(Un)mögliche Prüfung von Outsourcing Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, www.efk.admin.ch Mitglied des Fachstabs für Informatik der Treuhandkammer

Fakturierungs- Anwendung SVIR/ISACA-Tagung 2011 - Michel Huissoud Outsourcing = Cloud ? Anwendung Provider SaaS Massen Daten-erfassung Anwendungs Parameter Postversand Tarif Kataloge Bewegungsdaten Eingabe: Dienstleistung Fakturierungs- Anwendung Ausgabe: Rechnung Basisdaten Kunden

SVIR/ISACA-Tagung 2011 - Michel Huissoud Auslagerung der Fakturierung und des Zahlungseingangs Outsourcing = Cloud ? Geschäftsprozesse Auslagerung des Netzwerk-betriebs Auslagerung der Archivierung Anwendungen Informatik Ressourcen

« Cloud-Computing » = Outsourcing ! SVIR/ISACA-Tagung 2011 - Michel Huissoud « Cloud-Computing » = Outsourcing ! SaaS: Software as a service IaaS: Infrastructure as a Service PaaS: Plateforme as a Service HaaS ?

Outsourcing und Revision: eine lange Geschichte SVIR/ISACA-Tagung 2011 - Michel Huissoud Outsourcing und Revision: eine lange Geschichte Ordnungsmässigkeit, üblicherweise durch den Abschlussprüfer PS 402 ISAE 3402 SAS 70 SSAE 16 Wirtschaftlichkeit Unabhängigkeit Qualität Zufriedenheit Financial Audit Operational Audit Vertraulichkeit Datenschutz Verfügbarkeit Archivierung Compliance Audit

Aber mit immer wieder den zwei gleichen Problemzonen: SVIR/ISACA-Tagung 2011 - Michel Huissoud Aber mit immer wieder den zwei gleichen Problemzonen: Firma IT-Leistungserbringer Vertraulichkeit Datenschutz Verfügbarkeit Archivierung Outsourcing J/N? Compliance J/N? Wirtschaftlichkeit Unabhängigkeit Qualität Zufriedenheit

SVIR/ISACA-Tagung 2011 - Michel Huissoud Die erste Problemzone Warum überhaupt auslagern? Warum diese Leistungen? Was sind die Anforderungen? Warum dieser IT-Leistungserbringer? Warum dieser Preis? Mit den Zusatzfragen: Wer wird den IT-Leistungserbringer führen? Wie werden wir ihn führen? Wann sollten wir aussteigen? Wie können wir austeigen?

Outsourcing as a Process (before) SVIR/ISACA-Tagung 2011 - Michel Huissoud Outsourcing as a Process (before) Firma Make or buy? Offerte IT-Leistungserbringer A Pflichtenheft Anforderungen Offerte IT-Leistungserbringer B Ausschreibung Evaluation Offerte IT-Leistungserbringer C Verträge Offerte IT-Leistungserbringer D Outsourcing-manager

Ein gutes SLA ersetzt eine gute Strategie nicht… SVIR/ISACA-Tagung 2011 - Michel Huissoud Ein gutes SLA ersetzt eine gute Strategie nicht…  

Outsourcing as a Process (during) SVIR/ISACA-Tagung 2011 - Michel Huissoud Outsourcing as a Process (during) Firma IT-Leistungserbringer Zahlung Leistungs- erbringung Rechnung Kontrolle der Rechnung Ausstiegszenario pflegen LE überwachen Preis/ Leistung OK? Kompatibilität ? Konformität mit Strategie? Alternativen pflegen Risiko analyse Contract management

Wie kann BOBO den LE überwachen? SVIR/ISACA-Tagung 2011 - Michel Huissoud Wie kann BOBO den LE überwachen? Werkvertrag zwischen BOBO und Schlau AG Schlau AG erbringt die folgenden Leistungen basierend auf den in der Ausschreibung festgehaltenen Vorgaben: … (Produktion) Protokollierung und Berichterstattung über produktions- und qualitätsrelevante Daten und elektronische Übermittlung an BOBO Prüfen und analysieren der unter Garantieanspruch erhaltenen, nicht oder fehlerhaft funktionierenden „Dinge“ mit Bericht an BOBO Ersatzlieferung der unter Garantieanspruch fallenden „Dinge“

Wirtschaftlichkeit und cloud-computing SVIR/ISACA-Tagung 2011 - Michel Huissoud Wirtschaftlichkeit und cloud-computing Wie weit müssen unsere Bausteine kompatibel sein (IaaS, PaaS, SaaS), kann man mehrere Clouds kombinieren? Werden die IT-Beziehungen mit unseren Partnern (Kunden und Lieferanten) durch Cloud-computing tangiert? Wie wird die Interoperabilität sichergestellt zwischen Plateformen (PaaS) zwischen Anwendungen (SaaS)? Wollen wir eine Open Source Strategie oder nicht (IaaS)? Wann sollen wir auf Cloud-computing umsteigen (Investitionsschutz)? Wie sieht das Comeback aus?...

SVIR/ISACA-Tagung 2011 - Michel Huissoud GTAG 7, download: http://www.theiia.org/bookstore/product/global-technology-audit-guide-gtag-7-it-outsourcing-download-pdf-1454.cfm und natürlich CobiT DS 1 und DS 2 

Die zweite Problemzone SVIR/ISACA-Tagung 2011 - Michel Huissoud Die zweite Problemzone Ist der Leistungserbringer zuverlässig? Erfüllt er die Anforderungen? Funktioniert das Zusammenspiel „Firma-LE“ einwandfrei? Mit den Zusatzfragen Ist der LE zertifiziert? Was deckt genau die Zertifizierung? Steht irgend ein Audit-Bericht zur Verfügung? Was wird in diesem Bericht genau testiert? Darf ich Zusatzfrage stellen? Gratis ? Darf ich selber bei dem LE prüfen?

Exkurs: ist dieses Thema auch für die interne Revision? SVIR/ISACA-Tagung 2011 - Michel Huissoud Exkurs: ist dieses Thema auch für die interne Revision? Die externe Revision kümmert sich nur um « financial audit » Das Thema Compliance kann für die interne Revision sehr wichtig sein Das Thema Ordnungsmässigkeit kann auch unter der Wesentlichkeitsgrenze wichtig sein Die interne Revision muss keinen Minderwertigkeitskomplex entwickeln Vertraglich kann mit einem LE alles vereinbart werden. Nur der Markt spielt… Also: JA!

In der Tagungsdokumentation SVIR/ISACA-Tagung 2011 - Michel Huissoud In der Tagungsdokumentation

SVIR/ISACA-Tagung 2011 - Michel Huissoud Die 5 Empfehlungen Ein Bericht des Typs I ist durch eine geeignete Prüfung der Wirksamkeit des internen Kontrollsystems zu ergänzen, damit dieses Kontrollsystem abschliessend beurteilt werden kann. Ein Bericht des Typs II ist durch Zusatzprüfungen zu ergänzen, die den Geschäftsbereich des Kunden berücksichtigen – insbesondere im Bankensektor, aber eventuell auch, was die Anwendungskontrollen betrifft. Ein Bericht des Typs II, der nicht die ganze Rechnungsperiode abdeckt, ist durch Zusatzprüfungen zu ergänzen, damit beurteilt werden kann, ob die internen Kontrollen während der ganzen Periode wirksam waren. In Zusammenarbeit mit dem Autor des Berichts SAS 70 sind die wichtigen Schnittstellen zwischen Leistungserbringer und Kunde zu erfassen und zu prüfen Die beiden beteiligten Prüfer (der Autor des Berichts und der Prüfer, für den der Bericht bestimmt ist) müssen regelmässige und direkte Kontakte haben, unabhängig davon, was ihre jeweiligen Kunden davon halten.

SVIR/ISACA-Tagung 2011 - Michel Huissoud 2 Beispiele Sparkasse des Bundespersonals: Prüfung von HP (RTC) durch Ernst & Young Prüfung von Entris Operations AG durch KPMG Prüfungen der Sparkasse durch die EFK Bundesamt für Justiz Keine Prüfung von adminpay (ex-yellowpay admin) Prüfung über kompensierende Kontrollen

SVIR/ISACA-Tagung 2011 - Michel Huissoud

SVIR/ISACA-Tagung 2011 - Michel Huissoud Swiss Post Solutions: adminpay Bundesamt für Justiz (Online-Bestellung des Strafregisterauszuges), Revisionsaufsichtsbehörde, usw. Die Anwendung adminpay ist bis anhin weder zertifiziert noch durch eine Revisions-gesellschaft gemäss PS 402 geprüft worden…

Audit-Berichte, die Entwicklung…. SVIR/ISACA-Tagung 2011 - Michel Huissoud Audit-Berichte, die Entwicklung…. Schweizerische Treuhandkammer IFAC/IAASB (International Federation of Accountants, International Auditing and Assurance Standards Board) AICPA (American Institute of Chartered Public Accountants) PS 402 ISA 402 SAS 70 ISAE 3402 SSAE 16 ? Management-Testat über IKS (auch durch den Unter-Akordant) Im Prinzip ohne Mitwirkung der internen Revision Kein Rotationsprinzip beim testen “The guidance also may be helpful to report on controls other than those that are relevant to user entities’ internal control over financial reporting …”

Fazit: « unmögliche Prüfungen », warum? SVIR/ISACA-Tagung 2011 - Michel Huissoud Fazit: « unmögliche Prüfungen », warum? Wirtschaftlichkeit, beim Leistungserbringer: Fehlende Leistungsindikatoren Ordnungsmässigkeit und Compliance, beim Leistungserbringer Kein Bericht PS 402 Nicht risikopassender Bericht PS 402 Kein direktes Revisionsrecht bei dem Leistungserbringer …in der Praxis sind die Prüfungen aber fast immer möglich!

Danke für Ihre Aufmerksamkeit! SVIR/ISACA-Tagung 2011 - Michel Huissoud Danke für Ihre Aufmerksamkeit! Übrigens… wenn Sie - morgen oder übermorgen - Fragen oder Hinweise für unsere Prüfungen haben: verdacht@efk.admin.ch - 031 323 10 35 Die Steuerzahler werden Ihnen dankbar sein 

Risks involved in outsourcing cloud computing include: SVIR/ISACA-Tagung 2011 - Michel Huissoud Risks involved in outsourcing cloud computing include: Loss of governance Compliance Data protection Cloud provider selection