vorteil sein können (Schäfer et al. 2008). Hierbei hat der Service Provider auch die Möglichkeit mehr Investitionen auf Grund von Mengenrabatten im Bereich Soft- und Hardware durchzuführen (Wang et al. 2008).
Der Outsourcing-Prozess gliedert sich in verschiedene Phasen, welche auch als Outsourcing Value Chain bezeichnet werden (Bi 2007):
1. Alignment
2. Feasibility
3. Transaction
4. Transition
5. Optimization/Transformation
6. Termination/Renegotiation
Die Alignment-Phase beschreibt den Zeitraum, in welchem die Outsourcing-Strategie mit der Unternehmensstrategie abgestimmt wird (Bi 2007). Hierbei wird die Durchführbarkeit („Feasibility“) anschließend geprüft und somit relevante Personenkreise und Daten für die Transaktion vorbereitet (Holweg/Pil 2012). Die Transaction Phase oder auch Transaktion beinhaltet den Vertragsabschluss und außerdem die Vorbereitung zur Übertragung der Daten und des relevanten Wissens. Der Wechsel der Daten erfolgt schließlich in der Transition-Phase, zu deutsch Übergang. Diese Phase ist geprägt von den größten Risiken hinsichtlich zusätzlicher Kosten für Ausfälle und oder Unterbrechungen des Service (Bahli/Rivard 2003). Nach der Übernahme der IT durch den Service Provider erfolgt die Transformation und Optimierungsphase, in welcher der Dienstleister seine eigenen Fähigkeiten mit einbringt und den Service verändert. Dazu ist als Voraussetzung eine abgeschlossene Transition Phase notwendig. Das heißt, dass der Service sich in seiner „Alltags-Situation“ befindet. Die abschließende Phase der Termination und Renegotiation beinhaltet ein Ende oder Neuanfang der Outsourcing-Partnerschaft, in welcher abhängig nach Nicht- bzw. Zustandekommen eines Vertrages eine eigene Durchführung (Backsourcing) erfolgt oder ein neuerlicher Übertrag des Services an einen anderen Dienstleister. Natürlich kann auch eine Verlängerung des Vertrages stattfinden. Für die spätere Risikobetrachtung ist eine weitere Form des IT-Outsourcings relevant, das IT-Offshoring, dieses beschreibt ein IT-Outsourcing, welches international erfolgt und auf Grund der Internationalität besonders risikoreich ist (King/Torkzadeh 2008).
2.3 IT-Compliance
IT-Compliance ist Bestandteil der Corporate-Compliance (Klotz/Dorn 2008). Wobei letztgenannte definiert ist, als regelkonformes Unternehmenshandeln, im speziellen Einhaltung von Normen, Standards und Gesetzen (Teubner/Feller 2008). IT-Compliance beschreibt ebenfalls die Einhaltung von Gesetzen, Richtlinien und Bestimmungen jedoch bei Verwendung von IT, es werden hierbei ebenfalls die innerbetrieblichen Vorgaben berücksichtigt (Mossanen/Amberg 2008). Die einzuhaltenden Direktiven gliedern sich, wie bei Klotz/Dorn und Strasser/Wittek beschrieben, in vier verschiedene Kategorien (Klotz/Dorn 2008, Strasser/Wittek 2011). Regulatorische Vorgaben, welche von staatlichen Einrichtungen erlassen werden, sind die erste Kategorie. Wobei das bekannteste Beispiel der Sarbanes-Oxley Act ist. Eine weitere Gruppe von Direktiven sind unternehmensexterne, auf IT bezogene Regelwerke. Hierbei handelt es sich um IT-Compliance Standards, wie zum Beispiel COBIT oder COSO.
Im Zusammenhang mit IT-Outsourcing kommt den Verträgen und Service Level Agreements eine besonders relevante Rolle zu (Heym/Seeburg 2012). Es stellt ebenfalls die dritte Gruppierung dar. Unternehmensinterne Regelwerke und somit die Verfahrensanweisungen für Mitarbeiter sind als letzte Untergliederung festgelegt. Eine IT-Compliance ist somit ein Zustand, der nur durch eine Prüfung bestätigt werden kann (Klotz/Dorn 2008). Diese Prüfungen erfolgen im Hinblick auf die genannten Direktiven.
3 Relevante rechtliche Vorgaben und IT-Compliance Standards
In diesem Kapitel werden relevante Direktiven für das IT-Outsourcing vorgestellt und analysiert. Die Unterteilung der IT-Compliance erfolgt in die vier Kategorien Regulatorische Vorgaben, IT-Compliance-Standards, Verträge und SLAs sowie unternehmensinterne Regelwerke (Klotz/Dorn 2008, Strasser/Wittek 2011).
3.1 Regulatorische Vorgaben
Regulatorische Vorgaben, Rechtsnormen und Verordnungen sind Direktiven, welche von staatlichen Institutionen erlassen werden (Klotz/Dorn 2008). Diese werden bei Nichtbefolgung mit monetären, teilweise jedoch auch mit Haftstrafen für die jeweiligen Vorstände geahndet (Knolmayer 2008).
Die für das IT-Outsourcing relevanten regulatorischen Vorgaben sind abhängig von dem jeweiligen Land, in welchem sich der Unternehmenssitz des outsourcenden Unternehmens befindet. Außerdem ist der Standort des Service-Dienstleisters relevant für die rechtlichen Vorgaben. Wenn sich beide Standorte unterscheiden muss das geltende Recht für die Beziehung im Vertrag festgelegt werden. Im Folgenden werden einige regulatorische Vorgaben für deutsche Unternehmen vorgestellt:
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, beinhaltet als für das IT-Outsourcing relevanten Punkt die Pflicht zur Einrichtung eines Überwachungssystems für Unternehmen (§91 Abs. 2 AktG). Konkret ist ein Überwachungssystem in diesem Kontext ein Risikofrühwarnsystem, welches ebenfalls dokumentiert werden muss. Weiterhin müssen Service-Dienstleister durch das outsourcende Unternehmen beziehungsweise externe Fachkräfte überprüfbar sein (Mossanen/Amberg 2008). Dies ist auch eine Anforderung des Sarbanes-Oxley Acts of 2002, kurz SOX. In Bezug auf mögliche Prüfungen liegt die Verantwortung beim auslagernden Unternehmen (Hall/Liedtka 2007). Einige deutsche Unternehmen sind Dienstleister von Unternehmen, die an US-Börsen notiert sind. Somit ergibt sich eine indirekte Abhängigkeit von SOX. Diese spiegelt sich in Zertifizierungsanforderungen wieder. Eine direkte Abhängigkeit entsteht für an US-Börsen gelistete deutsche Unternehmen (BITKOM 2006). Diese tragen die Verantwortung für deren ausgelagerte Dienstleistungen.
Der Datenschutz im Hinblick auf diese ausgelagerten IT-Dienstleistungen ist im Bundesdatenschutzgesetz verankert. Dies ist besonders für den Finanzdienstleistungssektor von essentieller Bedeutung. Da bei der IT-Auslagerung in Banken regelmäßig personenbezogene Daten übertragen werden, ist hierbei § 4 Abs. 1 BDSG zu beachten. Dieser besagt, dass personenbezogene Daten nur innerhalb des europäischen Wirtschaftsraumes an Dritte weitergegeben werden dürfen (§4 Abs. 1 BDSG). Eine Ausnahme besteht, wenn ein angemessenes Datenschutzniveau in dem jeweiligen Land besteht, dieses gilt jedoch nur bei sehr wenigen Ländern (Baker 2005). Beispiele hierfür sind: Kanada, Guernsey und Argentinien. Generell gilt, dass die Verantwortung des Datenschutzes auf den Service-Dienstleister übergeht, wenn dieser die Daten erhält (Mossanen/Amberg 2008). Dies wird als Funktionsübertragung bezeichnet (Stemmer 2010). Eine Ausnahme bildet die Auftragsdatenvereinbarung, die im BDSG §11 beschrieben wird. Hierbei beauftragt das auslagernde Unternehmen den Service-Dienstleister mit der Verarbeitung personenbezogener Daten und bleibt selbst datenschutzrechtlich verantwortlich, indem es beispielsweise Kontrollen durchführt (Stemmer 2010).
Grundlage weiterer Gesetze, vor allem auf europäischer Ebene, sind die Eigenkapitalvorschriften des Baseler Ausschusses für Bankenaufsicht und deren Reformpaket des Baseler Ausschusses der Bank für Internationalen Zahlungsausgleich. In nationale Gesetzen angewendet ist Basel III, das Reformpaket von 2010, welches durch die EU-Richtlinien Capital Requirements Directive IV und Capital Requirement Regulation verpflichtend umzusetzen ist (BaFin 2014). Diese Richtlinien sind Bestandteil des Gesetzes über das Kreditwesen, in diesem Zusammenhang ist §25b KWG seit 01. Januar 2014 relevant für Auslagerungsprozesse und Auslagerungsaktivitäten. Zentrale Aussage ist, dass die Ordnungsmäßigkeit der Geschäfte durch die Auslagerung nicht beeinträchtigt werden darf (§25b Abs. 1 S.2 KWG).
Die Mindestanforderungen an das Risikomanagement (MaRisk), veröffentlicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), sind Verwaltungsvorschriften, die §25a KWG konkretisieren und durch § 7 KWG legitimiert sind (§25aKWG, §7 KWG). Der Allgemeine Teil 9 der MaRisk behandelt das Thema Outsourcing (MaRisk AT 9). Bei der Outsourcing Entscheidung wird hierbei ähnlich wie in SOX und KonTraG eine Risikoanalyse verlangt (MaRisk AT 9 Rn. 2). Außerdem müssen Kontinuität und Qualität des ausgelagerten Services gewährleistet werden, besonders nach Beendigung des Auslagerungsvertrags oder auch bei Unterbrechungen (MaRisk AT 9 Rn. 5).
Die regulatorischen Vorgaben sind eher generell verfasste Vorgaben, beispielsweise die Forderung ein Überwachungssystem zu installieren. Die hierfür relevanten Konkretisierungen, welche beispielsweise die Anweisungen für die einzelnen Prozessschritte geben, um das Überwachungssystem zu installieren, sind in den IT-Compliance-Standards definiert (Müller/Terzidis 2008, Spremic et al 2013). Hiermit ergibt sich die Daseinsberechtigung diverser Standards und Best-Practices.
3.2 IT-Compliance Standards
Die unternehmensexternen auf IT bezogenen Regelwerke sind als Compliance-Nachweise zu verstehen, da sie Berichte und generell Dokumentationen beinhalten (Mossanen/Amberg 2008). Für den Anwender sind diese Best-Practice Anleitungen hinsichtlich des Erreichens einer IT-Compliance notwendig. Dies resultiert aus der großen Anzahl regulatorischer Anforderungen und dient somit einer geordneten Übersicht. Außerdem werden allgemeine Vorgaben hiermit anhand von Best-Practice konkretisiert. Es erfolgt zunächst eine Betrachtung der Zertifizierungsstandards und anschließend der Referenzmodelle.
Zertifizierungsstandards sind eine Art von IT-Compliance-Standards. Sie dienen dem in Auftrag gebenden Unternehmen als Nachweis einen Standard umgesetzt zu haben. Dies wird durch eine Zertifizierungsstelle beziehungsweise einen Wirtschaftsprüfer durchgeführt (Diesterer 2009). Die zwei in dieser Arbeit ausführlicher betrachteten Zertifizierungsstandards umfassen unter anderem den IDW PS 951 und den ISAE 3402, ehemals SAS 70 (Sherinsky 2010).
Beide Standards sind Bestandteile der Abschlussprüfung durch den Wirtschaftsprüfer. Der IDW PS 951 ist ein vom Institut der Wirtschaftsprüfer in Deutschland e.V. veröffentlichter Prüfstandard, welcher sich auf eine Prüfung des Internen Kontrollsystems (IKS) bei Auslagerung an einen Dienstleister bezieht (IDW PS 951). Das IKS ist ein System zur Vermeidung von Risiken, deshalb auch Risikofrühwarnsystem genannt. Es beinhaltet Kontrollen hinsichtlich Compliance und kann auf Basis verschiedener Standards implementiert werden (Götz et al. 2008). Die Pflicht der Einrichtung eines IKS ergibt sich aus verschiedenen regulatorischen Vorgaben, wie beispielsweise §91 Abs. 2 AktG. Der Fokus des Prüfers liegt im Zusammenhang mit dem IDW PS 951 auf der Prüfung der Beschreibung des IKS durch den Dienstleister (IDW PS 951). Diese Beschreibung dient dem outsourcenden Unternehmen einerseits als Kontrolle für die Compliance des Dienstleisters, als auch andererseits dem Service Provider zur Überprüfung der eigenen Compliance. Außerdem ist auch die Kontrolle von Störfällen (Incidents) sowie das nachfolgende Incident Management, d.h. die Analyse und das Wiederherstellen des normalen Geschäftsbetriebs, ein Bestandteil des IDW PS 951 Berichts.
Der zweite Zertifizierungsstandard ist der International Standard on Assurance Engagements 3402 (ISAE 3402), dieser definiert ähnlich wie der IDW PS 951 die Prüfung der Kontrollen im Dienstleistungsunternehmen bei Outsourcing („Assurance Reports on Controls at a Service Organisation“ Bierstaker et al. 2013). Mit der Veröffentlichung durch das International Auditing and Assurance Standards Board wurden die vorher gültigen Statements on Auditing Standards No. 70 (SAS 70) Juni 2011 abgelöst (Bierstaker et al. 2013). Der Inhalt des ISAE 3402 bezieht sich hauptsächlich auf die Prüftätigkeit hinsichtlich der Kontrollen in Verbindung mit den ausgelagerten Services (ISAE 3402). Und dabei im Speziellen mit der Verfassung eines Prüfberichts.
Im Unterschied zu den Zertifizierungsstandards werden Referenzmodelle nicht zur Prüfung verwendet, sondern bei der Anwendung beziehungsweise Umsetzung regulatorischer Vorgaben. In diesem Zusammenhang ist die bereits dargestellte Implementierung eines IKS ein Beispiel. Es erfolgt somit die Anwendung der Referenzmodelle zeitlich gesehen vor der Anwendung der Zertifizierungsstandards. Hinsichtlich des IT-Outsourcings relevant, sind die beiden Standards COBIT und COSO, die nun vorgestellt und analysiert werden. Control Objectives for Information and related technology (COBIT) ist ein IT-Compliance Standard, der durch die Information Systems Audit and Control Association (ISACA) entwickelt wurde. Momentan in der Version 5 vorliegend, ist COBIT ein Managementtool zur Implementierung, Messung und Überprüfung von IT-Compliance (Hardy 2006). Das sich in fünf einzelne Prozessgruppen unterteilende Prozessreferenzmodell, garantiert den in der Outsourcing Partnerschaft involvierten Unternehmen bei Verwendung die Übereinstimmung des IT-Prozessaufbaus (Mossanen/Amberg 2008). Die fünf Prozessgruppen, wie in Abbildung 2 dargestellt, sind: 1. Evaluieren, Vorgeben und Überwachen, 2. Anpassen, Planen und Organisieren 3. Aufbauen, Beschaffen und Implementieren, 4. Bereitstellen, Betreiben und Unterstützen, 5. Überwachen, Evaluieren und Beurteilen. Die erste Prozessgruppe stellt die Governanceprozesse dar. Governanceprozesse sind sämtliche Prozesse, die relevant für die Führung hinsichtlich der Informationstechnologie sind. Prozessgruppen zwei bis fünf hingegen beinhalten die Prozesse für das Management der Unternehmens-IT. Es werden hierbei insgesamt 37 Prozesse von COBIT in die fünf Gruppen unterteilt dargestellt.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: COBIT 5 Prozessreferenzmodell (ISACA 2012)
Mit der Umsetzung des COBIT Standards ist es möglich innerhalb dieser Prozesse Kontrollziele zu etablieren, um mit Hilfe derer IT-Compliance Vorgaben einzuhalten. Die Nutzung resultiert somit laut BITKOM in der Kongruenz der COBIT Kontrollziele mit den Prüfungsplänen der Wirtschaftsprüfer und ermöglicht eine positive Jahresabschlussprüfung (BITKOM 2008).
Der von dem Comittee of Sponsoring Organizations of the Treadway Comission (COSO) veröffentlichte Standard "Internal Control - Integrated Framework" von 2013 gilt als führendes Rahmenwerk hinsichtlich Interner Kontrollsysteme (Menzies/Engelmayer 2013). Dennoch findet COSO auch für Unternehmen Anwendung, welche in einer Outsourcing Partnerschaft stehen (Janvrin et al. 2012). Hierbei benennt und beschreibt COSO verschiedene Kontrollen hinsichtlich des Outsourcingprozesses (Tackett/Wolf 2012).
3.3 Verträge und SLAs
Regulatorische Vorgaben und auch IT Compliance Standards, die im outsourcenden Unternehmen Berücksichtigung finden, werden mit Hilfe von Verträgen und Service Level Agreements (SLAs) auf den IT-Service-Dienstleister übertragen, beziehungsweise von diesem eingefordert (Heym/Seeburg 2012).
Ein Vertrag besteht aus mindestens zwei inhaltlich übereinstimmenden Willenserklärungen, die aufeinander Bezug nehmen (Brox/Walker 2013). Diese werden mit Angebot und Annahme rechtskräftig (Brox/Walker 2013). Speziell ein Outsourcing-Vertrag unterteilt sich in Rahmenvertrag und die nachrangigen Leistungsverträge (Heym/Seeburg 2012). Ein Bestandteil der Leistungsverträge sind Service Level Agreements (Lee 1996, Goo et al. 2008). In diesen wird definiert, wie der ausgelagerte Service durchzuführen ist und welche Maßnahmen bei Nichtverfügbarkeit des Services seitens des Providers vorzunehmen sind. Hierbei ist eine Einigung über Leistungsgrad der jeweiligen Bestandteile des Services von Relevanz, als auch die Höhe möglicher Vertragsstrafen (Definition siehe §§ 339 ff BGB) bei Nichteinhaltung dieser (Karyda et al. 2006, Cox et al. 2011). Lee empfiehlt außerdem, dass bei der praktischen Anwendung die SLAs möglichst detailgenau sind, sodass auch eventuelle Umstandsänderungen und neue Geschäftsanforderungen schon mit einbezogen werden (Lee 1996, Goo et al. 2009). Dies erspart den zwei Parteien mögliche Konflikte. Auch der Ablauf von gemeinsamen Entscheidungsprozessen und Konfliktmanagement können durch SLAs definiert werden (Goo et al. 2009).
Die Definitionen werden in den SLAs in Service Level Clauses (SLCs) festgeschrieben. Diese enthalten: 1. den bereitgestellten Service, 2. die Aufgaben des Kunden, 3. die Bezahlung für den geleisteten Dienst, 4. das Leistungsgradziel, 5. die Berechnung von Bonus oder Vertragsstrafe (Beaumont 2006, Goo et al. 2009). Der bereitgestellte Service ist eine Beschreibung, die durch Attribute des Services erfolgt, beispielsweise die Verfügbarkeit, die Erreichbarkeit, Zeitvorschriften, Leistung, Kapazität und Sicherheit (Beaumont 2006). Diese können mit Hilfe der Key-Performance-Indikatoren (KPIs) gemessen werden (Heym/Seeburg 2012). KPIs sind Leistungskennzahlen für die numerische Darstellung von beispielsweise der Verfügbarkeit eines bestimmten Services (Beulen/Ribbers 2003). Diese werden unter Punkt vier der Leistungsgradziele vermerkt. Die Aufgaben des Kunden sind beispielsweise die Bereitstellung von Daten, welche relevant für die Ausführung des Dienstes sind. Die Zahlungsvereinbarungen werden ebenfalls mit den SLCs festgehalten (Beaumont 2006). Die Berechnung oder Festsetzung für die Konventionalstrafe erfolgt im Punkt 5, in welchem möglicherweise auch der Bonusfall eingetragen wird. Durch die detailgenaue Erfassung sämtlicher Absprachen sind SLAs höchst relevant für das Organisieren einer Outsourcing Partnerschaft (Goo et al. 2008, Meydanoglu 2008).
[...]