Von der Kontrollinstanz zum Vertrauenspartner

Bruno Caviezel
Senior Manager, Digital Assurance in Financial Service, PwC Schweiz

Article overview

Disclose: In zwei Sätzen – was tun Sie und Ihr Team?
Bruno Caviezel: Mit unserer Prüfarbeit beurteilen wir interne Kontrollen und Abläufe und erstellen kundenspezifische Kontrollberichte nach nationalen und internationalen Standards. Dabei geben wir eine unabhängige Sicht auf Kontrollen mit oder ohne Bezug zur Finanzberichterstattung ab und schaffen damit Vertrauen für die beteiligten Parteien.  

Wie sieht das konkret aus? 
Im Finanz- und Versicherungsbereich sowie in vielen anderen Branchen lagern Unternehmen bestimmte Dienstleistungen aus, die nicht zu ihren Kernkompetenzen gehören. Dazu zählen etwa der Betrieb von Kern- oder CRM-Systemen oder ganze Services wie die Buchhaltungs. Mein Team und ich prüfen, ob dabei gesetzliche, vertragliche, regulatorische oder selbstregulierende Vorgaben eingehalten werden. Im Weiteren prüfen wir exotischere Fragestellungen, etwa die Lohngleichheit in einem Unternehmen oder die Fallpauschalenkodierung in Spitälern. Unsere Einschätzungen halten wir in einem international anerkannten Prüfbericht nach dem International Standard on Assurance Engagements – kurz ISAE – fest. Die US-amerikanischen Pendants nach dem American Institute of Certified Public Accountants AICPA nennen sich SOC-Berichte.  

Prüfung, Prüfbericht – das klingt nach einer weiteren Compliance-Pflicht. Sind Sie und Ihr Team das Auge des Gesetzes? 
Nein. Eine Prüfung nach ISAE oder SOC ist nicht gesetzlich vorgeschrieben. Aber gerade in regulierten Branchen wie der Finanz- und Versicherungswelt stellt sie ein Schlüsselkriterium der Selbstregulierung dar. Zum Beispiel ist ein solcher Nachweis für einen Outsourcing-Partner im IT-Bereich fast zwingend, wenn er Kernsysteme für Banken hosten und betreiben will. Es wäre ein deutlicher Wettbewerbsnachteil, keinen solchen Bericht vorlegen zu können.  

Wie werden Sie von Ihren Auftraggebenden wahrgenommen? 
Die meisten Betroffenen in Unternehmen, die wir erstmals besuchen, erachten uns als eine Art Kontrollinstanz. Diese Skepsis weicht fast immer der Erkenntnis, dass wir eine unabhängige und damit sehr wertvolle Meinung über die Qualität ihrer Dienstleistungserbringung abgeben. 

Inwiefern ist Ihre Sichtweise unabhängig? 
Im Dreieck von Outsourcing-Partner und dessen Kundschaft nehmen wir die Rolle eines neutralen Dritten ein. Als solcher verfolgen wir keinerlei Eigeninteressen. Wir prüfen zum Beispiel keine Sachverhalte, die wir als Beratungsunternehmen selbst initiiert oder umgesetzt haben, sondern schaffen mit unserem Nachweis für die Parteien eine von uns unabhängige Win-win-Situation. 

Inwiefern? 
Dem Dienstleistungserbringer verschafft unser Bericht Transparenz über die Qualität der erbrachten Dienstleistungen und internen Abläufe. Das hilft ihm, Schwachstellen zu erkennen, gewisse Prozesse nachzuschärfen oder neue Services von Beginn an optimal aufzusetzen. Zudem profitiert er von einem Skaleneffekt, denn er kann seine Zuverlässigkeit gegenüber einer grösseren Anzahl von Kunden mit nur einem Bericht belegen. Dem Dienstleistungsempfänger wiederum gibt unser Nachweis die Sicherheit und das Vertrauen, dass der Partner vertrauensvoll mit den zur Verfügung gestellten Systemen, Aufträgen und Daten umgeht.  

Wie wird der Prüfumfang festgelegt? 
Der ist in der Regel und je nach Auftrag flexibel wählbar. Der Umfang sollte die zu prüfende Dienstleistung gut abdecken können. Dazu müssen die Kriterien quantifizier- und messbar sein. Natürlich unterstützen wir unsere Auftraggeber bei der Definition des Prüfumfangs und entsprechender Kriterien. 

Was unterscheidet Ihren Prüfbericht von einem ISO-Zertifikat oder von einem Qualitätslabel? 
ISO-Zertifikate und Qualitätslabel sind in der Regel einfacher und schneller erhältlich als ein ISAE- oder SOC-Prüfbericht. Die ISO-Norm 27001 für Informationssicherheit beispielsweise beschreibt die Anforderungen an ein Informationssicherheits-Managementsystem. Sie ist eine vorausschauende Stichtagsbetrachtung. Unser Prüfbericht hingegen enthält eine rückblickende und umfassende Beschreibung von Kontrollumfeld und -design, von der Implementierung der Kontrollen und – je nach Typ – von deren operativen Wirksamkeit. Er enthält zum Beispiel Aussagen über Zugriffsrechte, Datensicherung, Freigaben, Dokumentation und vieles mehr. Der Hauptunterschied liegt demnach in der Prüfsicherheit, die wir mit so einem Kontrollbericht abgeben. ISO-Zertifikate oder Qualitätslabel gewähren diese Sicherheit nicht. 

Wer gibt einen Prüfbericht bei Ihnen in Auftrag und warum?
Manche Entscheidungstragende kommen auf uns zu, etwa weil sie einen Prozess neu ausgelagert haben und die Gewissheit darüber erlangen möchten, dass der Outsourcing-Partner angemessen mit ihren Daten verfährt. Meistens entsteht das Bedürfnis aus dem regulären finanziellen Audit heraus. In weiteren Fällen hat ein Anbieter eine neue Dienstleistung in der Pipeline und möchte sicherstellen, dass diese dem Qualitätsstandard der anvisierten Branche entspricht. Unsere Auftraggebenden halten unterschiedliche Führungsfunktionen inne, vom Verwaltungsrat über die Geschäftsleitung oder Rechtsabteilung bis IT oder Rechnungswesen. 

Was liegt Ihnen für Trust & Transparency Solutions besonders am Herzen? 
Mit jedem neuen Mandat beginnt eine neue Beziehung. Manchmal starten wir diese Reise in einer kühlen Atmosphäre, weil denn die Zuständigen heften uns das Stigma des Ordnungshüters anheften. Ich kann das gut verstehen, denn niemand steht gerne auf dem Prüfstand. Im Laufe der Zeit wandelt sich die Beziehung und wir werden zunehmend als Sparrings- oder Vertrauenspartner wahrgenommen. Es ist mir persönlich wichtig, dass uns dieser Vertrauensaufbau gelingt.