In der Cloud

Die Auslagerung von Geschäfts- und IT-Prozessen an externe Dienstleister liegt seit Jahren im Trend, nicht nur mit dem Ziel der Kosteneinsparung, sondern auch, um die Vorteile einer bedarfsgerechteren Skalierbarkeit sowie einer erhöhten Sicherheit und Verfügbarkeit der ausgelagerten Services nutzen zu können. Eine Form der Auslagerung ist das Cloud Computing. Dies umfasst Technologien und Geschäftsmodelle, um IT-Ressourcen dynamisch zur Verfügung zu stellen und deren Nutzung nach flexiblen Bezahlmodellen abzurechnen. Anstatt IT-Ressourcen, beispielsweise Server oder Anwendungen, in unternehmenseigenen Rechenzentren zu betreiben, werden diese in Form eines servicebasierten Geschäftsmodells bedarfsgerecht und flexibel zur Verfügung gestellt. Im Vergleich zum traditionellen IT-Outsourcing unterscheidet sich Cloud Computing vor allem dadurch, dass

• die externen Dienstleister keine für das auslagernde Unternehmen dezidiert reservierten oder tatsächlich nur für sie betriebenen IT-Systeme anmieten; dadurch ist die geografische Ortung der für sie betriebenen Hardware und verarbeiteten beziehungsweise gespeicherten Daten oft unbekannt,
• Art und Umfang der zu erbringenden Dienstleistungen zwischen dem auslagernden Unternehmen sowie dem externen Dienstleister auf einen sehr viel kürzeren, mitunter nur Tage oder Monate umfassenden Zeitraum angelegt sein können,
• die Anpassungen der genutzten Dienstleistungen an veränderte Bedarfe ohne Eingriff des auslagernden Unternehmens erfolgen können.

Varianten des Cloud Computing

Nach den Grundsätzen ordnungsmäßiger Buchführung (GoB) bei der Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing (IDW RS FAIT 5) werden drei Arten von Cloud Computing unterschieden:

• Infrastructure as a Service (IaaS): eine Dienstleistung, die dem auslagernden Unternehmen eine IT-Infrastruktur, beispielsweise Festplatten-, Netzwerk-, Speicherkapazität, bereitstellt
• Platform as a Service (PaaS): eine Umgebung zum Betrieb von selbst entwickelten Software-Lösungen, wie etwa Reisekosten- oder Fakturierungsanwendungen
• Software as a Service (SaaS): eine Dienstleistung, bei der das auslagernde Unternehmen eine IT-Anwendung aus der Cloud nutzt, wie zum Beispiel die Anlagenbuchführung oder eine Software zur Verwaltung von Kundenbeziehungen; das auslagernde Unternehmen hat dabei in der Regel keinen Einfluss auf die IT-Infrastruktur, die der genutzten IT-Anwendung zugrunde liegt

Compliance-Anforderungen

Die gesetzlichen Compliance-Anforderungen, unter anderem die Einhaltung der GoB [§ 239 Abs. 4 Handelsgesetzbuch (HGB)] und die damit verbundenen Anforderungen an die Sicherheit einer IT-gestützten Rechnungslegung, gelten auch uneingeschränkt für die auslagernden Unternehmen beim IT-Outsourcing. Durch den Einsatz internetbasierter Kommunikationstechnologien beim Cloud Computing ergeben sich zudem ganz spezielle Risiken. Darüber hinaus bestehen zahlreiche weitere Anforderungen an das IT-Outsourcing, wie etwa der Schutz personenbezogener Daten, die grenzüberschreitende Speicherung sowie die Verarbeitung von Daten, die im Rahmen einer Risikobetrachtung berücksichtigt werden sollten. Es liegt in der Verantwortung des auslagernden Unternehmens, dass die Compliance-Anforderungen sowie spezifische Risiken bei der Auslagerung von rechnungslegungsrelevanten Prozessen durch ein internes Kontrollsystem (IKS) überwacht werden. Dabei bleibt auch dieses Kontrollsystem, das in den ausgelagerten Funktionen enthalten ist, in der Verantwortung des auslagernden Unternehmens.

Vorgehen des Abschlussprüfers

Deshalb ist das von den Dienstleistungsunternehmen eingerichtete dienstleistungsbezogene interne Kontrollsystem auch bei der Abschlussprüfung des auslagernden Unternehmens von Bedeutung. Hat sich der Abschlussprüfer ein angemessenes Verständnis über Art und Umfang der ausgelagerten Dienstleistungen verschafft und ist er bei seiner Risikobeurteilung zu dem Ergebnis gekommen, dass es sich hierbei um IT-Systeme und -Prozesse handelt, die für die Rechnungslegung relevant sind, ist grundsätzlich eine Prüfung und Beurteilung des dienstleistungsbezogenen internen Kontrollsystems des externen Dienstleisters beziehungsweise der externen Dienstleisterin notwendig. Dabei kann es hilfreich sein, wenn der Prüfer im Rahmen seiner Aufnahme und Aufbauprüfung beim auslagernden Unternehmen Einblick in den Dienstleistungsvertrag nimmt. So kann er den Umfang der ausgelagerten Dienstleistungen und die in diesem Zusammenhang geregelten Verantwortlichkeiten leichter verstehen. Zudem sollte mit Blick auf das zu prüfende Unternehmen eruiert werden, ob der externe Dienstleister bereits regelmäßige Prüfungen seines dienstleistungsbezogenen internen Kontrollsystems durch einen externen Dritten mit entsprechender Berichterstattung durchführen lässt und nach welchen Standards eine solche Berichterstattung erfolgt. Insbesondere bei Auslagerungen auf die großen internationalen Cloud-Dienstleister, die sogenannten Hyperscaler, sollte ein Blick auf das jeweilige Shared-Responsibility-Modell geworfen werden. Denn dieses Modell beschreibt die Zuständigkeiten zwischen dem Cloud-Anbieter und dem auslagernden Unternehmen, abhängig vom Cloud-Modell (SaaS, PaaS, IaaS) und ist in der Regel auch Bestandteil des Dienstleistungsvertrags.

Prüfungsnachweise

Wenn eine Berichterstattung zum dienstleistungsbezogenen internen Kontrollsystem des externen Dienstleisters vorliegt, kann der Abschlussprüfer sie unter bestimmten Voraussetzungen gemäß IDW PS 331 n. F. (Tz. 20) als Prüfungsnachweis für die Wirksamkeit der Kontrollen des Dienstleistungsunternehmens verwenden. Hierbei hat er zu beurteilen, ob

• sich die IKS-Beschreibung, die dargestellten Kontrollen, deren Ausgestaltung und Wirksamkeit auf einen Zeitraum beziehen, der für die Zwecke des Abschlussprüfers angemessen ist
• die vom Dienstleistungsunternehmen vorausgesetzten korrespondierenden Kontrollen für das auslagernde Unternehmen relevant sind. Ist dies der Fall, hat der Abschlussprüfer im Rahmen der Aufbauprüfung zu beurteilen, ob diese Kontrollen vom auslagernden Unternehmen angemessen ausgestaltet wurden, und anschließend deren Wirksamkeit zu prüfen
• der von den Funktionsprüfungen abgedeckte Zeitraum angemessen ist; das schließt auch eine Beurteilung der Zeit mit ein, die seit der Durchführung der Funktionsprüfungen vergangen ist
• die in der Berichterstattung dargestellten Funktionsprüfungen und deren Ergebnisse für die Aussagen im Abschluss des auslagernden Unternehmens relevant sind und sie ausreichende und angemessene Prüfungsnachweise für die Risikobeurteilung des Abschlussprüfers liefern

Auswirkungen von Prüfungsstandards

In der Regel kommen insoweit Berichterstattungen mit Rechnungslegungsbezug in Betracht, welche die voranstehenden Anforderungen angemessen abdecken. Dazu gehören Berichte nach IDW PS 951, aber auch den internationalen Standards International Standard on Assurance Engagements (ISAE) 3402, ISAE 3000 oder die System and Organization Controls (SOC) des American Institute of Certified Public Accountants (AICPA). Wesentlich für eine angemessene Verwertbarkeit durch den Abschlussprüfer ist, dass die Berichterstattung des dienstleistungsbezogenen internen Kontrollsystems die vom prüfenden Unternehmen ausgelagerten relevanten IT-Systeme und -Prozesse berücksichtigt und sich auf einen angemessenen Zeitraum der Prüfung bezieht. Für Letzteres sehen die genannten Berichtsstandards eine Unterscheidung in sogenannte Typ-1- und Typ-2-Berichte vor. Während eine Prüfung und Berichterstattung nach Typ 1 eine Stichtagsbetrachtung über die Ausgestaltung des dienstleistungsbezogenen internen Kontrollsystems darstellt, deckt eine Typ-2-Berichterstattung zusätzlich den Zeitraum der Wirksamkeit, in der Regel mindestens sechs Monate, ab. Für den Abschlussprüfer kann eine Typ- 1-Berichterstattung ein erstes Verständnis über das dienstleistungsbezogene interne Kontrollsystem beim externen Dienstleister vermitteln, sodass er darauf aufbauend die eigene Prüfungsplanung angehen kann. Eine Verwertung, um eine angemessene Prüfungssicherheit zu erlangen, ist mangels Wirksamkeitsprüfungen jedoch nicht möglich. Diese Möglichkeit bietet sich grundsätzlich nur bei der Verwertung von Typ-2-Berichterstattungen an, insbesondere wenn sie den Prüfungszeitraum des zu prüfenden Unternehmens vollständig abdecken. Ist dies nicht der Fall, sollte der Abschlussprüfer ergänzend angemessene Prüfungsnachweise erlangen. Wenn der fehlende Zeitraum nicht allzu groß ist, kann dabei ein sogenannter Bridge Letter, Gap Letter oder Update Letter hilfreich sein, in dem die gesetzlichen Vertreter des externen Dienstleisters bestätigen, dass sich Art, Umfang oder Wirksamkeit der mit dem Typ-2-Bericht abgedeckten Kontrollen und Kontrollziele für den nicht abgedeckten Zeitraum nicht verändert haben – oder wenn doch, in welchem Umfang.

Einsatz von Subunternehmen

In der Praxis kommen bei der Auslagerung von IT-Services in Cloud-Umgebungen des Öfteren Subdienstleister zum Einsatz, die wiederum ihr eigenes Kontrollsystem besitzen. Dieses ist in der Regel nicht Bestandteil der Berichterstattung des externen Dienstleisters (sogenannte Carve-out-Methode). Hier sind gemäß IDW PS 331 n.F. (Tz. 21) die gleichen, voranstehend genannten Anforderungen im Rahmen der Abschlussprüfung anzuwenden. Liegt kein Typ-2-Bericht über das dienstleistungsbezogene interne Kontrollsystem vor, hat der Abschlussprüfer nach IDW PS 331 n. F. (Tz. 19) folgende Möglichkeiten:

• Er kann die Wirksamkeit des ausgelagerten internen Kontrollsystems bestätigen, indem er eigene geeignete Funktionsprüfungen beim externen Dienstleistungsunternehmen durchführt.
• Eine weitere Möglichkeit besteht darin, einen anderen Prüfer hinzuzuziehen, der im Auftrag des Abschlussprüfers Funktionsprüfungen beim externen Dienstleistungsunternehmen durchführt.

Eine Alternative zur Durchführung von Prüfungshandlungen beim externen Dienstleister kann auch das Testen von Input- und Output-Kontrollen beim zu prüfenden Unternehmen sein. Sobald das Auslagerungsverhältnis jedoch Dienstleistungen umfasst, die in Form eigenständiger Prozesse und Vorgaben zur Dienstleistungserbringung durch den externen Dienstleister erbracht werden – in der Regel ist dies bei Cloud-Lösungen der Fall, muss sich der Prüfer ein Verständnis über die Angemessenheit und Wirksamkeit des dienstleistungsbezogenen internen Kontrollsystems beim externen Dienstleister verschaffen, wie voranstehend skizziert wurde.