(Un)mögliche Prüfung von Outsourcing

Transkript

1 (Un)mögliche Prüfung von Outsourcing Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, Mitglied des Fachstabs für Informatik der Treuhandkammer

2 2 Outsourcing = Cloud? Anwendung Provider SaaS Massen Datenerfassung Anwendungs Parameter Tarif Kataloge Postversand Bewegungsdaten Eingabe: Dienstleistung Fakturierungs- Anwendung Ausgabe: Rechnung Basisdaten Kunden

3 3 Auslagerung der Fakturierung und des Zahlungseingangs Outsourcing = Cloud? Auslagerung des Netzwerkbetriebs Geschäftsprozesse Anwendungen Auslagerung der Archivierung Informatik Ressourcen

4 4 «Cloud-Computing» = Outsourcing! SaaS: Software as a service IaaS: Infrastructure as a Service PaaS: Plateforme as a Service HaaS?

5 5 Outsourcing und Revision: eine lange Geschichte Ordnungsmässigkeit, üblicherweise durch den Abschlussprüfer Wirtschaftlichkeit Unabhängigkeit Qualität Zufriedenheit PS 402 ISAE 3402 SAS 70 SSAE 16 Vertraulichkeit Datenschutz Verfügbarkeit Archivierung

6 6 Aber mit immer wieder den zwei gleichen Problemzonen: Firma Outsourcing J/N? IT-Leistungserbringer Vertraulichkeit Datenschutz Verfügbarkeit Archivierung Wirtschaftlichkeit Unabhängigkeit Qualität Zufriedenheit Compliance J/N?

7 7 Die erste Problemzone Warum überhaupt auslagern? Warum diese Leistungen? Was sind die Anforderungen? Warum dieser IT-Leistungserbringer? Warum dieser Preis? Mit den Zusatzfragen: Wer wird den IT-Leistungserbringer führen? Wie werden wir ihn führen? Wann sollten wir aussteigen? Wie können wir austeigen?

8 8 Outsourcing as a Process (before) Firma Make or buy? Pflichtenheft Anforderungen Ausschreibung Evaluation Verträge Outsourcingmanager Offerte IT- Leistungserbringer A Offerte IT- Leistungserbringer B Offerte IT- Leistungserbringer C Offerte IT- Leistungserbringer D

9 9 Ein gutes SLA ersetzt eine gute Strategie nicht

10 10 Outsourcing as a Process (during) Firma IT-Leistungserbringer Ausstiegszenario pflegen Zahlung Alternativen pflegen Risiko analyse LE überwachen Kontrolle der Rechnung Contract management Leistungs- erbringung Konformität mit Strategie? Preis/ Leistung OK? Rechnung Kompatibilität?

11 11 Wie kann BOBO den LE überwachen? Werkvertrag zwischen BOBO und Schlau AG Schlau AG erbringt die folgenden Leistungen basierend auf den in der Ausschreibung festgehaltenen Vorgaben: 1. (Produktion) 2. Protokollierung und Berichterstattung über produktions- und qualitätsrelevante Daten und elektronische Übermittlung an BOBO 3. Prüfen und analysieren der unter Garantieanspruch erhaltenen, nicht oder fehlerhaft funktionierenden Dinge mit Bericht an BOBO 4. Ersatzlieferung der unter Garantieanspruch fallenden Dinge

12 12 Wirtschaftlichkeit und cloud-computing Wie weit müssen unsere Bausteine kompatibel sein (IaaS, PaaS, SaaS), kann man mehrere Clouds kombinieren? Werden die IT-Beziehungen mit unseren Partnern (Kunden und Lieferanten) durch Cloud-computing tangiert? Wie wird die Interoperabilität sichergestellt zwischen Plateformen (PaaS) zwischen Anwendungen (SaaS)? Wollen wir eine Open Source Strategie oder nicht (IaaS)? Wann sollen wir auf Cloud-computing umsteigen (Investitionsschutz)? Wie sieht das Comeback aus?...

13 13 GTAG 7, download: product/global-technology-auditguide-gtag-7-it-outsourcing-downloadpdf-1454.cfm und natürlich CobiT DS 1 und DS 2

14 14 Die zweite Problemzone Ist der Leistungserbringer zuverlässig? Erfüllt er die Anforderungen? Funktioniert das Zusammenspiel Firma-LE einwandfrei? Mit den Zusatzfragen Ist der LE zertifiziert? Was deckt genau die Zertifizierung? Steht irgend ein Audit-Bericht zur Verfügung? Was wird in diesem Bericht genau testiert? Darf ich Zusatzfrage stellen? Gratis? Darf ich selber bei dem LE prüfen?

15 15 Exkurs: ist dieses Thema auch für die interne Revision? Die externe Revision kümmert sich nur um «financial audit» Das Thema Compliance kann für die interne Revision sehr wichtig sein Das Thema Ordnungsmässigkeit kann auch unter der Wesentlichkeitsgrenze wichtig sein Die interne Revision muss keinen Minderwertigkeitskomplex entwickeln Vertraglich kann mit einem LE alles vereinbart werden. Nur der Markt spielt Also: JA!

16 16

17 17 Die 5 Empfehlungen 1. Ein Bericht des Typs I ist durch eine geeignete Prüfung der Wirksamkeit des internen Kontrollsystems zu ergänzen, damit dieses Kontrollsystem abschliessend beurteilt werden kann. 2. Ein Bericht des Typs II ist durch Zusatzprüfungen zu ergänzen, die den Geschäftsbereich des Kunden berücksichtigen insbesondere im Bankensektor, aber eventuell auch, was die Anwendungskontrollen betrifft. 3. Ein Bericht des Typs II, der nicht die ganze Rechnungsperiode abdeckt, ist durch Zusatzprüfungen zu ergänzen, damit beurteilt werden kann, ob die internen Kontrollen während der ganzen Periode wirksam waren. 4. In Zusammenarbeit mit dem Autor des Berichts SAS 70 sind die wichtigen Schnittstellen zwischen Leistungserbringer und Kunde zu erfassen und zu prüfen 5. Die beiden beteiligten Prüfer (der Autor des Berichts und der Prüfer, für den der Bericht bestimmt ist) müssen regelmässige und direkte Kontakte haben, unabhängig davon, was ihre jeweiligen Kunden davon halten.

18 18 2 Beispiele 1. Sparkasse des Bundespersonals: Prüfung von HP (RTC) durch Ernst & Young Prüfung von Entris Operations AG durch KPMG Prüfungen der Sparkasse durch die EFK 2. Bundesamt für Justiz Keine Prüfung von adminpay (ex-yellowpay admin) Prüfung über kompensierende Kontrollen

19 19

20 20 Swiss Post Solutions: adminpay Bundesamt für Justiz (Online-Bestellung des Strafregisterauszuges), Revisionsaufsichtsbehörde, usw. Die Anwendung adminpay ist bis anhin weder zertifiziert noch durch eine Revisionsgesellschaft gemäss PS 402 geprüft worden

21 21 Audit-Berichte, die Entwicklung. Schweizerische Treuhandkammer IFAC/IAASB (International Federation of Accountants, International Auditing and Assurance Standards Board) AICPA (American Institute of Chartered Public Accountants) PS 402 ISA 402 SAS 70? ISAE 3402 SSAE 16 Management-Testat über IKS (auch durch den Unter-Akordant) Im Prinzip ohne Mitwirkung der internen Revision Kein Rotationsprinzip beim testen The guidance also may be helpful to report on controls other than those that are relevant to user entities internal control over financial reporting

22 22 Fazit: «unmögliche Prüfungen», warum? Wirtschaftlichkeit, beim Leistungserbringer: Fehlende Leistungsindikatoren Ordnungsmässigkeit und Compliance, beim Leistungserbringer Kein Bericht PS 402 Nicht risikopassender Bericht PS 402 Kein direktes Revisionsrecht bei dem Leistungserbringer in der Praxis sind die Prüfungen aber fast immer möglich!

23 23 Danke für Ihre Aufmerksamkeit! Übrigens wenn Sie - morgen oder übermorgen - Fragen oder Hinweise für unsere Prüfungen haben: verdacht@efk.admin.ch Die Steuerzahler werden Ihnen dankbar sein