IDW PS 860: IT-Prüfung außerhalb der Abschlussprüfung

PrintMailRate-it

In der Vergangenheit gab es von unseren Mandanten immer wieder Anfragen für IT-Prüfungen zu speziellen Themen, die aber durch keinen Prüfungsstandard abgedeckt werden konnten. Häufig wurde daher IDW PS 330 in Kombination mit dem IDW RS FAIT 1 für die Prüfung herangezogen.

 

Das IDW hat als Reaktion darauf den Prüfungsstandard IDW PS 860 veröffentlicht, der ein Vorgehensmodell für diese IT-Prüfungen enthält. Damit ermöglicht der neue Prüfungsstandard künftig alle Sonderprüfungen im IT-Umfeld, für die es keinen eigenen Prüfungsstandard gibt, nach einem fest vorgegebenen Vorgehensmodell durchzuführen. Hierdurch wird ein konkreter Rahmen vorgegeben, was zu einer besseren Nachvollziehbarkeit für Dritte führt.

 

Als Ergänzung zu diesem Prüfungsstandard werden IDW-Prüfungshinweise entwickelt, die die Anwendung der Grundsätze der Verlautbarung in Bezug auf die Prüfung einzelner IT-gestützter Prozesse und Verfahren konkretisieren. Ein Prüfungshinweis zur Prüfung der Einhaltung des Bundesdatenschutzgesetzes bzw. der EU-Datenschutzverordnung (IDW PH 9.602.1) wurde hierzu bereits veröffentlicht. Daneben sind zu folgenden Themen Prüfungshinweise geplant:

 

 

Neben den vorgenannten Prüfungshinweisen kann der Prüfungsstandard aber auch für andere Themen genutzt werden. Ein Beispiel ist die Prüfung der Revisionssicherheit von Archivsystemen.

 

Der Standard sieht 2 Versionen vor. Die Prüfung kann wahlweise auf Grundlage einer Erklärung der Geschäftsführung erfolgen (i.d.R. sind das erweiterte Verfahrensbeschreibungen), die dann Gegenstand der Prüfung ist oder einer Prüfung eines in der Auftragserteilung definierten IT-Systems. Daneben unterscheidet der Standard noch zwischen einer Prüfung der Angemessenheit des Kontrollsystems (es wird nur die Kontrollbeschreibung und die Einrichtung der Kontrollen geprüft) und einer Prüfung der Wirksamkeit des Kontrollsystems (es wird über einen Zeitraum geprüft, ob die Kontrollen wirksam durchgeführt wurden).

   

Cloud/Cyber Security

Der Anforderungskatalog des BSI (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz „C5”) richtet sich in erster Linie an Anbieter professioneller Cloud-Dienste sowie deren Prüfer und Kunden. Er enthält Anforderungen, die die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

  
Prüfung nach § 8a BSIG (Kritische Infrastrukturen „KRITIS”)

Die Betreiber von Kritischen Infrastrukturen in den Sektoren Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, IT und Kommunikation, Transport und Verkehr sowie Wasser, müssen gegenüber dem BSI nachweisen, dass sie die Anforderungen des BSI in Bezug auf die Sicherstellung der Verfügbarkeit der kritischen Dienstleistungen erfüllen.

  

Rödl & Partner verfügt über zahlreiche IT-Spezialisten, die über eine Bescheinigung der geforderten Expertise für Prüfungen nach § 8a BSIG verfügen. Darüber hinaus gibt es zahlreiche Teams, die sich auf die folgenden Sektoren spezialisiert haben und entsprechendes Spezialwissen besitzen: 
   

Im Rahmen der Prüfung soll nachgewiesen werden, dass Ihr Unternehmen alle Prüfkriterien zur Sicherstellung der kritischen Dienstleistung erfüllt. Dabei verwendet Rödl & Partner den Prüfkriterienkatalog des Instituts der Wirtschaftsprüfer, der in Zusammenarbeit mit dem BSI erstellt wurde und branchenübergreifend angewendet werden kann. Der Prüfkriterienkatalog soll Ende 2018 im Rahmen des Prüfungshinweises IDW PH 9.860.2 veröffentlicht werden.

  

Einhaltung der GoBD

Insbesondere im öffentlichen Bereich müssen Unternehmen gegenüber Zuwendungsgebern nachweisen, dass sie die Anforderungen der GoBD einhalten. Als Wirtschaftsprüfer und Steuerberater kennen wir die gesetzlichen Anforderungen. Im Rahmen der Prüfung nehmen wir den Ist-Zustand auf und prüfen ihn auf Einhaltung der gesetzlichen Anforderungen. Anhand unserer Erfahrung in vergleichbaren Projekten können wir Ihnen pragmatische Handlungsempfehlungen zur gesetzeskonformen Umsetzung aussprechen. Gern bestätigen wir Ihnen im Rahmen der Berichterstattung die Konformität mit den gesetzlichen Vorgaben.

    

Kontakt

Contact Person Picture

Armin Wilting

Wirtschaftsprüfer, Steuerberater, Leiter IT-Prüfung

Partner

+49 221 9499 091 65

Anfrage senden

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Leiter Digital GRC

Associate Partner

+49 911 9193 3508
+49 911 9193 3679

Anfrage senden

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu