IT-Audits: Auch außerhalb der Abschlussprüfung von hohem Wert

Zertifizierungen durchziehen das Land. Immer mehr Zertifizierungsdienstleister bieten Bescheinigungen auch im Bereich der IT an. Beispiele sind ISO 9000 und ISO 27001. Wichtig ist jedoch, was man schluss­endlich mit den Ergebnissen der Zerti­fi­zierungen anfangen kann.

• Herausforderungen durch die DigitalisierungPrüfung als Chance »

• Prüfungsstandards des Instituts der Wirtschaftsprüfer wie der IDW Prüfungsstandard »

• IDW EPS 330 – Neufassung: IT-Prüfung in der Abschlussprüfung »

• IT-Prüfungen ausserhalb der Abschlussprüfung »

• IDW PS 850 – Projektbegleitende Prüfungen »

• IDW PS 951 n.F. – Prüfung des dienstleistungsbezogenen IKS »

• Fazit »

Herausforderungen durch die Digitalisierung

Wenn die Zeitabstände von spürbaren Technologie­sprüngen immer kürzer werden, die Ver­netzung ein bisher ungeahntes Ausmaß annimmt, Daten als neue Ressourcen unserer Zeit hervortreten, Bedarfe erkannt werden, noch bevor sie entstehen und nahezu jeder Markt­teil­nehmer einen Marktzugang zu allen Märkten erlangen kann, dann hat uns die Digitalisierung bereits alle erreicht. Sicherheitskonzepte treten in den Vordergrund, Datenschutz und interne Kontrollsysteme gewinnen an Bedeutung. Doch an welcher Referenz­architektur soll man sich orientieren oder messen? Welcher Zertifizierer passt zu mir und welches Zertifikat hilft mir jetzt weiter? Welche Zertifizierungs­dienstleistungen verlangt der Markt?

Prüfung als Chance

Ob nun die Prüfung von Governance-, Risk- oder Compliance-Themen ansteht oder ganze IT-System­landschaften einer Prüfung unterzogen werden sollen, eines haben alle Prüfungen gemeinsam: Grundsätze ordnungsmäßiger Prüfungen stehen im Mittelpunkt und nahezu alle Markt­teilnehmer bedienen sich hierzu mehr und mehr der bekannten Standards der Wirt­schafts­prüfung.

Prüfungsstandards des Instituts der Wirtschaftsprüfer wie der IDW Prüfungsstandard

„Abschlussprüfung bei Einsatz von Informationstechnologie” (IDW PS 330) aus dem Jahre 2002 erleben eine Renaissance und grundlegende Überarbeitung (IDW EPS 330). Andere IDW Prü­fungsstandards wie bspw. die „Projektbegleitende Prüfung bei Einsatz von Informations­technologie” (IDW PS 850) aus dem Jahre 2008 oder „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen” (IDW PS 951 n.F.) von 2013 finden immer größere Verbreitung.

IDW EPS 330 – Neufassung: IT-Prüfung in der Abschlussprüfung

Sachverständige, Unternehmens­berater oder Spezialisten für IT-Audits bedienen sich auch außerhalb der gesetzlichen Abschlussprüfung der Prüfungsmethoden etablierter Standards aus eben dieser. Dabei stehen insbesondere kleine und mittlere Unternehmen (KMU) mit ihren komplexen IT-Systemen im Mittelpunkt der IT-Prüfungen, die neben der (meist inhaber­bezo­genen) IT-Organisation und dem individuellen IT-Umfeld die typischen 3 Ebenen beinhalten:

1. Technische Systemebene (IT-Infrastruktur);
2. Applikationsebene (IT-Anwendungen);
3. IT-gestützte Geschäftsprozessebene.

Die Prüfung der IT-Systeme bei der Jahresabschluss­prüfung liefert ein unabhängiges Bild der Risikolage der IT-Landschaft, aber auch im Bereich der Compliance. Dabei erfolgt die Prüfung risikoorientiert und zeigt Probleme im Bereich Compliance, aber auch sonstige Risiken auf. So kann ein nicht korrekt eingerichtetes Rechnungs­legungssystem bei der steuerlichen Außen­prüfung oder der umsatzsteuerlichen Nachschau zu erheblichen Problemen führen. Daneben kann sich auch das Thema der Verfügbarkeit wesentlich auf die künftige Ertragslage des Unternehmens auswirken. Die IT-Prüfung kann dabei Ergebnisse liefern und aufgrund der unternehmensübergreifenden Kenntnisse der Prüfer auch effiziente Lösungsmöglichkeiten aufzeigen.

IT-Prüfungen außerhalb der Abschlussprüfung

Zur Erfüllung von gesetzlichen oder auch regulatorischen Anforderungen außerhalb der Ab­schluss­prüfung (wie bspw. die EU-Datenschutzverordnung, das Bundesdatenschutzgesetz, weitere IT-Sicherheitsgesetze oder MaRisk) müssen andere Schwerpunkte bei der IT-Prüfung gesetzt und andere Blickwinkel gewählt werden. So führt insbesondere die Digitalisierung der Prozesse beim Versand und dem Empfang von Rechnungen vor dem Hintergrund der Änderungen des UStG dazu, dass das Risiko für den Vorsteuerabzug steigt. Dem Risiko kann man durch eine Prüfung der Archivierung und des Archivierungssystems begegnen.

Typische Merkmale solcher Prüfungsaufträge sind dabei insbesondere die Abgabe eines Urteils mit hinreichender Sicherheit, ob durch das Prüfungsobjekt bestimmte Kriterien erfüllt werden. Helfen kann hier eine Prüfung unter Berücksichtigung des ISAE 3000. Dabei wird unterschieden zwischen dem „Attestation Engagement”, bei dem das Prüfungsobjekt eine schriftliche Erklärung der Unternehmensleitung zu den Systemen, Anwendungen und/oder IT-gestützten Prozessen über die Einhaltung bestimmter Kriterien ist, und dem „Direct Engagement”, bei dem das Prüfungsobjekt durch die Auftragsbeschreibung abgegrenzt und hinsichtlich der Einhaltung bestimmter Kriterien geprüft wird. Kriterien einer solchen Prüfung können neben regulatorischen Anforderungen und bekannten Frameworks (wie COSO, COBIT oder BSI) auch vom Auftraggeber selbst entwickelte Kriterien sein, sofern sie hinsichtlich Relevanz, Vollständigkeit, Verlässlichkeit, Neutralität und Verständlichkeit geeignet sind. Derzeit werden im Institut der Wirtschaftsprüfer eigene Prüfungsstandards entwickelt, die sich auf den ISAE 3000 beziehen.

IDW PS 850 – Projektbegleitende Prüfungen

Die Einführung neuer Rechnungslegungssysteme birgt immer auch große Risiken. Das fängt bei der Auswahl des Partners an und endet nicht bei der Migration auf die neuen Rechnungs­legungssysteme. Neben dem Risiko, dass IT-Projekte kostentechnisch aus dem Ruder laufen, gibt es aber noch weitere. Heute können die meisten Unternehmen ohne funktionierende ERP-Systeme nicht mehr produzieren. Das erfordert, dass die Umstellung bestens vorbereitet und sichergestellt ist, dass die Systeme im Anschluss problemlos funktionieren.

Eine projektbegleitende Prüfung kann helfen, den Überblick zu bewahren und rechtzeitig auf Risiken zu reagieren. Das fängt bei Compliance-Risiken an, hört aber bei den wirtschaftlichen Risiken nicht auf.

IDW PS 951 n.F. – Prüfung des dienstleistungsbezogenen IKS

Die Beurteilung des dienstleistungs­bezogenen internen Kontrollsystems (IKS) des Dienst­leistungs­unternehmens kann nicht nur für Abschlussprüfer des auslagernden Unternehmens von Bedeutung sein. Daher lassen immer mehr Dienstleister ihr IKS hinsichtlich der Ausführung der auf sie ausgelagerten Funktionen und Prozesse prüfen. Gegenstand einer solchen Prüfung ist dabei die IKS-Beschreibung des Dienstleisters und die dort dargestellten Kontrollen und Kontrollziele auf Basis der vom Management hierzu abgegebenen Erklärung.

Der Prüfungsstandard unterscheidet dabei 2 Typen. Bei einer Bericht­erstattung nach Typ 1 hat der Wirtschaftsprüfer zu beurteilen, ob die IKS-Beschreibung die tatsächliche Ausgestaltung und Einrichtung des dienstleistungsbezogenen IKS zu dem zu prüfenden Zeitpunkt sachgerecht darstellt und die dargestellten Kontrollen angemessen ausgestaltet sind (Aufbauprüfung). Bei einer Berichterstattung nach Typ 2 hat der Wirtschaftsprüfer zusätzliche Prüfungen zur Wirksamkeit der Kontrollen (Funktionsprüfungen) durchzuführen.

Fazit

Mithilfe von IT-Prüfungen können Unternehmen der Fülle der u.a. durch die Digitalisierung entstehenden neuen Anforderungen begegnen und die zahlreichen Herausforderungen mit professioneller Unterstützung meistern. So sind IT-Audits auch außerhalb der Abschlussprüfung von hohem Wert. Dabei nutzen wir die Vorgehensweise und die Methodik der Wirtschafts­prüfung, um effizient hohe Sicherheit in den Ergebnissen zu gewährleisten