Special Attestation Services

Prüfung und Testierung ausgelagerter Dienstleistungen

Gegenwärtig können praktisch alle Arten von IT-Services an Dienstleistungsunternehmen ausgelagert werden. Die fortschreitenden technologischen Entwicklungen, insbesondere die Möglichkeiten zur Virtualisierung von Serversystemen, sind ein wesentlicher Treiber dafür, dass Unternehmen zunehmend IT-Services auslagern. Häufig sind auch verschachtelte Auslagerungsstrukturen anzutreffen, bei denen Dienstleistungsunternehmen bestimmte IT-Services ihrerseits an Subunternehmen auslagern.

Bei der Testierung ist zwischen Typ I und Typ II zu unterscheiden. Typ I umfasst die Prüfung des dienstleistungsbezogenen internen Kontrollsystems sowie die Untersuchung der eingerichteten Kontrollen. Typ II besteht aus den gleichen Inhalten wie Typ I und umfasst zusätzlich die Tests der eingerichteten Kontrollen auf deren Wirksamkeit für einen festgelegten Zeitraum.

Die Kontrollziele und internen Kontrollen werden anhand einer risikobasierten Betrachtung, in Anlehnung an führende Standards und Frameworks wie COBIT, ITIL, ISO/IEC 20000:1, ISO/IEC 27001, etc., definiert. Methodisch orientieren wir uns insbesondere an den Standards IWP/PE-14, ISAE 3402, SSAE16/SSAE18, KFS/PG 13 und ISAE 3000.

Testierung einer Software nach IDW PS 880

Mit der zunehmenden Verbreitung von IT-Systemen, die auf „lernenden Algorithmen“ aufbauen, gewinnt der Aspekt der Nachvollziehbarkeit von Datenverarbeitungen immer mehr an Bedeutung. Bei IT-Applikationen im Rechnungswesen zählt die Nachvollziehbarkeit der Datenverarbeitungslogik zu einem Ordnungsmäßigkeitskriterium. Dies umfasst sowohl klassische „Finanzbuchhaltungssysteme“, als auch integrierte ERP-Systeme und sogenannte „Vorsysteme“ wie beispielsweise in den Bereichen Warenwirtschaft und Fakturierung, aus denen Transaktionsdaten häufig automatisiert in die Finanzbuchhaltung übernommen werden.

Sowohl für ein Unternehmen, das eine solche „rechnungslegungsrelevante“ Software für den Eigenbedarf entwickelt, als auch für Softwareentwicklungsunternehmen kann eine Software-Testierung nach IDW PS 880 einen Mehrwert und Nutzen bringen.

Für ein Unternehmen kann eine Testierung nach ISAE und anderen anerkannten Standards einen Wettbewerbsvorteil darstellen. Eine solche Testierung zählt häufig zu den Voraussetzungen für die Teilnahme insbesondere an größeren Ausschreibungen.

Gegenstand einer solchen Testierung sind im wesentlichen Softwareprodukte unabhängig von der Implementierung bei einem konkreten Unternehmen. Hierbei werden insbesondere folgende Bereiche durch die Prüfung abgedeckt:

  • Beurteilung des Softwareentwicklungsverfahrens
  • Prüfung der Angemessenheit und Funktionsfähigkeit der Programmfunktionen
  • Beurteilung der Ordnungsmäßigkeit und Sicherheit der Programmfunktionen (Vollständigkeit, Richtigkeit, Zeitgerechtheit, Nachvollziehbarkeit, Unveränderlichkeit, Zugriffsschutz)
  • Das Ergebnis der Testierung ist ein Prüfbericht über die definierte Version der Software sowie eine Softwarebescheinigung mit dem Prüfungsurteil.
Ansprechpartner Michael Dietrich

CISA (Certified Information Systems Auditor)

Treten Sie mit uns in Kontakt