Die Compliance-Anforderungen steigen ständig. Neben gesetzlichen und behördlichen Auflagen wie HGB-Richtlinien oder KontraG müssen Unternehmen immer mehr branchenspezifischen Anforderungen - etwa Basel II - sowie den jeweiligen Standards der Industrie gerecht werden. Für Versäumnisse in dieser Hinsicht haften in der Regel die Geschäftsführer. Das gilt auch dann, wenn das Unternehmen bestimmte Geschäftsprozesse und Funktionen an einen externen Provider ausgelagert hat. Die Verantwortung dafür, Gesetze einzuhalten, kann er nicht an den Outsourcing-Anbieter delegieren. Anwender müssen Compliance-Anforderungen im Rahmen ihrer Sourcing-Entscheidung im Auge behalten.

Allerdings lassen sich die Leistungen, die der Provider erbringt, meist nur indirekt steuern und kontrollieren. Der Anwender sollte daher möglichst schon vor Unterzeichnung des Outsourcing-Vertrags sicherstellen, dass der Provider mit der gleichen Sorgfalt und den notwendigen Kontrollmechanismen arbeitet, die für den Auftraggeber verbindlich sind. Das heißt, die Schnittstellen zwischen den internen Kontrollsystemen des Outsourcing-Kunden und denen seines Providers sind so zu definieren, dass der Anwender die Einhaltung der Compliance-Kriterien auch für die in externen IT-Systemen umgesetzten Prozesse nachweisen kann.

Das setzt voraus, dass Outsourcing-Auftraggeber und Provider klare vertragliche Regelungen treffen. Je nachdem, welche Anforderungen der Kunde erfüllen muss, lassen sich diese unter Umständen in Form von SLAs (Service-Level-Agreements) und KPIs (Key-Performance-Indicators) gewährleisten. Dabei sollte der Kunde mit seinem Provider eine klare Rollenverteilung mit eindeutigen Verantwortlichkeiten vereinbaren und ihm die gesetzlichen und regulatorischen Anforderungen präzise vorgeben. Ziel sollte sein, dass der Dienstleister die dafür erforderlichen Kontrollpunkte in seinen Prozessen berücksichtigt und dem Kunden einen entsprechenden Qualitätsnachweis erbringt. Das können beispielsweise Verfügbarkeitsstatistiken oder Fehler-Reports über verbuchte Daten sein.

Große Anwenderunternehmen, die besonders hohen gesetzlichen und/oder regulatorischen Anforderungen gerecht werden müssen, haben aber noch weitere Möglichkeiten, um sicherzustellen, dass der Provider die entsprechenden Kontrollmechanismen etabliert hat. So kann der Dienstleister dem Kunden beziehungsweise dessen Wirtschaftsprüfer ein Prüfungsrecht einräumen. Prüfungsrecht für Anwender Die meisten Anwenderunternehmen versäumen es jedoch, sich dieses Recht bei Unterzeichnung des Outsourcing-Vertrags schriftlich zusichern zu lassen. Die Serviceanbieter werden sich nicht grämen, ist mit dieser Variante doch ein hohes Risiko für sie verbunden: Gewähren sie dem Auftraggeber ein Prüfungsrecht, legen sie damit zwangsläufig ihre Systeme und internen Prozesse sowie letztlich ihre interne Kalkulationsgrundlage offen. Zudem läuft der Provider Gefahr, dass die Wirtschaftsprüfer auch Einblick in die Geschäftsbeziehung zu anderen Kunden erhalten. Damit kann der Serviceanbieter die Basisforderung seiner Auftragnehmer nach Vertraulichkeit nicht mehr erfüllen. Vor diesem Hintergrund wird der Servicelieferant in der Praxis das Prüfungsrecht verweigern und stattdessen Alternativen anbieten.

Besser und ebenfalls sicher ist daher die Variante, dass der Provider dem Anwender ein von einem unabhängigen Wirtschaftsprüfer ausgestelltes Zertifikat vorlegt, das ihm einwandsfrei funktionierende Kontrollsysteme bescheinigt. Voraussetzung dafür ist, dass der Provider ein internes Kontrollsystem für die jeweilige Dienstleistung etabliert - etwa im Rahmen des Availability-Managements im Itil-Framework oder der Control-Objectives im Cobit-Modell. Unabhängiges Zertifikat Um das interne Kontrollsystem nachzuweisen, empfiehlt sich der neue Prüfungsstandard IDW PS 951, der nach dem Vorbild des US-amerikanischen SAS 70 für die Gegebenheiten des deutschen Markts konzipiert wurde. Mit Hilfe dieses Standards kann der Wirtschaftsprüfer das rechnungslegungsrelevante interne Kontrollsystem einer ausgelagerten Dienstleistung prüfen und bescheinigen. Ein weiterer Vorteil des IDW-Standards besteht darin, dass er auch den Anforderungen, die der Sarbanes-Oxley Act (SOX) etwa an Tochterfirmen von US-Konzernen stellt, gerecht wird.

Wegen der zunehmenden Anforderungen an die Unternehmen müssen Outsourcing-Anwender und ihre Provider dafür sorgen, ihr jeweiliges Geschäftsrisiko aktiv zu reduzieren. Die Verantwortung für die Umsetzung der Compliance-Anforderungen trägt zwar grundsätzlich der Anwender. Der Provider kann ihm aber durch die Implementierung, Dokumentation und Zertifizierung von internen Kontrollsystemen für die ausgelagerten Prozesse und Services entsprechende Sicherheitsnachweise garantieren. (sp)u