Rechnungswesen in der Cloud – Teil 4: Kontrollmaßnahmen

Winfried Alves - 18. Juni 2018 - Accounting, Rechnungswesen in der Cloud

Im 3. Teil dieser Serie wurde bereits darauf hingewiesen, dass aufgrund der nicht unerheblichen Risiken, die die Erfassung, Verarbeitung, Ausgabe und Aufbewahrung von rechnungslegungsrelevanten Daten in der Cloud mit sich bringen, das auslagernde Unternehmen verpflichtet ist, adäquate Kontrollmaßnahmen aufzubauen und durchzuführen.

Häufig wird in diesem Zusammenhang die Meinung vertreten, dass durch die Nutzung von Cloud-Diensten das Unternehmen vollständig die Kontrolle über die Daten und deren Verwaltung verliere, mithin auf ein Prüfungstestat des Dienstleistungsanbieters angewiesen sei. Hierbei wird aber übersehen, dass trotz eines positiven Testats das auslagernde Unternehmen letztendlich für den „ordnungsgemäßen Zustand“ seiner rechnungslegungsrelevanten Daten verantwortlich bleibt. Also liegt es im eigenen Interesse des Unternehmens korrespondierende Kontrollen durchzuführen. 

Hierzu gehören unter anderem folgende Bereiche:

  • Prüfung der Daten, die im Rahmen von Cloud-Computing verarbeitet werden dürfen
  • Abgleich der an den Dienstleister übermittelten Daten mit den nach der Verarbeitung erhaltenen Daten
  • Datenlokation(en)
  • Kryptographisches Verfahren

Exemplarisch sei hier die Datenverschlüsselung herausgegriffen.

Beim Einsatz von Datenverschlüsselungstechniken muss das auslagernde Unternehmen eine effektive Schlüsselverwaltung sicherstellen. Diese beinhaltet z. B.

  • eine sichere Schlüsselerzeugung unter Beachtung des Prinzips der Funktionstrennung
  • eine sichere Aufbewahrung und Übermittlung von Schlüsseln
  • eine sichere und getrennte Aufbewahrung von Passwörtern.

Wird diese Schlüsselverwaltung unter Einbeziehung des Dienstleistungsunternehmens durchgeführt, sind darüber hinaus weitere Maßnahmen erforderlich:

  • Erstellung einer Verfahrensbeschreibung für den Einsatz kryptografischer Schlüssel, die die Aufgaben des auslagernden Unternehmens und des Dienstleistungsunternehmens eindeutig regelt
  • Eindeutige Zuordnung des/r kryptografischen Schlüssel/s zu dem auslagernden Unternehmen
  • Private kryptografische Schlüssel dürfen nur vom auslagernden Unternehmen verwaltet, verschlüsselt gespeichert und gegen Verlust gesichert werden
  • Kein Zugriff des Dienstleistungsunternehmens auf private kryptografische Schlüssel
  • Regelmäßige Überprüfung der verwendeten Schlüssel auf Aktualität
  • Sichere Löschung nicht mehr benötigter Schlüssel

Dieses eine Beispiel sollte ausreichen, um noch einmal klar und deutlich zu betonen, dass durch die Auslagerung das Unternehmen von seinen Kontrollpflichten für seine rechnungslegungsrelevanten Daten nicht befreit ist. Die Art der Kontrollmaßnahmen hat sich lediglich geändert und diese können zum Teil umfangreicher sein als vor der Auslagerung.

Im 5. und letzten Teil dieser Serie geht es abschließend darum, welche Kontrollen auf das Dienstleistungsunternehmen übertragen werden können und wie dieses Unternehmen selbst kontrolliert werden kann.


Sie möchten mehr über dieses Thema erfahren oder haben konkrete Fragen? Dann nehmen Sie gerne Kontakt zu unserem Experten auf:

Winfried Alves

Tel.: 069 25782698, Email: alves@alvesconsult.de, Alves Consult, Niddastraße 103, 60329 Frankfurt am Main, www.alvesconsult.de

Herr Alves ist seit 1993 zugelassener Rechtsanwalt (Schwerpunkt Wirtschaftsrecht), seit 2000 als Berater und Trainer in den Bereichen Internationale Rechnungslegung (IFRS/US-GAAP), IKS und Interne Revision tätig. Er ist Fachbuchautor und langjähriger Dozent u. a. für die Steuer-Fachschule Dr. Endriss.


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (28)
September (3) August (3) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)