Auslagerung: Fehlende (aktuelle) Bescheinigung gemäß IDW PS 951 n. F.

Welche Handlungsalternativen haben Sie als Outsourcer ?

Mario Pries, Wirtschaftsprüfer, AWADO Deutsche Audit GmbH

I. Einleitung / Ausgangslage

Die betriebswirtschaftlich sinnvolle Arbeitsteilung (Auslagerung) bei Kreditinstituten – insbesondere bei den Volks- und Raiffeisenbanken sowie bei den Sparkassen – spielt (weiterhin) eine bedeutende Rolle. Insbesondere sind hier die Leistungen der Rechenzentralen zu nennen, welche seit jeher durch einen „externen Dritten“ übernommen werden. Im Rahmen des Niedrigzinsumfeldes und dem daraus entstehenden Zwang zur Kosteneinsparung kann auch die Auslagerung weiterer operativer Bereiche[1] – insbesondere im Backofficebereich – als Möglichkeit zur Hebung von Einsparpotentialen an Bedeutung gewinnen. Dabei bleibt für Sie zu beachten, dass die Gesamtverantwortung für die ausgelagerten Prozesse und Aktivitäten weiterhin bei Ihren gesetzlichen Vertretern, also denen des auslagernden Unternehmens, verbleibt. Dies umfasst ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezgl. der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters (im Folgenden auch „Insourcer“) beinhaltet. Für diese Beurteilung können im Rahmen der Auslagerungsberichterstattung Prüfungsberichte gemäß IDW PS 951 n. F.[2] herangezogen werden, welche die „Bescheinigung über die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems und die Ausgestaltung der Kontrollen“[3] umfasst. Im internationalen Vergleich der Standardsetter sind Berichte gemäß SSAE 16 (USA)[4] und ISAE 3402[5] anzutreffen bzw. zu berücksichtigen, die sich ähnlich sind. Der IDW PS 951 ist konzeptionell gleich, wobei nationale Besonderheiten – welche weitere Anforderungen[6] betreffen – enthalten sind.

Im Folgenden wird – als Basis jeder Berichterstattung gemäß IDW PS 951– das aufsichtsrechtliche und berufsständische Erfordernis einer ordnungsgemäßen Auslagerungsberichterstattung im Allgemeinen hergeleitet, bevor auf die Berichterstattung gemäß IDW PS 951 und deren möglichen Alternativen eingegangen wird.

II. Aufsichtsrechtliche und berufsständische Erfordernis an eine Berichterstattung

Die aufsichtsrechtliche und berufsständische Erfordernis bzw. deren Anforderungen an eine Auslagerungsberichterstattung unterscheiden sich nach der Qualifizierung der Auslagerung als wesentlich bzw. unwesentlich. Insbesondere für die durch die Bank i. S. d. MaRisk als wesentlich klassifizierten Auslagerungen ergeben sich weitere Erfordernisse bzw. Anforderungen an die Berichterstattung. Daher bedarf es einer Unterscheidung in bankenaufsichtsrechtliche und rechnungslegungsrelevante Wesentlichkeit.

Gemäß AT 9 Absatz 2 MaRisk muss die Bank eine Risikoanalyse erstellen, welche unter Berücksichtigung von Risikogesichtspunkten eine individuelle Klassifizierung als wesentlich oder unwesentlich ermöglicht. Als unwesentlich klassifizierte Auslagerungen unterliegen den allgemeinen Anforderungen gem. § 25a Abs. 1 KWG. Die sorgfältige Auswahl des Dienstleisters und die Überwachung der ordnungsgemäßen Dienstleistungserbringung stehen im Vordergrund.[7] Die als wesentlich klassifizierten Auslagerungen erfahren detailliertere Vorgabe durch die Bankenaufsicht. Insbesondere finden sich Vorgaben zur Gestaltung des Auslagerungsvertrages (AT 9 Absatz 6 MaRisk) und zur Steuerung der mit der Auslagerung verbundenen Risiken (AT 9 Absatz 7 MaRisk). Letztlich steht die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens im Fokus der Bankenaufsicht. Hierfür bedarf es einer regelmäßigen Berichterstattung (Jahresberichte, unterjährige Berichterstattung (mind. eine jährlich), Ad-hoc-Berichterstattung sowie Berichterstattungen gemäß IDW PS 951).

Die berufsständischen Anforderungen bezgl. wesentlicher Auslagerungen mit Rechnungslegungsbezug („rechnungslegungsrelevant“) ergeben sich aus IDW PS PS 331 n. F. „Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen“ vom 11. September 2015. Prüfungsrelevanz liegt demnach z. B. für die folgenden Bereiche vor[8]:

  • die Verarbeitung von rechnungslegungsrelevanten Geschäftsvorfällen (z. B. die Abwicklung der Buchführung)
  • die Bereitstellung rechnungslegungsrelevanter Unterlagen in elektronischer oder manueller Form für den Abschluss des auslagernden Unternehmens (z. B. Buchungsdaten oder Buchungsbelege)
  • der Abschlusserstellungsprozess des auslagernden Unternehmens

Das Verständnis des Abschlussprüfers des auslagernden Unternehmens (im Folgenden auch: Outsourcer) über die Art und die Bedeutung der ausgelagerten Dienstleistungen sowie deren Auswirkung auf das für die Abschlussprüfung relevante interne Kontrollsystem kann u. a. durch die Verwendung einer vorliegenden Berichterstattung gemäß IDW PS 951 erlangt werden bzw. diese erleichtern.[9] Der Vorlage weiterer Unterlagen – wie bei den wesentlichen aufsichtsrechtlichen Auslagerungen – bedarf es nicht.

Im weiteren Verlauf wird von einer Unterscheidung in aufsichtsrechtliche, wesentliche Auslagerung und rechnungslegungsrelevante, wesentliche Auslagerung verzichtet, da in beiden Fällen die Berichterstattung gemäß IDW PS 951 maßgebend ist.

III. Berichterstattung nach IDW PS 951

Die Berichterstattung dient den auslagernden Unternehmen und deren Abschlussprüfer als Prüfungsnachweis zur Beurteilung des dienstleistungsbezogenen internen Kontrollsystems des Dienstleistungsunternehmens. Die Berichterstattung umfasst auch die Erfüllung der Anforderungen aus IDW PS 331 n. F., so dass sowohl der Abschlussprüfer als auch die Interne Revision bzw. der Auslagerungsverantwortliche des auslagernden Unternehmens i. d. R. auf weitreichende eigene Prüfungshandlungen verzichten kann. Die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems beinhaltet neben der Darstellung der Kontrollziele auch die der eingerichteten Kontrollen. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung gemäß Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:

  • Beschreibung des dienstleistungsbezogenen internen Kontrollsystems
  • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
  • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Outsourcer bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichen Zeitaufwand respektive höheren Kosten verbunden.

IV. Alternativen bei fehlender aktueller Berichterstattung gemäß IDW PS 951

Nicht in allen Fällen liegen (aktuelle) Berichterstattungen gemäß IDW PS 951 vor bzw. werden diese dem Outsourcer zeitnah zur Verfügung gestellt. In der Praxis finden sich die unterschiedlichsten Konstellationen bzw. Erklärungsversuche, warum eine aktuelle Berichterstattung nicht vorliegt, wie z. B.:

  • keine Veränderung in dem internen Kontrollsystem seit der letzten Prüfung (Anmerkung: welche unter Umständen Jahre her ist) und damit „keine Erfordernis“ einer erneuten Beauftragung der Prüfung gemäß IDW PS 951 beim Dienstleister; dabei kann es sich auch noch um Prüfungen gemäß IDW PS 951 „a. F.“ handeln (vor dem 15. Dezember 2013) – in der Spitze älter als 10 Jahre (!)
  • „bisher hat kein Outsourcer eine entsprechende Prüfung verlangt; gerne lassen wir eine entsprechend Prüfung durchführen, wenn Sie die Kosten übernehmen“ (dabei handelt es sich konkret um einen Dienstleister, welcher die Personalabrechnung auch für Dax-Unternehmen übernimmt)
  • verspätete Beauftragung des Prüfers (tatsächlich „eigenes Verschulden“) bzw. die verspätete Durchführung der Prüfung („fremdes Verschulden“)
  • der Insourcer „klassifiziert“ seine erbrachte Dienstleistung als „unwesentliche“ Auslagerung gemäß MaRisk (auch vertraglich) und möchte sich dadurch einer entsprechenden „Prüfungspflicht“ entziehen

Dabei gilt es zu definieren, was unter „aktuell“ zu verstehen ist. Der Berichtszeitraum einer Prüfung gemäß IDW PS 951 Typ 2 umfasst in der Regel zwölf Monate, mindestens jedoch sechs Monate. Ausnahmen hiervon ergeben sich bei einer erstmaligen Prüfung nach Typ 2 (in der Regel nach erfolgter Typ 1- Prüfung) oder aber auch im Rahmen der Anpassung der Prüfung an das Geschäftsjahr des Outsourcers. Kann die Prüfung stringent nach „Ende“ des Berichtszeitraumes durch den Prüfer durchgeführt werden – und wurden wohlmöglich Funktionstests bereits im Berichtszeitraum vorgenommen („Vorprüfung“) – erscheint eine zügige Abarbeitung des Prüfungsauftrages möglich und auch realistisch. Beeinflusst wird die Abarbeitung jedoch durch zeitliche Restriktionen des Dienstleistungsunternehmens (z. B. keine zeitnahe Prüfungsbereitschaft) als auch durch den Prüfer (z. B. keine (ausreichenden) Ressourcen zeitnah verfügbar). Ein Zeitraum von bis zu 3 Monaten nach Ende des Berichtszeitraumes bis zur Vorlage beim Outsourcer – auch unter Berücksichtigung der Bedeutung der Auslagerung für den Outsourcer – sollte dennoch bei Ihnen keine Kopfschmerzen verursachen. Insbesondere dann nicht, wenn eine Ad-hoc-Berichterstattung bezüglich wesentlicher Ereignisse beim Outsourcer – z. B. durch die Interne Revision festgestellte wesentliche Mängel – vertraglich vereinbart wurde.

Es wäre jedoch fatal, sich auf diese Regelung zu beziehen und den „zeitnahen“ Eingang der aktuellen Berichterstattung gemäß IDW PS 951 aus den Augen zu verlieren. Vielmehr hat der Outsourcer rechtzeitig zu prüfen, welche Alternativen zur Verfügung stehen. Folgende Alternativen können in Betracht gezogen werden:

  • nochmalige / verstärkte Prüfung der vom auslagernden Unternehmen vorgesehenen Kontrollmaßnahmen über die Tätigkeit des Dienstleistungsunternehmens, auch unter Heranziehung weiterer, durch den Dienstleister erstellter Unterlagen (z. B. Berichte der Internen Revision des Dienstleistungsunternehmens oder Risikoberichte)
  • Aufbau- und Funktionsprüfungen bei dem Dienstleistungsunternehmen vor Ort durch einen oder mehrere / alle Outsourcer
  • hilfsweise Heranziehung anderer Prüfungsberichte (eines externen Dritten), soweit überhaupt vorliegend
  • mittel- bis langfristig: Die Beauftragung des Dienstleistungsunternehmens beenden (i. d. R. durch Zeitablauf bzw. Kündigung des Vertrages)

Die Auswertung der weiteren, selbsterstellten Unterlagen, welche vom Insourcer zur Verfügung gestellt werden, kann den Zeitraum bis zur Vorlage der Berichterstattung gemäß Typ 2 überbrücken, jedoch nicht ersetzen. Letztlich handelt es sich dabei um interne Berichte usw. des Dienstleistungsunternehmens und nicht um die eines unabhängigen Dritten. In wie weit sich hieraus Aussagen zur Angemessenheit und Wirksamkeit des internen Kontrollsystems sowie zur Ordnungsmäßigkeit der erbrachten Tätigkeit ableiten lassen, ist unter Umständen fraglich. Dies ist nicht zwangsweise der Qualität der Handelnden zuzurechnen, sondern auch bzw. überwiegend der geprüften/berücksichtigten Sachverhalte („Mehrjahresplan“) und den dafür zur Verfügung stehenden zeitlichen Ressourcen (Teilzeit- bzw. Vollzeittätigkeit des Revisors des Insourcers; Auslagerung der Internen Revision).

Eine weitaus effektivere – aber auch zeitraubendere bzw. zeitintensivere – Methode ist die Durchführung von Aufbau- und Funktionsprüfungen vor Ort beim Dienstleister. NUR ALS ZITAT, HIER LÖSCHEN: Der MaRisK-konforme Auslagerungsvertrag sichert Ihnen – und der Bankenaufsicht – das Recht, vor Ort beim Dienstleister prüfen zu dürfen. Seien Sie sich der Aufmerksamkeit des Dienstleisters gewiss, wenn Sie Ihr Anliegen äußern und Ihr Recht einfordern. Es besteht die Möglichkeit, dass sich mehrere Auslagerungsunternehmen zusammenschließen, um gemeinsam Prüfungshandlungen – i. d. R. durch Mitarbeiter der Internen Revision – durchzuführen („Joint Audit“). Dies trägt zur „Entlastung“ des Dienstleisters bei, da ansonsten „alle“ Outsourcer separat vor Ort prüfen könnten und auch dürften. Die Durchführung der Prüfungshandlungen unterscheidet sich dabei nicht von sonstigen Prüfungen der Internen Revision, jedoch bedarf es beim „Joint Audit“ einer detaillierteren Absprache, da unter Umständen unterschiedlichste Anforderungen an die Prüfung bzw. deren Ergebnisse gestellt werden.

Eine weitere Möglichkeit, den Zeitraum bis zur Lieferung des aktuellen Berichtes gemäß IDW PS 951 zu überbrücken, liegt in der hilfsweisen Verwertung weiterer „Prüfungen“ bzw. „Zertifizierungen“ externer Dritter. Beispielhaft seien hier genannt:

  • ISO-Zertifizierungen (International Organization for Standardization), z. B. der Informationssicherheit nach ISO 27001 und des Qualitätsmanagementsystems nach ISO 9001
  • TÜV-Zertifizierungen, wie z. B. die Prüfung und Zertifizierung von Rechenzentren oder des Dokumentenmanagements oder der Einhaltung des Datenschutzes
  • Bericht über die Prüfung von Softwareprodukten (IDW PS 880)
  • Bericht über die Prüfung von WebTrust-Prüfungen (IDW PS 890)
  • Bericht über die projektbegleitende Prüfung bei Einsatz von Informationstechnologie (IDW PS 850)

Unter Berücksichtigung dieser weiteren freiwilligen Prüfungen bzw. Zertifizierungen lassen sich durchaus Rückschlüsse auf das Kontrollbewusstsein des Managements ziehen bzw. sein Verständnis von einem internen Kontrollsystem. Zertifizierungen und Prüfungen umfassen in der Regel auch die Aufnahme bzw. den Nachvollzug von standardisierten Prozessen / Abläufen und beinhalten somit Aufbauprüfungen sowie – je nach Ausgestaltung – auch Funktionsprüfungen. Einerseits können diese Ergebnisse auch Teilbereiche der ausgelagerten Dienstleistung beinhalten, andererseits lassen sich Rückschlüsse auf die Kontrollaffinität des Insourcers ziehen. Nur wenn sich der Dienstleister (relativ) sicher ist, dass die Prüfung bzw. Zertifizierung mit einem positiven Ergebnis enden wird, werden die Mehrkosten auch akzeptiert werden. Im Umkehrschluss müssen die Vorbereitungen durch den Insourcer gewissenhaft und mit dem notwendigen Ehrgeiz / Engagement durchgeführt werden. Die positive Außenwirkung weiterer bzw. zusätzlicher Prüfungen respektive Zertifizierungen ist dem Dienstleister dann gewiss.

Eine weitere Methode, den Insourcer zur zeitnahen Beibringung einer aktuellen Berichterstattung zu bewegen, liegt in der Ziehung von (rechtlichen) Konsequenzen. Neben dem fristgemäßen Auslaufen eines befristeten Vertrages sind eine ordentliche und unter Umständen eine außerordentliche Kündigung in Erwägung zu ziehen. Hierbei sollte es sich um die letzte mögliche Alternative handeln. Sie müssten sich dann (kurzfristig) um einen „neuen“ Vertragspartner bemühen oder die Dienstleistung wieder selbst erbringen („insourcen“). Insbesondere im letzteren Fall kann sich als besondere Schwierigkeit erweisen, dass das notwendige Wissen nicht in seiner ganzen Breite vorhanden ist und (weitere) Qualifizierungsmaßnahmen erforderlich sind. Neben dem Kostenfaktor zeigt sich dann auch die dafür notwendige Zeit als Engpassfaktor, welchen es nicht zu unterschätzen gilt.

V. Fazit

Die Berichterstattung gemäß IDW PS 951 – insbesondere Typ 2 – kann letztlich nicht adäquat substituiert werden. Man kann also nicht von effektiven Handlungsalternativen sprechen. Für einen gewissen (Übergangs)Zeitraum können die aufgezeigten Alternativen zwar eine Lösung bieten, letztlich sind diese jedoch i. d. R. mit nicht unerheblichem zusätzlichen Aufwand (Kosten und Zeit) verbunden.

PRAXISTIPPS

  • Tragen Sie dafür Sorge, dass der jeweilige Auslagerungsvertrag die Verpflichtung zur jährlichen Prüfung gemäß IDW PS 951 enthält, wenn durchsetzbar unter Vereinbarung einer Vertragsstrafe bei Nichtbeachtung. Nur eine aktuelle Berichterstattung hilft Ihnen und Ihrem Abschlussprüfer letztlich weiter.
  • Achten Sie darauf, dass im Auslagerungsvertrag die Durchführung von Prüfungshandlungen vor Ort durch Sie als Outsourcer ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Eruieren Sie, welche Unterlagen Ihnen das Dienstleistungsunternehmen bis zur Einreichung eines aktuellen Berichtes gemäß IDW PS 951 zur Verfügung stellen kann (z. B. Berichte der Internen Revision, ISO-Zertifizierungen etc.).
  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung haften, nicht das Dienstleistungsunternehmen; lassen Sie sich nicht durch pauschale Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Outsourcer selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Ziehen Sie, soweit dies möglich ist, auch die Option in Betracht den Auslagerungsvertrag zu kündigen und einen anderen Dienstleister zu beauftragen bzw. die Dienstleistung wieder im eigenen Haus darzustellen.
  1. vorausgesetzt, dass diese Auslagerungen auch durch die Bankenaufsicht respektive die MaRisk als zulässig erachtet werden; vgl. AT 9 Absatz 4 MaRisk
  2. Da IDW PS 951 n. F. bereits für Prüfungen mit Berichterstattungszeitpunkten bzw. -zeiträumen, die am oder nach dem 15. Dezember 2013 beginnen gilt, wird im Folgenden der Zusatz „n.F.“ weggelassen; faktisch sollten keine aktuellen Prüfungen unter IDW PS 951 „a. F.“ mehr im Umlauf sein
  3. Im Folgenden werden die Begrifflichkeiten “Berichterstattung” bzw. „Auslagerungsberichterstattung“ genutzt; dies umfasst auch immer die „Bescheinigung über die Beschreibung des dienstleistungsbezogenen internen Kontrollsystems und die Ausgestaltung der Kontrollen“.
  4. Statement on Standards for Attestation Engagements 16 (SSAE 16) vom 15. Juni 2011 der Organisation American Institute of Certified Public Accountants (AICPA)
  5. International Standards for Assurance Engagements 3402 (ISAE 3402) der International Federation of Accountants (IFAC)
  6. Bezgl. der weiteren Anforderungen vgl. IDW Prüfungsstandard: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW PS 951 n. F.) vom 16. Oktober 2013, Tz 5
  7. Vgl. Regierungsbegründung zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie über Märkte für Finanzinstrumente und der Durchführungsrichtlinie der Kommission (Finanzmarktrichtlinie-Umsetzungsgesetz); Bundesrats-Drucksache 833/06, 8. Dezember 2006, S. 225.
  8. Vgl. IDW Prüfungsstandard: Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen (IDW PS 331 n. F.) vom 11. September 2015, Tz 5 (mit weiteren Beispielen)
  9. Vgl. IDW Prüfungsstandard: Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen (IDW PS 331 n. F.) vom 11. September 2015, Tz 14

Beitragsnummer: 38960



0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.