Risikominimierung im IT-Outsourcing: Maßnahmen unter Berücksichtigung regulatorischer Vorgaben (eBook)

Textprobe: Kapitel 3.2, IT-Compliance Standards: Die unternehmensexternen auf IT bezogenen Regelwerke sind als Compliance-Nachweise zu verstehen, da sie Berichte und generell Dokumentationen beinhalten (Mossanen/Amberg 2008). Für den Anwender sind diese Best-Practice Anleitungen hinsichtlich des Erreichens einer IT-Compliance notwendig. Dies resultiert aus der großen Anzahl regulatorischer Anforderungen und dient somit einer geordneten Übersicht. Außerdem werden allgemeine Vorgaben hiermit anhand von Best-Practice konkretisiert. Es erfolgt zunächst eine Betrachtung der Zertifizierungsstandards und anschließend der Referenzmodelle. Zertifizierungsstandards sind eine Art von IT-Compliance-Standards. Sie dienen dem in Auftrag gebenden Unternehmen als Nachweis einen Standard umgesetzt zu haben. Dies wird durch eine Zertifizierungsstelle beziehungsweise einen Wirtschaftsprüfer durchgeführt (Diesterer 2009). Die zwei in dieser Arbeit ausführlicher betrachteten Zertifizierungsstandards umfassen unter anderem den IDW PS 951 und den ISAE 3402, ehemals SAS 70 (Sherinsky 2010). Der IDW PS 951 ist ein vom Institut der Wirtschaftsprüfer in Deutschland e.V. veröffentlichter Prüfstandard, welcher sich auf eine Prüfung des Internen Kontrollsystems (IKS) bei Auslagerung an einen Dienstleister bezieht (IDW PS 951). Das IKS ist ein System zur Vermeidung von Risiken, deshalb auch Risikofrühwarnsystem genannt. Es beinhaltet Kontrollen hinsichtlich Compliance und kann auf Basis verschiedener Standards implementiert werden (Götz et al. 2008). Die Pflicht der Einrichtung eines IKS ergibt sich aus verschiedenen regulatorischen Vorgaben, wie beispielsweise §91 Abs. 2 AktG. Der Fokus des Prüfers liegt im Zusammenhang mit dem IDW PS 951 auf der Prüfung der Beschreibung des IKS durch den Dienstleister (IDW PS 951). Diese Beschreibung dient dem outsourcenden Unternehmen einerseits als Kontrolle für die Compliance des Dienstleisters, als auch andererseits dem Service Provider zur Überprüfung der eigenen Compliance. Außerdem ist auch die Kontrolle von Störfällen (Incidents) sowie das nachfolgende Incident Management, d.h. die Analyse und das Wiederherstellen des normalen Geschäftsbetriebs, ein Bestandteil des IDW PS 951 Berichts. Der zweite Zertifizierungsstandard ist der International Standard on Assurance Engagements 3402 (ISAE 3402), dieser definiert ähnlich wie der IDW PS 951 die Prüfung der Kontrollen im Dienstleistungsunternehmen bei Outsourcing ('Assurance Reports on Controls at a Service Organisation' Bierstaker et al. 2013). Mit der Veröffentlichung durch das International Auditing and Assurance Standards Board wurden die vorher gültigen Statements on Auditing Standards No. 70 (SAS 70) Juni 2011 abgelöst (Bierstaker et al. 2013). Der Inhalt des ISAE 3402 bezieht sich hauptsächlich auf die Prüftätigkeit hinsichtlich der Kontrollen in Verbindung mit den ausgelagerten Services (ISAE 3402). Und dabei im Speziellen mit der Verfassung eines Prüfberichts.