Compliance bei Outsourcing-Projekten – Teil 3

Alle hier genannten Richtlinien, Grundsätze und Rundschreiben stehen im Zusammenhang mit dem Risiko-Management der Unternehmensleitung und insbesondere mit der Sicherheit der IT – dabei ist es gleichgültig, ob die IT selbst oder von einem Dritten betrieben wird.

In engem Zusammenhang mit den Grundsätzen ordnungsgemäßer Buchführung werden die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) genannt. Diese Grundsätze beinhalten das Recht und definieren die Art des Zugriffs der Finanzbehörden auf digitale Daten und EDV-Systeme, die im Zusammenhang mit der Besteuerung des Unternehmens bei Betriebsprüfungen verwendet werden.

Nicht nur die an einen Dritten ausgelagerten Buchführungs-Dienstleistungen müssen den Anforderungen der GDPdU entsprechen; auch der IT-Dienstleister, der oft nur SAP-Systeme zur Finanzbuchhaltung betreibt, muss auf die GDPdU verpflichtet werden, zum Beispiel in Bezug auf die gesetzeskonforme Datenarchivierung und Datenhistorisierung von Daten der Finanzbuchhaltung oder anderer steuerlich relevanter Systeme.

Basel II wird Gesetz

Die Baseler Eigenkapitalvereinbarung von 2004 (Basel II) legt fest, dass Banken u.a. vor jeder Fremdmittelvergabe das Risiko der Gesellschaft per Rating einschätzen müssen. Ein entsprechender Gesetzesentwurf der Bundesregierung liegt vor und soll entsprechend den Europa-rechtlichen Vorgaben am 01. Januar 2007 in Kraft treten. Im Rahmen der IT bedeutet dies, dass Kreditunternehmen von Unternehmen, die z.B. ein in ihrer eigenen Einschätzung unzureichendes IT-Risiko-Management betreiben, zusätzliche Sicherheiten oder einen höheren Kreditzins verlangen müssen.

Ein Kreditinstitut muss bei der Kreditvergabe an ein Unternehmen sehr viel genauer auf das jeweilige Ausfallrisiko achten und wird seine eigene Messmethode zur Bestimmung des möglichen Risikos anwenden. Einer der Risikofaktoren für das Kreditinstitut ist die Möglichkeit des Geschäftsausfalls beim Kreditnehmer. Basiert dieser beispielsweise seine kritischen Geschäftsprozesse hauptsächlich auf IT-Systeme und sind diese besonders anfällig, sind von Bankenseite Risikovorkehrungen zu treffen. Hinzu kommt natürlich die Kontrolle über ausgelagerte geschäftskritische Prozesse.

Insbesondere im Bereich der Kredit- und Finanzdienstleistungsbranche sind Rechtsverordnungen, zahlreiche Rundschreiben und sonstige Bekanntgaben der BaFin zu beachten. Während Rechtsverordnungen zwingend anzuwenden sind, stellen Rundschreiben und sonstige Bekanntmachungen, die in der Regel Rechtsnormen in Einzelfragen interpretieren und Verhaltenspflichten vorschreiben sollen, formal nicht bindendes Recht dar.

Angesichts der weitgehenden Befugnisse, die das Kreditwesengesetz (KWG) der BaFin einräumt, und der Tatsache, dass die BaFin die Institute anhand dieser Maßstäbe misst, entfalten diese Äußerungen der BaFin jedoch eine mittelbare Wirkung. Somit besteht regelmäßig ein faktischer Zwang zu deren Umsetzung. Exemplarisch genannt seien:
– Das Rundschreiben 11/2001 des BAKred (heute BaFin), welches sich ausführlich mit der Frage der Auslagerung von Bereichen auf ein anderes Unternehmen befasst und die dort aufgeführten Anforderungen näher konkretisiert.
– Das  Rundschreiben 18/2005 der BaFin (MaRisk), welches die Mindestanforderungen an das Risiko-Management in deutschen Kreditinstituten aufstellt.

Normen und Standards

Ein Standard ist eine vergleichsweise einheitliche, weithin anerkannte Art und Weise etwas durchzuführen. Im Zuge einer Normung werden Standards von anerkannten Gremien wie DIN oder ISO durch Beteiligung aller interessierten Kreise im Konsens erarbeitet und veröffentlicht.

Im Zusammenhang mit Outsourcing-Projekten kann es hilfreich sein, auf etablierte Normen und Standards in der Durchführung von IT-Prozessen zurückzugreifen. Im Falle der Wirtschaftsprüfung veröffentlicht das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) fachliche Regeln zur Gewährleistung eines einheitlichen und hochwertigen Qualitätsniveaus.