Outsourcing & Cloud-Computing Grafiken zum Buch

Einleitung

Cloud-Monitor 2017

3

Auslagerung von Prozessen und Funktionen

Cloud-Computing und Outsourcing (Auslagerung)

IT-

Infrastruktur-

ebene

Geschäfts-

prozess-

ebene

Applikations-

ebene

(IT

-) K

on

tro

llsyste

m (

IT-U

mfe

ld,

IT-O

rga

nis

atio

n)

Prozess

A

Prozess

B

Prozess

D

Prozess

C

Software

Betriebs-

system

Rechnungs-

legung

Netzwerk Hardware

Rechnungslegung, MIS

Ein

fluss

Ein

fluss

5

Cloud-Computing und Outsourcing (Auslagerung)

IT-

Infrastruktur-

ebene

Geschäfts-

prozess-

ebene

Applikations-

ebene

Prozess

A

Prozess

B

Prozess

D

Prozess

C

Software

Betriebs-

system

Rechnungs-

legung

Netzwerk Hardware

Prozess

A

Prozess

B

Prozess

D

Prozess

C

Software

Betriebs-

system

Rechnungs-

legung

Netzwerk Hardware

Fall A: Inhouse – kein Outsourcing Fall B: Business Process Outsourcing (BPO)

6

Cloud-Computing und Outsourcing (Auslagerung)

IT-

Infrastruktur-

ebene

Applikations-

ebene

Software

Betriebs-

system

Rechnungs-

legung

Netzwerk Hardware

Geschäfts-

prozess-

ebene

Prozess

A

Prozess

B

Prozess

D

Prozess

C

Outsourcing Software

Betriebs-

system

Rechnungs-

legung

Netzwerk Hardware

Prozess

A

Prozess

B

Prozess

D

Prozess

C

Outsourcing

Fall C: Outsourcing der IT-Infrastruktur

(z.B. Hosting)

Fall D: vollständiges IT-Outsourcing

(z.B. im Rahmen von Managed Services)

7

Cloud-Computing und Outsourcing (Auslagerung)

8

IT-K

on

tro

lls

ys

tem

(IT-O

rgan

isa

tio

n / IT

-Um

feld

) IT-gestützte

Geschäftsprozesse

Software as a Service

(SaaS)

IT-Anwendungen Platform as a Service

(PaaS)

IT-Infrastruktur

Betriebssysteme

Netzwerke

Hardware

Rechenzentrum

IT-Infrastruktur

Elastische Provisionie-

rung (Virtualisierung) Betriebssysteme

Netzwerke Internet

Hardware

Daten-Lokation Rechenzentren

Infrastructure as a Service

(IaaS)

IT-gestützte

Geschäftsprozesse

IT-Anwendungen

Service-Orchestrierung

Multi-Tenancy

IT-System Typisierter Aufbau bei Einsatz

von Cloud-Computing

IT-System Typisierter Aufbau ohne Einsatz

von Cloud Computing

Cloud-Computing

Servicemodelle

statisch dynamisch Typischer Zustand dieses Bestandteils des IT-Systems:

Kriterien der IT-Sicherheit

Vertraulichkeit verlangt, dass kein Unbefugter auf nicht für ihn

bestimmte Informationen zugreifen kann oder Daten unberechtigt

weitergegeben werden.

Integrität heißt, dass benötigte Systeme bzw. Daten vollständig und

richtig zur Verfügung stehen und ungewollte Änderungen

ausgeschlossen werden.

Verfügbarkeit bedeutet, dass das IT-System einschließlich der

Organisation funktionsfähig bereitstehen muss, wenn es benötigt

wird.

Autorisierung setzt voraus, dass ausschließlich Berechtigte die für

ein System definierten Rechte wahrnehmen können, damit nur

genehmigte Aktionen sichergestellt werden.

Authentizität bedeutet, dass ein Geschäftsvorfall einem Verur-

sacher eindeutig zuzuordnen und die Informationsquelle deutlich ist.

Verbindlichkeit ist gegeben, wenn eine Transaktion durch deren

Veranlasser nicht abstreitbar ist, sodass gewollte Rechtsfolgen

bindend herbeigeführt werden können.

9

Ordnungsmäßigkeit

Vollständigkeit bedeutet, dass sämtliche buchungspflichtigen Transaktionen

und Geschäfte lückenlos aufgezeichnet werden müssen, dabei darf ein und

derselbe Geschäftsvorfall nicht mehrfach gebucht sein.

Richtigkeit heißt, dass diese Transaktionen inhaltlich zutreffend auf der

Grundlage von Belegen in der Buchführung und im Einklang der rechtlichen

Vorschriften abgebildet werden müssen.

Unter Zeitgerechtigkeit wird die Zuordnung des Geschäftsvorfalls zur

entsprechenden Buchungsperiode und auch die Zeitnähe der tatsächlichen

Buchung verstanden.

Der Grundsatz der Ordnung wird durch die Darstellung in zeitlicher

Reihenfolge (Journalfunktion) und in sachlicher Zuordnung (Kontenfunktion)

erfüllt.

Nachvollziehbarkeit verlangt, dass gebuchte Geschäftsvorfälle von

Entstehung bis zur ihrer Abwicklung untersucht werden können und die

Reproduzierbarkeit der Buchungen sichergestellt ist.

Unveränderlichkeit bedeutet, dass nachträgliche Änderungen von

Eintragungen oder Aufzeichnungen verhindert werden müssen. Auch im

Zeitalter von IT-Systemen gilt das Radierverbot entsprechend.

10

Buchführung ist in die Prüfung des Jahresabschlusses einzubeziehen

GoB eines

Buchführungssystems GoB i.e.S. Sicherheit

Vertraulichkeit

Integrität

Verfügbarkeit

Autorisierung

Authentizität

Verbindlichkeit

Vollständigkeit (§ 239 Abs. 2 HGB)

Richtigkeit (§ 239 Abs. 2 HGB)

Zeitgerechtigkeit (§ 239 Abs. 2 HGB)

Ordnung (§ 239 Abs. 2 HGB)

Nachvollziehbarkeit (§ 238 Abs. 1 S. 2 HGB)

Unveränderlichkeit (§ 239 Abs. 3, 257 HGB)

Belegfunktion

Journalfunktion

Kontenfunktion

Dokumentation

Aufbewahrung

11

Typische Anwendungsbeispiele

12

Public-Cloud-Services

(z.B. SaaS)

Private-Cloud-Solutions

(IaaS, PaaS)

Cage in einem RZ

Managed

Services

Typische Anwendungsbeispiele

13

Private-Cloud-Solutions

Cage

in einem RZ

Managed

Services

Cage

Strom & Netzwerk

Sicherheitseinrichtungen

Managed Services

Hardware Monitoring

Applikationen / Patch & Change

Management

Operationale Risiken

Meistens mehr als ein Dienst-

leister eingebunden

Abhängigkeit von Dienstleistern

Typische Anwendungsbeispiele

14

Public-Cloud-Services Datenaustausch und Collaborations-

Plattformen

B2C- und B2B-Lösungen

Zugang auf fremdem Rechner in fremder

Infrastruktur

Services sehr günstig, jedoch auch

minimale Haftungsregelungen bei

Datenverlust

Dienstleister können auf Daten zugreifen

Operationale Risiken

Dienstleister sind aufgrund ihrer

Bekanntheit und Beliebtheit vielen

Angriffen ausgesetzt

Das dienstleistungs-bezogene interne Kontrollsystem

Kontrolleinfluss zwischen auslagernden Unternehmen und Dienstleistern beim Outsourcing

16

Anwendung/DB

Virtualisierung

RZ/Server

RZ/Speicher

Daten/Prozesse

Anwendung/DB

Virtualisierung

Daten/Prozesse

Daten/Prozesse

Anwendung/DB Daten/Prozesse

Internet/Netzwerk RZ/Server Virtualisierung Anwendung/DB Daten/Prozesse

Inhouse Hosting IaaS PaaS SaaS

RZ/Speicher

Internet/Netzwerk RZ/Speicher

Netzwerk/Internet

RZ/Server Virtualisierung

RZ/Server

RZ/Speicher

Netzwerk/Internet

Virtualisierung

RZ/Server

RZ/Speicher

Netzwerk/Internet

Anwendung/DB

Zunehmender Grad der Auslagerung

Unternehmen

kontrolliert

Dienstleister

kontrolliert

Geteilte

Kontrolle

Quelle: Cloud Computing, IT-Outsourcing und deren Prüfung

WP StB CISA Olaf Riedel und WP StB Pascal Campe

Au

sla

gern

des

Un

tern

eh

me

n

Die

nstl

eis

tun

gsu

nte

rne

hm

en

Vorgehen des Abschlussprüfers in Auslagerungsfällen

Vorgehensweise des Abschlussprüfers in Auslagerungsfällen nach IDW PS 331 n.F.

IDW PS 261 n.F.

Identifikation von Fehlerrisiken und Reaktion auf Fehlerrisiken

IDW PS 331 n.F.

Abschlussprüfung bei teilweiser Auslagerung ReLe auf Dienstleister

Verwendung einer Bericht-erstattung nach IDW PS 951 oder vergleichbare Berichte wie ISAE 3402 oder SSAE 18

Durchführung eigener Prüfungshandlungen oder Beauftragung eines Dritten

IKS

IKS

IKS

PS951

IKS

Alt.

IDW PS 331 n.F., Tz. 14 a)

IDW PS 331 n.F., Tz. 15

IDW PS 331 n.F., Tz. 14

b),c)

IDW PS 331 n.F., Tz. 14

d)

IDW PS 331 n.F., Tz. 9

a),b)

IDW PS 261 n.F., Tz. 37 „Verschaffung

eines Überblicks über das interne

Kontrollsystem“ Organisation der

Geschäftsprozesse im Unternehmen

18

Rechnungslegungsrelevante Systeme IDW PS 330, Tz. 8

WaWi /ERP Nebenbücher Hauptbuch Sonstige

Einkauf

Infor

Kreditoren-buch

Diamant

Zeiterfassung

Workforce Atos

Controlling

Diamant

Konsolidierung

EXCEL

Commerzbank

Multicash

Anlagenbuch

Diamant

Debitorenbuch

Diamant

Lohnbuch

PAISY

Hauptbuch

Diamant Lieferabrufe Gutschriften

EDI

Konstruktion (CAD)

CATIA / NX

Disposition Arbeitsvorbereitung

Infor

Reisekosten

Lexware

DMS/ECM

Docuware

automatisch

halbautomatisch

manuell

Inhouse

Outsourcing

Vertrieb

Infor

Lager-verwaltung

Infor

Produktion

Infor

19