Warum ein Notfallhandbuch und Business Continuity Management?

zur Präsentation

Unternehmen haben in den letzten Jahrzehnten die Hauptlast der Informationsverarbeitung auf die elektronische Datenverarbeitung übertragen, was zu einer deutlichen Abhängigkeit vom „Funktionieren“ dieser Prozesse führte.

Es gibt zum einen rechtliche Aspekte die in diesem Zusammenhang zu berück­sichtigen sind, wobei Unterschiede sowohl aufgrund der Rechtsform der Gesellschaft als auch der Branche, in der das Unternehmen tätig ist, sowie dem Umstand, ob das Eigentum in öffentlich rechtli­cher oder privater Hand liegt, bestehen können. Zum anderen ist es der gesunde Menschen­verstand, der die verantwortliche Unternehmensleitung dazu bewegen sollte von sich aus entsprechende Vorkehrungen zu treffen, damit der Fortbestand des Unternehmens nicht ge­fährdet wird bzw. ist.

Im nachfolgenden werden wir im Wesentlichen auf die Belange der Gesellschaften in privater Hand  eingehen.

Scope von PS 951 und SAS 70

Bei der Vorbereitung einer Prüfung nach den Standards PS 951 bzw. SAS 70 stellt sich immer wieder die Frage nach dem sogenannten "Scope".

Welche Prozesse und Kontrollen beim Dienstleister sind Bestandteil der Prüfung?

Das mag bei manuellen Prozessen noch einfach abgrenzbar sein, spätestens bei komplexen IT-Dienstleistungen ist diese Abgrenzung jedoch ein teilweise schwieriges Unterfangen.

Grundsätzlich sollte man sich hier vom Ziel der Prüfung und Berichterstattung leiten lassen. Üblicherweise ist das Ziel, dem Abschlussprüfer des Auftraggebers einen Einblick in die für ihn relevanten Bestandteile des internen Kontrollsystems des Dienstleisters zu verschaffen. Konkret wird dargestellt, wie das interne Kontrollsystem aufgebaut ist und ob es (soweit eine entsprechende Prüfung Typ "B" bzw. Type "II" durchgeführt wird) auch tatsächlich wirksam ist.

Der Abschlussprüfer hat nun die Aufgabe den Jahresabschluss und seine Bestandteile des Auftraggebers zu prüfen und zu beurteilen und insofern ist in den Prüfungsumfang alles einzubeziehen, was einen Einfluss auf die Ordnungsmäßigkeit (z.B. Vollständigkeit, Richtigkeit, Autorisierung, Zeitgerechtheit, Nachweisbarkeit) der Rechnungslegung des Auftraggebers haben könnte.

Es mag hier im Einzelfall Ausnahmen geben, aber die Prüfungsstandards selbst sehen vor, dass der Service-Auditor eine entsprechende Einschätzung vornimmt.

Insofern muss eine Dienstleistungsorganisation vor Beginn der Prüfung ein klares Bild über den "Scope" haben, also in der Lage sein, zu definieren, was in die Prüfung einzubeziehen ist. In komplexen IT-Landschaften kann dies eine wahre Herausforderung sein.

Seiten