IT Audit

Informationssicherheit wird immer wichtiger

Die zunehmende Vernetzung und Digitalisierung zieht weitreichende Veränderungen in der Geschäftswelt nach sich. Zeitgemäße Rechnungslegung ist ohne komplexe IT-Systeme nicht mehr denkbar. Gleichzeitig steigen damit aber auch die Risiken für Unternehmen, insbesondere beim Umgang mit Daten. Vertraulichkeit, Verfügbarkeit und Integrität von Daten sind zentrale Sicherheitsanforderungen, die auch in Hinblick auf die Ordnungsmäßigkeit von IT-gestützter Rechnungslegung zu erfüllen sind. Unsere IT-Prüfer:innen sind Expert:innen im operativen IT-Betrieb und entwickeln für Sie gezielte Maßnahmen, um Risiken entgegenzuwirken und die Sicherheit und Verlässlichkeit Ihrer IT-Systeme zu überprüfen.

IT-Audit im Rahmen der Konzern- und Jahresabschlussprüfung

Bei einer IT-Systemprüfung werden die generellen IT-Kontrollen (ITGC – IT General Controls) geprüft und folgende Bereiche abgedeckt:

  • IT-Organisation, IT-Umfeld und IT-Strategie
  • IT-Betrieb
  • Zugriffsberechtigungen
  • Change Management (Programmänderungs-, Test- und Freigabeverfahren)
IT-Audit als Sonderprüfung

Für Themenbereiche, die eine tiefergehende und detailliertere Prüfung erfordern, führen wir gesonderte IT-Audits durch. Der Prüfungsumfang und die Schwerpunkte werden individuell mit Ihnen abgestimmt. Dazu gehören unter anderem:

  • Prüfung von Governance-Prozessen und Governance-Strukturen
  • Prüfung von Applikationskontrollen
  • Prüfung von Berechtigungen in IT-Systemen
  • Prüfung von Datenschnittstellen zwischen IT-Systemen
  • Prüfung von Datenmigrationen bei der Umstellung von ERP-Systemen
  • Prüfung von IT-Projekten
  • Prüfung von IT-Outsourcing

Methodik und Berichterstattung

Wir führen unsere IT-Audits in Anlehnung an national und international anerkannte Richtlinien und Standards durch, wie beispielsweise ISA 315 und ISA 330, die Fachgutachten DV1 und DV2 des Fachsenats für Datenverarbeitung der Kammer der Wirtschaftstreuhänder, ausgewählte Richtlinien des IDW sowie COBIT.

Im „IT Audit Report“ werden die Prüfbereiche, Prüfungshandlungen, Beurteilungs- und Bewertungsmethoden, Sicherheitskriterien sowie die Feststellungen transparent und nachvollziehbar dargestellt. Basierend auf den Feststellungen wird dann in Abstimmung mit der Auftraggeberin bzw. dem Auftraggeber und den Prozess- und Systemverantwortlichen ein Follow-Up Plan erstellt, in dem die Maßnahmen zur Reduktion der Risiken festgelegt und priorisiert werden. Die Umsetzung der vereinbarten Maßnahmen werden systematisch und strukturiert erfasst („issue tracking“).

Ihr Mehrwert

Unternehmen erwarten sich von einer Prüferin bzw. einem Prüfer nicht mehr nur eine professionelle Assurance-Leistung, sondern auch einen sinnvollen Beitrag zur Optimierung der Prozesse und Steigerung des Geschäftserfolges. Ein IT Audit ist ein sinnvoller Ausgangspunkt, da man aufgrund der hohen IT-Durchdringung auch einen guten Überblick über die Geschäftsprozesse des Unternehmens gewinnen kann.

Special Attestation

Prüfung und Testierung ausgelagerter Dienstleistungen

Gegenwärtig können praktisch alle Arten von IT-Services an Dienstleistungsunternehmen ausgelagert werden. Die fortschreitenden technologischen Entwicklungen, insbesondere die Möglichkeiten zur Virtualisierung von Serversystemen, sind ein wesentlicher Treiber dafür, dass Unternehmen zunehmend IT-Services auslagern. Häufig sind auch verschachtelte Auslagerungsstrukturen anzutreffen, bei denen Dienstleistungsunternehmen bestimmte IT-Services ihrerseits an Subunternehmen auslagern.

Bei der Testierung ist zwischen Typ I und Typ II zu unterscheiden. Typ I umfasst die Prüfung des dienstleistungsbezogenen internen Kontrollsystems sowie die Untersuchung der eingerichteten Kontrollen. Typ II besteht aus den gleichen Inhalten wie Typ I und umfasst zusätzlich die Tests der eingerichteten Kontrollen auf deren Wirksamkeit für einen festgelegten Zeitraum.

Die Kontrollziele und internen Kontrollen werden anhand einer risikobasierten Betrachtung, in Anlehnung an führende Standards und Frameworks wie COBIT, ITIL, ISO/IEC 20000:1, ISO/IEC 27001, etc., definiert. Methodisch orientieren wir uns insbesondere an den Standards IWP/PE-14, ISAE 3402, SSAE16/SSAE18, KFS/PG 13 und ISAE 3000.

Testierung einer Software nach IDW PS 880

Mit der zunehmenden Verbreitung von IT-Systemen, die auf „lernenden Algorithmen“ aufbauen, gewinnt der Aspekt der Nachvollziehbarkeit von Datenverarbeitungen immer mehr an Bedeutung. Bei IT-Applikationen im Rechnungswesen zählt die Nachvollziehbarkeit der Datenverarbeitungslogik zu einem Ordnungsmäßigkeitskriterium. Dies umfasst sowohl klassische „Finanzbuchhaltungssysteme“, als auch integrierte ERP-Systeme und sogenannte „Vorsysteme“ wie beispielsweise in den Bereichen Warenwirtschaft und Fakturierung, aus denen Transaktionsdaten häufig automatisiert in die Finanzbuchhaltung übernommen werden.

Sowohl für ein Unternehmen, das eine solche „rechnungslegungsrelevante“ Software für den Eigenbedarf entwickelt, als auch für Softwareentwicklungsunternehmen kann eine Software-Testierung nach IDW PS 880 einen Mehrwert und Nutzen bringen.

Für ein Unternehmen kann eine Testierung nach ISAE und anderen anerkannten Standards einen Wettbewerbsvorteil darstellen. Eine solche Testierung zählt häufig zu den Voraussetzungen für die Teilnahme insbesondere an größeren Ausschreibungen.

Gegenstand einer solchen Testierung sind im wesentlichen Softwareprodukte unabhängig von der Implementierung bei einem konkreten Unternehmen. Hierbei werden insbesondere folgende Bereiche durch die Prüfung abgedeckt:

  • Beurteilung des Softwareentwicklungsverfahrens
  • Prüfung der Angemessenheit und Funktionsfähigkeit der Programmfunktionen
  • Beurteilung der Ordnungsmäßigkeit und Sicherheit der Programmfunktionen (Vollständigkeit, Richtigkeit, Zeitgerechtheit, Nachvollziehbarkeit, Unveränderlichkeit, Zugriffsschutz)
  • Das Ergebnis der Testierung ist ein Prüfbericht über die definierte Version der Software sowie eine Softwarebescheinigung mit dem Prüfungsurteil.