outsourcing & cloud-computing - idw.de · cloud-computing servicemodelle -systems:...
TRANSCRIPT
Cloud-Computing und Outsourcing (Auslagerung)
IT-
Infrastruktur-
ebene
Geschäfts-
prozess-
ebene
Applikations-
ebene
(IT
-) K
on
tro
llsyste
m (
IT-U
mfe
ld,
IT-O
rga
nis
atio
n)
Prozess
A
Prozess
B
Prozess
D
Prozess
C
Software
Betriebs-
system
Rechnungs-
legung
Netzwerk Hardware
Rechnungslegung, MIS
Ein
fluss
Ein
fluss
5
Cloud-Computing und Outsourcing (Auslagerung)
IT-
Infrastruktur-
ebene
Geschäfts-
prozess-
ebene
Applikations-
ebene
Prozess
A
Prozess
B
Prozess
D
Prozess
C
Software
Betriebs-
system
Rechnungs-
legung
Netzwerk Hardware
Prozess
A
Prozess
B
Prozess
D
Prozess
C
Software
Betriebs-
system
Rechnungs-
legung
Netzwerk Hardware
Fall A: Inhouse – kein Outsourcing Fall B: Business Process Outsourcing (BPO)
6
Cloud-Computing und Outsourcing (Auslagerung)
IT-
Infrastruktur-
ebene
Applikations-
ebene
Software
Betriebs-
system
Rechnungs-
legung
Netzwerk Hardware
Geschäfts-
prozess-
ebene
Prozess
A
Prozess
B
Prozess
D
Prozess
C
Outsourcing Software
Betriebs-
system
Rechnungs-
legung
Netzwerk Hardware
Prozess
A
Prozess
B
Prozess
D
Prozess
C
Outsourcing
Fall C: Outsourcing der IT-Infrastruktur
(z.B. Hosting)
Fall D: vollständiges IT-Outsourcing
(z.B. im Rahmen von Managed Services)
7
Cloud-Computing und Outsourcing (Auslagerung)
8
IT-K
on
tro
lls
ys
tem
(IT-O
rgan
isa
tio
n / IT
-Um
feld
) IT-gestützte
Geschäftsprozesse
Software as a Service
(SaaS)
IT-Anwendungen Platform as a Service
(PaaS)
IT-Infrastruktur
Betriebssysteme
Netzwerke
Hardware
Rechenzentrum
IT-Infrastruktur
Elastische Provisionie-
rung (Virtualisierung) Betriebssysteme
Netzwerke Internet
Hardware
Daten-Lokation Rechenzentren
Infrastructure as a Service
(IaaS)
IT-gestützte
Geschäftsprozesse
IT-Anwendungen
Service-Orchestrierung
Multi-Tenancy
IT-System Typisierter Aufbau bei Einsatz
von Cloud-Computing
IT-System Typisierter Aufbau ohne Einsatz
von Cloud Computing
Cloud-Computing
Servicemodelle
statisch dynamisch Typischer Zustand dieses Bestandteils des IT-Systems:
Kriterien der IT-Sicherheit
Vertraulichkeit verlangt, dass kein Unbefugter auf nicht für ihn
bestimmte Informationen zugreifen kann oder Daten unberechtigt
weitergegeben werden.
Integrität heißt, dass benötigte Systeme bzw. Daten vollständig und
richtig zur Verfügung stehen und ungewollte Änderungen
ausgeschlossen werden.
Verfügbarkeit bedeutet, dass das IT-System einschließlich der
Organisation funktionsfähig bereitstehen muss, wenn es benötigt
wird.
Autorisierung setzt voraus, dass ausschließlich Berechtigte die für
ein System definierten Rechte wahrnehmen können, damit nur
genehmigte Aktionen sichergestellt werden.
Authentizität bedeutet, dass ein Geschäftsvorfall einem Verur-
sacher eindeutig zuzuordnen und die Informationsquelle deutlich ist.
Verbindlichkeit ist gegeben, wenn eine Transaktion durch deren
Veranlasser nicht abstreitbar ist, sodass gewollte Rechtsfolgen
bindend herbeigeführt werden können.
9
Ordnungsmäßigkeit
Vollständigkeit bedeutet, dass sämtliche buchungspflichtigen Transaktionen
und Geschäfte lückenlos aufgezeichnet werden müssen, dabei darf ein und
derselbe Geschäftsvorfall nicht mehrfach gebucht sein.
Richtigkeit heißt, dass diese Transaktionen inhaltlich zutreffend auf der
Grundlage von Belegen in der Buchführung und im Einklang der rechtlichen
Vorschriften abgebildet werden müssen.
Unter Zeitgerechtigkeit wird die Zuordnung des Geschäftsvorfalls zur
entsprechenden Buchungsperiode und auch die Zeitnähe der tatsächlichen
Buchung verstanden.
Der Grundsatz der Ordnung wird durch die Darstellung in zeitlicher
Reihenfolge (Journalfunktion) und in sachlicher Zuordnung (Kontenfunktion)
erfüllt.
Nachvollziehbarkeit verlangt, dass gebuchte Geschäftsvorfälle von
Entstehung bis zur ihrer Abwicklung untersucht werden können und die
Reproduzierbarkeit der Buchungen sichergestellt ist.
Unveränderlichkeit bedeutet, dass nachträgliche Änderungen von
Eintragungen oder Aufzeichnungen verhindert werden müssen. Auch im
Zeitalter von IT-Systemen gilt das Radierverbot entsprechend.
10
Buchführung ist in die Prüfung des Jahresabschlusses einzubeziehen
GoB eines
Buchführungssystems GoB i.e.S. Sicherheit
Vertraulichkeit
Integrität
Verfügbarkeit
Autorisierung
Authentizität
Verbindlichkeit
Vollständigkeit (§ 239 Abs. 2 HGB)
Richtigkeit (§ 239 Abs. 2 HGB)
Zeitgerechtigkeit (§ 239 Abs. 2 HGB)
Ordnung (§ 239 Abs. 2 HGB)
Nachvollziehbarkeit (§ 238 Abs. 1 S. 2 HGB)
Unveränderlichkeit (§ 239 Abs. 3, 257 HGB)
Belegfunktion
Journalfunktion
Kontenfunktion
Dokumentation
Aufbewahrung
11
Typische Anwendungsbeispiele
12
Public-Cloud-Services
(z.B. SaaS)
Private-Cloud-Solutions
(IaaS, PaaS)
Cage in einem RZ
Managed
Services
Typische Anwendungsbeispiele
13
Private-Cloud-Solutions
Cage
in einem RZ
Managed
Services
Cage
Strom & Netzwerk
Sicherheitseinrichtungen
Managed Services
Hardware Monitoring
Applikationen / Patch & Change
Management
Operationale Risiken
Meistens mehr als ein Dienst-
leister eingebunden
Abhängigkeit von Dienstleistern
Typische Anwendungsbeispiele
14
Public-Cloud-Services Datenaustausch und Collaborations-
Plattformen
B2C- und B2B-Lösungen
Zugang auf fremdem Rechner in fremder
Infrastruktur
Services sehr günstig, jedoch auch
minimale Haftungsregelungen bei
Datenverlust
Dienstleister können auf Daten zugreifen
Operationale Risiken
Dienstleister sind aufgrund ihrer
Bekanntheit und Beliebtheit vielen
Angriffen ausgesetzt
Kontrolleinfluss zwischen auslagernden Unternehmen und Dienstleistern beim Outsourcing
16
Anwendung/DB
Virtualisierung
RZ/Server
RZ/Speicher
Daten/Prozesse
Anwendung/DB
Virtualisierung
Daten/Prozesse
Daten/Prozesse
Anwendung/DB Daten/Prozesse
Internet/Netzwerk RZ/Server Virtualisierung Anwendung/DB Daten/Prozesse
Inhouse Hosting IaaS PaaS SaaS
RZ/Speicher
Internet/Netzwerk RZ/Speicher
Netzwerk/Internet
RZ/Server Virtualisierung
RZ/Server
RZ/Speicher
Netzwerk/Internet
Virtualisierung
RZ/Server
RZ/Speicher
Netzwerk/Internet
Anwendung/DB
Zunehmender Grad der Auslagerung
Unternehmen
kontrolliert
Dienstleister
kontrolliert
Geteilte
Kontrolle
Quelle: Cloud Computing, IT-Outsourcing und deren Prüfung
WP StB CISA Olaf Riedel und WP StB Pascal Campe
Au
sla
gern
des
Un
tern
eh
me
n
Die
nstl
eis
tun
gsu
nte
rne
hm
en
Vorgehensweise des Abschlussprüfers in Auslagerungsfällen nach IDW PS 331 n.F.
IDW PS 261 n.F.
Identifikation von Fehlerrisiken und Reaktion auf Fehlerrisiken
IDW PS 331 n.F.
Abschlussprüfung bei teilweiser Auslagerung ReLe auf Dienstleister
Verwendung einer Bericht-erstattung nach IDW PS 951 oder vergleichbare Berichte wie ISAE 3402 oder SSAE 18
Durchführung eigener Prüfungshandlungen oder Beauftragung eines Dritten
IKS
IKS
IKS
PS951
IKS
Alt.
IDW PS 331 n.F., Tz. 14 a)
IDW PS 331 n.F., Tz. 15
IDW PS 331 n.F., Tz. 14
b),c)
IDW PS 331 n.F., Tz. 14
d)
IDW PS 331 n.F., Tz. 9
a),b)
IDW PS 261 n.F., Tz. 37 „Verschaffung
eines Überblicks über das interne
Kontrollsystem“ Organisation der
Geschäftsprozesse im Unternehmen
18
Rechnungslegungsrelevante Systeme IDW PS 330, Tz. 8
WaWi /ERP Nebenbücher Hauptbuch Sonstige
Einkauf
Infor
Kreditoren-buch
Diamant
Zeiterfassung
Workforce Atos
Controlling
Diamant
Konsolidierung
EXCEL
Commerzbank
Multicash
Anlagenbuch
Diamant
Debitorenbuch
Diamant
Lohnbuch
PAISY
Hauptbuch
Diamant Lieferabrufe Gutschriften
EDI
Konstruktion (CAD)
CATIA / NX
Disposition Arbeitsvorbereitung
Infor
Reisekosten
Lexware
DMS/ECM
Docuware
automatisch
halbautomatisch
manuell
Inhouse
Outsourcing
Vertrieb
Infor
Lager-verwaltung
Infor
Produktion
Infor
19