Michał DREAS
Audit Manager bei RSM Poland

Obwohl viele Firmen die Realisierung aller ihrer Prozesse oder eines Teils davon externen Unternehmen schon ueberlassen haben, scheint es, dass das Outsourcing weiterhin immer beliebter und populaerer wird. Unzweifelhaft ist die Ursache dafuer das wachsende Bewusstsein unter den Fuehrungskraeften, das aus dem reiferen Markt, dem Globalisierungseffekt und der breiteren Zusammenarbeit in der internationalen Umgebung (beispielsweise im Rahmen eines internationalen Konzerns) resultiert.

Es lohnt sich, zu ueberlegen, ob neben der Verbreitung der Outsourcing-Dienstleistungen durch die sog. service organizations und dem Anstieg der Anzahl von Firmen, die derartige Lösungen anbieten, auch der Frage Rechnung getragen wird, ob die internen Kontrollen innerhalb einer Outsourcing-Firma entsprechend eingeplant und - was noch wichtiger ist - richtig realisiert werden, so dass das beauftragende Unternehmen (user organization) sicher sein kann, dass das Risiko bis auf das akzeptable Niveau reduziert ist. Mehr noch, waehrend des Outsourcings beliebiger geschaeftlicher Prozesse verlangt das beauftragende Unternehmen (user organization) haeufig von dem Dienstleister (service organization) eine Zusicherung, dass er ueber ein ausreichendes Niveau an Sicherheiten und Kontrolle verfuegt, um das finanzielle, operative und Regelungsrisiko angemessen zu managen.

Eine Lösung hierfuer kann hier also ein unabhaengiger, professioneller Bericht sein, der von einem Auditor vorgelegt wird, der ein Audit in der jeweiligen Outsourcing-Organisation gemaeß den internationalen Audit-Standards (ISAE 3402) durchgefuehrt hat. Ein solcher Bericht wird eine Bestaetigung fuer die Qualitaet der zu erwerbenden Dienstleistung sein. Zudem könnte er auch den aktuellen und potenziellen Mandanten zur Verfuegung gestellt werden (user entity).

Die Berichterstattung nach ISAE 3402 kann in Verbindung mit den Taetigkeiten im Bereich der Bewertung der internen Kontrolle in einer Organisation behilflich sein bei:

  • Identifizierung und Bewusstmachung der Zusammenhaenge/Wechselbeziehungen zwischen den Schluesselprozessen;
  • Feststellung der bestehenden Luecken in den Prozessen und Kontrolltaetigkeiten, die ein erhöhtes Risiko fuer das Funktionieren einer Organisation verursachen können.

Der Bericht ueber die von einem unabhaengigen Auditor (service auditor) durchgefuehrte Pruefung kann den Mandanten zur Verfuegung gestellt werden, so dass auch ihre Auditoren (user auditors), die Jahresabschluesse pruefen, auf den darin genannten Ergebnissen und Feststellungen basieren können. Dies kann wiederum zu einer Einschraenkung oder sogar Abschaffung der Notwendigkeit fuehren, zusaetzliche Verfahren bei der Pruefung der Jahresabschluesse der Mandanten durchzufuehren. Die Organisation, der ein solcher Bericht vorliegt, kann somit zu einer Minimierung des Einsatzes zusaetzlicher Ressourcen wesentlich beitragen und damit die Kosten insbesondere in der Zeit, in welcher die Methodologie der Pruefung der Jahresabschluesse eine aenderung erfaehrt, reduzieren.

Zu den Vorteilen, die die Besitzer eines ISAE 3402-Berichts haben können, gehört auch Folgendes:

  • Staerkung des Rufs der Organisation;
  • Erhöhung des Komforts der Mandanten und der Auditoren der Mandanten;
  • Möglichkeit, nachzuweisen, dass die Kontrolltaetigkeiten in Anlehnung an den angenommenen Rahmen einer internen Kontrolle eingeplant und umgesetzt wurden;
  • Einholung einer Zusicherung/ueberpruefung der Eigenschaften der Kontrollumgebung in Anlehnung an einen anerkannten internationalen Standard.