Home
Intern
zuletzt aktualisiert am 30. April 2020 | Lesedauer ca. 4 Minuten
In einer zunehmend technisierten und automatisierten Welt, in der kaum ein Geschäftsprozess ohne IT funktioniert oder Geschäftsprozesse vollständig digitalisiert sind, ist eine Jahresabschlussprüfung ohne IT-Prüfung kaum noch vorstellbar. Aber auch die Steuerungsinformationen für die Unternehmer sind ohne IT nicht mehr denkbar. Daneben wird sie heute zu einem Geschäftsrisiko, da bei Systemausfällen häufig auch die Produktion der Unternehmen nicht mehr möglich ist. Der IT-Audit fängt schon in der Risikoorientierung an, da der Wirtschaftsprüfer die Risiken erkennen muss, die aus der IT und insbesondere aus den Einstellungen in den ERP-Systemen sowie aus dem laufenden Betrieb kommen und sich auf den Jahresabschluss sowie den Lagebericht direkt auswirken. Insofern liefern die IT-Audits heute auch unmittelbare aussagebezogene Prüfungsnachweise. Daneben werden die bei den IT-Audits gewonnenen Erkenntnisse eingesetzt, um die Prüfungshandlungen gezielter und effizienter zu gestalten und um das Prüfungsurteil insgesamt zu verfestigen. Die dabei erlangten Kenntnisse über das jeweilige Unternehmen, die Prozesse und Strukturen beziehen alle Geschäftseinheiten ein und besitzen einen Tiefgang, den ein externer Dritter von dem jeweiligen Unternehmen sonst nicht erlangen kann.
So wie sich die Jahresabschlussprüfung an die Digitalisierung anpassen muss, müssen sich auch die IT-Audits anpassen. Waren bisher die IT-Sicherheit und die General IT-Controls (GITC) die Kernelemente der IT-Audits, so muss sich der Schwerpunkt der IT-Audits nun auf die Einrichtung der ERP-Systeme und die Workflow-Systeme verlagern. Dabei darf aber die IT-Sicherheit und der Notfallbetrieb (Business Continuity Management) nicht vernachlässigt werden, da sie die Grundlage für die Prozesse und die Ordnungsmäßigkeit der Anwendungen sind. Die generellen Prüfungshandlungen zur IT-Sicherheit und zu den GITC´s dienen zur Beurteilung einer angemessenen und wirksamen IT-Organisation. Im Rahmen des risikoorientierten Prüfungsansatzes sind heute die wesentlichen Geschäftsprozesse zu identifizieren und zu prüfen. Das umfasst auch die für diese Geschäftsprozesse notwendigen IT-Anwendungen. Auf dieser Basis kann dann definiert werden, welche Anwendungen geprüft werden müssen. Nur aus dem Zusammenspiel der Mitarbeiter und der Einrichtung der den Geschäftsprozess unterstützenden Anwendungen kann heute eine Beurteilung des internen Kontrollsystems bei den Unternehmen erfolgen. Neben dem Prüfen der IT-Systeme bekommt auch die Prüfung mit IT immer mehr Gewicht. Zum einen nutzt der Wirtschaftsprüfer oder der IT-Auditor die IT-Systeme der Unternehmen für die Prüfung. Zum anderen extrahiert der Wirtschaftsprüfer Daten aus den Systemen, um sie bei den Analysen zu nutzen oder mit Tools der Data-Analytics auszuwerten und damit die Effizienz der Prüfung zu erhöhen.
Die aus den IT-Audits gewonnenen Erkenntnisse sind über den eigentlichen Zweck der Abschlussprüfung hinaus auch für den Unternehmer wertvoll. Aus den IT-Audits erhält er Kenntnisse über den Stand seiner IT sowie der IT-gestützten Geschäftsprozesse (Benchmarking). Er erlangt zudem Informationen über Stärken und Schwächen seiner IT – und bei uns auch Empfehlungen, was ggf. geändert werden sollte, um einerseits die rechtlichen Anforderungen zu erfüllen und andererseits Risiken für das Unternehmen zu minimieren. Damit lassen sich aus den Ergebnissen der IT-Audits Handlungsempfehlungen für die IT ableiten. Die Unternehmen können aber auch Ergebnisse aus den von uns im Rahmen der Jahresabschlussprüfung vorgenommenen Massendatenanalyse (auffällige Transaktionen, z.B. in Bezug auf Doppelzahlungen, Verstöße gegen das IKS etc.) nutzen und Prozesse verbessern oder durch Veränderungen in den Systemeinstellungen derartige Risiken für die Zukunft vermeiden.
Die IT-Landschaft eines Unternehmens verändert sich laufend, woraus sich Risiken für die Unternehmen selbst ergeben. Auch hier können IT-Audits helfen. Das gilt jetzt umso mehr, da viele Unternehmen auf moderne ERP-Systeme umstellen, Workflow-Programme einführen oder auch Archivsysteme installieren. Bei allen IT-Veränderungen müssen die Anforderungen aus dem HGB aber auch aus den steuerlichen Vorschriften berücksichtigt werden. Daneben kann der Wirtschaftsprüfer helfen, dass kostenintensive „Fehlentwicklungen” vermieden werden. Wesentlich ist, dass eine proaktive Einbeziehung des Wirtschaftsprüfers in die IT-Planungen und Aktivitäten des Unternehmens stattfindet. Dafür kann die projektbegleitende Prüfung nach IDW PS 850 genutzt werden. Sie kann Fehler bzw. Risiken frühzeitig aufdecken (zum Zeitpunkt der Konzeption oder laufend innerhalb des Projekts) und so die Möglichkeit schaffen, den Fehlern oder Risiken entgegenzuwirken und damit Instrumente für die Projektüberwachung liefern. Hier sollte sich der Unternehmer der Kompetenz des Wirtschaftsprüfers auch über den Umfang der Abschlussprüfung hinaus bedienen.Daneben können im Rahmen von IT-Audits auch Berechtigungsanalysen (zur Prüfung der Umsetzung des IKS in den Anwendungen unter Berücksichtigung der Funktionstrennungen) und Schnittstellenprüfungen (Verlässlichkeit) vorgenommen werden, um auf Probleme rechtzeitig hinzuweisen. Der eCommerce und die Internetshops gewinnen immer mehr an Bedeutung. Aber auch die Anforderungen an die Web-Anwendungen, die sie steuern, werden nicht zuletzt aufgrund der vom BMF veröffentlichten GoBD immer höher. Damit die Unternehmen sicher sein können, dass sie später keine Überraschungen erleben oder ihr Internetshop nicht missbraucht wird, können im Rahmen von IT-Audits die Systeme auf Sicherheit und Einhaltung der rechtlichen Anforderungen geprüft werden. Dabei können auch Cybersecurity Ratings und Penetrationstests durchgeführt werden. Wobei daneben jedoch auch das organisatorische Umfeld insbesondere auf die Überwachung des Internetshop berücksichtigt werden muss. Damit erlangen die Unternehmen Sicherheit. Neue Technologien schaffen aber auch neue Möglichkeiten. In Zeiten, in denen alle Informationen über die Prozesse digital vorhanden sind, ist es möglich, die Daten für Kontrollen oder dauerhafte Überwachungen (im Idealfall als „Continuous Controls”) zu nutzen. Die Erfahrung aus unterschiedlichen Branchen und Unternehmen generiert hier den Zusatznutzen.
Dienstleister, die für andere Unternehmen Services – z.B. als Rechenzentrum oder die Administration der ERP-Systeme – anbieten, können die Prüfung des ausgelagerten internen Kontrollsystems nach IDW PS 951 oder alternativ nach ISAE 3402 beauftragen. Damit geben die Dienstleister ihren Kunden ein Instrument zur Überwachung der Dienstleistung. Das ermöglicht es auch, dass die Kunden nicht nach § 11 BDSG bei den Dienstleistungsunternehmen eigene Prüfungshandlungen vornehmen müssen. Zudem erlaubt es dem Abschlussprüfer des auslagernden Unternehmens, auf eigene Prüfungshandlungen beim Dienstleister zu verzichten. Die Unternehmen können die Berichte und Information darüber, dass sie regelmäßig geprüft werden, aber auch als Qualitätsurteil und damit für die Akquisition nutzen.Mittlerweilen liegt zudem der Prüfkatalog für Cloudsystem C5 vor, nach welchem Rechen- und Datenzentren mit Cloudservices geprüft werden können. Der Vorteil liegt in der Vermittlung eines sicheren und ordnungsmäßigen Betriebs zum Cloudkunden. Softwarehersteller können die Prüfung nach IDW PS 880 nutzen, um den Kunden zu dokumentieren, dass die von ihnen erstellte Software den gesetzlichen oder branchenüblichen Anforderungen entspricht. Das gilt sowohl für Rechnungslegungssysteme (Einhaltung der GoB) als auch für Anwendungen, die anderen definierten Anforderungen entsprechen müssen. Die Softwarebescheinigungen stellen für die Softwarehersteller ein Qualitätssicherungsinstrument, aber auch ein Instrument für die Kundengewinnung dar. Gerade im Bereich der Rechnungslegungssysteme sind sie heute häufig Voraussetzung, um überhaupt in die Angebotsphase zu kommen. Softwarebescheinigungen werden heute z.T. bereits als Bestandteil der Ausschreibungen angefordert.
Frank Reutter
Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA
Partner
Anfrage senden
Kein Themenspecial verpassen mit unserem Newsletter!
