Welchen Mehrwert kann ein Unternehmer aus IT-Audits erwarten?

PrintMailRate-it

Ohne IT-Audit ist heute keine moderne Jahresabschlussprüfung mehr möglich

In einer zunehmend technisierten und automatisierten Welt, in der kaum ein Geschäftsprozess ohne IT funktioniert oder Geschäftsprozesse vollständig digitalisiert sind, ist eine Jahresabschlussprüfung ohne IT-Prüfung kaum noch vorstellbar. Aber auch die Steuerungsinformationen für die Unternehmer sind ohne IT nicht mehr denkbar. Daneben wird die IT heute zu einem Geschäftsrisiko, da bei Systemausfällen häufig auch die Produktion der Unternehmen nicht mehr möglich ist. In diesem Umfeld prüft Rödl & Partner als Wirtschaftsprüfer umfassend die IT der Unternehmen.
 
Der IT-Audit fängt schon in der Risikoorientierung an, da der Wirtschaftsprüfer die Risiken erkennen muss, die aus der IT und insbesondere aus den Einstellungen in den ERP-Systemen kommen und sich auf den Jahresabschluss sowie den Lagebericht direkt  auswirken. Insofern liefern die IT-Audits heute auch unmittelbare aussagebezogenen Prüfungsnachweise. Daneben werden die bei den IT-Audits gewonnenen Erkenntnisse eingesetzt, um die Prüfungshandlungen gezielter und effizienter zu gestalten und um das Prüfungsurteil insgesamt zu verfestigen. Die dabei erlangten Kenntnisse über das jeweilige Unternehmen, die Prozesse und Strukturen beziehen alle Geschäftseinheiten ein und besitzen einen Tiefgang, den ein externer Dritter von dem jeweiligen Unternehmen sonst nicht erlangen kann.
 

Schwerpunkte der IT-Audits

So wie sich die Jahresabschlussprüfung an die Digitalisierung anpassen muss, so müssen sich auch die IT-Audits anpassen. Waren bisher die IT-Sicherheit und die General IT-Controls (GITC) die Kernelemente der IT-Audits, so muss sich der Schwerpunkt der IT-Audits nun auf die Einrichtung der ERP-Systeme und die Workflow-Systeme verlagern. Dabei darf aber die IT-Sicherheit nicht vernachlässigt werden, da sie die Grundlage für die Prozesse und die Ordnungsmäßigkeit der Anwendungen ist. Diese generellen Prüfungshandlungen zur IT-Sicherheit und zu den GITC´s dienen zur Beurteilung einer angemessenen und wirksamen IT-Organisation.
 
Im Rahmen des risikoorientierten Prüfungsansatzes sind heute die wesentlichen Geschäftsprozesse zu identifizieren und zu prüfen. Das umfasst auch die für diese Geschäftsprozesse notwendigen IT-Anwendungen. Auf dieser Basis kann dann definiert werden, welche Anwendungen geprüft werden müssen. Nur aus dem Zusammenspiel der Mitarbeiter und der Einrichtung der den Geschäftsprozess unterstützenden Anwendungen kann heute eine Beurteilung des internen Kontrollsystems bei den Unternehmen erfolgen.
 

Neben dem Prüfen der IT-Systeme bekommt auch die Prüfung mit IT immer mehr Gewicht. Zum einem nutzt der Wirtschaftsprüfer oder der IT-Auditor die IT-Systeme der Unternehmen für die Prüfung. Zum anderen extrahiert der Wirtschaftsprüfer Daten aus den Systemen, um sie im Rahmen von Analysen zu nutzen oder mit Tools der Data-Analytics auszuwerten und damit die Effizienz der Prüfung zu erhöhen.
 

Die Ergebnisse aus den IT-Audits kann auch der Unternehmer nutzen

Die aus den IT-Audits gewonnenen Erkenntnisse sind über den eigentlichen Zweck der Abschlussprüfung hinaus auch für den Unternehmer wertvoll. Aus den IT-Audits erhält er Kenntnisse über den Stand seiner IT sowie der IT-gestützten Geschäftsprozesse (Benchmarking). Er erlangt zudem Informationen über Stärken und Schwächen seiner IT – und bei uns auch Empfehlungen, was ggf. geändert werden sollte, um einerseits die rechtlichen Anforderungen zu erfüllen und andererseits Risiken für das Unternehmen zu minimieren. Damit lassen sich aus den Ergebnissen der IT-Audits Handlungsempfehlungen für die IT ableiten. Die Unternehmen können aber auch Ergebnisse aus den von uns im Rahmen der Jahresabschlussprüfung vorgenommenen Massendatenanalyse (auffällige Transaktionen z.B. in Bezug auf Doppelzahlungen, Verstöße gegen das IKS etc.) nutzen und Prozesse verbessern oder durch Veränderungen in den Systemeinstellungen derartige Risiken für die Zukunft vermeiden.
 

Weitere IT-Audits, die dem Unternehmer nutzen

Die IT-Landschaft eines Unternehmens verändert sich laufend, woraus sich Risiken für die Unternehmen selbst ergeben. Auch hier können IT-Audits helfen. Dies gilt jetzt umso mehr, da viele Unternehmen auf moderne ERP-Systeme umstellen, Workflow-programme einführen oder auch Archivsysteme installieren. Bei allen IT-Veränderungen müssen die Anforderungen aus dem HGB aber auch aus den steuerlichen Vorschriften berücksichtigt werden. Daneben kann der Wirtschaftsprüfer helfen, dass kostenintensive „Fehlentwicklungen” vermieden werden. Wesentlich ist, dass eine proaktive Einbeziehung des Wirtschaftsprüfers in die IT-Planungen und Aktivitäten des Unternehmens stattfindet.
 

Dafür kann die projektbegleitende Prüfung nach IDW PS 850 genutzt werden. Sie kann Fehler bzw. Risiken frühzeitig aufdecken (zum Zeitpunkt der Konzeption oder laufend innerhalb des Projekts) und  so die Möglichkeit schaffen, den Fehlern oder Risiken entgegenzuwirken und damit Instrumente für die Projektüberwachung liefern. Hier sollte sich der Unternehmer der Kompetenz des Wirtschaftsprüfers auch über den Umfang der Abschlussprüfung hinaus bedienen.

Daneben können im Rahmen von IT-Audits auch Berechtigungsanalysen (zur Prüfung der Umsetzung des IKS in den Anwendungen unter Berücksichtigung der Funktionstrennungen), und Schnittstellenprüfungen (Verlässlichkeit) vorgenommen werden, um auf Probleme rechtzeitig hinzuweisen.
 

Der eCommerce und die Internetshops gewinnen immer mehr an Bedeutung. Aber auch die Anforderungen an die Web-Anwendungen die sie steuern, werden nicht zuletzt aufgrund der vom BMF veröffentlichen GoBD immer höher. Damit die Unternehmen sicher sein können, dass sie später keine Überraschungen erleben oder  ihr Internetshop nicht missbraucht wird, können im Rahmen von IT-Audits die Systeme auf Sicherheit und Einhaltung der rechtlichen Anforderungen geprüft werden. Dabei können auch Penetrationstest durchgeführt werden. Wobei daneben jedoch auch das organisatorische Umfeld insbesondere auf die Überwachung des Internetshop berücksichtigt werden muss. Damit erlangen die Unternehmen Sicherheit.
 

Neue Technologien schaffen aber auch neue Möglichkeiten. In Zeiten, in denen alle Informationen über die Prozesse digital vorhanden sind, ist es möglich, diese Daten für Kontrollen oder dauerhafte Überwachungen (im Idealfall als „Continuous Controls”) zu nutzen. Die Erfahrung aus unterschiedlichen Branchen und Unternehmen generiert hier den Zusatznutzen.


IT-Audits für Unternehmen der IT-Branche

Dienstleister, die für andere Unternehmen Services – z.B. als Rechenzentrum oder die Administration der ERP-Systeme – anbieten, können die Prüfung des ausgelagerten internen Kontrollsystems nach IDW PS 951 oder alternativ nach ISAE 3402 beauftragen. Damit geben die Dienstleister ihren Kunden ein Instrument zur Überwachung der Dienstleistung. Dies ermöglicht es auch, dass die Kunden nicht nach § 11 BDSG bei den Dienstleistungsunternehmen eigene Prüfungshandlungen vornehmen müssen. Zudem erlaubt es dem Abschlussprüfer des auslagernden Unternehmens auf eigene Prüfungshandlungen beim Dienstleister zu verzichten. Die Unternehmen können die Berichte und Information darüber, dass sie regelmäßig geprüft werden, aber auch als Qualitätsurteil und damit für die Akquisition nutzen.
 

Softwarehersteller können die Prüfung nach IDW PS 880 nutzen, um den Kunden zu dokumentieren, dass die von ihnen erstellte Software den gesetzlichen oder branchenüblichen Anforderungen entspricht. Dies gilt für Rechnungslegungssysteme (Einhaltung der GoB) als auch für Anwendungen, die anderen definierten Anforderungen entsprechen müssen. Die Softwarebescheinigungen stellen für die Softwarehersteller ein Qualitätssicherungsinstrument, aber auch ein Instrument für die Kundengewinnung dar. Gerade im Bereich der Rechnungslegungssysteme sind sie heute häufig Voraussetzung, um überhaupt in die Angebotsphase zu kommen. Softwarebescheinigungen werden heute z.T. bereits als Bestandteil der Ausschreibungen angefordert.

 

zuletzt aktualisiert am 10.05.2016

 Themenspecial

Kontakt

Contact Person Picture

Armin Wilting

Wirtschaftsprüfer, Steuerberater, Leiter IT-Prüfung

Partner

+49 221 9499 091 65

Anfrage senden

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00
+49 221 9499 099 00

Anfrage senden

 Unser Wirtschaftsmagazin

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu