Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

(Un)mögliche Prüfung von Outsourcing

Veröffentlicht von:Kajetan Bader Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "(Un)mögliche Prüfung von Outsourcing"—  Präsentation transkript:

1 (Un)mögliche Prüfung von Outsourcing
Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, Mitglied des Fachstabs für Informatik der Treuhandkammer

2 Fakturierungs- Anwendung
SVIR/ISACA-Tagung Michel Huissoud Outsourcing = Cloud ? Anwendung Provider SaaS Massen Daten-erfassung Anwendungs Parameter Postversand Tarif Kataloge Bewegungsdaten Eingabe: Dienstleistung Fakturierungs- Anwendung Ausgabe: Rechnung Basisdaten Kunden

3 SVIR/ISACA-Tagung 2011 - Michel Huissoud
Auslagerung der Fakturierung und des Zahlungseingangs Outsourcing = Cloud ? Geschäftsprozesse Auslagerung des Netzwerk-betriebs Auslagerung der Archivierung Anwendungen Informatik Ressourcen

4 « Cloud-Computing » = Outsourcing !
SVIR/ISACA-Tagung Michel Huissoud « Cloud-Computing » = Outsourcing ! SaaS: Software as a service IaaS: Infrastructure as a Service PaaS: Plateforme as a Service HaaS ?

5 Outsourcing und Revision: eine lange Geschichte
SVIR/ISACA-Tagung Michel Huissoud Outsourcing und Revision: eine lange Geschichte Ordnungsmässigkeit, üblicherweise durch den Abschlussprüfer PS 402 ISAE 3402 SAS 70 SSAE 16 Wirtschaftlichkeit Unabhängigkeit Qualität Zufriedenheit Financial Audit Operational Audit Vertraulichkeit Datenschutz Verfügbarkeit Archivierung Compliance Audit

6 Aber mit immer wieder den zwei gleichen Problemzonen:
SVIR/ISACA-Tagung Michel Huissoud Aber mit immer wieder den zwei gleichen Problemzonen: Firma IT-Leistungserbringer Vertraulichkeit Datenschutz Verfügbarkeit Archivierung Outsourcing J/N? Compliance J/N? Wirtschaftlichkeit Unabhängigkeit Qualität Zufriedenheit

7 SVIR/ISACA-Tagung 2011 - Michel Huissoud
Die erste Problemzone Warum überhaupt auslagern? Warum diese Leistungen? Was sind die Anforderungen? Warum dieser IT-Leistungserbringer? Warum dieser Preis? Mit den Zusatzfragen: Wer wird den IT-Leistungserbringer führen? Wie werden wir ihn führen? Wann sollten wir aussteigen? Wie können wir austeigen?

8 Outsourcing as a Process (before)
SVIR/ISACA-Tagung Michel Huissoud Outsourcing as a Process (before) Firma Make or buy? Offerte IT-Leistungserbringer A Pflichtenheft Anforderungen Offerte IT-Leistungserbringer B Ausschreibung Evaluation Offerte IT-Leistungserbringer C Verträge Offerte IT-Leistungserbringer D Outsourcing-manager

9 Ein gutes SLA ersetzt eine gute Strategie nicht…
SVIR/ISACA-Tagung Michel Huissoud Ein gutes SLA ersetzt eine gute Strategie nicht…

10 Outsourcing as a Process (during)
SVIR/ISACA-Tagung Michel Huissoud Outsourcing as a Process (during) Firma IT-Leistungserbringer Zahlung Leistungs- erbringung Rechnung Kontrolle der Rechnung Ausstiegszenario pflegen LE überwachen Preis/ Leistung OK? Kompatibilität ? Konformität mit Strategie? Alternativen pflegen Risiko analyse Contract management

11 Wie kann BOBO den LE überwachen?
SVIR/ISACA-Tagung Michel Huissoud Wie kann BOBO den LE überwachen? Werkvertrag zwischen BOBO und Schlau AG Schlau AG erbringt die folgenden Leistungen basierend auf den in der Ausschreibung festgehaltenen Vorgaben: … (Produktion) Protokollierung und Berichterstattung über produktions- und qualitätsrelevante Daten und elektronische Übermittlung an BOBO Prüfen und analysieren der unter Garantieanspruch erhaltenen, nicht oder fehlerhaft funktionierenden „Dinge“ mit Bericht an BOBO Ersatzlieferung der unter Garantieanspruch fallenden „Dinge“

12 Wirtschaftlichkeit und cloud-computing
SVIR/ISACA-Tagung Michel Huissoud Wirtschaftlichkeit und cloud-computing Wie weit müssen unsere Bausteine kompatibel sein (IaaS, PaaS, SaaS), kann man mehrere Clouds kombinieren? Werden die IT-Beziehungen mit unseren Partnern (Kunden und Lieferanten) durch Cloud-computing tangiert? Wie wird die Interoperabilität sichergestellt zwischen Plateformen (PaaS) zwischen Anwendungen (SaaS)? Wollen wir eine Open Source Strategie oder nicht (IaaS)? Wann sollen wir auf Cloud-computing umsteigen (Investitionsschutz)? Wie sieht das Comeback aus?...

13 SVIR/ISACA-Tagung 2011 - Michel Huissoud
GTAG 7, download: und natürlich CobiT DS 1 und DS 2 

14 Die zweite Problemzone
SVIR/ISACA-Tagung Michel Huissoud Die zweite Problemzone Ist der Leistungserbringer zuverlässig? Erfüllt er die Anforderungen? Funktioniert das Zusammenspiel „Firma-LE“ einwandfrei? Mit den Zusatzfragen Ist der LE zertifiziert? Was deckt genau die Zertifizierung? Steht irgend ein Audit-Bericht zur Verfügung? Was wird in diesem Bericht genau testiert? Darf ich Zusatzfrage stellen? Gratis ? Darf ich selber bei dem LE prüfen?

15 Exkurs: ist dieses Thema auch für die interne Revision?
SVIR/ISACA-Tagung Michel Huissoud Exkurs: ist dieses Thema auch für die interne Revision? Die externe Revision kümmert sich nur um « financial audit » Das Thema Compliance kann für die interne Revision sehr wichtig sein Das Thema Ordnungsmässigkeit kann auch unter der Wesentlichkeitsgrenze wichtig sein Die interne Revision muss keinen Minderwertigkeitskomplex entwickeln Vertraglich kann mit einem LE alles vereinbart werden. Nur der Markt spielt… Also: JA!

16 In der Tagungsdokumentation
SVIR/ISACA-Tagung Michel Huissoud In der Tagungsdokumentation

17 SVIR/ISACA-Tagung 2011 - Michel Huissoud
Die 5 Empfehlungen Ein Bericht des Typs I ist durch eine geeignete Prüfung der Wirksamkeit des internen Kontrollsystems zu ergänzen, damit dieses Kontrollsystem abschliessend beurteilt werden kann. Ein Bericht des Typs II ist durch Zusatzprüfungen zu ergänzen, die den Geschäftsbereich des Kunden berücksichtigen – insbesondere im Bankensektor, aber eventuell auch, was die Anwendungskontrollen betrifft. Ein Bericht des Typs II, der nicht die ganze Rechnungsperiode abdeckt, ist durch Zusatzprüfungen zu ergänzen, damit beurteilt werden kann, ob die internen Kontrollen während der ganzen Periode wirksam waren. In Zusammenarbeit mit dem Autor des Berichts SAS 70 sind die wichtigen Schnittstellen zwischen Leistungserbringer und Kunde zu erfassen und zu prüfen Die beiden beteiligten Prüfer (der Autor des Berichts und der Prüfer, für den der Bericht bestimmt ist) müssen regelmässige und direkte Kontakte haben, unabhängig davon, was ihre jeweiligen Kunden davon halten.

18 SVIR/ISACA-Tagung 2011 - Michel Huissoud
2 Beispiele Sparkasse des Bundespersonals: Prüfung von HP (RTC) durch Ernst & Young Prüfung von Entris Operations AG durch KPMG Prüfungen der Sparkasse durch die EFK Bundesamt für Justiz Keine Prüfung von adminpay (ex-yellowpay admin) Prüfung über kompensierende Kontrollen

19 SVIR/ISACA-Tagung 2011 - Michel Huissoud

20 SVIR/ISACA-Tagung 2011 - Michel Huissoud
Swiss Post Solutions: adminpay Bundesamt für Justiz (Online-Bestellung des Strafregisterauszuges), Revisionsaufsichtsbehörde, usw. Die Anwendung adminpay ist bis anhin weder zertifiziert noch durch eine Revisions-gesellschaft gemäss PS 402 geprüft worden…

21 Audit-Berichte, die Entwicklung….
SVIR/ISACA-Tagung Michel Huissoud Audit-Berichte, die Entwicklung…. Schweizerische Treuhandkammer IFAC/IAASB (International Federation of Accountants, International Auditing and Assurance Standards Board) AICPA (American Institute of Chartered Public Accountants) PS 402 ISA 402 SAS 70 ISAE 3402 SSAE 16 ? Management-Testat über IKS (auch durch den Unter-Akordant) Im Prinzip ohne Mitwirkung der internen Revision Kein Rotationsprinzip beim testen “The guidance also may be helpful to report on controls other than those that are relevant to user entities’ internal control over financial reporting …”

22 Fazit: « unmögliche Prüfungen », warum?
SVIR/ISACA-Tagung Michel Huissoud Fazit: « unmögliche Prüfungen », warum? Wirtschaftlichkeit, beim Leistungserbringer: Fehlende Leistungsindikatoren Ordnungsmässigkeit und Compliance, beim Leistungserbringer Kein Bericht PS 402 Nicht risikopassender Bericht PS 402 Kein direktes Revisionsrecht bei dem Leistungserbringer …in der Praxis sind die Prüfungen aber fast immer möglich!

23 Danke für Ihre Aufmerksamkeit!
SVIR/ISACA-Tagung Michel Huissoud Danke für Ihre Aufmerksamkeit! Übrigens… wenn Sie - morgen oder übermorgen - Fragen oder Hinweise für unsere Prüfungen haben: Die Steuerzahler werden Ihnen dankbar sein 

24 Risks involved in outsourcing cloud computing include:
SVIR/ISACA-Tagung Michel Huissoud Risks involved in outsourcing cloud computing include: Loss of governance Compliance Data protection Cloud provider selection

Herunterladen ppt "(Un)mögliche Prüfung von Outsourcing"

Ähnliche Präsentationen

TOBA-Premiere in Wuppertal

TOBA-Premiere in Wuppertal
Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB Die Cloud Strategie der Schweizer Behörden Willy Müller / 25. Januar 2013.

Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB Die Cloud Strategie der Schweizer Behörden Willy Müller / 25. Januar 2013.
SAPERION Schulung Thema

SAPERION Schulung Thema
Cloud-Computing Tomic Josip.

Cloud-Computing Tomic Josip.
Gefahren und Sicherheitsmaßnahmen Vortragsteil von Franzi ;-)

Gefahren und Sicherheitsmaßnahmen Vortragsteil von Franzi ;-)
Cloud Entwicklung: Web Services

Cloud Entwicklung: Web Services
Der AUDITOR Der Rohstoffinformationsdienst The commodity information service.

Der AUDITOR Der Rohstoffinformationsdienst The commodity information service.
Bewerbungs- eingang Bewerbungs- bearbeitung Stellenangebote VermittlungKommunikationZusatzleistungen.

Bewerbungs- eingang Bewerbungs- bearbeitung Stellenangebote VermittlungKommunikationZusatzleistungen.
Umsetzung des 3. Pakets Reglementprüfung für Sammelstiftungen Zusammenarbeit zwischen Pensionsversicherungsexperten und Aufsichtsbehörden Eidgenössisches.

Umsetzung des 3. Pakets Reglementprüfung für Sammelstiftungen Zusammenarbeit zwischen Pensionsversicherungsexperten und Aufsichtsbehörden Eidgenössisches.
Effizienz durch skalierbares Outsourcing von Sprachdienstleistungen.

Effizienz durch skalierbares Outsourcing von Sprachdienstleistungen.
Funktionsweise eines Funambolservers Natascha Graf Aachen, 01. Februar 2010.

Funktionsweise eines Funambolservers Natascha Graf Aachen, 01. Februar 2010.
Betriebsdienst- leistungskauffrau/mann BDL. Das Wíchtigste:  Lehrberuf:  Lehrberuf:  Betriebsdienstleistung  Berufsbezeichnung:  Betriebsdienstleistungskaufmann/frau.

Betriebsdienst- leistungskauffrau/mann BDL. Das Wíchtigste:  Lehrberuf:  Lehrberuf:  Betriebsdienstleistung  Berufsbezeichnung:  Betriebsdienstleistungskaufmann/frau.
AMS confidential & proprietary International Business and Technology Consultants 1 Sicherheitskonzepte in Oracle Von der Entwicklung in die Produktion.

AMS confidential & proprietary International Business and Technology Consultants 1 Sicherheitskonzepte in Oracle Von der Entwicklung in die Produktion.
VMware vCloud Automation Center Rüdiger Melzer Senior Systems Engineer, Alliance Management VMware

VMware vCloud Automation Center Rüdiger Melzer Senior Systems Engineer, Alliance Management VMware
Software-Delivery auf Knopfdruck IBM Cloud & DevOps.

Software-Delivery auf Knopfdruck IBM Cloud & DevOps.
25.01.2013 Vorbereitung einer Anforderungsanalyse für ein GUI im Kreditkarten- Processing-Umfeld Yanik Dreiling MatrNr. 847050.

Vorbereitung einer Anforderungsanalyse für ein GUI im Kreditkarten- Processing-Umfeld Yanik Dreiling MatrNr
© 2014 VMware Inc. All rights reserved. Automatisierung und Verrechnung in einer IoT Cloud am Beispiel von Bosch Private Cloud Costing | Cloud Business.

© 2014 VMware Inc. All rights reserved. Automatisierung und Verrechnung in einer IoT Cloud am Beispiel von Bosch Private Cloud Costing | Cloud Business.
Willkommen zur Schulung

Willkommen zur Schulung
Projekt mobile Zeiterfassung für DATEV Anwalt Pro AdvoTools GmbH …make good things even better.

Projekt mobile Zeiterfassung für DATEV Anwalt Pro AdvoTools GmbH …make good things even better.
Microsoft Azure Die Cloud-Plattform für moderne Unternehmen ModernBiz 1 Kleine und mittlere Unternehmen (KMU) wünschen sich die Möglichkeit und Flexibilität,

Microsoft Azure Die Cloud-Plattform für moderne Unternehmen ModernBiz 1 Kleine und mittlere Unternehmen (KMU) wünschen sich die Möglichkeit und Flexibilität,

Ähnliche Präsentationen

Google-Anzeigen