Revisionssicheres IT-Outsourcing am Beispiel der Auslagerung rechnungslegungsrelevanter Anwendungen an einen Application Service Provider

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung

2 Begriffserläuterungen
2.1 Revisionssicherheit
2.2 IT-Prüfung

3 Gesetzliche Regelungen, Richtlinien und Standards

4 IT-Outsourcing

5 IT-Outsourcing am Beispiel von Application Service Providing
5.1 Application Service Providing
5.2 Planungsphase
5.2.1 Festlegung des Outsourcing-Gegenstandes
5.2.2 Festlegung der Verantwortlichkeiten
5.2.3 Auswahl des ASP-Dienstleisters
5.2.4 Vertragsgestaltung
5.2.4.1 Umfang der ASP-Dienstleistungen / Gegenstand des Vertrags
5.2.4.2 Erreichbarkeit und Reaktionszeit
5.2.4.3 Verfügbarkeit
5.2.4.4 Änderungswesen
5.2.4.5 Datensicherheit
5.2.4.6 Mitteilungspflichten des Auftragnehmers
5.2.4.7 Datenarchivierung
5.2.4.8 Verfahrensdokumentation
5.2.4.9 Nachvertragliche Pflichten
5.2.4.10 Kontrollhandlungen und Weisungsbefugnisse des Auftragnehmers
5.2.4.11 Pönale
5.3 Migrationsphase
5.3.1 Migration der Anwendung
5.3.2 Datenmigration
5.3.2.1 Export der Daten aus dem Altsystem
5.3.2.2 Transformation des Datenbestandes
5.3.2.3 Import der Daten in das Neusystem
5.3.3 Testphase
5.3.3.1 Migrationstests
5.3.3.2 Integrations- und Funktionstests
5.3.4 Abnahme
5.3.5 Verfahrensdokumentation
5.4 Betriebsphase
5.4.1 Kontrollhandlungen beim Dienstleister
5.4.2 Regelmäßige Reports
5.4.3 Aktualisierung der Dokumentation und vertraglicher Übereinkünfte

6 Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

1 Prüfungsgegenstand, Prüfungskriterien und Prüfungsziel einer IT-Prüfung

2 Relevante gesetzliche Grundlagen, Richtlinien und Standards

3 Bedenken beim Outsourcing

4 Die ASP-Kommunikation

5 Definition der Überleitungsregeln

Tabellenverzeichnis

1 Die Grundsätze ordnungsmäßiger Buchführung und die entsprechenden Erläuterungen aus den GoBS

2 Aufbewahrungsfristen für handels- und steuerrechtlich re- 37 levante Unterlagen

3 Mögliche Kontrollgegenstände beim Dienstleister

1 Einleitung

Das Auslagern des Managements von IT-Anwendungen an einen Dienstleister hat in den letzten Jahren vor allem durch die sich ergebenden technischen Möglichkeiten und die oftmals großen Kosteneinsparpotentiale stark an Bedeutung gewonnen. So rechnet die Experton Group in Deutschland mit einer Steigerung der Umsätze von 418 Mio. Euro (2009) um 67 Prozent auf 660 Mio. Euro im Jahr 2012 im Bereich des Geschäftsfelds Software-as-a-Service (SaaS)¹.

Auch das Hosting rechnungslegungsrelevanter Anwendungen wie Finanzbuchfüh- rungsprogramme, Lohnbuchhaltungsanwendungen oder ERP-Systeme wird zu- nehmend an Outsourcing-Dienstleister ausgelagert - auch wenn in diesem Be- reich noch eine gewisse Zurückhaltung seitens der Unternehmen besteht.²

Mit der Auslagerung von IT-Anwendungen, welche einen Einfluss auf die Rechnungslegung haben, ergeben sich für Unternehmen besondere Nachweis- und Sorgfaltspflichten, um die Ordnungsmäßigkeit der Rechnungslegung zu belegen bzw. sicherzustellen.

Ziel dieser Bachelor-Thesis soll es sein, aufzuzeigen, welche Anforderungen sich im Rahmen einer IT-Prüfung durch den Abschlussprüfer aus geltenden gesetzli- chen Vorgaben sowie relevanten Standards und Normen für das auslagernde Un- ternehmen ergeben. Zudem sollen Handlungsempfehlungen für Unternehmen ab- geleitet werden, deren Umsetzung dazu beiträgt diesen Anforderungen zu ent- sprechen und die mit dem Auslagern von IT-Anwendung verbundenen Risiken zu minimieren.

Zunächst werden in dieser Arbeit grundlegende Begrifflichkeiten erläutert. Im Kapi- tel 2 werden die gesetzlichen Anforderungen dargelegt, auf welche sich die Prü- fungshandlungen des Abschlussprüfers im Bereich IT im Wesentlichen stützen. Im dritten Kapitel wird das Outsourcing von IT dargestellt. Zudem wird die übergrei- fende IT-Sourcing-Strategie, die auch ein Nutzen von Application Service ProviEinleitung 2

ding-Dienstleistungen durch das Unternehmen vorsehen kann, erläutert und erste Handlungsempfehlungen für Unternehmen aufgezeigt.

Im Kapitel 5 wird auf das Application Service Providing eingegangen. Es wird das Grundprinzip der Dienstleistung sowie Vor- und Nachteile für auslagernde Unternehmen aufgezeigt. Schließlich werden Handlungsempfehlungen, welche sich speziell auf das Application Service Providing und die Anforderungen der Abschlussprüfung an dieses beziehen, dargestellt. Dabei orientiert sich die Darstellung an einem typischen ASP-Projekt.

2 Begriffserläuterungen

Im Folgenden werden Begriffe, welche eine zentrale Bedeutung in dieser Arbeit haben, kurz erläutert.

2.1 Revisionssicherheit

Der Begriff der Revisionssicherheit wurde im Jahr 1992 durch Herrn Ulrich Kampf- fmeyer geprägt und 1996 in einem „Code of Practice“ des Verbandes Organisati- ons- und Informationssysteme e. V. (VOI) erstmalig schriftlich veröffentlicht.³

Ursprünglich auf die digitale Aufbewahrung von Dokumenten bezogen, wird der Begriff der Revisionssicherheit mehr und mehr auch auf andere Themenbereiche angewandt. Eine einheitliche Definition gilt bislang allerdings nur für die Revisionssicherheit i.S. der Erfüllung relevanter gesetzlicher Vorgaben bei der digitalen Dokumentenarchivierung.

Als Eigenschaft eines Objekts verstanden, welches die Anforderungen eines Prüfers (Revisors) erfüllt, soll in dieser Arbeit ein Outsourcing der IT als revisionssicher gelten, wenn es den Erwartungen des Jahresabschlussprüfers und damit den geltenden gesetzlichen Anforderungen sowie Standards und Normen, die der Wirtschaftsprüfer zu seiner Beurteilung heranzieht, entspricht.

2.2 IT-Prüfung

Die IT-Prüfung ist Bestandteil der gesetzlichen Jahresabschlussprüfung. Nach § 316 HGB sind alle mittelgroßen und großen Kapitalgesellschaften verpflichtet, den Jahresabschluss durch einen Abschlussprüfer prüfen zu lassen.

Prüfungsgegenstand der gesetzlichen Abschlussprüfung ist in jedem Fall die Rechnungslegung (Jahresabschluss) und die Buchführung eines Unternehmens. Abhängig vom Unternehmen ist auch der Lagebericht, Konzernlagebericht oder Konzernabschluss zu prüfen. Ziel dieser gesetzlichen Abschlussprüfung ist die Feststellung, ob die gesetzlichen Vorschriften und sie ergänzende Bestimmungen des Gesellschaftsvertrags oder der Satzung beachtet worden sind. Die im Jahres- abschluss dargestellte Vermögens-, Finanz- und Ertragslage des Unternehmens soll daraufhin beurteilt werden, ob sie ein den Tatsachen entsprechendes Bild lie- fert.

Da die IT der Unternehmen heutzutage einen maßgeblichen Einfluss auf die Rechnungslegung und damit auf den Jahresabschluss hat, müssen Abschlussprüfer die Ordnungsmäßigkeit und Sicherheit der zur Rechnungslegung eingesetzten IT im Rahmen der Jahresabschlussprüfung beurteilen und bestätigen.

Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) hat Rechnungsle- gungsstandards (RS) als Vorgabe für die Rechnungslegung durch Unternehmen und Prüfungsstandards (PS), als Vorgabe für die Prüfung dieser, durch den Ab- schlussprüfer entwickelt. Den direkten Bezug zur IT-gestützten Rechnungslegung bilden insbesondere der IDW RS FAIT 1 „Grundsätze ordnungsmäßiger Buchfüh- rung bei Einsatz von Informationstechnologie“ und der IDW PS 330 „Abschluss- prüfung bei Einsatz von Informationstechnologie“. Sie konkretisieren relevante ge- setzliche Anforderungen auf die Informationstechnologie und deren Prüfung. Der IDW PS 330 definiert für eine Prüfung der IT verschiedene Prüfungsgegenstände, einer davon ist das IT-Outsourcing.

Soweit ein Unternehmen die IT oder Teile dieser auslagert, „muss der Abschlussprüfer beurteilen, wie sich dies auf das Interne Kontrollsystem (IKS) des Unternehmens auswirkt.“⁴

Der Prüfer bestimmt im Verlauf der Prüfung das Fehlerrisiko, das dem Unternehmen durch das IT-Outsourcing entstehen kann. Darüber hinaus beurteilt er das ITKontrollsystem als Teil des Internen Kontrollsystems des Unternehmens, inwieweit es angemessen ist, die aus dem IT-Einsatz resultierenden Fehlerrisiken auf die festgelegten tolerierbaren Risiken zu begrenzen.

Bei der Prüfung des IT-Outsourcings ergibt sich die Besonderheit, dass nicht allein das Interne Kontrollsystem des auslagernden Unternehmens, sondern auch das des Dienstleisters für die Ordnungsmäßigkeit der Rechnungslegung entscheidend ist. IDW PS 331 „Abschlussprüfung bei teilweiser Auslagerung der Rechnungsle- gung auf Dienstleistungsunternehmen“ unterscheidet nun zwei Fälle der Auslage- rung und damit notwendigen Reaktionen des auslagernden Unternehmens sowie des Abschlussprüfers um die entstehenden Risiken zu bewältigen. Handelt der Dienstleister ausschließlich auf Geheiß des auslagernden Unternehmens, „kann es ausreichen, allein im internen Kontrollsystem des zu prüfenden Unternehmens wirksame Regelungen zur Überwachung dieser Auslagerung von Teilen des Rechnungslegungssystems einzurichten.“⁵ Werden durch den Dienstleister Tätig- keiten eigenständig durchgeführt, muss das auslagernde Unternehmen ausrei- chende Prüfungs- und Kontrollrechte beim Dienstleister vertraglich vereinbaren und diese wahrnehmen. Aufgabe des Abschlussprüfers ist in diesen Fällen das IKS des Dienstleisters anhand eigener Prüfungshandlungen oder durch Einsicht in die Prüfungsergebnisse Dritter zu beurteilen. Die Beurteilung des IKS durch einen Dritten sollte idealerweise nach dem IDW PS 951 („Die Prüfung des internen Kon- trollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunter- nehmen ausgelagerte Funktionen“) erfolgt sein.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Prüfungsgegenstand, Prüfungskriterien und Prüfungsziel einer IT-Prüfung (Quelle: IDW PS 330)

3 Gesetzliche Regelungen, Richtlinien und Standards

Bei der Auslagerung der IT an Outsourcing-Provider sind Unternehmen zur Einhal- tung einer Vielzahl von Anforderungen verpflichtet, welche aus vielerlei Quellen entstehen.⁶ Die Erfüllung vieler dieser Anforderungen wird im Rahmen der Jah- resabschlussprüfung durch den Wirtschaftsprüfer kritisch bewertet und hat eine entsprechend hohe Bedeutung für Unternehmen. Auch wenn negative Prüfungs- feststellungen durch den Wirtschaftsprüfer bei der Beurteilung der Ordnungsmä- ßigkeit und Sicherheit der IT eines Unternehmens in der Praxis selten eine Ein- schränkung des Bestätigungsvermerks als Beurteilung der Prüfung des Jahresab- schlusses oder gar einen Versagungsvermerk begründen, sollten Unternehmen sicherstellen, dass ihre IT den Anforderungen des Abschlussprüfers entspricht. Dies vor allem auch vor dem Hintergrund, dass im Rahmen der Abschlussprüfung der Wirtschaftsprüfer bestandsgefährdende Risiken zu erkennen und im Prü- fungsbericht zu dokumentieren hat.⁷ Diese Information weckt bei Stake- und Shareholdern des Unternehmens sicher kein Vertrauen in dieses.

Da die gesetzlichen Vorgaben aufgrund ihres Abstraktionsgrades in der Regel keinen direkten Schluss auf die Anforderungen an die IT von Unternehmen zulassen, wurden konkretisierende Richtlinien durch den Gesetzgeber und Standards durch private und berufsständische Institutionen entworfen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Relevante gesetzliche Grundlagen, Richtlinien und Standards (Quelle: eigene Dar- stellung)

Gesetzliche Regelungen, Richtlinien und Standards 7

Zunächst sollen die grundlegenden gesetzlichen Vorgaben dargestellt werden, aus denen sich die Richtlinien und Standards ableiten, welche wiederum im Kapi- tel 5 im Zusammenhang mit den Handlungsempfehlungen für Unternehmen auf- gegriffen werden.

Branchenspezifische Vorgaben, wie z.B. Vergabe- und Vertragsordnung für Leistungen im öffentlichen Sektor oder die besonderen Anforderungen an das Risikomanagement in Finanz- und Versicherungsinstituten (MaRisk) werden in dieser Arbeit nicht betrachtet.

Sorgfaltspflicht

Die geschäftsführenden Personen in Unternehmen sind nach § 347 Abs. 1 HGB dazu verpflichtet, in allen Angelegenheiten die Sorgfalt eines ordentlichen Kaufmanns anzuwenden. Diese Sorgfaltspflichten sind nicht gesetzlich kodifiziert und werden als Handelsbräuche je nach Branche und Anwendungsbereich definiert. Im Wesentlichen lassen sich zu diesen Sorgfaltspflichten die Sicherstellung der Einhaltung relevanter gesetzlicher Vorgaben sowie die Sicherstellung des Fortbestandes des Unternehmens zählen.

Bei Gesellschaften mit begrenzter Haftung trifft diese Sorgfaltspflicht die Ge- schäftsführer (§ 43 Abs. 1 GmbHG), bei Aktiengesellschaften insbesondere den Vorstand, aber auch die Aufsichtsratsmitglieder (§ 93 Abs. 1 Satz 1 AktG, § 116 Satz 1 AktG).

Nach § 91 Abs. 2 AktG hat der Vorstand von Aktiengesellschaften zur Erfüllung der Sorgfaltspflichten zudem ein Überwachungssystem zu installieren, welches unternehmensgefährdende Risiken frühzeitig erkennt. Diese Vorgabe ist mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft getreten und findet mit der Ausstrahlungswirkung des KonTraG auch An- wendung auf viele GmbH.

Einhaltung der Grundsätze ordnungsmäßiger Buchführung

Als eine zentrale gesetzliche Vorgabe, deren Einhaltung wie erwähnt unter die Sorgfaltspflicht der Unternehmensleitung fällt, sind die Grundsätze ordnungsmäßi- ger Buchführung (GoB) zu nennen. Nach § 238 Abs. 1 Satz 1 HGB und §§ 145ff. AO sind Unternehmen verpflichtet, bei der Führung ihrer Handelsbücher die GoB zu beachten. Dies gilt auch dann, wenn die Buchführung mithilfe von IT-gestützten Systemen erfolgt (Vgl. § 239 Abs. 4 Satz 1 und § 146 Abs. 5 Satz 1). Die GoB sind ein Regelwerk für die gesetzeskonforme Buchführung und besitzen, sofern sie in Gesetzen kodifiziert sind oder zum Gewohnheitsrecht geworden sind, Rechtsnormcharakter. Weitere GoB ergeben sich durch Handelsbräuche oder die Verkehrsanschauung (auch: Sachverständigen-Ansicht). Besitzen GoB Rechts- normcharakter, sind sie dementsprechend für alle Kaufleute i. S. d. § 1 Abs. 1 HGB verbindlich.

Der Abschlussprüfer eines Unternehmens hat nach IDW PS 330 Tz. 8 das ITgestützte Rechnungslegungssystem daraufhin zu beurteilen, ob es den gesetzlichen Anforderungen, insbesondere den Ordnungsmäßigkeitsanforderungen und damit auch den GoB entspricht. Der Überprüfung der Einhaltung der GoB kommt demnach eine zentrale Bedeutung im Rahmen der IT-Prüfung zu.

Die für den Einsatz von IT zur Rechnungslegung relevanten Ordnungsmäßig- keitskriterien sind im Rechnungslegungsstandard (RS) des Instituts der Wirt- schaftsprüfer in Deutschland e. V. (IDW) FAIT 1 Tz. 25 festgelegt, welche sich wiederum aus Vorgaben des HGB ergeben. Konkrete Anforderungen an die IT- gestützte Buchführung, um die Ordnungsmäßigkeitskriterien zu erfüllen, ergeben sich aus den GoBS, die grundsätzlich steuerrechtliche Relevanz besitzen, auf- grund des umgekehrten Maßgeblichkeitsprinzips bei der Erstellung einer Einheits- bilanz aber zunehmend auch im Handelsrecht Anwendung finden. Zudem ist zu erwarten, dass die GoBS, wie auch die nicht kodifizierten GoB zum Gewohnheits- recht werden und damit Rechtsnormcharakter erlangen. Der Zusammenhang der Ordnungsmäßigkeitskriterien und den Anforderungen aus den GoBS (Vgl. Tz. 2.1 und Tz 3.1) wird im Folgenden dargestellt. Die GoBS sind dabei nicht vollständig aufgeführt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Die Grundsätze ordnungsmäßiger Buchführung und die entsprechenden Erläuterungen aus den GoBS, Quelle: eigene Darstellung

Einhaltung der gesetzlichen Aufbewahrungsfristen

Auch die Einhaltung der gesetzlichen Aufbewahrungsfristen hat der Abschlussprüfer im Rahmen der IT-Prüfung in besonderem Maße zu überprüfen (Vgl. IDW PS 330 Tz. 8 in Verbindung mit IDW RS FAIT 1 Tz. 60).

Unternehmen sind dazu verpflichtet, bestimmte Unterlagen entsprechend den ge- setzlichen Aufbewahrungsfristen aufzubewahren (§ 257 Abs. 1 HGB und §§ 146 f. AO). Diese sind in § 257 Abs. 4 HGB bzw. § 147 Abs. 3 Satz 1 AO definiert. Dar- über hinaus sind Unternehmen steuerrechtlich verpflichtet, der Finanzbehörde je- derzeit aufzubewahrende Unterlagen lesbar zu machen (§ 146 Abs. 5 Satz 2 und 3 AO). Dies umfasst auch das Vorhalten von steuerlich relevanten Daten, welche mithilfe eines Datenverarbeitungssystems erstellt worden sind, in einer maschinell auswertbaren Form. Nach § 147 Abs. 6 AO und Tz. 3b der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) ist auch das Datenverarbeitungssystem vorzuhalten, mit dem die Daten erstellt worden sind, sofern ein neues Datenverarbeitungssystem beim Unternehmen eingeführt wurde und dieses oder ein anderes vorhandenes System keine maschinellen Auswertungen in der Form ermöglicht, wie es das Altsystem ermöglichte.

4 IT-Outsourcing

Die Herkunft des Begriffs Outsourcing ist in der Literatur umstritten. In der englischen Literatur werden zumeist die Begriffe „out“ und „source“ als Grundlage des Neologismus benannt. In der deutschen Literatur wird häufig die Meinung vertreten, die Begriffe „outside“, „ressource“ und „using“ stellen die Begriffsbasis dar. Beide Deutungen sind in ihrer Grundaussage aber gleich: Die Nutzung externer Ressourcen für Bereiche, die klassischerweise unternehmensintern abgewickelt werden und meist nicht zum Kerngeschäft gehören.

Die IT oder Teile der IT von Unternehmen waren in der Vergangenheit oft der ers- te Kandidat für eine Auslagerung an einen Dienstleister. Dies ist der Tatsache ge- schuldet, dass die IT i. d. R. ein reiner Unterstützungsprozess im Unternehmen ist, also keinen direkten Wertschöpfungsbeitrag leistet. Der Mehrwert, den die IT für das Unternehmen erbringt, ist meist nicht messbar, so dass das allgemeine Bild entsteht, dass IT „nur kostet“. Umso erstrebenswerter erscheint es diese Kosten durch eine Auslagerung auf ein Minimum zu senken oder zumindest auf fest kal- kulierbare Kosten zu begrenzen.

Der Markt hat sich dieser Bereitschaft zum Outsourcing der IT angepasst, so dass es heutzutage Angebote für beinahe jede Form der Auslagerung von IT gibt. Von Application Service Providing, Voice-over-IP-Service-Providing und Online-Backup bis hin zu “Rundum-Sorglos”-Paketen werden IT-Outsourcing-Dienstleistungen von international renommierten IT-Unternehmen, wie auch von kleinen Sys- temhäusern angeboten. Diese Angebote finden angesichts verlockender Vorteile, die sich Unternehmen von ihnen versprechen, immer größeren Anklang. So rech- net die Experton Group im Jahr 2010 mit einem Wachstum von 2,5 % auf dem deutschen IT-Outsourcing-Markt.⁸

[...]

¹ Vgl. Eriksdotter, IT-Mietmodelle halten Einzug in deutsche Firmen, http://www.cio.de/2215713, abgerufen am 12.04.2010

² Vgl. Ellermann, Make or Buy, http://www.cio.de/804930, abgerufen am 12.04.2010

³ Vgl. Kampffmeyer, Roggala, Grundsätze der elektronischen Archivierung, S. 10

⁴ IDW PS 330 Tz. 90

⁵ IDW PS 331 Tz. 9

⁶ Vgl. Amberg, Biermann, Kramolisch, Lehr, Mossanen, Compliance im IT-Outsourcing, S. 32

⁷ Vgl. § 321 Abs. 1 Satz 3 HGB

⁸ Vgl. Burau, Schick, IT-Outsourcingmarkt 2010, http://www.experton-group.de/press/releases/pressrelease/article/it-outsourcingmarkt-2010-wieder- wachstum-erwartet.html, abgerufen am 26.05.2010