Mehr Sicherheit durch die Auditierung nach IDW PS 951
Auslagern von Daten in die Cloud, Beziehen von Rechenleistungen aus der Cloud – das sind aktuelle Trends der IT, von denen sich Unternehmen wirtschaftliche und strategische Vorteile versprechen. Aber welche Risiken sind damit verbunden, wie lassen sich kompetente und zuverlässige Rechenzentren erkennen?
Seit Jahren steigt die Durchdringung aller Geschäftsprozesse mit Computertechnik. Haben sich Computer und damit computerisierte Prozesse bei stationären Arbeitsplätzen fest etabliert, werden durch das Aufkommen von Tablet-Computer und Smartphones auch immer mehr mobile Arbeitsplätze in computerisierte Geschäftsprozesse eingebunden. Dafür werden Systeme über Abteilungs- und Organisationsgrenzen hinweg vernetzt und Datenbestände zentralisiert, sodass sich im Unternehmen „Datenwolken“ und Rechenzentren etablieren. Diese auszulagern an einen Dienstleister ist dann nur noch ein kleiner Schritt.
In der Praxis stellt sich dann jedoch das Problem, in der Auswahlphase kompetente und zuverlässige Dienstleister zu erkennen und in der Betriebsphase ihre Leistung kontinuierlich zu überwachen. Letzteres ist auch für den Wirtschaftsprüfer relevant, da die Auslagerung der Betriebsprozesse an einen Dienstleister außerhalb der Betriebsgrenzen diese auch der Testierbarkeit entzieht.
Mit dem Prüfungsstandard IDW PS 951 hat das Institut der Wirtschaftsprüfer eine Vorschrift entwickelt für „Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen“. Bei einem IDW PS 951 Audit muss dann der Dienstleister, also bei der Auslagerung von IT-Services das Rechenzentrum, den Nachweis über die Angemessenheit und Wirksamkeit der dienstleistungsbezogenen und internen Kontrollsystems erbringen.
Synagon begleitet die IDW PS 951 Auditierung auf Seiten des IT-Dienstleisters. Dieses umfasst die Prüfung und ggf. Ergänzung der für das Audit notwendigen Dokumentation, sowie während des eigentlichen Audits den Austausch mit dem Auditor.