Nachgewiesene Qualität – Zertifikate für Dienstleister: Wie können Dienstleister die Qualität der ihnen übertragenen Aufgaben nachweisen?
Für Dienstleister und deren Kunden ergibt sich aus einer erfolgreichen Zertifizierung - neben dem Qualitätssiegel - ein weiterer, nicht zu unterschätzender Vorteil: Das Zertifikat ermöglicht die Verwendung von Prüfungsergebnissen Dritter und reduziert mithin den eigenen Prüfungsaufwand. Um ihrer Eigenverantwortung und Überwachungsverpflichtung - hinsichtlich der Ordnungsmäßigkeit der Prozesse und der eingerichteten Kontrollen beim Dienstleister - für die ausgelagerten Bereiche gerecht zu werden, können die Kunden so auf eigene Prüfungshandlungen verzichten und sich stattdessen anhand einer nach anerkannten Grundsätzen erstellten Zertifizierung von der Ordnungsmäßigkeit überzeugen. Die Verwendung eines Zertifikats stellt eine erhebliche Reduzierung des Prüfungsaufwands dar.
Dieser Artikel stellt eine Auswahl von anerkannten Zertifikaten bzw. Rahmenwerken vor, die eine Grundlage für eine erfolgreiche Zertifizierung bilden können.
ITIL (Infrastructure Library)
ITIL oder auch IT Infrastructure Library hat sich weltweit mittlerweile zu einem De-facto Standard für die Implementierung und Überwachung von Steuerungsprozessen in der IT etabliert. Diese Verfahrensbibliothek, die ursprünglich von einer britischen Regierungsbehörde entwickelt wurde und aktuell in der Version 3 verfügbar ist, beschreibt die Planung und Steuerung von IT-Services. Es handelt sich hierbei um ein anerkanntes Rahmenwerk, wobei die Kundenorientierung konsequent im Vordergrund steht. Die Identifizierung der Bedürfnisse des Kunden stellt den Beginn des ITIL-Zyklus dar, die Anforderungen an die IT werden daraus abgeleitet. Den Endpunkt, und erneuten Startpunkt eines Zyklus, stellen die Überwachung und Verbesserung des Services dar. Der Nachweis eines angemessenen IT-Service-Managements kann über eine Zertifizierung nach ISO/IEC 20000 erfolgen.
COBIT
COBIT ist ebenfalls ein anerkanntes Rahmenwerk. Im Gegensatz zu ITIL steht jedoch die Ordnungsmäßigkeit und Nachvollziehbarkeit des IKS aus Revisionsgesichtspunkten im Vordergrund. Mit der aktuell vorliegenden Version 5 wurde der Rahmen für ein effektives Management der Unternehmens-IT geschaffen. COBIT 5 umfasst Methoden, Prinzipien, Best Practices und Leitfäden, die hilfreich sind, um eine optimale Wertschöpfung durch den IT-Einsatz zu erzielen. Unter Verwendung der COBIT 5-Zielkaskade ist es möglich, ausgehend von den Zielen der Anspruchsgruppen und den Unternehmenszielen passende IT-bezogene Ziele abzuleiten. Anhand der identifizierten Ziele können wiederum passende COBIT-Prozesse definiert werden. Unternehmen, die wie PROMOS nach anerkannten Standards ausgerichtet sind, schaffen durch die Orientierung an COBIT eine angemessene Grundlage für eine erfolgreiche Zertifizierung.
IDW PS 951 n.F.
2007 wurde vom Institut der Wirtschaftsprüfer e.V. (IDW) erstmals der IDW PS 951 veröffentlicht, der neben den internationalen Standards, dem ISAE 3402 und dem SAS 70, ergänzend deutsche regulatorische Anforderungen berücksichtigt. Die aktualisierte Neufassung wurde am 16.10.2013 verabschiedet. Prüfungsgegenstände nach IDW PS 951 sind zum einen die Beschreibung des dienstleistungsbezogenen IKS und zum anderen die in der IKS-Beschreibung dargestellten Kontrollen und Kontrollziele. Es werden zwei Ausprägungstypen unterschieden:
Typ 1: Es werden die tatsächliche Ausgestaltung und Einrichtung des IKS einschließlich der sachgerechten Beschreibung sowie die angemessene Ausgestaltung der Kontrollen untersucht (Aufbauprüfung). Hierbei ist kein Nachweis der Funktionsfähigkeit des IKS vorgesehen, sodass dieser Typ durch Dritte, bspw. Wirtschaftsprüfer, nur eingeschränkt verwendbar ist. In diesem Fall sind weitere Prüfungsnachweise zur Wirksamkeit des IKS einzuholen.
Typ 2: Zusätzlich zu den Prüfungshandlungen des Typs 1 wird auch die Wirksamkeit der Kontrollen über einen definierten Zeitraum geprüft (Funktionsprüfung), wodurch die Effektivität der Kontrollen direkt beurteilt werden kann.
PROMOS hat sich beispielsweise dazu entschieden, für Rechenzentrum- und Serviceprozesse einen Nachweis für die Angemessenheit und Wirksamkeit ihres IKS über eine gesonderte Prüfung nach Typ 2 jährlich zu erhalten. Mit diesem Nachweis haben Kunden im Betrieb der PROMOS die Möglichkeit, in ihren jeweiligen Abschlussprüfungen gemäß den IDW Prüfungsstandards PS 331 auf die Nutzung der Prüfungsergebnisse von externen Prüfern bei ausgelagerten Dienstleistungen zurück zu greifen.
SAS 70/SSAE 16
Während sich der Prüfungsstandard nach der IDW PS 951 im Wesentlichen für Firmen, die in Deutschland ansässig und tätig sind, etabliert hat, handelt es sich bei SSAE 16 um ein US-Standard des American Institute of Certified Public Accountants (AICPA), der weltweit genutzt wird. Er ersetzt seit 2011 den Standard SAS 70. Ähnlich wie im IDW PS 951 n.F. liefert es eine Anleitung für die einheitliche Prüfung von Dienstleistungsorganisationen durch unabhängige Auditoren mit dem Ziel einer transparenten Darstellung des IKS für die Kunden des Dienstleistungsunternehmens und unterscheidet auch hier zwei Typen: Aufbauprüfung sowie Aufbau- und Funktionsprüfung. Darüber hinaus erfolgt noch die Unterscheidung des Adressatenkreises (SOC1/2/3):
- SOC 1-Report: bezieht sich maßgeblich auf Kontrollen in der Finanzberichterstattung
- SOC 2-Report: enthält eine umfassende und detaillierte Darstellung von Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz
- SOC 3-Report: dient im Vergleich zum SOC 2-Report als zusammenfassende Darstellung (ohne sensible Informationen)
ISAE 3402
Der ISAE 3402 wurde vom International Auditing and Assurance Standards Board (IAASB) erstellt und ermöglicht ebenfalls die Zertifizierung nach den beiden o. g. Typen. Er bietet, im Gegensatz zu den beiden anderen Standards, eine anerkannte und weltweit vergleichbare Berichtsstruktur. Um diese noch deutlicher abzugrenzen: Es ist zu erwarten, dass ISAE 3402 zum bevorzugten Standard für alle nicht-US-amerikanischen Unternehmen (Dienstleistungsorganisationen als auch deren Kunden) wird, wohingegen SSAE 16 primär von Unternehmen eingesetzt wird, welche in den USA ansässig und tätig sind.
ISO/IEC 27001
IT-Risiken zu minimieren und den Schutz der Informationen aufrechtzuerhalten stellt Unternehmen heute vor großen Herausforderungen, weshalb die Einführung eines Informationssicherheit-Managementsystems (ISMS) für Unternehmen im Wesentlichen eine strategische Entscheidung darstellt. Die Norm ISO/IEC 27001 bietet einen Management-Standard, der wie ein Leitfaden definiert, wie etwas zu funktionieren hat. Ein Management-Standard gibt nicht explizit vor, wie Sachverhalte ausgeprägt sein sollten, sondern zeigt am Beispiel „Informationssicherheit“, dass Planung, Umsetzung, Überwachung, Überprüfung und kontinuierliche Verbesserung durchgeführt werden müssen. ISO/IEC 27001 ist nur ein Element aus der 2700X-Familie, mit der der Erfüllungsgrad/die Konformität des ISMS beurteilt werden kann. Die Zertifizierung nach ISO 27001 stellt somit ein Qualitätssiegel dar. Sie ist jedoch nur bedingt geeignet für eine Jahresabschlussprüfung, da im Gegensatz zu den anderen genannten Standards keine jährliche Überprüfung stattfindet.
BSI-Grundschutzkatalog
Der IT-Grundschutz ist ein Standard für Informationssicherheit, der vom Bundesamt für Sicherheit für Informationstechnik (BSI) entwickelt wurde. Neben den BSI-Standards zum Sicherheitsmanagement umfasst der IT-Grundschutz die sogenannten IT-Grundschutz-Kataloge. Diese enthalten konkrete Implementierungshilfen für den Sicherheitsprozess. Der modulare Aufbau der Kataloge ermöglicht die individuelle, unternehmensspezifische Anwendung. Hierbei können sich Unternehmen auch vom BSI in den Vorstufen (Einstiegsstufe, Aufbaustufe) prüfen lassen, um den Weg zu einer erfolgreichen Zertifizierung zu ebnen. Der BSI-Grundschutz steht in enger Verbindung zur ISO 2700X-Familie. 2005 wurden die IT-Kataloge mit dem Ziel der Abdeckung der ISO 27001-Zertifizierung angepasst. Im Gegensatz zur reinen ISO 27001-Zertifizierung deckt eine BSI-Zertifizierung Komponenten der gesamten ISO 2700X-Familie ab. Die PROMOS Co-Location besitzt beispielsweise ein IT-Sicherheitszertifikat vom BSI „ISO 27001-Zertifikat auf der Basis von IT-Grundschutz“.
Zur Person:
Volker Schulz
Chief Information Officer
PROMOS consult