Rechnungswesen in der Cloud – Teil 5: Kontrolle und Überwachung des Dienstleisters

Winfried Alves - 06. Juli 2018 - Accounting, Rechnungswesen in der Cloud

Im 5. und letzten Teil dieser Serie beschäftigen wir uns mit einer der häufigsten Antworten, wenn auf die potentiellen Risiken für das Rechnungswesen bei der Inanspruchnahme von Cloud-Diensten hingewiesen wird: „Ja, aber das ist doch Aufgabe und Verantwortung des Anbieters.“

Auch auf die Gefahr hin, Sie mit meiner permanenten Wiederholung zu nerven oder zu langweilen, trotzdem ein letztes Mal: Die letztendliche Verantwortung können Sie nicht delegieren! Also stellt sich die Frage, welche Kontrollen auf das Dienstleistungsunternehmen übertragen werden können und wie dieses Unternehmen selbst kontrolliert werden kann.

Ausgangspunkt jeglicher Kontrolle und Überwachung des Dienstleistungsunternehmens ist eine klare und eindeutige vertragliche Regelung mit dem Anbieter. So sollten (unter anderem) auf jeden Fall nachstehende Punkte geklärt sein:

  • Ort der Verarbeitung und Speicherung der Daten des auslagernden Unternehmens zur Einhaltung von handels-, steuer- und datenschutzrechtlichen Anforderungen
  • Festlegung der Dokumentation der Kontrollen und Maßnahmen, die zur Einhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit der Rechnungslegung des auslagernden Unternehmens erforderlich sind
  • Prüfungsrechte der internen Revision und des Abschlussprüfers des auslagernden Unternehmens bzw. Bereitstellung von Prüfungsberichten
  • Rechtzeitige Unterrichtung des auslagernden Unternehmens über relevante Änderungen im Rahmen der erbrachten Dienstleistung (Change-Management) sowie Festlegung von erforderlichen Vorabzustimmungen.


Basis der Kontrolle des Anbieters kann z. B. der vom IDW veröffentlichte Prüfungsstandard „IDW PS 951: Prüfung von Dienstleistern bei Outsourcing und Cloud-Computing“ sein. Gegenstand ist die Beschreibung eines dienstleistungsbezogenen internen Kontrollsystems und darin dargestellte Kontrollen und Kontrollziele.

Eine hierauf basierende Prüfung und abschließende Bescheinigung bestätigt den angemessenen Aufbau eines adäquaten internen Kontrollsystems (IKS) (Typ 1) bzw. bestätigt die Einhaltung der definierten Kontrollen (Typ 2).

Die Vorlage einer solchen Bescheinigung versorgt den Kunden mit allen erforderlichen Informationen, sodass von einer eigenen, zusätzlichen Prüfung im Regelfall abgesehen werden kann. Zudem kann der Anbieter diese Bescheinigung auch als Qualitätskriterium für seine Dienstleistung nutzen.

Insgesamt setzt sich früher oder später bei jedem die Erkenntnis durch, dass Cloud-Dienste auch für das Rechnungswesen aus der heutigen Geschäftswelt nicht mehr wegzudenken sind. Weil dies aber so ist, sollte sich jedes Unternehmen der damit verbundenen Risiken bewusst sein und in Kenntnis dieser Umstände seine Entscheidungen treffen. Sicherlich kann nicht jedes Risiko zu 100 Prozent abgedeckt und vermieden werden, aber die Einstellung „Das machen doch heute alle“ und „Das wird schon gut gehen“ ist die denkbar schlechteste Leitlinie.


Sie möchten mehr über dieses Thema erfahren oder haben konkrete Fragen? Dann nehmen Sie gerne Kontakt zu unserem Experten auf:

Winfried Alves
Tel.: 069 25782698, Email: alves@alvesconsult.de, Alves Consult, Niddastraße 103, 60329 Frankfurt am Main, www.alvesconsult.de

Herr Alves ist seit 1993 zugelassener Rechtsanwalt (Schwerpunkt Wirtschaftsrecht), seit 2000 als Berater und Trainer in den Bereichen Internationale Rechnungslegung (IFRS/US-GAAP), IKS und Interne Revision tätig. Er ist Fachbuchautor und langjähriger Dozent u. a. für die Steuer-Fachschule Dr. Endriss.





Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (38)
Dezember (4) November (2) Oktober (4) September (3) August (3) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)