Treppe KF web
Sourcing

Transparenz und Sicherheit im Outsourcing

Ein Outsourcing dient dazu, die Effizienz zu steigern und den Fokus auf das Kerngeschäft zu stärken. Allerdings stellt die Auslagerung von Daten und Prozessen auch ein Risiko dar. Mit ISAE 3402 wird sichergestellt, dass Ihr Service-Provider höchste Sicherheits- und Qualitätsstandards einhält.

Emil Meier Emil Meier, 04. November 2020

Outsourcing und Auditrecht

Die Formen des Outsourcings variieren zwischen der Auslagerung einzelner Teilbereiche bis hin zu einem Full-Outsourcing. Egal ob Inhouse-Betrieb oder an Dritte ausgelagert, jedes Unternehmen trägt letztlich die Verantwortung für die Sicherheit seiner Daten.

 

Wenn die Auslagerung der Abwicklung Auswirkungen auf die eigene Finanzberichtserstattung hat, so hat das auslagernde Unternehmen gegenüber seiner Revisionsstelle gewisse Verpflichtungen. Im Rahmen der jährlichen Prüfung des internen Kontrollsystems muss aufgezeigt werden, dass das Unternehmen seiner Pflicht zur Überwachung des Dienstleisters nachgekommen ist, die ausgelagerten Daten angemessen geschützt und definierte Prozesse eingehalten werden.

 

Aus diesem Grund liegt es in der Verantwortung des auslagernden Unternehmens, die vertraglichen Vereinbarungen, die durch den Service-Provider umgesetzt werden, zu überwachen und regelmässig zu überprüfen. Bei einem Outsourcing ist zu diesem Zweck immer das Auditrecht fester Bestandteil der Verträge. Dadurch erhält das auslagernde Unternehmen die Möglichkeit, sich davon zu überzeugen, dass die vertraglich vereinbarten Sicherheitsmassnahmen tatsächlich implementiert und effektiv sind.

ISAE 3402

Da ein Service-Provider typischerweise eine Vielzahl von Kunden betreut, die ihrer Überwachungspflicht nachkommen müssen, wäre zum Jahresende hin ein Auditmarathon beim Service-Provider die Konsequenz. Mit dem anerkannten «International Standard on Assurance Engagement 3402» (ISAE 3402) besteht die Möglichkeit, mit einen einmalig jährlich durchgeführten Audit die implementierten Schutzmassnahmen zu prüfen und das Ergebnis sämtlichen Kunden und deren Revisionsstellen transparent aufzuzeigen. Im Fokus des Berichts stehen die Themen, die eine Auswirkung auf die Finanzberichtserstattung des Kunden haben können (z. B. Access Management, Change Management, Backup und Restore).  

 

Das Audit erfolgt durch eine unabhängige Prüfungsgesellschaft und bewertet sowohl die Implementierung als auch die Effektivität der Kontrollmechanismen. Bestätigt der Prüfer das Ergebnis mit einer «unqualified opinion», bedeutet dies, dass davon ausgegangen werden kann, dass die erforderlichen Kontrollen erfüllt werden und dass das Risiko eines negativen Einflusses auf die Finanzberichtserstattung als niedrig eingeschätzt werden kann.

Die Vorteile

Dieses Vorgehen hat für beide Seiten Vorteile. Das auslagernde Unternehmen hat die Gewissheit, dass der Service-Provider jährlich auf die Einhaltung der vereinbarten Sicherheitsmassnahmen überprüft wird. Der Service-Provider profitiert davon, dass er sich lediglich einmal im Jahr einer umfangreichen Prüfung unterziehen muss und damit allen seinen Kunden die notwendige Sicherheit hinsichtlich ihrer Überwachungspflichten geben kann.

 

Co-Autor dieses Artikels ist Lukas Koslowski, Consultant der Avectris AG.

Emil Meier
Emil Meier
CEO