Skip to content

IT-Systemprüfungen

Als Wirtschaft­sprüfer haben wir auch die Erfahrung und die Kom­pe­tenz zur Durch­führung von unter­schiedlichen IT-Sys­tem­prü­fun­gen, ins­beson­dere (aber nicht nur) im Rah­men der Jahresab­schlussprü­fung und der inter­nen Revi­sion, z.B. Prü­fung der vom Unternehmen einge­set­zten IT-Sys­teme nach IDW PS 330, Prü­fung der Ein­hal­tung von reg­u­la­torischen Vor­gaben hin­sichtlich der IT bei Finanzdienstleistern. 

Darüber hin­aus kön­nen wir natür­lich auch “die Seite wech­seln” und Unternehmen dies­bezüglich berat­en, damit sie gut durch die Prü­fung von inter­nen und exter­nen Prüfern sowie von Reg­u­la­toren kommen.

Bei kom­plex­en IT-Sys­te­men set­zen wir auch IT-Spezial­is­ten ein. Wir kooperieren hier­bei ins­beson­dere mit der Ravin GmbH.

Im Rah­men der Jahre­ab­schlussprü­fung von nicht reg­ulierten Unternehmen hat der Wirtschaft­sprüfer auch das “jahresab­schluss­be­zo­gene” IT-Sys­tem des Unternehmens zur prüfen. Dies wird nach dem IDW Prü­fungs­stan­dard 330 “Abschlussprü­fung bei Ein­satz von Infor­ma­tion­stech­nolo­gie (IDW PS 330)” des Insti­tuts der Wirtschaft­sprüfer (IDW) vorgenommen.

Den Kern­punkt der IT-Sys­tem­prü­fung bilden ins­beson­dere die IT-Anwen­dun­gen, die für die Buch­hal­tung und den Jahresab­schluss ver­wen­det wer­den, sowie die IT-bezo­ge­nen Kon­trollen. Darüber hin­aus haben wir uns im Rah­men des COSO-Ansatzes üblicher­weise auch mit der Organ­i­sa­tion und der Strate­gie der IT-Abteilung des Unternehmens, den IT-Risiken und dem Man­age­ment dieser Risiken zu befassen.

Method­isch wird dies als „Sys­tem­prü­fung“ nicht etwa im Sinne von “IT-Sys­tem” beze­ich­net, son­dern die Begrif­flichkeit ist aus dem betrieb­swirtschaftlichen Prü­fungswe­sen und dem risikoori­en­tierten Prü­fungsansatz (IDW PS 261 n.F.) abgeleit­et.

Im Prü­fungswe­sen läuft die Sys­tem­prü­fung in fol­gen­den zwei Schrit­ten ab:

  1. Soll-Soll-Ver­gle­ich: hier­bei wird geprüft, ob das Sys­tem, wie es in den Organ­i­sa­tion­shand­büch­ern und son­sti­gen schriftlichen Unter­la­gen des Unternehmens beschrieben wird („Soll“ als Unternehmensvor­gaben), zu dem passt, was entwed­er der Reg­u­la­tor vorgegeben hat („Soll“ als reg­u­la­torische Vor­gaben) oder anson­sten all­ge­mein üblich bzw. die Erwartung­shal­tung ist. Wenn hier fest­gestellt wird, dass das Unternehmen Vor­gaben gemacht hat, die die Reg­u­la­torik bzw. die all­ge­meine Erwartung­shal­tung an IT-Sys­teme nicht erfüllen, ist das Sys­tem schon nicht angemessen aus­gestal­tet. Ziel ist also die Prü­fung der Angemessen­heit. Beispiel: es gibt all­ge­meine Vor­gaben hin­sichtlich der Länge und der Kom­plex­ität von Pass­wörtern, z.B. vom BSI. Im Rah­men der Angemessen­heit­sprü­fung ist zu prüfen, ob das Unternehmen in den eige­nen inter­nen Vor­gaben diese all­ge­meinen Vor­gaben beachtet hat.
  2. Soll-Ist-Ver­gle­ich: Voraus­set­zung ist, dass vorher die Angemessen­heit (Soll-Soll-Ver­gle­ich) erfüllt ist, son­st kommt es zu diesem Soll-Ist-Ver­gle­ich gar nicht. Hier wird geprüft, ob die Unternehmensvor­gaben in der Real­ität gelebt wer­den, in der Regel in Stich­proben. Beispiel: das Unternehmen hat sich die Vor­gabe gemacht, dass Pass­wörter eine bes­timmte Länge und Struk­tur haben müssen. Im Rah­men der Wirk­samkeit­sprü­fung prüfen wir, inwiefern das von den Mitar­beit­ern umge­set­zt wird und wie / von wem / wie oft das kon­trol­liert wird.

Im Rah­men der Jahre­ab­schlussprü­fung von Banken und son­sti­gen Finanz­di­en­stleis­tern (z.B. Wert­pa­pierin­sti­tuten nach dem WPiG) hat der Wirtschaft­sprüfer die Ein­hal­tung der BAIT zu prüfen.

Bei den BAIT han­delt es sich um Vor­gaben in einem Rund­schreiben der BaFin, mit welchen die Vor­gaben der §§ 25a und 25b KWG sowie der MaRisk hin­sichtlich der Aus­gestal­tung des IT-Risiko­man­age­ments konkretisiert wer­den. Die BaFin hat hier­bei eine geset­zliche Verord­nungser­mäch­ti­gung, d.h. dieses Rund­schreiben ist nicht bloß eine “Richtlin­ie”, son­dern hat qua­si Geset­zescharak­ter. Die Nichtein­hal­tung kann entsprechend zu Ord­nungswidrigkeit oder Straftat führen.

Die BAIT hat fol­gen­des zum Inhalt:

1. IT-Strate­gie
2. IT-Gov­er­nance
3. Infor­ma­tion­srisiko­man­age­ment
4. Infor­ma­tion­ssicher­heits­man­age­ment
5. Oper­a­tive Infor­ma­tion­ssicher­heit
6. Iden­titäts- und Rechte­m­an­age­ment
7. IT-Pro­jek­te, Anwen­dungsen­twick­lung
8. IT-Betrieb
9. Aus­lagerun­gen und son­stiger Fremd­bezug von IT-Dien­stleis­tun­gen
10. IT-Not­fall­man­age­ment
11. Man­age­ment von Beziehun­gen mit Zahlungs­di­en­stleis­tern
12. Kri­tis­che Infrastrukturen

Method­isch han­delt es sich auch hier­bei um eine „Sys­tem­prü­fung“ gemäß dem risikoori­en­tierten Prü­fungsansatz, Vgl. im Detail oben unter der Über­schrifft “IT-Sys­tem­prü­fung im Rah­men der Jahresab­schlussprü­fung von nicht reg­ulierten Unternehmen nach IDW PS 330”. Im Rah­men des Soll-Soll-Ver­gle­ichs wird als “Soll” die reg­u­la­torische Vor­gabe aus den BAIT als Maßstab ver­wen­det und mit dem Soll gemäß den Organ­i­sa­tion­srichtlin­ien des Unternehmens ver­glichen. Im Rah­men des Soll-Ist-Ver­gle­ich wird die Wirk­samkeit dieser Organ­i­sa­tion­srichtlin­ien in der täglichen Prax­is des Unternehmens geprüft.

Im Rah­men der Jahre­ab­schlussprü­fung von Kap­i­talver­wal­tungs­ge­sellschaften hat der Wirtschaft­sprüfer die Ein­hal­tung der KAIT zu prüfen.

Bei den KAIT han­delt es sich um Vor­gaben in einem Rund­schreiben der BaFin, mit welchen die Vor­gaben der §§ 28, 29 und 30 KAGB, der §§ 4–6 KAVerOV, der Artikel 38 bis 66 VO (EU) Nr. 231/2013 („AIFM Lev­el 2‑VO“) sowie der KAMaRisk hin­sichtlich der Aus­gestal­tung des IT-Risiko­man­age­ments konkretisiert wer­den. Die BaFin hat hier­bei eine geset­zliche Verord­nungser­mäch­ti­gung, d.h. dieses Rund­schreiben ist nicht bloß eine “Richtlin­ie”, son­dern hat qua­si Geset­zescharak­ter. Die Nichtein­hal­tung kann entsprechend zu Ord­nungswidrigkeit oder Straftat führen.

Die KAIT hat fol­gen­des zum Inhalt:

1. IT-Strate­gie
2. IT-Gov­er­nance
3. Infor­ma­tion­srisiko­man­age­ment
4. Infor­ma­tion­ssicher­heits­man­age­ment
5. Benutzer­berech­ti­gungs­man­age­ment
6. IT-Pro­jek­te, Anwen­dungsen­twick­lung (inkl. durch End­be­nutzer in den Fach­bere­ichen)
7. IT-Betrieb (inkl. Daten­sicherung)
8. Aus­lagerun­gen und son­stiger Fremd­bezug von IT-Dienstleistungen

Method­isch han­delt es sich auch hier­bei um eine „Sys­tem­prü­fung“ gemäß dem risikoori­en­tierten Prü­fungsansatz, Vgl. im Detail oben unter der Über­schrifft “IT-Sys­tem­prü­fung im Rah­men der Jahresab­schlussprü­fung von nicht reg­ulierten Unternehmen nach IDW PS 330”. Im Rah­men des Soll-Soll-Ver­gle­ichs wird als “Soll” die reg­u­la­torische Vor­gabe aus den KAIT als Maßstab ver­wen­det und mit dem Soll gemäß den Organ­i­sa­tion­srichtlin­ien des Unternehmens ver­glichen. Im Rah­men des Soll-Ist-Ver­gle­ich wird die Wirk­samkeit dieser Organ­i­sa­tion­srichtlin­ien in der täglichen Prax­is des Unternehmens geprüft.

Im Rah­men der Jahre­ab­schlussprü­fung von Zahlungsin­sti­tuten hat der Wirtschaft­sprüfer die Ein­hal­tung der ZAIT zu prüfen.

Bei den ZAIT han­delt es sich um Vor­gaben in einem Rund­schreiben der BaFin, mit welchen die Vor­gaben der §§ 26, 27 und 53 ZAG hin­sichtlich der Aus­gestal­tung des IT-Risiko­man­age­ments konkretisiert wer­den. Die BaFin hat hier­bei eine geset­zliche Verord­nungser­mäch­ti­gung, d.h. dieses Rund­schreiben ist nicht bloß eine “Richtlin­ie”, son­dern hat qua­si Geset­zescharak­ter. Die Nichtein­hal­tung kann entsprechend zu Ord­nungswidrigkeit oder Straftat führen.

Die ZAIT hat fol­gen­des zum Inhalt:

1. IT-Strate­gie
2. IT-Gov­er­nance
3. Infor­ma­tion­srisiko­man­age­ment
4. Infor­ma­tion­ssicher­heits­man­age­ment
5. Oper­a­tive Infor­ma­tion­ssicher­heit
6. Iden­titäts- und Rechte­m­an­age­ment
7. IT-Pro­jek­te, Anwen­dungsen­twick­lung
8. IT-Betrieb
9. Aus­lagerun­gen und son­stiger Fremd­bezug von IT-Dien­stleis­tun­gen
10. IT-Not­fall­man­age­ment
11. Man­age­ment von Beziehun­gen mit Zahlungs­di­en­stleis­tern
12. Kri­tis­che Infrastrukturen
1. IT-Strate­gie
2. IT-Gov­er­nance
3. Infor­ma­tion­srisiko­man­age­ment
4. Infor­ma­tion­ssicher­heits­man­age­ment
5. Oper­a­tive Infor­ma­tion­ssicher­heit
6. Iden­titäts- und Rechte­m­an­age­ment
7. IT-Pro­jek­te, Anwen­dungsen­twick­lung
8. IT-Betrieb
9. Aus­lagerun­gen und son­stiger Fremd­bezug von IT-Dien­stleis­tun­gen
10. IT-Not­fall­man­age­ment
11. Man­age­ment von Beziehun­gen mit Zahlungs­di­en­stleis­tern
12. Kri­tis­che Infrastrukturen
1. IT-Strate­gie
2. IT-Gov­er­nance
3. Infor­ma­tion­srisiko­man­age­ment
4. Infor­ma­tion­ssicher­heits­man­age­ment
5. Oper­a­tive Infor­ma­tion­ssicher­heit
6. Iden­titäts- und Rechte­m­an­age­ment
7. IT-Pro­jek­te, Anwen­dungsen­twick­lung
8. IT-Betrieb
9. Aus­lagerun­gen und son­stiger Fremd­bezug von IT-Dien­stleis­tun­gen
10. IT-Not­fall­man­age­ment
11. Man­age­ment von Beziehun­gen mit Zahlungs­di­en­stleis­tern
12. Kri­tis­che Infrastrukturen

 

Method­isch han­delt es sich auch hier­bei um eine „Sys­tem­prü­fung“ gemäß dem risikoori­en­tierten Prü­fungsansatz, Vgl. im Detail oben unter der Über­schrifft “IT-Sys­tem­prü­fung im Rah­men der Jahresab­schlussprü­fung von nicht reg­ulierten Unternehmen nach IDW PS 330”. Im Rah­men des Soll-Soll-Ver­gle­ichs wird als “Soll” die reg­u­la­torische Vor­gabe aus den ZAIT als Maßstab ver­wen­det und mit dem Soll gemäß den Organ­i­sa­tion­srichtlin­ien des Unternehmens ver­glichen. Im Rah­men des Soll-Ist-Ver­gle­ich wird die Wirk­samkeit dieser Organ­i­sa­tion­srichtlin­ien in der täglichen Prax­is des Unternehmens geprüft.

Sie haben Inter­esse, uns im Rah­men Ihrer Jahresab­schlussprü­fung als Spezial­is­ten für die IT-Prü­fung zu beauftragen?

Oder Sie möcht­en sich von uns hin­sichtlich der Umset­zung reg­u­la­torisch­er Vor­gaben berat­en lassen?

Dann nutzen Sie bitte das Kon­tak­t­for­mu­lar unten. Alter­na­tiv kön­nen Sie uns auch direkt per E‑Mail oder Tele­fon kon­tak­tieren, hier find­en Sie unsere Kon­tak­t­dat­en.

Hin­weis zum Daten­schutz: Mit dem Absenden des For­mu­la­rs willi­gen Sie ein, dass Ihre Dat­en zur Beant­wor­tung Ihrer Anfrage erhoben und ver­ar­beit­et wer­den. Die Dat­en wer­den nach abgeschlossen­er Bear­beitung Ihrer Anfrage gelöscht. Sie kön­nen Ihre Ein­willi­gung jed­erzeit für die Zukun­ft per E‑Mail an mail@taxmain.de wider­rufen. Detail­lierte Infor­ma­tio­nen zum Umgang mit Nutzer­dat­en find­en Sie in unser­er Daten­schutzerk­lärung.