handels- und steuerrechtliche risiken des cloud computing ... · handels- und steuerrechtliche...

Handels- und steuerrechtliche Risikendes Cloud Computing unter besondererBerücksichtigung der GoBD

München, November 2016

Stefan Groß,Steuerberater und CISA

Handels- und steuerrechtliche Risiken des Cloud Computing 2

Die vorliegenden Ausführungen geben die persönliche Meinung des Autors zur derzeitigenRechtslage wieder und enthalten lediglich einen Überblick über einzelne Themenkomplexe.Spezielle Umstände einzelner Fallkonstellationen wurden nicht berücksichtigt; diese könnendurchaus zu abweichenden Betrachtungsweisen und/oder Ergebnissen führen. Die dargestelltenAusführungen können daher keine rechtliche oder steuerliche Beratung ersetzen; bitte holen Sieeine auf Ihre Umstände zugeschnittene, weitere Entwicklungen berücksichtigende Empfehlung IhresSteuerberaters oder Wirtschaftsprüfers ein, bevor Sie Entscheidungen über die in diesenAusführungen besprochenen Themen treffen. Die Finanzverwaltung und/oder Gerichte könnenabweichende Auffassungen zu den hier behandelten Themen haben oder entwickeln.


Ausgangssituation

Immer mehr Unternehmen nutzen dieMöglichkeit, Daten, Anwendungen oderganze Geschäftsprozesse in das World WideWeb auszulagern, in die sog. „Cloud“.

Doch welche Risiken birgt der Einsatz vonCloud-Dienstleistungen eigentlich und wasgilt es zu beachten – sowohl aus Sicht desauslagernden Unternehmens als auch ausSicht des Abschlussprüfers?


Cloud Computing – „Heiter bis wolkig“

Cloud

ComputingIT-O

utso

urci

ng

SaaS

IT-Infrastruktur

IKS

Datenschutz

IDW RS FAIT 5

PaaS

IaaSSich

erhe

it

Software Internet

BDSG

Risiken

GoBD

HG

B

PublicService Level Agreements

Nutzer

Haf

tung

Pay per usePrivate

DrittstaatenSchnittstellen

rechnungslegungsrelevant

GByte

Flexibilität

IT-Anwendungen

Auf

bew

ahru

ngBetriebsstätte

AO

Impl

emen

tieru

ngÜ

bertr

agun

g

Verantwortung

§§

Handels- und steuerrechtliche Risiken des Cloud Computing

Cloud Computing als spezielle Form des IT-Outsourcings

IT-Leistungen werden in Echtzeit als Serviceüber das Internet bereitgestellt

Zugriff erfolgt in der Regel über allgemeinverfügbare Standardanwendungen, bspw. übereinen Webbrowser

Bsp.: Speicherung von Daten, Nutzung vonSoftwareanwendungen, Mieten vonRechenleistung etc.

5

Cloud ComputingAuf der Agenda in fast jedem Unternehmen


2719,2 3745,25162,3

6658,78252,12085,7

2910,5

3864

5212,1

6829,3

2.920,0

4.327,3

6.429,7

9.403,0

13.374,1

2014 2015 2016 2017 2018

Cloud Technology Cloud Integration and Consulting Cloud Services

10.983,0

28.455,5

Cloud-Markt in Deutschland

Angaben in Mio. Euro; Quelle: Crisp Research


Ressourcenallokation Zukunftssicherheit Skalierbarkeit

Es werden punktuell nur dieRessourcen verwendet, diewirklich gebraucht werden

Dadurch Kostenersparnis undSteigerung der Nachhaltigkeit

Cloud Computing ist in derLage, mit einer Firma„mitzuwachsen“, wie es einephysische Umgebung niekönnte

Relevant vor allem fürkleinere Firmen, aber auchfür Konzerne interessant

Cloud Computing minimiertdie Gefahr, von Innovationen„überholt“ zu werden

In der Regel stehen sinnvolleNeuerungen in Echtzeit zurVerfügung

Cloud ComputingGründe für die Einführung aus Unternehmenssicht


Cloud ComputingMerkmale und Abgrenzung

On-Demand Self Service

Bedarfsorientierte Bereitstellung undProvisionierung

Broad Network Access

Unabhängig von Ort, Zeit und Endgerät

Resource Pooling

Dienstleistung wird allen Nutzern aus einemPool zur Verfügung gestellt

Rapid Elasticity

Dienstleistung kann schnell ausgeweitet bzw.reduziert werden

Measured Service

Gute Messbarkeit (z. B. Festplattenkapazität)

Die auslagernden Unternehmen mieten keine fürsie dezidiert reservierten bzw. tatsächlich nur fürsie betriebenen IT-Systeme an

Geografische Ortung der betriebenen Hardwareund der verarbeiteten Daten meist nicht gegeben

Art und Umfang der Dienstleistung können aufeinen unter Umständen nur sehr kurzen Zeitraumausgelegt sein

Anpassung der Dienstleistung an veränderteBedarfe kann zumeist ohne Eingriff desDienstleisters erfolgen

Merkmale Unterschiede zu anderen Formen desIT-Outsourcings

In Anlehnung an IDW RS FAIT 5


Was treibt die Unternehmen in die Cloud? Was spricht dagegen?Pro und Contra

Großes Einsparpotenzial durchVerringerung der Fixkosten (z. B.Ersetzen einer eigenen IT-Infrastrukturdurch eine Cloud-Lösung)

Hohe Flexibilität durch freieSkalierbarkeit sowie durch orts- undzeitunabhängigen Zugriff

Zeit- und Aufwandsersparnis durchWegfall von Sicherungs- undSynchronisationserfordernissen derDatenbestände

Reduzierung der Personalkapazitäten(geringerer Verwaltungsaufwand vonHard- und Software-Bereitstellung)

Sicherheit und Zuverlässigkeit derCloud-Dienstleistungen

Abhängigkeit vom Cloud-Anbieter

Wechsel zu einem anderen Anbieteru. U. problematisch (Lock-In-Effekt)

Fehlende „Kontrollierbarkeit“ derDaten auf den fremden Servern

Absicherung des Zugriffs auf die Datenbeim Transfer zwischen Nutzer unddem web-basierten Server

Datenschutz


Auslagerung von DienstleistungenRelevanz für die Abschlussprüfung

10

Verarbeitung rechnungslegungsrelevanterGeschäftsvorfälle

Bereitstellung rechnungslegungsrelevanterUnterlagen für den Jahresabschluss des

auslagernden Unternehmens

IT-gestützte bzw. manuellerechnungslegungsrelevante Geschäftsprozesse

Erfassung und Verarbeitung von für denAbschluss relevanten Ereignissen

Den Abschlusserstellungsprozess desauslagernden Unternehmens, einschließlichVerfahren zur Ermittlung geschätzter Werte

Kontrolltätigkeiten im Zusammenhang mit derAufzeichnung von Geschäftsvorfällen

In Anlehnung an IDW PS 331


Ausganssituation für die AbschlussprüfungDas dienstleistungsbezogene IKS

IKS des auslagernden Unternehmens

DienstleistungsbezogenesIKS des Dienstleisters

Nicht dienstleistungs-bezogenes IKS desDienstleisters


Agenda

I. Auslagerung rechnungslegungsrelevanterProzesse und Funktionen

II. Compliance-Rahmen

III. Verantwortung der gesetzlichen Vertreter

IV. Risiken beim IT-Outsourcing

V. Einrichtung des internen Kontrollsystems beimIT-Outsourcing

VI. Prüfung durch den Abschlussprüfer beiAuslagerung

VII. Steuerliche Besonderheiten


Agenda

I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen

1. Überblick über die Auslagerung vonrechnungslegungsrelevanten Prozessen undFunktionen

2. Beispiele für IT-Outsourcing

3. Typisches Vorgehen beim IT-Outsourcing

4. Interaktionspartner beim IT-Outsourcing

5. Cloud Computing




V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing

VI. Prüfung durch den Abschlussprüfer bei Auslagerung



I.1 Auslagerung rechnungslegungsrelevanter Prozesse und FunktionenÜberblick

„Ausgelagerte Prozesse und Funktionen sind für die Rechnungslegung relevant, wenn sie dazu dienen, Datenüber Geschäftsvorfälle, Ereignisse oder betriebliche Aktivitäten zu speichern oder zu verarbeiten, dieentweder direkt in die Rechnungslegung einfließen […] oder dem Rechnungslegungssystem als Grundlage fürBuchungen zur Verfügung gestellt werden.“

IDW RS FAIT 5, Tz. 5


Verarbeitung von rechnungslegungsrelevantenGeschäftsvorfällen

Bereitstellung von rechnungslegungsrelevantenUnterlagen für den Abschluss des Unternehmens

Abschluss- und Lageberichtserstellungsprozess


Beispiele für ausgelagerte rechnungslegungs-relevante Prozesse und Funktionen

Typische Beispiele IT-Outsourcingbei Dienstleistungen*

Rechenzentrumsbetrieb

Business Process Outsourcing

Shared Service Center

Auslagerung rechnungslegungsrelevanterProzesse und Funktionen kann sich von derreinen Datenerfassung und -speicherung bishin zur Verarbeitung von komplexenTransaktionen und Ereignissen erstrecken


*Vgl. auch IDW PS 951

Prüfung nach IDW PS 331


Rechenzentrumsbetrieb Business Process Outsourcing Shared Service Center

Verarbeitung von Datenüber Geschäftsvorfällebzw. Ereignisse in denUnternehmensprozessen

Bsp.: E-Invoicing

Zentralisierung vonFunktionen in einereigenständigen Einheit

Bsp.: Rechnungswesen,Personalverwaltung

Auslagerung von Unternehmens-prozessen und administrativenRoutinetätigkeiten

Bsp.: Lohn- und Gehalts-abrechnung

I.2 IT-Outsourcing-DienstleistungenTypische Beispiele



I.3 Typisches Vorgehen beim IT-Outsourcing (Cloud Computing)Dienstleistungsmanagement

16

1. Vorbereitungsphase 2. Aufbauphase 3. Nutzungsphase (produktiv)

Welcherechnungslegungs-relevantenDienstleistungen?

Welcher Anbieter?

Art, Umfang, Preisund Zeitraum?

…

Schaffung derorganisatorischenund technischenVoraussetzungen

Verzahnung desrechnungslegungs-bezogenen IKS aufbeiden Seiten

Planmäßige Nutzungsphase

Überwachung des rechnungslegungs-bezogenen IKS entscheidend

Zusammenspiel mit IKS des auslagerndenUnternehmens

Nutzungsbeendigungsphase

Verlagerung der Dienstleistung aufeinen anderen Anbieter bzw. zurückin das eigene Unternehmen

Meilenstein: Outsourcing-Entscheidung getroffen

Meilenstein:Vertrag geschlossen

Meilenstein: Dienstleistungübergeleitet, IKS aufgebaut, getestet,

dokumentiert und freigegeben

1. 2. 3.



I.3 Typisches Vorgehen beim IT-Outsourcing (Cloud Computing)Voraussetzungen Beginn Nutzungsphase*

Einrichtung des IT-Systems einschließlich der erforderlichen Schnittstellen

Vollständige und richtige Datenübernahme

Klare Regelungen für die Verantwortlichkeiten für die Einrichtung, Ausgestaltungund Durchführung der Kontrollmaßnahmen

Umsetzung der erforderlichen Anpassungsmaßnahmen im IKS des auslagerndenUnternehmens und des Dienstleistungsunternehmens

Schaffung der Voraussetzungen für die Überwachung der erbrachtenDienstleistungen

17

*obliegt der Verantwortung der gesetzlichen Vertreter



I.4 Interaktionspartner beim IT-Outsourcing

AuslagerndesUnternehmen Dienstleister (Cloud)

Abschlussprüfer

Auslagerung

Bereitstellung Service/IKS

Sub-Dienstleister (opt.)


I.5 Cloud ComputingSpezielle Form des IT-Outsourcings

IT-Outsourcing

CloudComputing


I.5 Cloud ComputingServicemodelle im Detail

Virtuelle Bereitstellung derIT-Infrastruktur

z. B.: Festplatten-,Netzwerkserver- oderSpeicherkapazität

Bereitstellung einerUmgebung zurEntwicklung undProgrammierung vonIT-Anwendungen

z. B. für die Entwicklungeiner eigenenReisekostenabrechnung

Nutzung fertiger IT-Anwendungen aus derCloud

z. B. Archivlösung oderCRM-Software

Infrastructure as a Service- IaaS -

Platform as a Service- PaaS -

Software as a Service- SaaS -

Darüber hinaus entwickeln sich in der Praxis weitere Servicemodelle, wie bspw. „Security as a Service (SecaaS)“als Spezialform des IaaS (Betrieb und Überwachung von Firewalls und Routern)



I.5 Cloud ComputingAufbau eines IT-Systems bei der Nutzung von Cloud Computing

IT-K

ontro

llsys

tem

IT-SystemTypisierter Aufbau ohne den Einsatz von

Cloud Computing

IT-gestützte Geschäftsprozesse

IT-Anwendungen

IT-Infrastruktur

Betriebssysteme

Rechenzentrum

Hardware

Netzwerke

Software as a Service

Platform as a Service

Infrastructure as aService

Cloud Computing-Servicemodelle

IT-SystemTypisierter Aufbau mit dem Einsatz von

Cloud Computing

IT-gestützte Geschäftsprozesse

IT-Anwendungen

IT-Infrastruktur

Service Orchestrierung

Multi-Tenancy

Elastische ProvisionierungBetriebssysteme

Hardware

InternetNetzwerke

Elastische ProvisionierungRechenzentren



I.5 Cloud ComputingBereitstellungsmodelle

Cloud Computing-Dienstleistung steht grundsätzlichallen Unternehmen zur Nutzung offenPublic Cloud

Private Cloud

Community Cloud

Hybrid Cloud

Cloud Computing-Dienstleistung wird ausschließlichfür ein Unternehmen bereitgestellt

Cloud Computing-Dienstleistung wird ausschließliche einer Interessensgruppebereitgestellt

Mischform von zwei unterschiedlichen Bereitstellungsmodellen, die für sichbestehen bleiben, aber mittels Schnittstelle verbunden werden, um Daten undIT-Anwendungen auszutauschen



Agenda



1. Handelsrecht und Steuerrecht

2. Der IDW RS FAIT 5

3. Die GoBD

4. Exkurs Datenschutz







II.1 Handelsrecht & Steuerrecht*Ausgewählte Berührungspunkte zur Digitalisierung

§§ 238 HGB, 145 AOBuchführungspflicht

§§ 239 HGB, 146 AOFührung

der Handelsbücher

§§ 257 HGB, 147 AOAufbewahrung

von Unterlagen,Aufbewahrungsfristen

Buchführung muss für einen „sachverständigen Dritten innerhalbangemessener Zeit“ nachvollziehbar sein – Vermittlung einesÜberblicks über die Geschäftsvorfälle sowie über die Lage desUnternehmens

Verpflichtung der Dokumentation (Kopie etc. auf einem Schrift-,Bild- oder anderen Datenträger)

Erforderliche Aufzeichnungen sind vollständig, richtig, zeitgerechtund geordnet vorzunehmen

Buchungen oder Aufzeichnungen dürfen nicht in der Art verändertwerden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist

Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse etc. sindgeordnet aufzubewahren

Unterlagen können auf Datenträgern gespeichert werden, wenndies den Anforderungen der GoBD entspricht

Aufbewahrungsfristen von 6 bzw. 10 Jahren sind unabhängig vomSpeichermedium einzuhalten

*zu den steuerlichen Besonderheiten vgl. ausführlich Kapitel VII.


II.2 Der IDW RS FAIT 5Konkretisierung der Anforderungen bei IT-Outsourcing

Die gesetzlichen Ordnungsmäßigkeitsanforderungen (einschl. der GoBD) sowie die damit verbundenenSicherheitsanforderungen gelten uneingeschränkt beim IT-Outsourcing

Voraussetzung für die Verlässlichkeit der in Buchführung, Abschluss und Lagebericht enthaltenenInformationen: Einhaltung der Sicherheitsanforderungen an Daten und Systeme auch beim Einsatzvon Dienstleistungsunternehmen für Zwecke der Rechnungslegung

Auslagerung betrieblicher Prozesse und Funktionen Sicherheits- und Ordnungsmäßigkeitsanforderungendes IDW RS FAIT 1 auch im Zusammenspiel mit dem Dienstleister zu erfüllen

Einsatz internetbasierter Kommunikationstechnologie und einem erweiterten Kreis an Dienstleistern beimCloud Computing spezifische Risiken

25

IDW RS FAIT 5

anzuwenden ab dem01.01.2016

Konkretisierung der Anforderungen der §§ 238, 239 und 257 HGB bezüglich desFührens von Handelsbüchern mittels IT-gestützter Systeme, welche bei der Aus-lagerung von rechnungslegungsrelevanten Prozessen und Funktionen entstehen

Verdeutlichung der möglichen Risiken, insbesondere beim Einsatz von CloudComputing



I.4 Interaktionspartner beim IT-Outsourcing

AuslagerndesUnternehmen Dienstleister (Cloud)

Abschlussprüfer

Auslagerung




IDW PS 951Prüfung des IKS beim Dienstleister

für die auf ihn ausgelagertenFunktionen

IDW RS FAIT 5Risiken bei der Auslagerung und

Ausgestaltung des IKS beimauslagernden Unternehmen

IDW PS 331Konkretisierung der

Anforderungen von IDW PS 261i.V.m. IDW PS 951 bei der

Auslagerung von Dienstleistungen

27

II.2 Der IDW RS FAIT 5Gesamtkontext

AuslagerndesUnternehmen Dienstleister

Abschlussprüfer

Auslagerung



Prüfung in Anlehnung an IDW PS 330


II.3 Die GoBDZentrale Anforderungen der GoBD („Vier-Säulen“)

Kontroll- undProtokollumfeld Dokumentation Datenintegrität Migrations-

beständigkeit

GoBD


Kontroll- undProtokollumfeld

Dokumentation

Datenintegrität

Migrations-beständigkeit

GoBD

II.3 Die GoBDZentrale Anforderungen der GoBD im Detail


Kontrolle Verweis

Zugangs- und Zugriffsberechtigungskontrollen GoBD, Rn. 100, 103

Funktionstrennung GoBD, Rn. 100

Erfassungs-, Eingabekontrollen GoBD, Rn. 40, 88, 100

Übertragungskontrollen GoBD, Rn. 88

Verarbeitungskontrollen GoBD, Rn. 60, 88, 100

Abstimmungskontrollen GoBD, Rn. 100

Plausibilitätskontrollen GoBD, Rn. 40

Vollständigkeitskontrollen GoBD, Rn. 77

Schutzmaßnahmen gegen die beabsichtigte oderunbeabsichtigte Verfälschung von Programmen, Datenund Dokumenten

GoBD, Rn. 100

II.3 Die GoBDAnforderungen an Kontrollen


UnmittelbarerDatenzugriff

MittelbarerDatenzugriff

Datenträger-überlassung

Z1 Z2 Z3

II.3 Die GoBDSicherstellung der Zugriffsarten (nach GDPdU)


II.4 Exkurs DatenschutzDatensicherheit und Vertraulichkeit

Jedes Unternehmen hat grds. für Datensicherheitzu sorgen

Datensicherheit ist Bestandteil des Risiko-managements und damit unmittelbareVerantwortlichkeit der Unternehmensleitungd. h. ggf. persönliche Haftung des GF oderVorstands bei Nichteinhaltung

Soweit personenbezogene Daten betroffen sind,Katalog der technisch-organisatorischenMaßnahmen zum Datenschutz anwenden(§ 9 BDSG)

Einschlägige Standards, wie z. B. den ISO 27001mit dem Cloud-Anbieter vereinbaren

Außerdem sektorspezifische Vorgaben zubeachten (z. B. MaRisk bei Banken)

Cloud-Anbieter hat grundsätzlich weitreichendeMöglichkeiten, auf die ihm übergebenen Datenzuzugreifen sinnvoll, Vertraulichkeits-verpflichtungen zu vereinbaren

Diese betreffen nicht nur personenbezogeneDaten, sondern alle vertraglich vereinbarten„Geheimnisse“, z. B. Betriebsgeheimnisse,Adresslisten, Zeichnungen, Preise

Strafbarkeit bei Offenbarung von Berufsträger-geheimnissen zu beachten z. B. durch Ärzte,Wirtschaftsprüfer, Steuerberater, Rechtsanwältegem. § 203 StGB

Datensicherheit Vertraulichkeit


II.4 Exkurs DatenschutzSpezielle Anforderungen

Im deutschen Recht bezieht sich Datenschutz im Wesentlichen auf personenbezogene Daten

Sobald Daten eines Unternehmens an einen Dritten „exportiert“ werden und dieser Dritte im Auftrag desUnternehmens diese Daten verarbeitet, liegt ein Auftragsdatenverwendungsvertrag i. S. d. § 11 BDSG vor

§ 11 (1) S. 1 BDSG: „Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitetoder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und andererVorschriften über den Datenschutz verantwortlich.“

Daher: Bevor personenbezogene Daten im Rahmen einer Cloud-Dienstleistung verarbeitet werden können,müssen die datenschutzrechtlichen Voraussetzungen geprüft werden

Beim Transfer der Daten in Drittstaaten gelten die besonderen Anforderungen der §§ 4b, 4c BDSG falls in dem Drittstaat kein angemessenes Datenschutzniveau besteht, müssen durch den Cloud-Anwenderausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts vorgewiesen werden

33

Private Cloud „datenschutzfreundlichste Variante“ des Cloud Computing, dagegen Public Cloud i .d. R. nureingeschränkt bzw. nur mit hohem technischen Aufwand für die Verarbeitung personenbezogener Daten

einsetzbar


Fallstudie [1]

Die Zentralregulierung


Fallstudie 1: Auslagerung E-InvoicingAusgangslage

LieferantHändler(Anschlusshaus)

Verbundgruppe

9. ÜbermittlungPhysisch/Mail/Download-Link

12. KonsolidierteZahlungsanweisung

10. Rechnungseingangsprüfung

Rechnung

Beleg-/Datenfluss

Geldfluss

DienstleisterZentralregulierer

1. Originalrechnung(a) Papier(b) PDF(c) EDI/XML

6. Datenübertragung

7. Formale Validierung der Rechnung

8. Formale Freigabe

Papier/PDFScan/CSVEDI/XML

13. KonsolidierteBezahlung

14. Bezahlung zumRegulierungstermin11. Aufbewahrung/Archivierung

2. Entgegennahme Daten3. Alt. Rechnungs-Scan/Auslesen PDF/Datenextraktion4. Aufbewahrung/Archivierung optional5. Datenkonvertierung/Datenanreicherung


Fallstudie 1: Auslagerung E-InvoicingLösungsskizze

Compliance-Vorgaben HGB/AO Umsatzsteuergesetz (-> im Einzelnen erläutern) GoBD (-> im Einzelnen erläutern) Datenschutz

Vertragliche Regelungen

Prüfungsstandards

Risiken

Service Level Agreements (SLA‘s) Klare Definition und Abgrenzung Leistungsgegenstand …

Händler (IDW RS FAIT 5, IDW PS 331) Dienstleister (IDW PS 951 n. F.)

Kontrollverlust Unautorisierte Änderungen/Eingriffe


Agenda




1. Prozessverantwortung

2. Vertragliche Ausgestaltung

3. Überwachung des IT-Outsourcing

4. Beendigung des IT-Outsourcing






„Sofern im Rahmen der Auslagerung die Ausführung von Geschäftsvorfällenbzw. die Speicherung und Verarbeitung von rechnungslegungsrelevantenDaten von einem damit beauftragten Dienstleistungsunternehmenwahrgenommen werden, verbleibt die Verantwortung für die Einhaltung derSicherheits- und Ordnungsmäßigkeitsanforderungen bei den gesetzlichenVertretern des auslagernden Unternehmens.“

IDW RS FAIT 5, Tz. 45IDW RS FAIT 1, 114


III.1 Prozessverantwortung beim IT-OutsourcingAusgangssituation

„Die gesetzlichen Vertreter des auslagernden Unternehmens habenunabhängig von der eingesetzten Informationstechnologie, denimplementierten Geschäftsprozessen oder den angewandtenGeschäftsmodellen bei der Verarbeitung rechnungslegungsrelevanterDaten die Einhaltung der gesetzlichen Anforderungen an dieOrdnungsmäßigkeit der Rechnungslegung sicherzustellen.“

IDW FAIT RS 5, Tz. 45


Intensive Steuerung undÜberwachung des gesamten IT-Outsourcing-Prozesses, von derEntscheidung zur Auslagerung

bis zur Beendigung(Dienstleistermanagement)

Ausgehend von derRisikobeurteilung muss dasauslagernde Unternehmen

Risiken durch eineentsprechende Ausgestaltung

des IKS begegnen

Zum Abschluss der Vorbereitungsphase ist dieEinhaltung der erforderlichen Kontrollen und

Maßnahmen mit dem Dienstleister (auchSubdienstleister) zu vereinbaren, die sich aus

IDW RS FAIT 1 ergeben

Bei Auslagerung betrieblicherProzesse muss sichergestelltsein, dass das IKS geeignet ist,Unrichtigkeiten und Verstößegegen rechtliche Normenzu verhindern bzw.aufzudecken

Zur Bewältigung der IT-Outsourcing Risiken muss dasIKS um Grundsätze, Verfahrenund Maßnahmen ergänztwerden, die der Steuerung undÜberwachung des IT-Outsourcings dienen

Verantwortung

III.1 Prozessverantwortung beim IT-OutsourcingÜberblick



III.1 Prozessverantwortung beim IT-OutsourcingAktivitätensplit und Kontrollen

Festlegung verbleibende Organisation(Retained Organisation)

Festlegung kompensierende Kontrollen

Durchführung korrespondierendeKontrollen

Übergehende Organisationsteile

Kontrollen durch den Dienstleister

Festlegung korrespondierende Kontrollen

Auslagerndes Unternehmen Dienstleistungsunternehmen


III.1 Prozessverantwortung beim IT-OutsourcingPraktische Umsetzung

Ver

antw

ortu

ng d

er g

eset

zlic

hen

Ver

trete

r

VorbereitungsphaseAnforderungsdefinition des

auslagernden Unternehmens Feststellung der Risiken Kontrolldefinition

Auswahl des Dienstleisters

Kontrollenvom Dienstleister

durchführbar?

Über-wachung durch dasausl. Unternehmen

möglich?

Kontrollen beimDienstleister (IDW PS 951)

Kompensie-rende Kontrollen beim

ausl. Unternehmenmöglich?

Kontrollen beimauslagernden Unternehmen

Anpassung derDienstleistung

möglich?

Ja

Nein

Ja

Nein

Nein

Ja

Ja

Nein

Aufbauphase

Nutzungsphase



III.2 Vertragliche AusgestaltungWelches Recht gilt?

Die zugrunde liegendenRessourcen von CloudComputing sind grds. überdie Welt verteilt Cloudssind nicht durch nationaleGrenzen zu beschränken

Freie Rechtswahl hinsichtlichvereinbarter Vertragsinhalte,wie bspw. Leistungspflichtenoder Zahlungsbedingungen

Staatliche Eingriffsnormen(z. B. zum Daten- oderVerbraucherschutz) könnennicht ausgeschlossen werden

Gerichtsstand hatAuswirkungen auf dieVollstreckbarkeit einerGerichtsentscheidung

z. B. wird ein Gerichts-verfahren schwierig, wennsich die Richter mit einerRechtsordnung auseinander-setzen müssen, in der sienicht ausgebildet wurden,und mit einer fremdenVertragssprache

Alternative zu Verfahren vorstaatlichen GerichtenSchiedsrichter, Ort,Regelwerk und Sprachefestlegen

Aufgrund ihrer Sachkenntniskönnen Schiedsrichter i. d. R.auch technisch komplizierteVorgänge oder branchen-übliche Verfahren schnellerbeurteilen

Risiko: Wegfall derMöglichkeit einerBerufungsinstanz

Rechtswahl Gerichtsstand Schiedsgerichte

Klare Vereinbarungen sind unerlässlich, denn ausländische Rechtsordnungen sehen gesetzliche Regelungen undvertragliche Gestaltungen vor, die teilweise erheblich vom deutschen Verständnis abweichen.

Für eine ausführliche Darstellung der rechtlichen Probleme und Fragestellungen beim Cloud Computing siehe Wagner/Groß (2011). Überden Wolken: Die Rechtsprobleme des Cloud Computing aus der Sicht des auslagernden Unternehmens. In Betriebs-Berater. BBL2011-36-I.


III.2 Vertragliche AusgestaltungLeistung, Gewährleistung und Haftung

Definition der vereinbarten Leistung so detailliert,wie möglich

Service Level Agreements (SLA) beschreiben diegeschuldete Leistung näher Festlegungqualitativer und quantitativer Leistungsmerkmalesowie der spezifischen Folgen bei derenNichteinhaltung

Zur Messung der Service Levels sollten geeigneteKey Performance Indicators (KPI) vereinbartwerden bspw. kommen die Verfügbarkeit ineinem bestimmten Zeitraum, Reaktionszeiten aufÄnderungswünsche oder Mängelmitteilungen inBetracht

Erweiterungen und Anpassungen der vereinbartenLeistungen können bereits im Vorfeld vertraglichgeregelt werden, typischerweise Regelungen fürdie Flexibilität und Skalierbarkeit

Gesetzliche Regelungen diesbezüglich bestehennur für bestimmte vordefinierte Vertragstypen d. h. Vertragstyp der Cloud-Dienstleistungentscheidet darüber, welche gesetzlichenRegelungen bei mangelhafter Leistungserbringunggreifen, z. B.:

Mietvertragliche Gestaltung §§ 535 ff. BGB

Werkvertragliche Gestaltung §§ 634 ff BGB

Allerdings führen diese gesetzlichen Regelungenhäufig nicht zu praktikablen Ergebnissen

Leistung Gewährleistung und Haftung

Vertrag über die Cloud-Dienstleistung sollteentsprechende Regelungen in den SLA für dieNichteinhaltung von vereinbarten Leistungen

beinhalten und Haftungsfragen klären


Verantwortlichkeiten hinsichtlich Aufbewahrung und Aushändigung vonUnterlagen, Dokumentationen und Daten

Prüfungsrechte der internen Revision und des Abschlussprüfers desauslagernden Unternehmens bzw. Bereitstellung von Prüfungsberichten

Offenlegung der eingesetzten Subdienstleistungsunternehmen

Vereinbarung über Dokumentation der Kontrollen und Maßnahmen, die zurEinhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit derRechnungslegung des auslagernden Unternehmens erforderlich sind

Rechtzeitige Unterrichtung des auslagernden Unternehmens über relevante Änderungen im Rahmen dererbrachten Dienstleistung, bspw. durch Releasewechsel, Einspielen von Sicherheitspatches oder denAustausch von Subdienstleistungsunternehmen sowie Vereinbarung von Zustimmungsvorbehalten

Ort der Verarbeitung und Speicherung der Daten des auslagernden Unternehmens zur Einhaltung vonhandels-, steuer- und datenschutzrechtlichen Anforderungen

Vereinbarungen zur Beendigung des Vertrags und zu nachvertraglichen Pflichten, bspw. zur Rückgabe allergespeicherten Daten einschließlich Datensicherungen in einem definierten Format und vollständige Löschungdieser Daten beim Dienstleister bzw. weitere Aufbewahrung aufbewahrungspflichtiger Daten undInformationen durch den Dienstleister

45

III.2 Vertragliche AusgestaltungPunkte, die klar geregelt werden sollten



III.3 Überwachung des IT-OutsourcingsMaßnahmen im Überblick

Vertragliche Vereinbarungüber den Umfang derPrüfungsrechte desauslagernden Unternehmens

Eigene Prüfungshandlungen,aber auch Vorlage vonBerichten der internenRevision des Dienstleistersdenkbar

Es bietet sich an, regelmäßigePrüfungen beim Dienstleisterdurch unabhängige Drittedurchführen zu lassen

Bspw. in Form von Bericht-erstattungen gemäß IDWPS 951 n. F. (siehe dort)

Für die kontinuierlicheÜberwachung automatischeÜberwachungsprogramme(Scanning) ratsam

Darüber hinaus programm-gestützte Angriffssimulationen(Attack/Penetration-Test-Verfahren)

Prüfungsrechte Prüfung durch Dritte Automatisierte Kontrollen

Prozessunabhängige Überwachungsmaßnahmen

Prozessunabhängige Überwachungsmaßnahmen werden durch die gesetzlichen Vertreter bzw. durch vondiesen beauftragte unabhängige Dritte, die interne Revision oder den Datenschutzbeauftragten durchgeführt

Bspw. regelmäßige Beurteilungen, inwiefern die Leistungserbringung des Dienstleisters überwacht wird oderob Abweichungsanalysen durchgeführt werden



III.4 Beendigung des IT-OutsourcingsÜberblick

3.

2.

1. Vor der Beendigung des IT-Outsourcings ist zu überprüfen, ob aufgrund von

zwischenzeitlichen Änderungen der Dienstleistung das ursprünglich vereinbarteVerfahren zur Überleitung auf das auslagernde Unternehmen bzw. einen anderenDienstleister weiterhin durchführbar ist

Zu Beginn der Nutzungsbeendigung ist ein Konzept zur Daten- undDienstleistungsmigration zu erarbeiten – insbesondere sind zu regeln:

Art und Umfang der überzuleitendenDienstleistung

Umgang mit archivierten Daten undDokumenten

Erfolgt bei Beendigung des IT-Outsourcings die Aufbewahrung archivierter Daten undDokumente weiterhin beim bisherigen Dienstleistungsunternehmen, ist vertraglich dieEinhaltung der Aufbewahrungspflichten nach § 257 HGB sicherzustellen (einschl. derentsprechenden GoBD-Anforderungen)

Gleiches gilt bei einer Übernahme der zu archivierenden Daten durch denübernehmenden Dienstleister

Bewahrt das auslagernde Unternehmen die Daten nach Beendigung der Dienstleistungselbst auf, sind auch hier die gesetzlichen Ordnungsmäßigkeitsvorschriften einzuhalten

Zuverlässige Löschung der Daten Umfang eines eventuellen

Parallelbetriebs Test- und Freigabeverfahren



Art und Umfang der überzuleitenden Dienstleistung soll die komplette Dienstleistung übergeleitet werden oder u. U. nur ein Teil?

Umgang mit archivierten Daten und Dokumenten Verbleib beim Dienstleister oder ebenso Rückführung bzw. Überleitung und

Archivierung im eigenen Unternehmen bzw. beim neuen Dienstleister

Umfang eines eventuellen Parallelbetriebs, um eine kontinuierliche Leistungsabdeckungzu gewährleisten

Zuverlässige Löschung der Daten

Test- und Freigabeverfahren

48

III.4 Beendigung des IT-OutsourcingsKonzept zur Daten- und Dienstleistungsmigration


Fallstudie [2]

Der Beauty Contest


Fallstudie 2: Einführung Cloud ComputingBeauty Contest der Dienstleister

Pool allerpotenziellen

AnbieterWahl des

finalen PartnersKonkretesKonzept

Angebot/Preis

Formal-kriterien

Beauty Contest

Potenzielle Anbieter werden aufgefordert, eine Lösungsidee anzubieten bzw. vorzustellen

Aus allen potenziellen Anbietern wird über einen Screening-Prozess der finale Partner gewählt

Hinweis: Ggf. projektbegleitende Prüfung nach IDW PS 850


Fallstudie 2: Einführung Cloud ComputingBeauty Contest der Dienstleister

Formalkriterien

Anbieter sind auf Übereinstimmung mit vorher klarformulierten Auswahlkriterien zu prüfen

Anhand dieser Überprüfung ist eine Short-List der inFrage kommenden Anbieter zu erstellen

Angebot/Preis

Die angebotenen Dienstleistungen und Preise werdenerfasst und ggf. extra angefordert

Anhand von vor dem Auswahlprozess definiertenKriterien sind die Anbieter hinsichtlich ihresAngebotsspektrums und ihres Preises zu selektieren

Konkretes Konzept

Die vielversprechendsten Anbieter werden aufgefordert,ein konkretes Konzept zur Umsetzung zu erstellen

Eventuell wird dieses Konzept auch gemeinsam mitpotenziellen Anbietern im Rahmen eines Workshopserarbeitet


Fallstudie 2: Einführung Cloud ComputingLösungsskizze


Rechtswahl, Gerichtsstand, Schiedsgerichte SLAs insbesondere Konsequenzen bei Nichteinhaltung Aktivitäten-Split, korrespondierende Kontrollen Prüfrechte sowie Vorgehen bei Beendigung/Migration Ort der Verarbeitung und Speicherung Kontrolldokumentation

Prüfrechte

Beendigung

Auswahlkriterien

Eigene Prüfungshandlungen Automatisierte Kontrollen Berichte der internen Revision Prüfung nach IDW PS 951

Siehe Fallstudie 3

Angebotsumfang, Preis Sicherheitspaket Sitz des Anbieters Erfahrung/Referenzen


Fallstudie [3]

Die Cloud in der Beendigung


Fallstudie 3: Beendigung Cloud ComputingBeweggründe

Durch den Dienstleister verursacht:

Dienstleister verletzt wiederholt in SLA vereinbarte KPIs(bspw. vereinbarte Verfügbarkeit > realisierte Verfügbarkeit)

Dienstleister nimmt ohne Abstimmung mit dem auslagernden Unternehmen Änderungenan der Cloud-Leistung vor (z. B. Einsatz von Sub-Dienstleistern)

Dienstleister kommt seinen Berichtspflichten nicht nach (bspw. über die Durchführungvon Kontrollen)

Aufdecken von Sicherheitslücken beim Dienstleister

Extern bedingt:

Besseres Angebot eines konkurrierenden Dienstleisters (niedrigerer Preis, besserer Service)


Fallstudie 3: Beendigung Cloud ComputingLösungsskizze

Datenmigration Art und Umfang der überzuleitenden Dienstleistung

(Dateiformate etc.) Löschung der Daten …

Aufbewahrung

Sonstiges


Umgang mit archivierten Daten und Dokumenten Verbleib oder Rückführung Sicherstellung der Einhaltung von Aufbewahrungspflichten Sicherstellung der Vorgaben zum Datenzugriff (GoBD)

Parallelbetrieb Test- und Freigabeverfahren

Vorgehen bei Beendigung Verantwortlichkeiten für Überleitung und Aufbewahrung Nachvertragliche Pflichten

Konzeption zur Beendigung erarbeiten:


Agenda





1. IT-Sicherheitsrisiken

2. Spezielle Sicherheitsrisiken in der Cloud

3. Risiken für die Ordnungsmäßigkeit

4. Steuerrechtliche Risiken

5. Spezielle rechtliche Risiken

6. Risikoanalyse





IV.1 IT-SicherheitsrisikenBetroffene Bereiche

Sicherheitsrisiken

Organisation undAufgabenteilung

Schnittstellen undgenutzter

Übertragungsweg

Datenspeicherungund Speicherort

Change-Management



IV.1 IT-Sicherheitsrisiken beim IT-OutsourcingSicherheitsrisiken im Detail

Im Zuge der Auslagerung betrieblicher Funktionen und Prozesse … Risiko für …

Integration ausgelagerter Prozesse und Funktionen in das IT-gestützteRechnungslegungssystem des auslagernden Unternehmens veränderte Arbeitsteilung veränderte Zugriffsrechte

Autorisierung

Einrichtung neuer bzw. Anpassung bestehender Schnittstellen Integrität und Verfügbarkeit

Sicherheitslücken beim Dienstleister unberechtigte Zugriffe auf dasIT-gestützte Rechnungslegungssystem

Integrität, Autorisierung undAuthentizität

Risiko unberechtigter Einsicht und Verfälschung durch Dritte auf demgenutzten Übertragungsweg (bei Zugriff über das Internet)

Integrität, Vertraulichkeit undAuthentizität

Verlust der Kontrolle über den Speicherort bei Datenspeicherung in der Cloud Integrität und Vertraulichkeit

Insbesondere beim Cloud Computing häufiger Wechsel des Speicherorts derausgelagerten Daten (Ressourcenallokation) Risiko der Überlastung

Verfügbarkeit (u. U. sogarVerlust)

Risiko unautorisierter Änderungen am IT-gestützten Rechnungslegungssystemdurch den Dienstleister (z. B. aufgrund von Abstimmungsfehlern)

Verfügbarkeit, Integrität undAutorisierung



Risiken aus den eingesetzten Technologien (Multi-Tenancy und Virtualisierung)

Unberechtigte Zugriffe, Veränderungen der Berechtigungen

Öffentliche Netze als Übertragungsweg

Unbefugtes (Mit-)lesen

Ressourcenallokation (Wechsel des Speicherorts)

Überauslastung (Unterprovisionierung)

Beschränkung Verfügbarkeit

Datenverlust

59

IV.2 Spezielle Sicherheitsrisiken beim Cloud ComputingSpezifische Sicherheitsrisiken in der Cloud



IV.3 Risiken für die Ordnungsmäßigkeit beim IT-OutsourcingAllgemeine Risiken im Überblick

Risiken für die Ordnungsmäßigkeit

Risiko derNichteinhaltungsteuerrechtlicherAnforderungenbzgl. Verarbei-tung, Zugriffund Aufbewah-rung (vgl. §§145 ff. AO bzw.GoBD)

Risiko, dassVollständigkeitund Zeitge-rechtheit durchunvollständigeoder verspäteteVerarbeitungvon Geschäfts-vorfällen nichtgegeben ist

Bei Speicherungder Daten inDrittländernRisiko, dassAnforderungenan die Ord-nungsmäßigkeitnach §§ 238 ff.HGB nicht ein-gehalten werden(z. B. Radier-verbot)

Risiko, dassBuchführungs-verfahren zumEinsatz kom-men, die dieAnforderungenan die Beleg-,Journal- undKontenfunktionnicht erfüllen.

Risiko, dassdurch fehler-hafte oderunvollständigeÜbertragung derDaten oderfehlerhafteDatenstrukturVollständigkeitoder Richtigkeitder Daten nichtgegeben ist

Risiko, dassAufbewahrungs-pflichten nach§ 257 HGBunzureichenderfüllt werdenund damitAufbewahrungs-fristen nichteingehaltenwerden bzw.die Unveränder-barkeit nichtgewährleistet ist.



Risiken betreffend die Einhaltung steuerrechtlicher Anforderungen

Stichworte: Aufbewahrung, Datenzugriff und GoBD

Verstoß gegen Aufbewahrungsvorgaben

Stichworte: Aufbewahrungsdauer und Unveränderlichkeit

Verstoß gegen Sicherheits- und Ordnungsmäßigkeitsanforderungen der §§ 238 ff. HGB

Stichworte: Anonymität von Rechenzentren

Mängel in der Dokumentation

Stichworte: Einfache und „unbürokratische“ Verfügbarkeit

Klare Regelung der Aufgaben, Rollen und Verantwortlichkeiten

61

IV.4 Spezielle Risiken für die Ordnungsmäßigkeit beim Cloud ComputingSpezifische Risiken in der Cloud



IV.5 Steuerrechtliche RisikenSpezifische Risiken aus steuerlicher Sicht*

Begründung einer Betriebsstätte im Ausland

Mögliches Quellensteuer-Risiko bei Datenbanknutzung

Verschiedene Umsatzsteuerliche Risiken

Anwendung Reverse-Charge-Verfahren

Registrierungspflicht im Ausland

Risiko eines Verstoßes gegen Aufbewahrungsvorschriften

62

*zu den steuerlichen Besonderheiten vgl. ausführlich Kapitel VII.


Nach § 11 (1) BDSG ist das auslagernde Unternehmen für die Einhaltung sämtlicher datenschutz-rechtlicher Bestimmungen verantwortlich – Risiko der Nichteinhaltung, insbesondere durch denDienstleistungsanbieter (und ggf. eingesetzte Sub-Dienstleister)

Darüber hinaus rechtliche Risiken aufgrund grenzüberschreitender Speicherung und Verarbeitungvon Daten beim Cloud Computing:

Auswirkungen strafrechtlicher Ermittlungen gegen Cloud-Anbieter auf Vertraulichkeit derausgelagerten Daten

Unterschiedliche Anforderungen hinsichtlich Speicherung, Aufbewahrung und Löschung personen-bezogener Daten – insbesondere beim Drittstaatentransfer einschränkende Regelungen des BDSG

Behandlung der sich aus steuerlichen Gesichtspunkten ergebenden Anforderung an Aufbewahrungsteuerrelevanter Daten (Inland/EU; §§ 146 ff. AO)

Cloud-Anbieter kann Anforderungen staatlicher Stellen unterliegen, z. B. Zugriff auf IT-Ressourcenzu ermöglichen, wodurch Verfügbarkeit und Vertraulichkeit der Daten des auslagerndenUnternehmens verletzt werden könnten

Widersprüchliche gesetzliche Anforderungen einzelner Länder, bspw. zur Verwendung vonVerschlüsselungstechniken

63

IV.6 Spezielle rechtliche Risiken



Systematische Risikoanalyse vor Beginn der Auslagerung essenziell

Strukturierung der Risiken, bspw. nach

IT-Sicherheitsrisiken

Risiken für die Ordnungsmäßigkeit

Steuerliche und rechtliche Risiken

Auswirkungen auf das interne Kontrollsystem entsprechende Ausgestaltung, entweder beim Dienstleister

oder beim auslagernden Unternehmen

64

IV.7 Empfehlung: Risikoanalyse


Fallstudie [4]

Risiken in der Cloud


Fallstudie 4: Risiken beim Einsatz von Cloud ComputingAusgangslage

Unternehmen(München)

Belege über Geschäftsvorfälle

Dienstleister(USA)

Jahresabschluss

Buchhaltung Jahresabschluss-

erstellung

66


Unberechtigte Zugriffe aufdem Übertragungsweg und

beim Dienstleister

67

Fallstudie 4: Risiken beim Einsatz von Cloud ComputingZurück zur Ausgangslage

Verletzung der Anforderungenan die Ordnungsmäßigkeit

nach §§ 238 ff. HGB

Nicht ordnungsgemäßeAufbewahrung (§§ 145 ff. AO

bzw. GoBD)

Einsatz unzureichenderBuchführungsverfahren

Einsatz von Sub-Dienstleisternohne Zustimmung des


Wechsel des Speicherorts derBuchhaltungsdaten

Fehlerhafte Integration derSchnittstellen

UnvollständigeDatenübertragung

Verstoß gegendatenschutzrechtliche

Bestimmungen des BDSG

Zugriff durch staatliche Stellenim Ausland

Unternehmen(München)

Belege über Geschäftsvorfälle

Dienstleister(USA)

Jahresabschluss

Buchhaltung Jahresabschluss-

erstellung


Fallstudie 4: Risiken beim Einsatz von Cloud ComputingLösungsskizze

Ordnungsmäßigkeitsrisiken Unvollständige Datenübertragung Einsatz unzureichender Buchführungsverfahren Nicht ordnungsgemäße Aufbewahrung

Steuerliche Risiken

Rechtliche Risiken

IT-Sicherheitsrisiken

Fehlerhafte umsatzsteuerliche Behandlung Verstoß gegen Aufbewahrungsvorschriften

Verstoß gegen datenschutzrechtliche Bestimmungen desBDSG Zugriff durch staatliche Stellen im Ausland Ersatz von Subdienstleistern ohne rechtliche Zustimmung

Fehlerhafte Integration der Schnittstellen Unberechtigte Zugriffe auf dem Übertragungsweg und beim

Dienstleister Wechsel des Speicherorts der Buchhaltungsdaten


Agenda






1. Kontrollumfeld und Organisation

2. IT-Infrastruktur

3. IT-Anwendungen

4. IT-gestützte Geschäftsprozesse




V.1 Kontrollumfeld und OrganisationAusgangssituation

70

Kontrollen auf Ebene der für den Betriebder Dienstleistung benötigten IT-Infrastruktur, IT-Anwendungen undIT-gestützten Geschäftsprozesse

Insbesondere beim Cloud Computingwichtig, bei der Ressourcenprovisionierungzu kontrollieren, dass sich unternehmens-eigene Daten nicht mit Daten andererUnternehmen überlagern(Sphärentrennung)

Eskalationsverfahren mit dem Dienstleisterbei nicht vertragsgemäßer Leistungs-erbringung

Folgende Kontrollen und Sicherungsmaßnahmen sind zu vereinbaren:

Entscheidend für ein wirksames IKS ist, ein Bewusstsein über die potenziellen Risiken beim IT-Outsourcing zu schaffen, insbesondere bezüglich spezifischer Risiken beim Cloud Computing



Einfacher Austausch von Subdienstleistern

Unautorisierte Beauftragung und Nutzung aufgrund einfacher Abrufbarbeit

IT-Kontrollsystem unterliegt kurzen Innovationszyklen

Sicherheitskonzept ist um folgende Aspekte zu ergänzen:

Definition und Klassifizierung der Daten, die im Rahmen von Cloud Computingverarbeitet werden dürfen (Schutzbedarfsanalyse)

Festlegung zulässiger Datenlokationen

Festlegung von kryptographischen Verfahren

71

V.1 Kontrollumfeld und OrganisationSpezielle Aspekte in der Cloud



V.1 Kontrollumfeld und OrganisationDie Kontrolle im Fokus

72

Beurteilung der Wirksamkeit der Kontrollen beim Dienstleister erfolgt anhand der vereinbarten Messgrößenund -verfahren bzw. regelmäßiger Reports entscheidend ist zu überwachen, ob der Dienstleister seinenBerichtspflichten zeitnah nachkommt

Grundlage für die Kontrolle der Dienstleistungserbringung sind die Service Level Agreements (SLA)und die Verfahrensdokumentation (in der die einzelnen Aufgaben, Tätigkeiten und Verantwortlichkeitenaus Sicht des auslagernden Unternehmens dargestellt werden)

Falls Mängel beim Dienstleister festgestelltwerden:

Können kompensierende Kontrollen vomDienstleister oder vom auslagerndenUnternehmen umgesetzt werden? Wenn ja,welche?

Falls Administration der IT-Infrastruktur bzw.IT-Anwendungen vom Dienstleister:

Prüfung der Wirksamkeit der physischenSicherungsmaßnahmen zum Schutz der IT-Infrastruktur sowie der Zugriffe von Admi-nistratoren bzw. privilegierter Benutzer(Berichterstattung nach IDW PS 951 n. F.)


Soweit Kontrollmaßnahmen zeitweise unwirksam waren, hat das auslagernde Unternehmen zu analysieren,ob hierdurch die Ordnungsmäßigkeit der Buchführung beeinträchtigt wird oder Fehler in der Buchführungeingetreten sind.


Koordination von Dienstleistungsänderungen

Koordination von Anpassungen des IKS des auslagernden Unternehmens (Change-Management)

Regelmäßige Wartungsarbeiten (bspw. Patch-Management)

Kontrolländerungen aufgrund von Dienstleistungsänderungen

Änderungen aufgrund festgestellter IKS-Schwächen

Analyse von Änderungen auf das IKS/die Kontrollen des auslagernden Unternehmens

Prüfung der fortwährenden Einhaltung der Compliance- und Sicherheitsanforderungen

73

V.1 Kontrollumfeld und OrganisationWeitere Anforderungen an das Dienstleistungsmanagement



Verantwortung für den geordneten Regel- und Notfallbetrieb liegt beim auslagernden UnternehmenVerfahren müssen vollständig, lückenlos und nachvollziehbar dokumentiert sein

Zu Beginn hat sich das auslagernde Unternehmen einen Überblick von der IT-Infrastruktur des Dienstleisterseinschließlich Schutzmaßnahmen und Sicherheitsvorkehrungen sowie von IT-Prozessen zu Regel- undNotfallbetrieb zu verschaffen

Wenn Verantwortung für Administration der IT-Infrastruktur beim Dienstleister liegt, muss sich das auslagerndeUnternehmen von der Angemessenheit der eingerichteten Kontrollen überzeugen (bspw. Prüfungsberichtenach IDW PS 951 n. F. denkbar)

Sowohl beim Dienstleister als auch beim auslagernden Unternehmen sind Maßnahmen für den logischenZugriffsschutz einzurichten (z. B. Beantragungs-, Genehmigungs- und Überprüfungsverfahren)

Administrative und privilegierte Berechtigungen für die IT-Infrastruktur und die IT-Anwendungen sindentweder vom Dienstleister oder vom auslagernden Unternehmen zu verwalten und vor unberechtigterNutzung zu schützen

V.2 IT-InfrastrukturAusführungen IDW RS FAIT 5

Die IT-Infrastruktur bildet die Grundlage für einen sicheren und geordneten IT-Betrieb. Dazu zählendie zur Leistungserbringung erforderlichen Rechenzentren, Hardware, Netzwerke, Systemsoftware,Komponenten für den Verbindungsaufbau und (Cloud Computing) Verfahren für die bedarfsorientierteProvisionierung



Die Prüfung der IT-Infrastruktur richtet sich auf:

Logische Zugriffskontrollen

Datensicherungs- und Auslagerungsverfahren

Physische Sicherungsmaßnahmen

Maßnahmen für den geordneten Regelbetrieb

Verfahren für den Notbetrieb Maßnahmen zur Sicherung derBetriebsbereitschaft


V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Überblick


Logische Zugriffskontrollen

In der Aufbauprüfung Beurteilung, ob diefestgelegten Sicherheitsmaßnahmen hinsichtlichder eingesetzten Technik und dem gewünschtenSchutzzweck angemessen sind

Die Funktionsprüfung richtet sich an dieWirksamkeit der eingerichteten Sicherungs-maßnahmen, z. B. durch eine Begehung desRechenzentrums und Kontrolle der Existenz derMaßnahmen

Physische Sicherungsmaßnahmen

Die Aufbauprüfung richtet sich auf die Imple-mentierung eines organisatorischen Verfahrens zurBeantragung, Genehmigung und Einrichtung vonBenutzerberechtigungen in den IT-Systemenbetrifft sowohl Berechtigungen auf Betriebs-systemebene als auch Rechte zur Ausführung vonAnwendungen

Die Funktionsprüfung der logischen Zugriffs-kontrollen kann umfassen:

Prüfung der Übereinstimmung definierterVerfahren mit den tatsächlichen Abläufen derBenutzeradministration und -pflege

Stichprobenartige Prüfung der Benutzerberech-tigungen, ob eingerichtete Berechtigungen denbeantragten Rechten sowie dem Aufgabengebietdes Mitarbeiters entsprechen


V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Physische Sicherungsmaßnahmen und logische Zugriffskontrollen


Datensicherungs- und Auslagerungsverfahren sind Voraussetzung für die Funktionsfähigkeit derDatenverarbeitung sowie zur Sicherung der Vollständigkeit und Verfügbarkeit der Daten

Die Aufbauprüfung umfasst u. a. die Angemessenheit des Datensicherungsverfahrens (Mehr-Generationen-Prinzip mit Tages-, Wochen- und Monatssicherungen), die verwendetenSicherungsmedien sowie die Auslagerungsorte und -intervalle

Die Funktionsprüfung erstreckt sich etwa auf die Einsichtnahme in Logaufzeichnungen, denAbgleich von Medienverzeichnissen oder die Begehung des zur Auslagerung verwendetenArchivs mit Inaugenscheinnahme der Zugangs- und Brandschutzeinrichtungen

Sofern Sicherungsmedien auch zur Erfüllung gesetzlicher Aufbewahrungsfristen erstellt werden,muss der Abschlussprüfer auch beurteilen, ob die Wiederherstellbarkeit von Programmen undDaten aus den Sicherungsmedien funktioniert, z. B. durch Tests der Datenrücksicherung

Datensicherungs- und Auslagerungsverfahren

V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Datensicherungs- und Auslagerungsverfahren



Die Aufbauprüfung richtet sich etwa auf die Dokumentation und die Regelung der Abläufesowie auf die nachvollziehbare Abwicklung von IT-Anwendungen

Im Rahmen der Funktionsprüfung des Regelbetriebs Prüfung der adäquaten Umsetzung derOrganisationsanweisungen und Einsichtnahme in die Aufzeichnungen der technischen Systemezur Steuerung des Rechnerbetriebs

Abgleich der Anweisungen zur Jobdokumentation mit den tatsächlichen Jobs

Prüfung der im RZ-Handbuch aufgeführten Protokolle, Jobs und Nachweise auf Existenzund angemessene Aufbewahrung

Durchsicht von Job- und Operatorprotokollen auf wiederkehrende Fehler

Maßnahmen für den Regel- und Notbetrieb

V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Maßnahmen für den Regel- und Notbetrieb



Die Aufbauprüfung soll beurteilen, ob unternehmensspezifische Risiken und die Abhängigkeitdes Unternehmens von der IT in den Vorkehrungen gegen einen möglichen Ausfall hin-reichend abgebildet sind

Organisatorische Regelungen (Katastrophenfall-Handbuch) und technische Sicherungs-maßnahmen (redundante Auslegung der Hardware, vertragliche Backup-Vereinbarungen,Ausweich-Rechenzentrum) müssen gewährleisten, dass Programmfunktionen und -abläufein angemessener Zeit wiederhergestellt werden können

Weiterhin ist zu prüfen, ob geeignete Eskalationsverfahren installiert sind und dieWirksamkeit der Notfallszenarien regelmäßig getestet wird

Bei der Funktionsprüfung kann der Abschlussprüfer auf eigene Tests verzichten, soweit dieerfolgreiche Durchführung von Tests anhand einer ordnungsgemäßen Dokumentation beurteiltwerden kann

Maßnahmen zur Sicherung der Betriebsbereitschaft


V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Maßnahmen zur Sicherung der Betriebsbereitschaft


V.3 IT-AnwendungenAusführungen IDW RS FAIT 5

Anwendungen, die auf die Anforderungen einesspeziellen Unternehmens bzw. einer Gruppezugeschnitten sind

Hier ist es wichtig, Vereinbarungen über einangemessenes Softwareentwicklungsverfahrenzu treffen

Anpassungen an Kundenbedürfnisseeingeschränkt möglich Customizing

Hierbei ist es entscheidend, einen Change-Management-Prozess einzurichten, um zu verhin-dern, dass vom auslagernden Unternehmen nichtautorisierte Anpassungen vorgenommen werden

Darüber hinaus generelle Kontrollen, wie bspw.Integrationstests, Berechtigungssystem oderanwendungsbezogene Verarbeitungsprotokolle

Individualanwendungen Standardanwendungen

Überblick über Art und Umfang der in den IT-Anwendungen enthaltenen anwendungsbezogenen Kontrollenkann sich das auslagernde Unternehmen anhand einer Softwarebescheinigung oder ggf. durch Einsicht-nahme in die Verfahrensdokumentation der IT-Anwendung des Dienstleisters verschaffen ( IDW PS 880)


Vollständigkeit, Richtigkeit sowie die zeitnahe Verarbeitung der ausgetauschten Daten sind über anwendungs-oder schnittstellenbezogene Kontrollen sicherzustellen und zu dokumentieren. Hierzu dienen bspw. Kontroll-summen, Hash Totals oder spezifische Protokolle/Journale.


V.3 IT-AnwendungenKontrollen

Durchsicht von Änderungsnachweisen zu eingerichteten Kontrollen und rechnungslegungsrelevantenTabellendaten mit Steuerungsfunktion

Abgleich der an den Dienstleister übermittelten Daten mit den nach der Verarbeitung erhaltenen Daten

Neben den anwendungsbezogenen Kontrollen sind auch Kontrollen zur Überwachung der ausgelagertenProzesse und Funktionen notwendig:

Durchsicht folgender Unterlagen:

Nachweise über kritische Systemberechtigungen sowie deren Nutzung

Protokolle über nicht erfolgreiche Systemzugriffe sowie über unerwartete Ereignisse (z. B. Abstürze)

Nachweise über Systemänderungen (z. B. Releasewechsel oder Fehlerbereinigung)

Nachweise über vom Dienstleister vorgenommene Tests

Berichte der internen Revision des Dienstleisters

Korrespondierende generelle Kontrollen:



V.3 Exkurs: Prüfung der IT Anwendungen nach IDW PS 330Umfang

Erfüllung derverfahrensbezogenen

Anforderungen der GoB

Erfüllung derAnforderungen an die

Softwaresicherheit

Erfüllung derAnforderungen an

rechnungslegungsrelevanteVerarbeitungsregeln

Hierzu sind sowohl anwendungsbezogene IT-Kontrollen (Eingabe-, Verarbeitungs- undAusgabekontrollen) als auch generelle Kontrollen (Auswahl- und Entwicklungsprozess sowie

die Implementierung von Software) zu installieren.

Die Prüfung der IT-Anwendungen umfasst:



Voraussetzung für Sicherheit und Ordnungsmäßigkeit von IT-Anwendungen ist eine adäquate Organisationder Systementwicklung bzw. der Vorgehensweise bei der Auswahl von Standardsoftware


Der Abschlussprüfer muss Regelungen und Verfahren auf Angemessenheit beurteilen, die das Unternehmen

zur Entwicklung von Individualsoftware,

zur Auswahl, Beschaffung, Anpassung und Einführung von Standardsoftware,

für Test- und Freigabeverfahren sowie

zur Änderung von IT-Anwendungen definiert hat.

Grob- und Feinkonzepte

Projektmanagement und Qualitätssicherung

Richtlinien für die Programmierung,Dokumentation, Test und Freigabe

Aufbauprüfung

Sichtung von Dokumentationsunterlagen

Stichprobenartige Prüfung der Einhaltung derRegelungen und Verfahren

Funktionsprüfung

V.3 Exkurs: Prüfung der IT Anwendungen nach IDW PS 330Auswahl-, Entwicklungs- und Änderungsprozess


V.4 IT-gestützte GeschäftsprozesseAusführungen IDW RS FAIT 5

Werden Geschäftsprozesse vollständig/teilweise ausgelagert, übernimmt der Dienstleister deren Durchführung.Dies ist i. d. R. mit der Verarbeitung von Geschäftsvorfällen sowie mit der Übernahme rechnungslegungs-

relevanter Daten in die Rechnungslegung des auslagernden Unternehmens verbunden.

Um die Einhaltung der Sicherheits-, Ordnungsmäßigkeits- und Kontrollanforderungen zu gewährleisten,sind in Form von Betriebshandbüchern oder Service Level Agreements Regelungen zu treffen über:

Anwendungsbezogene und prozessintegrierte Kontrollen zur Erfassung und Verarbeitung derGeschäftsvorfälle

Art und Umfang der Übergabe rechnungslegungsrelevanter Daten an den Dienstleister

Überleitung rechnungslegungsrelevanter Daten in die Rechnungslegung des auslagernden Unternehmens

Sicherstellung, dass durch die Schaffung standardisierter organisatorischer und technischer Prozess-schnittstellen sowie einer angemessenen Verzahnung der ausgelagerten Prozesse mit den unternehmens-internen Prozessen den Risiken der unvollständigen, fehlerhaften oder verspäteten Verarbeitung derrechnungslegungsrelevanten Daten begegnet wird

Hohe Standardisierung bewirkt, dass IT-Geschäftsprozessrisiken in der Regel nur IT-gestützten Kontrollengegenüberstehen Anpassung auf individuelle Anforderungen des auslagernden Unternehmens typischer-weise nicht möglich daher sollte das auslagernde Unternehmen seine Kontrollen anpassen bzw.zusätzliche Kontrollen einrichten



V.4 Exkurs: Prüfung der IT-gestützten Geschäftsprozesse nach IDW PS 330Überblick

Die Aufbauprüfung der zu untersuchenden Geschäftsprozesse umfasst Prozessaufnahmen, die u. a.dokumentieren, in welchen Prozessschritten IT-Anwendungen integriert sind (und in welchen manuellgearbeitet wird), wie rechnungslegungsrelevante Daten in die Rechnungslegung übergeleitet werden sowiewelche anwendungs- und prozessbezogenen Kontrollen bestehen

Anwendungsbezogene Kontrollen umfassen sowohl manuelle als auch programmseitige Kontrollen:

Im Rahmen der Aufbauprüfung hat der Abschlussprüfer zu beurteilen, ob die Geschäftsprozesse dasGeschäftsmodell des Unternehmens adäquat abbilden steht die Zielsetzung des Unternehmens mit ihrerorganisatorischen Ausgestaltung in Übereinstimmung und wurden die daraus abgeleiteten Risikobeurtei-lungen angemessen berücksichtigt

Bei der Beurteilung der Angemessenheit der prozessintegrierten Kontrollen steht die Gewährleistung derOrdnungsmäßigkeit und Sicherheit der rechnungslegungsrelevanten Daten im Fokus

Hierbei von besonderer Bedeutung: Prüfung der sachgerechten Schnittstellenimplementierung sowie Prüfungder diesbezüglichen IT-Kontrollen

Durch Funktionsprüfungen muss die Wirksamkeit der IT-Kontrollen in den IT-gestützten Geschäftsprozessenbeurteilt werden

85


Zutreffende Einstellung von Steuerungsparametern

Richtige Belegaufbereitung

Verlässliche Plausibilitätskontrollen bei der Belegerfassung

Wirksame Kontroll- und Abstimmverfahren


Fallstudie [5]

Servicemodelle im Vergleich


Fallstudie 5: Servicemodelle im VergleichLösungsskizze

Kontrollen werden typischerweise vomauslagernden Unternehmen konzipiert undumgesetzt

Verfahrensdokumentation umfasstAnwenderdokumentation, technischeSystemdokumentation, Programm-Quellcode

Kontrollen werden üblicherweise durch dievom Dienstleister bereitgestellte Softwarevorgegeben

Prüfung der Einrichtung und Wirksamkeitdurch das auslagernde Unternehmen

Verfahrensdokumentation umfasst etwaDokumentation des Produktherstellers,Beschreibung anwendungsspezifischenAnpassungen sowie Dokumentation desausgelagerten Bereichs des IKS

Platform as a Service- PaaS -

Software as a Service- SaaS -



Agenda







1. Ausgangssituation

2. Prüfung nach IDW PS 331 (auslagerndesUnternehmen)

3. Prüfung nach IDW PS 951 (Dienstleister)

4. Zusammenwirken IDW PS 331 und 951



Sie sind gefragt!!!

Prüfung durch den Abschlussprüfer – welche Prüfungs-standards sind einschlägig?

Welche Kontrollziele ergeben sich für Sie –für die Prüfung des auslagernden Unternehmens und fürdie des Dienstleisters?

Worin sollte die Zielsetzung des Abschlussprüfers bestehen?

Welche Ordnungsmäßigkeitskriterien muss Ihre Prüfung abdecken?

Können Sie Berichterstattungen von Prüfer-Kollegen für Ihren Berichtmiteinbeziehen?

Welche Art von Berichterstattungen gibt es ggf., was ist der Unterschied?

Was ist beim Einsatz von Sub-Dienstleistern zu beachten?

…

89


VI.1 AusgangssituationBedeutung des internen Kontrollsystems des Dienstleisters

90

Können durch die eingerichteten Kontrollen Risiken entstehen, die wiederum beim auslagerndenUnternehmen zu Mängeln in der Rechnungslegung führen können

Jahresabschlussprüfer sind gehalten, das gesamte – also auch das auf den Dienstleisterausgelagerte – interne Kontrollsystem einer Beurteilung zu unterziehen, um einen Nachweis für

dessen Angemessenheit und Wirksamkeit zu erlangen

Mit der Auslagerung wesentlicher rechnungslegungsrelevanter Funktionen rückt das interneKontrollsystem des Outsourcing-Anbieters in den Fokus des Abschlussprüfers


VI.1 AusgangssituationAnknüpfungspunkt IDW PS 330

Abschlussprüfer muss beurteilen, welche Auswirkungen das IT-Outsourcing auf das IKS desUnternehmens hat hierfür können u. a. von Bedeutung sein:

Art der erbrachten Dienstleistung

Ausmaß des Zusammenspiels zwischen Kontrollen beim auslagernden Unternehmen undKontrollen beim Dienstleister

Art der Kontrollen, die das auslagernde Unternehmen zur Überwachung des IT-Outsourcingsinstalliert hat

Wirtschaftliche Lage des Dienstleisters sowie dessen IKS

Falls der Wirtschaftsprüfer zu dem Schluss kommt, dass die Aktivitäten des Dienstleisterswesentliche Auswirkungen auf die Abschlussprüfung haben:

Informationen einholen, um das Zusammenspiel des internen Kontrollsystems sowie dieKontrollrisiken beurteilen zu können

Ggf. Prüfungshandlungen vor Ort beim Dienstleister

91



VI.1 AusgangssituationEinschlägige Standards bei der Abschlussprüfung

92

IDW PS 331

Prüfung durch den Abschlussprüfer

IDW PS 951

IDW PS 330

Auslagerndes Unternehmen Dienstleister


VI.2 Prüfung nach IDW PS 331Kontrollziele

Kontrollziele

GesetzlicheAnforderungen

Vom Dienstleisterdefinierte Regelungen

Erfordernisse der jeweiligenGeschäftstätigkeit


AufsichtsrechtlicheAnforderungen

BranchenspezifischeRegelungen


VI.2 Prüfung nach IDW PS 331Für die Abschlussprüfung relevante ausgelagerte Prozesse gem. IDW PS 331

94

Ausgelagerte Dienstleistungen sind nicht per se für die Abschlussprüfung relevant.Betreffen sie allerdings einen der nachfolgenden Bereiche und sind nicht unbedeutend, sind sie relevant.

Verarbeitung rechnungslegungsrelevanterGeschäftsvorfälle

Bereitstellung rechnungslegungsrelevanterUnterlagen für den Jahresabschluss des



Erfassung und Verarbeitung von für denAbschluss relevanten Ereignissen

Den Abschlusserstellungsprozess desauslagernden Unternehmens, einschließlichVerfahren zur Ermittlung geschätzter Werte




VI.2 Prüfung nach IDW PS 331Zielsetzung des Abschlussprüfers

95

Verständnis erlangen

Von Art und Bedeutung der vom Dienstleistererbrachten Dienstleistung einschließlichderen Auswirkungen auf das für dieAbschlussprüfung relevante IKS desauslagernden Unternehmens

Risiken erkennen

Verständnis notwendig, um Risikenwesentlicher falscher Angaben in derRechnungslegung feststellen und beurteilenzu können

Prüfungshandlungen festlegen

Prüfungshandlungen sind den erkanntenRisiken angemessen zu planen unddurchzuführen



VI.2 Prüfung nach IDW PS 331Voraussetzungen für die Ordnungsmäßigkeit

Sachgerechte Abbildung der für die Rechnungslegung maßgeblichen Vorschriften

Sicherheit der vom Dienstleistungsunternehmen verarbeiteten Daten

Werden IT-Systeme für Zwecke der Rechnungslegung verwendet, sind die in IDW RS FAIT 1genannten Sicherheitsanforderungen zu erfüllen

Darüber hinaus erfordern die GoB die Einhaltung folgender Ordnungsmäßigkeitskriterien(in auf die Erfassung, Verarbeitung, Ausgabe und Aufbewahrung rechnungslegungsrelevanterDaten):

96

Vollständigkeit (§239 (2) HGB) Richtigkeit (§239 (2) HGB)

Zeitgerechtheit (§239 (2) HGB) Ordnung (§239 (2) HGB)

Nachvollziehbarkeit (§238 (1) S. 2 HGB) Unveränderlichkeit (§239 (3) HGB)


Vgl. auch GoBD!


VI.2 Prüfung nach IDW PS 331Anknüpfung IDW PS 951 n. F.

97

„Liegt die Einrichtung und Durchführung einer Kontrolle beim Dienstleistungs-unternehmen, hat sich das auslagernde Unternehmen davon zu überzeugen,ob diese Kontrolle angemessen ausgestaltet und eingerichtet ist. Dies kann aufBasis der Beschreibung des dienstleistungsbezogenen internen Kontrollsystemsdes Dienstleistungsunternehmens (bspw. anhand der Einsichtnahme in eineaktuelle Berichterstattung nach IDW PS 951 n. F. …) erfolgen“

IDW PS 331, Tz. A28

Prüfung nach IDW PS 951 n. F.


VI.2 Prüfung nach IDW PS 331Typ 1-/Typ 2-Bericht für Verständnis über Kontrollen beim Dienstleister

Beurteilung, ob der Zeitraum,auf den sich die Beschreibungsowie die Ausgestaltung derKontrollen beim Dienstleisterbeziehen, für die Zwecke derAbschlussprüfung angemes-sen sind

Beurteilung, ob die Bericht-erstattung ausreichende undangemessene Prüfungs-nachweise liefert

Entscheidung, ob vomDienstleister dargestelltekorrespondierende Kontrollenfür das auslagerndeUnternehmen relevant sind

Wenn ja, Prüfung, ob solchekorrespondierenden Kon-trollen beim auslagerndenUnternehmen ausgestaltetsind

Angemessener Zeitraum AusreichendPrüfungsnachweise

KorrespondierendeKontrollen

Beabsichtigt der Abschlussprüfer, eine Berichterstattung nach IDW PS 951 Typ 1 oder Typ 2als Prüfungsnachweis für sein Verständnis über die Ausgestaltung von Kontrollen beim Dienst-leistungsunternehmen zu verwenden, muss er folgende Aspekte beachten:



VI.3 Prüfung nach IDW PS 951 n. F.Gegenstand und Ziele

IKS des auslagernden Unternehmens

DienstleistungsbezogenesIKS des Dienstleisters

Nicht dienstleistungs-bezogenes IKS desDienstleisters

Beschreibung

99


VI.3 Prüfung nach IDW PS 951Gegenstand und Ziele

100


Gegenstand ist die Beschreibung des dienstleis-tungsbezogenen internen Kontrollsystems unddarin dargestellte Kontrollen und Kontrollziele aufBasis der vom Management hierzu abgegebenenErklärung

Gegenstand

Mit hinreichender Sicherheit eine Aussagedarüber treffen zu können, ob:

Die zur Ausgestaltung des dienstleistungs-bezogenen IKS zugrunde gelegten Kriterieneinschließlich der daraus abgeleitetenKontrollziele für den Anwendungszweckgeeignet und in der IKS-Beschreibung adäquatdargestellt sind

Die IKS-Beschreibung durch den Dienstleisterdie tatsächliche Ausgestaltung und Einrichtungdes dienstleistungsbezogenen IKS zum zuprüfenden Zeitpunkt (Typ 1-Bericht) bzw.während des zu prüfenden Zeitraums (Typ 2-Bericht) sachgerecht darstellt

Ziele


Gewinnung eines Verständnisses von Art und Umfang der vom Dienstleister erbrachten Dienstleistung einschl.deren Auswirkungen auf das für die Abschlussprüfung relevante IKS des auslagernden Unternehmens

Bericht über die Prüfung der Angemessenheit desdienstleistungsbezogenen IKS bei einem Dienstleister

Inhalt/Grundlage:

Vom Dienstleister erstellte IKS-Beschreibung

Bericht des Prüfers des Dienstleister Vermittlung derAngemessenheit des dienstleistungsbezogenen IKSeinschließlich Urteile des Prüfers über zugrundegelegte Kriterien und daraus abgeleitete Kontrollzielesowie über die tatsächliche Ausgestaltung undEinrichtung des IKS und der dargestellten Kontrollenzum Prüfungszeitpunkt

Bericht über die Prüfung der Angemessenheit undWirksamkeit des dienstleistungsbezogenen IKS bei einemDienstleister

Inhalt/Grundlage:

Vom Dienstleister erstellte IKS-Beschreibung

Bericht des Prüfers des Dienstleister Vermittlung derAngemessenheit und der Wirksamkeit des dienst-leistungsbezogenen IKS einschließlich Urteile desPrüfers über zugrunde gelegte Kriterien und darausabgeleitete Kontrollziele sowie über die tatsächlicheAusgestaltung und Einrichtung des IKS und derdargestellten Kontrollen zum Prüfungszeitpunkt

Zusätzlich: Urteil über die geprüften Kontrollen, diezur Erreichung der Kontrollziele notwendig sind

Typ 1-Berichterstattung Typ 2-Berichterstattung

In Anlehnung an IDW PS 331/951

VI.3 Prüfung nach IDW PS 951Typ 1 vs. Typ 2


VI.3 Prüfung nach IDW PS 951Anforderungen an die Ausgestaltung des dienstleistungsbezogenen IKS


Das dienstleistungsbezogene IKS betrifft die Regelungen, die mit der Erbringung derDienstleistung in Zusammenhang stehen und in der Berichterstattung des Wirtschaftsprüfers

gem. IDW PS 951 dargestellt sind

Kontrollziele ergeben sichinsbesondere aus den gesetzlichenbzw. aufsichtsrechtlichenAnforderungen sowie aus denErfordernissen der jeweiligenGeschäftstätigkeit

Des Weiteren können weitereKontrollziele aus branchen-spezifischen, vom Dienstleisterselbst definierten oder sonstigenRegelungen abgeleitet werden

Korrespondierende Kontrollen des auslagerndenUnternehmens sind solche, bei denen der Dienstleisterbei der Ausgestaltung voraussetzt, dass diese bei denauslagernden Unternehmen eingerichtet werden

Kontrollziele Die dienstleistungsbezogenen internen Kontrollenumfassen diejenigen, die zur Einhaltung einesKontrollziels in der Berichterstattung desWirtschaftsprüfers gem. IDW PS 951 dargestellt sind

z. B. Sicherheitsrichtlinien oder technischeSicherungsmaßnahmen


VI.3 Prüfung nach IDW PS 951Dem dienstleistungsbezogenen IKS zugrunde gelegte Kriterien


Gesetzliche und sonstige regulatorischeKriterien (auch GoBD)

Themen-, branchen- undindustriespezifische Kriterien

Vom Dienstleister selbst entwickelteKriterien, einschl. vertraglicher Kriterien


VI.3 Prüfung nach IDW PS 951Exkurs ISO/IEC 27017 (Cloud-spezifizierte Kontrollmechanismen)

104

In Anlehnung an ISACA-Fachgruppe Cloud Computing (2016). Sicherheitsmanagement von Cloud Computingmit ISO/IEC 27017. In IT-Governance, Fachzeitschrift des ISACA Germany Chapter e.V. 24/2016.

ISO/IEC 27017Sicherheitsleitlinien Organisation der Informationssicherheit

Personalsicherheit Management von organisationseigenen Werten

Zugriffskontrolle Kryptografie

Schutz vor physischem Zugang undUmwelteinflüssen Betriebssicherheit

Sicherheit in der Kommunikation Anschaffung, Entwicklung und Instandhaltungvon Systemen

Lieferantenbeziehungen Management vonInformationssicherheitsvorfällen

Informationssicherheitsaspekte desBetriebskontinuitätsmanagements Richtlinienkonformität


VI.3 Prüfung nach IDW PS 951Prüfungsgegenstand bei Berücksichtigung von Sub-Dienstleistern

AuslagerndesUnternehmen

Dienstleister

Sub-Dienstleister

Auslagerung derLohn- und

Gehaltsabrechnung

Auslagerung derVerarbeitung der

Personaldaten

Carve-out Methode

Inclusive Methode



VI.4 Prüfung nach IDW PS 331 (Wechselspiel mit IDW PS 951)Typ 2-Bericht zur Beurteilung der Wirksamkeit der Kontrollen beim Dienstleister

Beziehen sich IKS-Beschreibung sowiedargestellte Kontrollen,deren Ausgestaltungund Wirksamkeit aufeinen für Zwecke desPrüfers angemessenenZeitraum

Ist der von denFunktionsprüfungenabgedeckte Zeitraumangemessen

Einschließlich einerBeurteilung, der seitder Durchführungder Funktionsprüfungvergangenen Zeit

Sind die im Typ 2-Bericht dargestelltenFunktionsprüfungensowie deren Ergebnissefür den Jahresabschlussdes auslagerndenUnternehmens relevantund liefern sieausreichende Prüfungs-nachweise für dieRisikobeurteilung

IKS –angemessener Zeitraum

Funktionsprüfungen –angemessener Zeitraum

Funktionsprüfungen –ausreichende

Prüfungsnachweise Sind die vom Dienst-

leister vorausgesetztenkorrespondierendenKontrollen für dasauslagerndeUnternehmen relevant

Wenn ja, Aufbau-prüfung, ob dieseKontrollen angemessenausgestaltet undwirksam sind

KorrespondierendeKontrollen

Beabsichtigt der Abschlussprüfer, eine Berichterstattung vom Typ 2 als Prüfungsnachweis für dieWirksamkeit der Kontrollen des Dienstleistungsunternehmens zur verwenden, muss er

beurteilen, ob:



VI.4 Prüfung nach IDW PS 331 (Wechselspiel mit IDW PS 951)Typ 2-Bericht liegt nicht vor

Kontakt zu Dienstleisteraufnehmenveranlassen, dass ein Prüferdes Dienstleisters eine Typ 2-Berichterstattung erstellt

Hinzuziehen eines externenPrüfersDurchführung von Prüfungs-handlungen nach eigenenAnweisungen

Durchführung eigenerPrüfungshandlungen beimDienstleister durch denAbschlussprüfer des aus-lagernden Unternehmens

Für den Fall, dass eine Berichterstattung vom Typ 2 nicht vorliegt,kann der Abschlussprüfer wie folgt vorgehen:

Eine Typ 1-Berichterstattung kann dem Abschlussprüfer zwar helfen, ein Verständnis über dieRisiken falscher Angaben in der Rechnungslegung zu erlangen, liefert jedoch keine Nachweise

über die Wirksamkeit der relevanten Kontrollen.



VI.4 Prüfung nach IDW PS 331 (Wechselspiel mit IDW PS 951)Ausschluss von Sub-Dienstleistern

108

IKS-Beschreibung enthält auch Art undUmfang der Dienstleistung sowierelevante Kontrollen und Kontrollzieledes Sub-Dienstleisters

Beschreibung der relevanten Kontrollenund Kontrollziele des Sub-Dienstleisterswird im Typ 1-/Typ 2-Berichtausgeklammert

Inclusive Methode

Carve-out MethodeSoweit Sub-Dienstleister in Anspruchgenommen werden, muss dies nachIDW PS 951 bei der Beschreibung

des dienstleistungsbezogenen IKS imTyp 1-/Typ 2-Bericht beachtet werden


Prüfungshandlungen abhängig von:

der spezifischen Dienstleistung,deren Bedeutung für das auslagerndeUnternehmen sowie ihrer Relevanzfür die Abschlussprüfung

IDW PS 331auf Sub-Dienstleister anwenden


Fallstudie [6]

Die Cloud in der Abschlussprüfung


Fallstudie 6: Abschlussprüfung bei Vorliegen von IT-OutsourcingAusgangslage


Rechnung

Dienstleister

Wirtschaftsprüfer

PDF-Datei

Scannen derRechnungenPDF-Datei zurückan Unternehmen

Archivierung

??


Fallstudie 6: Abschlussprüfung bei Vorliegen von IT-OutsourcingZurück zur Ausgangslage


Rechnung

Dienstleister

Wirtschaftsprüfer

PDF-Datei

Scannen derRechnungenPDF-Datei zurückan Unternehmen

Archivierung


Fallstudie 6: Abschlussprüfung bei Vorliegen von IT-OutsourcingZu beachtende Standards beim IT-Outsourcing

IDW RS FAIT 5Vorgaben für das auslagernde Unternehmen

GoBD

IDW PS 331/PS 330Vorgaben für die Prüfung des auslagerndenUnternehmens

Verwendung von Berichten nach IDW PS 951

IDW RS FAIT 3Vorgaben für das Dienstleistungsunternehmen

GoBD

IDW PS 951/PS 330Vorgaben für die Prüfung desDienstleistungsunternehmens

Sonderfall korrespondierende Kontrollen


Agenda








1. Ertragsteuerrecht

2. Umsatzsteuerrecht

3. GoBD

4. Buchführung und Aufbewahrung

5. Tax Compliance


Aktueller Anlass – Tax Compliance wird Pflicht

114

Kontrollen

TAX Compliance(§ 153 AO)

Dokumentation


VII.1 Ertragsteuerrecht – Generelle Begrifflichkeiten und Voraussetzung derBegründung einer Betriebsstätte

115

Hintergrund:

Sowohl das nationale als auch das Recht der DBA knüpft für die Aufteilung der Besteuerungs-rechte zwischen verschiedenen Staaten traditionell an den Begriff der Betriebsstätte an

Definitionen/Rechtsgrundlagen:

Server: „Ein Server ist […] ein Computer, der Computerfunktionalitäten wie Dienstprogramme,Daten oder andere Ressourcen bereitstellt.“

Betriebsstätte:

„Jede feste Geschäftseinrichtung oder Anlage, die der Tätigkeit eines Unternehmens dient.“[§12 Satz 1 AO]

„Eine feste Geschäftseinrichtung, durch die die Geschäftstätigkeit eines Unternehmens ganzoder teilweise ausgeübt wird.“ [Art. 5 OECD Musterabkommen]

Die hohe Komplexität und die hohe Dynamik der Thematik führen zu vielen interessantensteuerlichen Aspekten bei Betriebsstätten


VII.1 ErtragsteuerrechtBesonderheiten von Server-Betriebsstätten

116

Oftmals kein Personal vor Ort

Oft ist der Server nur „gemietet“ (Bsp.: Amazon Web Services), was zu Besonderheitender Beurteilung führt [Art. 5 OECD-MK 2014, Rz. 42.3]

Eine Betriebsstättenbegründung benötigt aber nach bisheriger Vorstellung eineVerfügungsmacht in zeitlicher (Nachhaltigkeit) als auch physischer Hinsicht

Server haben eine physische und eine nicht-physische Komponente Nur die physischeKomponente kommt überhaupt als Betriebsstätte in Betracht [Art. 5 OECD-MK 2014, Rz. 42.2]

Verfügungsmacht über bestimmte körperliche Ressourcen fehlt bei Nutzung von „virtuellen“Server(-kapazitäten) oder der Cloud völlig

Im Rahmen von BEPS wurde daher z. B. auch diskutiert, den Begriff der Betriebsstättedeutlich auszuweiten („digitale Betriebsstätte“, „significant economic presence“)


VII.1 ErtragsteuerrechtSteuerliche Folgen einer Betriebsstätte (1/2)

117

Steuerliche Anknüpfungspunkte ergeben sich aus

§ 49 Abs. 1 Nr. 2a EStG Art. 7 OECD MA i. V. m. Art. 5 OECD MA

Begründung einer Betriebsstätteführt grundsätzlich zu

Besteuerungsrecht des Staates,in dem die Betriebsstätte liegt

Aber: Gewinnabgrenzung

Seit 2010: Authorized OECD Approach (AOA):

Einer Betriebsstätte werden die Gewinne zugerechnet, die sie als selbstständiges und unabhängigesUnternehmen unter Anwendung des Fremdvergleichsgrundsatzes hätte erzielen können

Gewinnzurechnung maßgeblich abhängig von „wesentlichen Personalfunktionen“da bei Server-Betriebsstätten in der Regel kein Personal vor Ort ist, findet konsequent keineGewinnzuordnung statt (gilt als großer Konzeptionsfehler des AOA)


VII.1 ErtragsteuerrechtAusländische Cloud-Anbieter im Inland

118

Fragestellung: „Begründet die Nutzung von Cloud Computingbereits eine Betriebsstätte in einem Land?

Infrastructure as a Service

Software as a Service

Platform as a Service

Keine klare Abgrenzung


VII.1 ErtragsteuerrechtFallkonstellationen

119

Besteuerung des InboundgeschäftsBesteuerung des Outboundgeschäfts

Datencenter/Serverfarmim Inland

Ausländischer Anbieter/Inländischer KundeInländischer Anbieter/Ausländischer Kunde

Datencenter/Serverfarmim Ausland



Prozesse inländischer Kundeauf Cloud im Inland

Prozesse inländischer Kundeauf Cloud im Ausland

Prozesse ausländischer Kundeauf Cloud im Inland

Prozesse ausländischer Kundeauf Cloud im Ausland


VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Inland

120

Cloud-Anbieter

Deutschland Ausland

Kunde


VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Inland

121

Deutscher Cloud-Anbieter:

KSt- und Gewerbesteuerpflicht im Inland

Keine Betriebsstätte im Ausland, da Server im Inland

Risiko der Doppelbesteuerung bei Quellensteuerpflicht im Ansässigkeitsstaatdes Kunden

Ausländischer Kunde:

Ggf. Steuerpflicht im Inland wegen Server-Betriebsstätte im Inland

Risiko aus Haftungsschuld bei nicht ordnungsgemäß einbehaltener Quellensteuer

Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.


VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Ausland

122

Cloud-Anbieter

Deutschland Ausland

Kunde


VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Ausland

123

Deutscher Cloud-Anbieter:

Serverzentrum im Ausland führt ggf. zu Betriebsstätte (§ 12 AO, Art. 5 Abs. 1 OECD-MA 2014)

Prüfung: Vorliegen einer Verfügungsmacht

Prüfung: Feste Geschäftseinrichtung, Unternehmenstätigkeit geht über bloße Hilfstätigkeit undreine Vermietungstätigkeit hinaus

Gewinnabgrenzung nach § 1 Abs. 5 AStG, Art. 7 Abs. 2 OECD-MA 2014 zwischen Stammhausund Betriebsstätte nach AOA („Significant People Function“).

Bei Stammhaus: Immaterielle Wirtschaftsgüter, Kundenbeziehungen etc.

Fremdvergleichspreis oder Zuschlagsmethode (i. d. R. cost-plus-method)

Ausländischer Kunde:

Keine Besonderheiten

Ggf. Pflicht zum Quellensteuereinbehalt prüfen



VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Inland

Cloud-Anbieter

Deutschland Ausland

Kunde


VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Inland

125

Ausländischer Cloud-Anbieter:

Soweit Betriebsstätte vorliegt: Inländische gewerbliche Einkünfte gem. §§ 8 Abs.1 KStG,49 Abs. 1 Nr. 2 Buchst. a EStG i. V. m. § 12 S. 1 AO

Prüfung: Verfügungsmacht und Unternehmenstätigkeit (über Hilfstätigkeit hinaus)

Gewinnaufteilung nach dem Authorized OECD Approach (Art. 7 Abs. 2 OECD-MA 2014) wenn inländische Betriebsstätte auf technische Leistungen beschränkt, werthaltige immaterielleWG (Software, Kundenstamm etc.) im Ausland, in der Regel nur geringer Betriebsstättengewinn

Einer vollautomatischen „Serverbetriebsstätte” ohne Personal kann i. d. R. kein (wesentlicher)Gewinn zugeordnet werden

Prüfung: Vorliegen ggf. betriebsstättenloser gewerbliche Einkünfte bei Lizenzvergabe gem.§§ 8 Abs.1 KStG, 49 Abs. 1 Nr. 2 Buchst. f EStG prüfen (Details s. u.)

Inländischer Kunde:

Besonderheiten soweit Lizenzgebühren zugrunde liegen (Details s. u.)

Vergütungsschuldner ist zum Steuerabzug nach §§ 50a Abs. 1 Nr. 3 EStG verpflichtet, wenn er dieüberlassenen Rechte in einer inländischen Betriebsstätte oder Einrichtung verwertet (Details s. u.)



VII.1 ErtragsteuerrechtExkurs – Nutzungsüberlassung von Sachen/Rechten

126


Nutzungsüberlassung von im Inland belegenen Sachinbegriffen

Betriebsstättenlose inländische gewerbliche Vermietungseinkünfte(§ 49 Abs. 1 Nr. 2f S. 1(aa) EStG)

Hardware scheidet aus, da Verfügungsmacht i. d. R. beim Cloud-Anbieter

Software kein Sachinbegriff, dazu keine Nutzung im Inland, soweit Software auf demausländischen Server des Cloud-Anbieters läuft

Überlassen von Rechten zur Nutzung, deren Verwertung in einer inländischen Betriebs-stätte erfolgt

Betriebsstättenlose inländische Einkünfte aus Gewerbebetrieb(§ 49 Abs. 1 Nr. 2f S. 1, 2 EStG)

Rechteüberlassung etwa gegeben, soweit inländischer Kunde Nutzungsrechtean separat geschützten Inhalten erlangt (Bsp.: Gestattung der Verwendung vonSprachwerken oder Bildern)



VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Ausland

127

Cloud-Anbieter

Deutschland Ausland

Kunde


VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Ausland

128


Vermeidung der beschränkten Steuerpflicht durch Serverfarm im Ausland

Inländischer Kunde:

Unternehmensprozesse des inländischen Kunden werden auf ausländische Server verlagert

Damit Risiko der Doppelbesteuerung bei ungewollter Begründung einer Auslandsbetriebs-stätte nach § 12 AO

§ 12 S. 1 AO fordert jedoch feste Geschäftseinrichtung oder Anlage, über die der inländischeSteuerpflichtige Verfügungsmacht hat

Bloße Nutzung über SaaS erfüllt dies nicht, kein physischer Anknüpfungspunkt

Ausländische Betriebsstätte bei IaaS oder PaaS nur soweit dedizierter physischer Servergegeben, konkreter Server mit ausschließlichem Zugriff

Virtueller Server nicht ausreichend, da die Verfügungsmacht des physischen Servers weiterhindem ausländischen Cloud-Anbieter obliegt

i. d. R. keine ertragsteuerlichen Folgen beim inländischen Kunden



VII.1 ErtragsteuerrechtFallkonstellationen* (Ergebniszusammenfassung)

Besteuerung des InboundgeschäftsBesteuerung des Outboundgeschäfts


Ausländischer Anbieter/Inländischer KundeInländischer Anbieter/Ausländischer Kunde




Cloud-Anbieter (Ausland) Betriebsstätte Inland? Server-Betriebsstätte! Gewinnabgrenzung Betriebsstättenlose

Einkünfte?

Kunde (Inland) Lizenzgebühren?

Cloud-Anbieter (Ausland) Vermeidung

beschränkteSteuerpflicht

Kunde (Inland) Auslandsbetriebsstätte? Server-Betriebsstätte! Risiko Doppel-

besteuerung Unterscheidung

SaaS/IaaS/PaaS

Prozesse inländischer Kundeauf Cloud im Inland

Prozesse inländischer Kundeauf Cloud im Ausland

Prozesse ausländischer Kundeauf Cloud im Inland

Prozesse ausländischer Kundeauf Cloud im Ausland

Cloud-Anbieter (Inland) KSt- und GewSt-

Pflicht im Inland Keine Betriebsstätte

im Ausland Risiko Doppel-

besteuerung

Kunde (Ausland) Server-Betriebsstätte!

Cloud-Anbieter (Inland) Betriebsstätte Ausland? Server-Betriebsstätte! Gewinnabgrenzung

Kunde (Ausland) Quellensteuer-

einbehalt?

* Typisierend wird auf Leistungserbringung durch eine ausländische Kapitalgesellschaftbzw. Einkünfte von Kapitalgesellschaften abgestellt.

129


Nutzer (inländischer Vergütungsschuldner) ist gem. § 50a Abs. 3 Nr. 1 EStG zum Steuer-abzug verpflichtet, falls

der Anbieter in Deutschland beschränkt steuerpflichtig ist…

…und es sich bei der Nutzung der Software um Lizenzgebühren für die Nutzung vonUrheberrechten (Lizensierung von Content, Nutzungsrecht an Cloud-Plattformsoftware)handelt

Aktuell gängigste Form von Onlinediensten sind die internetbasierte Nutzung von Softwareund Datenbanken Einräumung eines schuldrechtlichen Nutzungsrechtes und somit§ 49 Abs. 1 Nr. 2f EStG einschlägig

130

VII.1 ErtragsteuerrechtOnlinedatenbanken und Abzugssteuern

Erhebliche praktische Unsicherheiten, entscheidend könnte auch die konkrete Ausgestaltung derNutzungsvereinbarung im Einzelfall sein.

Steuerabzug darf ausnahmsweise unterbleiben, wenn der ausländische Cloud-Anbieter dem inländischen Kundeneine Freistellungsbescheinigung des BZSt gem. § 50d Abs. 2 S. 1 EStG vorlegt.


VII.2 UmsatzsteuerrechtLeistungsort

„Eine sonstige Leistung, die an einenUnternehmer für dessen Unternehmen ausgeführtwird, wird […] an dem Ort ausgeführt, von demaus der Empfänger sein Unternehmen betreibt.“(§ 3a Abs. 2 UStG, Art 44 MwStSystRL)

Innerhalb der EU: Reverse-Charge-Verfahren(§ 13b UStG, Art. 196 MwStSystRL)

Cloud-Leistung aus Drittland (Reverse-Charge)

Cloud-Leistung in Drittland (nicht steuerbar imInland, § 3a Abs. 2 UStG)

Grds. Ursprungslandprinzip bei B2C-Geschäften(§ 3a Abs. 1 UStG, Art. 45 MwStSystRL)ABER: Cloud-Leistungen sind elektronischerbrachte Dienstleistungen (§ 3a Abs. 5 UStG)unterliegen dem Bestimmungslandprinzip

Wohnsitz bzw. gewöhnlicher Aufenthaltsort desVerbrauchers maßgebend

In der Praxis häufig problematisch, daVerbraucher mobil

Wenn Leistungsort in einem anderen EU-Mitglied-staat oder in Drittländern dort steuerbar (überdortige steuerliche Pflichten informieren)

B2B B2C

Cloud-Leistungen sind sonstige Leistungen im Sinne des Umsatzsteuerrechts(§ 3 Abs. 9 S. 1 UStG), allerdings nur steuerbar, wenn der Leistungsort im Inland liegt



VII.2 UmsatzsteuerrechtBesteuerungsverfahren

Im B2B-Geschäft gelten die allgemeinen Regelungen für sonstigeLeistungen

Bei Leistungserbringung durch inländischen Cloud-Anbieter aninländischen Unternehmer: USt-Ausweis offen in der Rechnung

Grundsätzlich 19%

Bei Einräumung urheberrechtlicher Nutzungsrechte 7%

Bei Leistungserbringung durch ausländischen Cloud-Anbieter(EU und Drittland) an Unternehmer mit Sitz im Inland: Reverse-Charge-Verfahren (§ 13b UStG)

Bei Leistungserbringung durch inländischen Cloud-Anbieter an Unternehmer mit Sitz im EU-Ausland: Reverse-Charge-Verfahren (§ 13b UStG, Art. 196 MwStSystRL)

Bei Leistungserbringung eines inländischen Cloud-Anbieters im Drittlandsgebiet: Umsatz inDeutschland nicht steuerbar (§ 3a Abs. 2 UStG); ggf. Registrierungspflicht im Drittland

Im B2C-Geschäft ist immer der leistende Unternehmer zur Ermittlung und Abführung derUmsatzsteuer verpflichtet



VII.2 UmsatzsteuerrechtAktuelle Diskussion?!

Einseitige Geschäftsmodelle Mehrseitige Geschäftsmodelle

„Bezahlen mit persönlichen Daten“, Melan/Wecke (2015, DStR)

Verwendet ein Cloud-Anbieter die Nutzerdatenlediglich dazu, die entgeltliche Leistung zuoptimieren, liegt regelmäßig kein Leistungs-austausch mit dem Nutzer vor

Vielmehr handelt es sich um die bloße Beistellungvon Nutzerdaten

Entgeltlicher Leistungsaustausch liegt auch im Verhältnis zwischen dem Cloud-Anbieter und dem Nutzervor, weil der Anbieter eine vertragliche Gegenleistung in Form einer Nutzungsgestattung für die Daten erhält(„Bezahlen mit persönlichen Daten“)

Immense umsatzsteuerliche Auswirkung Bemessungsgrundlage würde sich deutlich vergrößern; danebenentstünde eine Steuererklärungspflicht im jeweiligen EU-Mitgliedsstaat des Verbrauchers (§ 3a Abs. 5 UStG)

Bisher weder Verwaltungsanweisung noch Rechtsprechung zum Thema. Aufmerksamkeit geboten!

Anbieten einer „kostenlosen“ Leistung undSammlung von Daten und Verwertung durchErbringung entgeltlicher Werbeleistungen(Monetarisierung von Nutzerdaten)

In der Praxis haben die Anbieter werbefinanzierterGeschäftsmodelle bisher nur ihre Umsätze mit denWerbekunden der USt unterworfen (B2B-Geschäft)


Für jedes DV-System muss eine übersichtlich gegliederte Verfahrensdokumentationvorhanden sein, aus der Inhalt, Aufbau und Ergebnisse des DV-Verfahrens vollständigund schlüssig ersichtlich sind

Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigenDritten in angemessener Zeit nachprüfbar sein

Aus der Verfahrensdokumentation muss ersichtlich sein, wie die elektronischen Belegeerfasst, verarbeitet, ausgegeben und aufbewahrt werden (Belegfunktion)

Die Beschreibung des internen Kontrollsystems (IKS) ist Bestandteil der Verfahrens-dokumentation

IKS-Beschreibung als Grundlage für eine Prüfung nach IDW PS 951!

Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung,einer Anwenderdokumentation, einer technischen Systemdokumentation und einerBetriebsdokumentation

134

VII.3 Die GoBDVerfahrensdokumentation als „roter Faden“


VII.3 Die GoBDAnregung: Verknüpfung zwischen GoBD und dem Kontrollumfeld

Sicherstellung GoBD (Tax)-ComplianceSicherstellung GoBD (Tax)-Compliance

Sachlogischer Prozess

Anforderungen GoBD Kontrollumfeld!!!

Sicherstellung Kontrollziel/Kontrolle


VII.3 Die GoBDMustergliederung für eine Verfahrensdokumentation

Fachliche Beschreibung der Lösung

Relevante weitere Rechtsgrundlagen (außer HGB/AO/UStG) Aktenpläne, Dokumentenarten, Verarbeitungsregeln,

Aufbewahrungsfristen, Vernichtungsregelungen Belegbearbeitung, Belegfluss Prozessdokumentation

Einsatzgebiet und Aufgabenstellung

Aufbau- und Ablauf-Organisation der beteiligten Bereiche Fachliche Aufgabenstellung Mitarbeiterqualifikation

Technische Beschreibung der Lösung

Standorte des IT-Systems Hard- und Softwarekomponenten Datenbankmodelle Parameter-Einstellungen der Programme Technische Verarbeitungsregeln (Datenflüsse, Protokollierungen,

Ablaufpläne etc.) Vorgehensweise Datensicherung Benutzerverwaltung, Berechtigungskonzept Technischer Betrieb (Betriebsvoraussetzungen, Betriebsbedingungen,

Wartung) Vorbereitung Datenzugriff der Finanzverwaltung

Organisations- und Arbeitsanweisungen

Fachliche Prozesse/Standardbetrieb Administrative Prozesse Prozesse für Notfallserien (Restart, Recovery) Change-Management, Test und Abnahme inkl. Aktualisierung der

Verfahrensdokumentation

Kontrollmechanismus/IKS

Übergreifende Konzeption des internen Kontrollsystems Verantwortlichkeiten, Eskalationswege Verfahren zur Sicherstellung der Identität von Verfahrensdokumentation

und gelebter Praxis Verweise auf einzelne organisatorische und technische Kontrollen

Anhänge

Steuerrelevante IT-Anwendungen Steuerrelevante Daten und elektronische Dokumente


VII.4 Buchführung und AufbewahrungBuchführung und Aufbewahrung im Ausland (1/2)

Grundsatz: Bücher und Aufzeichnungen müssen im Inland geführt und aufbewahrt werden(§ 146 Abs. 2 S. 1 AO)

Aber: Finanzamt kann auf Antrag die Führung elektronischer Bücher und Aufbewahrungelektronischer Aufzeichnungen im Ausland bewilligen (§ 146 Abs. 2a S. 1 AO)

Der Steuerpflichtige ist gehalten, die steuerlichen Voraussetzungen in die Vertragsgestaltung mitdem Dienstleister einfließen zu lassen:

Aufbewahrungsort der Daten

Sicherstellung des Datenzugriffs sowie der Möglichkeit, Rechnungen per Fernabfrageeinzusehen

Sonderfall: Aufbewahrung von Rechnungen im Gemeinschaftsgebiet nach § 14b Abs. 4 UStGmöglich, wenn Online-Zugriff für zuständige Finanzbehörde sichergestellt


137


EU-Ausland

Antrag nach § 146 Abs. 2a AOGrundsatz: Inland

E-Rechnung § 146 Abs. 2a AO

Drittland

§ 14b UStGOnline-Zugriff

VII.4 Buchführung und AufbewahrungBuchführung und Aufbewahrung im Ausland (2/2)


VII:5 Tax ComplianceAus aktuellem Anlass

Erkennt ein Steuerpflichtiger erst im Nachhinein die Fehlerhaftigkeit einer vonihm abgegebenen Erklärung

und kommt seiner Anzeige- und Berichtigungspflicht nach § 153 Abs. 1 AOunverzüglich nach:

Keine Steuerhinterziehung, noch leichtfertige Steuerverkürzung, wenn

weder Vorsatz, noch Leichtfertigkeit

BMF zu § 153 AO:

Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet

das der Erfüllung seiner steuerlichen Pflichten dient

kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzesoder der Leichtfertigkeit sprechen kann

139


VII.5 Tax ComplianceKontrollen und Dokumentation im Zentrum

140

Kontrollen

TAX Compliance(§ 153 AO)

Dokumentation


Steuerliche Pflichten SteuerverantwortlichePersonen

Aufgabe der vollständigenund fristgerechten Erfüllung

steuerlicher Pflichten

Tax Compliance Managementsystem

UNTERNEHMEN

VII.5 Tax ComplianceInternes Kontrollsystem für Steuern

141


VII.5 Tax ComplianceEckpunkte

Erfüllunggesetzlicher

Anforderungen

Vermeidungsteuerlicher

Risiken

IndividuelleKonzepte

Prozess-dokumentation


VII.5 Tax Compliance3-Stufen Modell

143

1Prozessbezogene Kontrollen

Berichtswesen (Tax-Reporting), 4-Augenprinzip, IT-System-basierte Kontrollen (SAP etc.),Mitarbeiterschulungen, Schnittstellen

2 Compliance FrameworkOrganisationsanweisungen, Richtlinien, Tax Manual

3 AuditsInterne Revision, externer Auditor


Tax Manual

Zielsetzung

Aufbau- und Ablauforganisation

Qualifikation undWissensmanagement

Steuerliche Kernprozesse

Kontrollen

Steuerliches Risikomanagement

Tax-Revision

VII.5 Tax ComplianceTax Manual als Framework


Erfüllung Tax ComplianceErfüllung Tax Compliance

„Dokumentations-Rahmen“ (Tax Manual)

Anforderungen Tax Compliance Kontrollumfeld

Sicherstellung Kontrollziel/Kontrolle

VII.5 Tax CompliancePraktische Umsetzung


Fallstudie [7]

Die Cloud im Ausland


Fallstudie 7: Cloud Service im AuslandAusgangslage

München(DE)

Firmensitz

Oregon (USA)

Server

Basel (CH)

Server

Amsterdam (NL)

Dienstleistung in derCloud (IaaS/PaaS)

Buchhaltung


Fallstudie 7: Cloud Service im AuslandMögliche steuerliche Implikationen

Rechtsentwicklung steht noch am Anfang – im Zweifel vom Instrument der verbindlichen Auskunft(§ 89 Abs. 2 AO) Gebrauch machen => Tax Compliance beachten!

Betriebsstätte Steuerabzug Reverse-Charge-Verfahren

Risiko der Begründung einerBetriebsstätte

Virtueller Server nichtausreichend

i. d. R. keine ertragsteuer-lichen Folgen beiminländischen Kunden

Liegt der Leistungsort gem.§ 3a Abs. 2 UStG im Ausland,kommt innerhalb der EU dasReverse-Charge-Verfahren zurAnwendung

Handelt es sich bei derVergütung um Lizenz-gebühren (z. B. Nutzungs-recht an Cloud-Plattform-software) könnte derinländische Nutzer zumSteuerabzug gem. §§ 50aAbs. 1 Nr. 3 EStG, 73a Abs. 2EStDV verpflichtet sein


Fallstudie 7: Cloud Service im AuslandFallstricke aus handelsrechtlicher Sicht

Ländergrenzen und§§ 238 HGB ff.

Durch Verteilung über Ländergrenzen hinweg besteht das Risiko, dass dierechnungslegungsrelevanten Daten in Drittländern nicht nach Anforderungender §§ 238 ff. HGB gespeichert werden

…

§ 257 HGB beim IT-Outsourcing

Auch im Falle des IT-Outsourcings sind die Aufbewahrungspflichten des§ 257 HGB zu erfüllen

Risiken in Bezug auf Einhaltung der Aufbewahrungsdauern und Unveränder-lichkeit der Daten hier insbesondere durch Kontrollverlust beim Speicherort

Prüfhinweise

Prüfung, ob Sicherheits- und Ordnungsmäßigkeitsanforderungen durch denDienstleister eingehalten werden im Ausland komplex bis unmöglich

Beurteilung des internen Kontrollsystems des Dienstleistungsunternehmensnebst Verfahrensdokumentation ebenfalls sehr komplex im Ausland

Grundsätzlich unterscheiden die Regelungen bezüglich Outsourcing nicht zwischen Ausland undInland. Andere Gegebenheiten und räumliche Distanz tragen aber zu massiver Komplexität bei.


Fazit

Cloud Computing wird mit zunehmender „Digitaler Transformation“sowie stetigem Kostendruck trotz bestehender Risiken weiter anBedeutung gewinnen

Der IDW RS FAIT 5 konkretisiert die Anforderungen der §§ 238,239 und 257 HGB bezüglich des Führens von Handelsbüchernmittels IT-gestützter Systeme, welche bei der Auslagerung vonrechnungslegungsrelevanten Prozessen und Funktionen entstehen

Der IDW RS FAIT 5 ist stets im Kontext insbesondere zu denIDW PS 331, 330 und 951 sowie den IDW RS FAIT 1 und 3 zubetrachten

Cloud Computing wird auch den Berufsstand der Wirtschaftsprüferverändern …

150


Vielen Dank für Ihre Aufmerksamkeit

Peters, Schönberger & PartnerRechtsanwälte Wirtschaftsprüfer SteuerberaterSchackstraße 280539 MünchenTel.: +49 89 3 81 72 - 0Fax: +49 89 3 81 72 - 204E-Mail: [email protected]: www.psp.eu

Stefan Groß[email protected]

Referent

handels- und steuerrechtliche risiken des cloud computing ... · handels- und steuerrechtliche...

Documents