Compliance und Datensicherheit – ADACOR Hosting implementiert internes Kontrollsystem

Die Auslagerung von bestimmten Leistungen und Geschäftsprozessen an externe Dienstleister ist heutzutage gängige Praxis. Aber was bedeutet das eigentlich für den Jahresabschluss eines Unternehmens? Fakt ist, wenn ein Unternehmen sich für eine Wirtschaftsprüfung entscheidet, dann benötigt es zwingend ein internes Kontrollsystem (IKS).

Internes Kontrollsystem IKSEin Wirtschaftsprüfer kontrolliert dann nicht nur alle für die Jahresbilanz des Unternehmens relevanten Zahlen und Daten inklusive der rechnungslegungsrelevanten Leistungen, sondern er prüft und betrachtet auch die Kontrollmaßnahmen, welche die Integrität, Korrektheit und Verfügbarkeit der bilanzrelevanten Daten sicherstellen sollen. Um die Kunden bei der Prüfung ihrer Jahresbilanz durch einen Wirtschaftsprüfer bestmöglich zu unterstützen, hat die ADACOR im Oktober 2013 ihr eigenes IKS für ihr Dienstleistungssegment durch einen Wirtschaftsprüfer auditieren lassen. Mittlerweile sind wir auch für IDW PS 951 Typ B zertifiziert.

 

IKS – Was ist das?

Ein IKS besteht aus allen Maßnahmen, die ein Unternehmen getroffen hat, um die Daten abzusichern, die in der Bilanz erscheinen. Es geht hier z. B. um Fragen wie: Wer darf Buchungen durchführen? Wer hat Kontovollmacht? Wie hat ein Unternehmen sichergestellt, dass die Inventurdaten korrekt erfasst werden? Wie gewährleistet es, dass die Buchhaltungsdaten auf den Servern immer verfügbar sind? Wie ist die Integrität der Daten sichergestellt? Ein IKS beschreibt in diesem Kontext die vom Management eingeführten Grundsätze, Verfahren und Maßnahmen, die abzielen auf:

  • Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit
  • Ordnungsmäßigkeit der internen und externen Rechnungslegung
  • Einhaltung von rechtlichen Vorschriften

Da der Prüfer nachweisen muss, dass er alle Risiken kontrolliert hat, welche die Herkunft der Bilanzzahlen betreffen, erfolgt im Rahmen der Prüfung auch eine gesonderte IT-Prüfung. Denn nur wenn sichergestellt ist, dass keine Zahlen verlorengegangen sind oder manipuliert wurden, kann davon ausgegangen werden, dass die Jahresabschlussdaten korrekt sind. Hierfür ist es unerlässlich, dass sich der Wirtschaftsprüfer während der jährlichen Bilanzprüfung ein konkretes und umfassendes Bild von dem eingerichteten Kontrollsystem macht. Schließlich ist es seine Aufgabe, potenzielle Fehlerquellen und mögliche Risiken zu identifizieren.

Spezialfall Dienstleistungsunternehmen

Besonders häufig werden ganze (Teil-)Geschäftsbereiche in Dienstleistungsunternehmen ausgelagert, so z. B. Personal-, Buchführungs- und auch IT-Dienstleistungen. Ein Dienstleistungsunternehmen ist dabei definiert als ein rechtlich eigenständiges Unternehmen, das betriebliche Funktionen des auslagernden Unternehmens in dessen Auftrag durchführt. Durch das Outsourcing bestimmter Geschäftsbereiche auf einen Dienstleister rückt dieser ebenfalls in das Interesse des Wirtschaftsprüfers, der beurteilen muss, ob die erbrachten Leistungen relevant für die Abschlussprüfung sind und es zu Fehlern in der Rechnungslegung gekommen ist.

Führt die Beurteilung zu dem Ergebnis, dass die Tätigkeit des Dienstleisters für die Abschlussprüfung von Bedeutung ist, muss der Wirtschaftsprüfer bewerten, ob die Tätigkeit des Dienstleisters ausreichend durch das IKS des Auftraggebers oder durch das IKS des Dienstleisters selbst überwacht wird. Wird für das Rechnungswesen Informationstechnologie eingesetzt und wurde diese ausgelagert, dann ist eine Prüfung und Beurteilung des dienstleistungsbezogenen IKS des Dienstleisters notwendig. Dies führt dazu, dass das bei einem Dienstleister eingerichtete IKS für die Abschlussprüfung des Auftraggebers von Bedeutung ist. In der Regel vereinbaren Unternehmen mit ihren Dienstleistungsunternehmen deshalb vertragliche Prüfungs- und Kontrollrechte, um sich von der Angemessenheit und Wirksamkeit des IKS überzeugen zu können.

Image

Mission Managed Cloud

Hosting in Public-Cloud-Infrastruktur: Optimiert auf Ihre spezifischen Anforderungen!

Mit der ADACOR Managed Cloud erhalten Sie die passende Kombination aus der vCloud-Virtualisierungslösung des Marktführers VMware und den Managed Services der ADACOR.

Jetzt informieren!

Bescheinigung nach IDW PS 951

Insbesondere für Dienstleistungsunternehmen ist es aufgrund der großen Zahl von Auftraggebern sinnvoll, der mehrfachen Prüfung durch die verschiedenen Wirtschaftsprüfer ihrer Kunden vorzubeugen, indem sie ein eigenes dienstleistungsbezogenes IKS implementieren und ihre Geschäftspartner hierauf verweisen. Der vom Institut für Wirtschaftsprüfer in Deutschland e. V. verabschiedetete Prüfstandard IDW PS 951 (Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen) sieht diese Option ausdrücklich vor. Zwei Möglichkeiten der Berichterstattung durch einen vom Dienstleister beauftragten Prüfer werden unterschieden:

Unbedenklichkeitsbescheinigung vom Typ A

Die Bescheinigung vom Typ A stellt die Komponenten eines in einem Unternehmen eingerichteten IKS dar und trifft Aussagen zu deren Angemessenheit. Die Komponenten und Maßnahmen werden einmalig an einem bestimmten Stichtag überprüft. Diese Form der Bescheinigung zieht zwangsläufig weitere Prüfungen nach sich, da der Wirtschaftprüfer eine Aussage über die Wirksamkeit des IKS des Dienstleistungsunternehmens treffen muss. Er kann diese Bescheinigung somit nur als Grundlage für weiterführende Prüfungshandlungen nutzen.

Unbedenklichkeitsbescheinigung vom Typ B

Die Bescheinigung vom Typ B trifft Aussagen sowohl zur Angemessenheit als auch zur Wirksamkeit des eingerichteten dienstleistungsbezogenen IKS. Im Rahmen dieser Bescheinigung wird der Bezug zu im Vorhinein definierten Kontrollzielen hergestellt und bestätigt, dass das IKS des Dienstleisters in Bezug auf diese Ziele wirksam erscheint. Die Prüfung erfolgt über einen definierten Zeitraum (in der Regel das Kalenderjahr) und verifiziert, ob die beschriebenen Maßnahmen während des gesamten Zeitraumes installiert waren, angewendet wurden und wirksam waren. Die Bescheinigung des Typs B kann durch den Abschlussprüfer des auslagernden Unternehmens im Rahmen seiner Eigenverantwortlichkeit als Ersatz für eigene Prüfungshandlungen verwendet werden.

Compliance und Datensicherheit – ein Muss für ADACOR und ihre Kunden

IT ComplilanceImmer mehr Unternehmen achten bei ihren Ausschreibungen darauf, Dienstverträge so auszugestalten, dass die Verpflichtung, eine entsprechende Unbedenklichkeitsbescheinigung beizubringen, von Beginn an vertraglich verankert ist. Dienstleister, die über eine Bescheinigung vom Typ B verfügen, weisen ihren Auftraggebern die Existenz eines angewandten und wirksamen IKS nach. Bescheinigungen vom Typ A sind dagegen nicht mehr als eine Momentaufnahme und bescheinigen lediglich die Erfüllung von Mindestanforderungen. Vor diesem Hintergrund haben sich die Geschäftsführer von der ADACOR entschieden, ihr dienstleistungsbezogenes IKS weiter auszuarbeiten und eine Unbedenklichkeitsbescheinigung des Typs B anzustreben. Hierfür wurden alle Vorgänge und Prozesse des implementierten Systems sorgfältig und detailliert dokumentiert. „Die Etablierung objektiver Qualitätsmerkmale sind für die ADACOR sehr wichtig, weil wir kein Produkt vertreiben, das der Kunde im Vorfeld ausprobieren kann“, erläutert Andreas Bachmann, Geschäftsführer der ADACOR. „Der Mehrwehrt, den ein Kunde durch die Dienstleistungen von ADACOR hat, ist im Vorhinein schwer zu erklären und zu demonstrieren. Deshalb ist es für uns ausgesprochen wichtig, bestehende und neue Kunden durch unsere exzellenten Services, Erfolgsgeschichten, namhafte Referenzen, unseren beratungsintensiven PreSales-Prozess und die Zertifizierung unserer internen Abläufe immer wieder aufs Neue von der hohen Professionalität und Qualität unserer Arbeit zu überzeugen.“

Die ADACOR hat bereits im Herbst 2013 die Unbedenklichkeitsbescheinigung des Typs A erlangt. Diese soll Anfang 2015 (nach dem Geschäftsjahr 2014) zur Bescheinigung des Typs B ausgebaut werden. Mittels der Bescheinigung des Typs B möchte die ADACOR zukünftig die Bestrebungen ihrer Kunden hinsichtlich Compliance und Datensicherheit im Zusammenhang mit der Prüfung durch einen Wirtschaftsprüfer unterstützen.

Bei der Implementierung des IKS orientiert sich die ADACOR an COBIT (Control Objectives for Information and Related Technology), einem international anerkannten Industriestandard für IT- und Datensicherheit.

, , ,


Weitere Artikel zum Thema lesen

IT neu denken mit Biz & Ops

Biz & Trends

IT neu denken mit Biz & Ops

Wie gezähmte Agilität in Richtung Business und Betrieb wirkt, zeigen wir im Beitrag zur New School of IT.

weiter lesen

Cloud Prognose bis 2018 – Anhaltendes Wachstum

Biz & Trends, Cloud

Cloud Prognose bis 2018 – Anhaltendes Wachstum

Steigende Umsätze für Anbieter und ein starkes Anwachsen der Nutzung von Clouddiensten; vor allem IaaS.

weiter lesen

Schutz vor Trojanern

IT Security

Ransomware – Wie kann man sich schützen?

So funktioniert das lukrative Geschäft mit der Erpressung in der digitalen Welt.

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.