Finanzfunktionen werden vermehrt unternehmensintern gebündelt und an einem Standort konzentriert oder an externe Dienstleister ausgelagert. An der Verantwortlichkeit des Audit Committee eines Verwaltungsrats ändert sich dadurch nichts, aber möglicherweise erhöht sich der Komplexitätsgrad der Überwachung. Auch die Aufgaben und die Prüfziele der Externen Revision bleiben die gleichen. Hingegen hat eine Auslagerung Konsequenzen für die Art, den Umfang, den Zeitpunkt und die Organisation der Prüfungshandlungen.

Das Audit Committee überwacht die Finanzberichterstattung, die Einhaltung der Vorschriften (Compliance) sowie das Risikomanagement des Unternehmens im weitesten Sinne. Es übernimmt diese Aufgaben im Auftrag des Gesamtverwaltungsrates, ohne diesen von dessen ultimativer Verantwortung zu entlasten. An dieser Konstellation ändert sich auch dann nichts, wenn eine Auslagerung von Finanzfunktionen oder -abteilungen an einen Dritten (Outsourcing [1]) oder deren Verlagerung ins Ausland (Offshoring [2]) stattfindet.

[1] Organisatorische Auslagerung von Aktivitäten zu einem firmenexternen Partner, der die ausgelagerten Dienstleistungen gegen vertraglich festgesetzte Service Levels und zu vordefinierten Kosten erbringt. Outsourcing bedeutet ausschliesslich, dass die Services von einem nicht dem Unternehmen zugehörigen Partner erbracht werden; eine Aussage über den Standort (In-/Ausland) ist hiermit noch nicht getroffen.

[2] Bezeichnet die geographische Verschiebung der Tätigkeiten in weit entfernte, kostengünstigere Länder. Die Auslagerung ins Ausland kann in eine firmeninterne Einheit oder an einen firmenexternen Partner (Outsourcing) erfolgen.

Pflicht zur Information beim Audit Committee

Die Umsetzung von Outsourcing und Offshoring gehört in den Verantwortungsbereich der Geschäftsleitung. Dem Audit Committee obliegt es, zu verstehen, wie die Geschäftsleitung sichergestellt hat, dass mit einer solchen Strategie keine schwerwiegenden Probleme für das Unternehmen entstehen.

Eine Drittfirma, die ausgelagerte Finanzfunktionen übernimmt, wird zum externen Dienstleister mit der Verantwortung für den übertragenen Bereich. Doch die Auftragserteilung führt zu keiner ultimativen Verantwortungsübertragung vom auslagernden Unternehmen an den Dienstleister. Wenn beispielsweise ein Schweizer Unternehmen all seine Finanzdienstleistungen an eine externe Firma in Indien auslagert, ändert das nichts an der Tatsache, dass der Verwaltungsrat des schweizerischen Unternehmens nach wie vor die volle Verantwortung für die Rechnungslegung trägt. Das Gleiche gilt auch, wenn das Schweizer Unternehmen all seine Mitarbeiter in einem firmeneigenen Service Center an einem indischen Standort zentralisiert.

Wird ein Outsourcing oder Offshoring ins Auge gefasst, geplant und ausgeführt, dann ist es die Pflicht des Audit Committee, sich zu informieren. Das Audit Committee befragt dazu den CFO. Unter Umständen ist es notwendig, nicht nur den CFO allein, sondern einen Vertreter des Service Center und den CFO gemeinsam zur Frage anzuhören, welche Folgen für die Rechnungslegung, die Compliance und das Risikomanagement entstehen. Je einschneidender die möglichen Auswirkungen und die damit verbundenen Risiken sind, desto intensiver und öfter muss sich der Prüfungsausschuss mit der Auslagerung befassen. Es empfiehlt sich, dem Thema besonders in der Einführungsphase ausreichend Zeit zu widmen.

Modifikationen des Internen Kontrollsystems

Outsourcing oder Offshoring führen in aller Regel zu einer Anpassung von Abläufen und Prozessen und somit auch des Internen Kontrollsystems (IKS). Da selten alle Aktivitäten einer Abteilung ausgelagert werden, ist zu prüfen, ob jener Teil, der in der Gesellschaft verbleibt, auf die gleiche Weise weiterfunktioniert wie bisher. Zu fragen ist insbesondere, welche Prozesse sich wie verändert haben und ob die früheren Kontrollaktivitäten auch in der geänderten Organisationsstruktur noch zweckmässig sind. Ein besonderes Augenmerk ist auf die Schnittstellen zwischen den Prozessen des Unternehmens und jenen des Dienstleisters zu legen.

Während sich bei einem Offshoring innerhalb eines Unternehmens die Prozesse auf einfache Weise überprüfen lassen, ist dies bei einer Auslagerung an einen externen Dienstleister schwieriger. Ob das auslagernde Unternehmen direkt eine Qualitätsüberwachung bei der Drittfirma ausüben kann, hängt davon ab, was dazu im Outsourcingvertrag vereinbart wurde. Die auslagernde Gesellschaft kann die Prozesse der beauftragten Drittfirma nur dann prüfen, wenn sie sich das Auditrecht im Rahmen des Service Level Agreement im Voraus herausgenommen hat oder wenn die beauftragte Drittfirma ein Auditrecht von sich aus einräumt. Nur dann hat das Unternehmen die Möglichkeit, entweder Prüfungshandlungen selbst durchzuführen (zum Beispiel durch den Einsatz der eigenen Internen Revision) oder einen unabhängigen Prüfer zu beauftragen.

In der Regel wird der Dienstleister aber selbst sicherstellen, dass er eine Zertifizierung erhält. Nach dem International Auditing and Assurance Standards Board (IAASB) und seinem International Standard on Assurance Engagements (ISAE) 3402 «Assurance Reports on Controls at a Service Organization» gibt es zwei Arten von Bestätigungen über Prüfungen, die bei einem Dienstleistungsunternehmen vorgenommen werden. Beim Typ 1 enthält der Bericht des Prüfers das Prüfungsurteil über das System des Dienstleisters, die Kontrollziele und die damit verbundenen Kontrollen sowie über die Eignung der Kontrollausgestaltung für das Erreichen der festgelegten Kontrollziele. Beim Typ 2 enthält der Bericht im Prüfungsurteil zusätzlich noch eine Aussage zur Wirksamkeit der Kontrollen des Dienstleisters.

Im Zuge einer Auslagerung erweitert sich der Aufgaben- und Zuständigkeitsbereich des Internen Kontrollsystems (IKS), und die Kontrollen werden deutlich komplexer. Nicht nur die internen Prozesse und deren Kontrollen sind systematisch zu beobachten und zu überprüfen, sondern auch jene Prozesse, welche in den Schnittstellen zum Dienstleister enden. Zusätzlich ist die Qualität des Dienstleisters selbst zu überwachen.

Begrenzte Möglichkeiten der Internen Revision

Die Interne Revision ist ein wirkungsvolles Instrument des Verwaltungsrates, um bestimmte Sachverhalte einer vertieften Prüfung zu unterziehen. Solange Finanzfunktionen und andere Dienstleistungen innerhalb des Unternehmens verlagert wurden, sind die Prüfungsrechte der Internen Revision unbestritten. Ob die Interne Revision auch beauftragt werden kann, einen externen Dienstleister zu prüfen, hängt – wie bereits erwähnt – vom vereinbarten Regelwerk zwischen der auslagernden Gesellschaft und der Drittfirma ab.

In beiden Fällen wird es jedoch entscheidend sein, dass die Interne Revision über ausreichende Kapazitäten verfügt und auch das fachspezifische Wissen besitzt, um ein spezialisiertes Gebilde prüfen und beurteilen zu können. Sowohl interne Dienstleistungszentren als auch beauftragte externe Spezialisten arbeiten meistens standardisierter, als es die entsprechenden Abteilungen der auslagernden Unternehmen zuvor taten. Ähnlich wie bei der Externen Revision stellt sich auch bei der Internen Revision die Frage, wie die Prüfung vorzunehmen ist.

Prüfungshandlungen der Externen Revision

Für die Externe Revision spielt es ebenfalls eine wesentliche Rolle, ob Dienstleistungen unternehmensintern an einem Standort zentralisiert werden oder ob es sich um ein Outsourcing handelt. Wenn im Rahmen einer Zentralisierung konzerninterner Dienstleistungen alle Mitarbeiter nach Polen versetzt werden, dann ist es sehr wahrscheinlich, dass auch der Prüfer einen grossen Teil seiner Arbeit nach Polen verlagern muss. Dort wird er Belege einsehen, Diskussionen führen und die zugrunde liegenden Prozesse und Kontrollen prüfen mit dem Ziel, sich ein fundiertes Urteil zu bilden. Bei einem Offshoring ist es wichtig, dass der externe Prüfer versteht, inwiefern die Prozesse und Kontrollen am neuen Ort standardisiert und harmonisiert worden sind oder ob sie gemäss ihrem ursprünglichen Verlauf abgewickelt werden. Je standardisierter und harmonisierter die Prozesse, desto effektiver und effizienter kann der externe Revisor seine Prüfung organisieren und durchführen.

Hinzu kommt die Abgrenzung der Konzernprüfung von der statutarischen Prüfung. Die Erstellung einer Jahresrechnung untersteht dem jeweiligen Länderrecht; die Konzernrechnung untersteht im Normalfall einem international anerkannten Regelwerk wie den International Financial Reporting Standards (IFRS) oder den US Generally Accepted Accounting Principles (US GAAP). Wenn die Jahresrechnungen aller Konzerngesellschaften zentralisiert an einem Ort erstellt werden, so werden diese am effektivsten und effizientesten auch an diesem einen Ort und durch ein zentrales Team geprüft. Das zentrale Prüfungsteam wird wiederum Teil desjenigen Prüfungsteams sein, das die Verantwortung für die jeweilige Ländergesellschaft trägt, das heisst, das zentrale Prüfungsteam dokumentiert seine Prüfungen und gibt dem Prüfungsteam der Ländergesellschaft das Recht, auf die Prüfungsergebnisse zuzugreifen, um eigene Schlüsse für das Prüfungsurteil zu ziehen.

Die grössten Herausforderungen für die Externe Revision entstehen in der Regel bei einem Outsourcing. Falls die Auslagerung an eine Drittfirma grosse Veränderungen mit sich bringt, muss sich der Prüfer nicht nur die Fragen stellen, was sich verändert hat und wie die neuen Verhältnisse funktionieren, sondern auch, wer die relevanten Informationen besitzt und wie man etwas prüfen kann. Es braucht in der Regel eine längere Einspielzeit, bis ein stabiler Status erreicht ist und die Prüfungen ihren normalen Verlauf nehmen.

Je einschneidender die Auswirkungen einer Auslagerung von Finanzfunktionen und anderen Dienstleistungen für ein Unternehmen sind, desto grösser sind auch die Auswirkungen auf die Prüfungshandlungen des externen Prüfers. Umso wichtiger sind deshalb für den externen Revisor die bereits erwähnten Prüfberichte nach IASE 3402. Sie sind eine wichtige Informationsquelle, mit der er beurteilen kann, ob er sich bei seiner Arbeit auf die Kontrollen des Dienstleisters abstützen kann oder nicht.