Outsourcing

Outsourcing: Berücksichtigung der Risiken und Kontrollen ausgelagerter Funktionen und Dienstleistungen im eigenen Governance-System

Governance-System in Versicherungsunternehmen gemäß Solvency II:
Berücksichtigung der Risiken und Kontrollen ausgelagerter Funktionen und Dienstleistungen im eigenen Governance-System

Ausgelagerte Funktionen und Dienstleistungen sind gängige Praxis und umfassen beispielsweise Archivierungsprozesse, Inkasso oder die IT. Dabei verlässt sich das auslagernde Unternehmen in der Regel darauf, dass die Prozesse ordnungsgemäß durchgeführt werden. In der Regel werden das Endergebnis bzw. die vereinbarten Service Level Agreements geprüft und auf Basis dessen der Dienstleister beurteilt. Aber die Sicherheit, dass hinter den verschlossenen Türen des Dienstleisters eine ordnungsmäßige Verarbeitung stattfindet, kann ohne weiteren Aufwand nicht erlangt werden.

Die folgenden Punkte sind u.a. an die Solvency-II-Anforderungen angelehnt (können aber branchenübergreifend angewendet werden) und sollen einen kurzen exemplarischen Überblick darüber geben, welche Themen in Verbindung mit dem Thema Outsourcing bedacht werden sollten und welche Möglichkeiten es geben kann, um sich über den Status quo der Risiken und Kontrollen beim Dienstleister zu informieren:

Vertragliche Regelung des Auskunftsrechts

Die Verträge mit den Dienstleistern sollten ein Auskunfts- und Prüfungsrecht beinhalten. Es kann geregelt werden, auf welche Art und Weise das ausgliedernde Unternehmen sich diese Auskunft einholen kann. Eine der effektivsten Regelungen ist die, dass die eigene Revision die relevanten Prozesse beim Dienstleister prüfen darf. Neben dem Auskunftsrecht, sollte u.U. auch ein Weisungsrecht verankert werden, auf dieses in diesem Artikel jedoch nicht weiter eingegangen wird.

Prüfungsstandard für Outsourcing – Service Organization Control Report

Service Organization Control (SOC) Berichte, auch bekannt als SOC 1, SOC 2, und SOC 3 Berichte, sind übergreifende Rahmenwerke (frameworks), die das amerikanische Institut für Wirtschaftsprüfer (AICPA) de facto als Standard zur Verfügung stellt, um Dienstleister bzw. Serviceorganisationen nach festgesetzten Regeln zu prüfen/zu auditieren. Zielsetzung ist es, eine transparente, unabhängige und vor allem vergleichbare Prüf-/Auditberichte zu ermöglichen.

Übersicht SOC1, SOC 2, SOC 3