Compliance bei Outsourcing-Projekten

Compliance zielt darauf ab, die Sicherheit und das Risiko eines Unternehmens – und damit auch der IT – zu optimieren und so den Fortbestand der Unternehmung zu gewährleisten. Im Rahmen der Auftragsdatenverarbeitung, der üblichen Form des IT-Outsourcing, verbleibt dabei dennoch die Verantwortung für die Einhaltung der Vorgaben an Ordnungsmäßigkeit und Sicherheit des IT-Betriebs sowie die Sicherheit der Daten bei der Geschäftsführung des auslagernden Unternehmens.

Im Hinblick auf Outsourcing-Entscheidungen ist deshalb zunächst in erster Linie eine Einschätzung der Erfüllung rechtlicher Rahmenbedingungen im eigenen Unternehmen relevant. Outsourcing kann einen wesentlichen Beitrag leisten, den Erfüllungsgrad positiv zu beeinflussen.

Im Outsourcing – wie in anderen Bereichen auch – lässt sich die Risikobetrachtung auf die wesentlichen Aspekte Kontrolle der Ordnungsmäßigkeit, Datenschutz und Sicherheit zusammenfassen. Im Zusammenhang mit Outsourcing verändert sich allerdings der Fokus insbesondere auf die Prüfung der Durchgängigkeit der Kontrolle. Beim Outsourcing muss nämlich insbesondere gewährleistet sein, dass Kontrollmechanismen zur Prüfung
der Ordnungsmäßigkeit der externen Durchführung, die Einhaltung des Datenschutzes und die Gewährleistung der Sicherheit existieren.

IT im Fokus der Wirtschaftsprüfung

Welche Bedeutung haben diese Zusammenhänge für eine Sourcing-Entscheidung? Auf strategischer Ebene wird in vielen deutschen mittelständischen Unternehmen die Rolle der IT und ihr Beitrag zum Unternehmenserfolg kritisch hinterfragt. Die Form des traditionellen IT-Betriebs mit dem Fokus auf die unternehmensinterne Verarbeitung von Daten reicht in der schnell fortschreitenden Globalisierung der Wirtschaft nicht mehr aus, um der zunehmenden prozessuralen Vernetzung in der Supply Chain zwischen Kunden und Lieferanten Rechnung zu tragen.

Die IT-Organisationen müssen in eine neue Rolle schlüpfen und im eigenen Unternehmen beratend dazu beitragen, die Effizienz und Effektivität von Geschäftsprozessen zu steigern und damit die Wertschöpfung zu erhöhen. Auch im Mittelstand entwickeln sich deshalb zunehmend strukturierte IT-Organisationsmodelle für die Umsetzung der neuen Anforderungen. Es reift die Erkenntnis, dass die eigentliche Kernkompetenz einer modernen Unternehmens-IT in den Prozesskenntnissen und nicht im Betrieb von Rechenzentren und Infrastruktur liegt.

Genau auf die Prozesse zielen der im Leitfaden ‘Compliance in IT-Outsourcing-Projekten’ des Bitkom beschriebene Schutz und die Kontrolle durch Gesetze, Richtlinen und Standards. Die IT, die die operative Umsetzung der Prozesse ermöglicht, ist also direkt betroffen und unterliegt in jedem Fall – ob ausgelagert oder nicht – dem Fokus der Wirtschaftsprüfung. Problematisch dabei ist heute im Allgemeinen der Stand der Umsetzung in den Unternehmen.

SOX ist in Deutschland relevant

Sowohl für die Geschäftsführung als auch für die Wirtschaftsprüfung bedeutet das: Die Bewertung der Risiken des Unternehmens ist auch im Hinblick auf eine Outsourcing-Entscheidung relevant. Je nach ihrem Reifegrad ist nämlich die interne Unternehmens-IT mehr oder weniger in der Lage, die regulatorischen Anforderungen tatsächlich zu erfüllen.

Generell sind die Beweggründe der Auseinandersetzung mit IT-Outsourcing sehr unterschiedlich. Vor dem Hintergrund regulatorischer Vorgaben spielen die Risikobeherrschung und die Sicherheit als Outsourcing-Motive zurzeit im Markt nur eine untergeordnete Rolle. Compliance gewinnt aber aufgrund des zunehmenden Drucks internationaler Vorgaben wie beispielsweise der Sarbanes-Oxley-Richtlinie (SOX) rasant an Bedeutung.

Auch wenn deutsche mittelständische Unternehmen nicht direkt den Vorgaben von SOX unterliegen, so interessieren sich die internationalen Kunden des Exportweltmeisters Deutschland immer mehr auch für die internen Prozesse ihrer Lieferanten. Daher ordnet sich Compliance als neuer Aspekt nahtlos in die allgemeinen Überlegungen für eine Outsourcing-Entscheidung ein: Es geht um Kostensenkung und Qualitätssteigerung und damit um die Umsetzung der strategischen Ziele des Unternehmens mit Hilfe der IT.