Als Wirtschaftsprüfer haben wir auch die Erfahrung und die Kompetenz zur Durchführung von unterschiedlichen IT-Systemprüfungen, insbesondere (aber nicht nur) im Rahmen der Jahresabschlussprüfung und der internen Revision, z.B. Prüfung der vom Unternehmen eingesetzten IT-Systeme nach IDW PS 330, Prüfung der Einhaltung von regulatorischen Vorgaben hinsichtlich der IT bei Finanzdienstleistern.
Darüber hinaus können wir natürlich auch “die Seite wechseln” und Unternehmen diesbezüglich beraten, damit sie gut durch die Prüfung von internen und externen Prüfern sowie von Regulatoren kommen.
Bei komplexen IT-Systemen setzen wir auch IT-Spezialisten ein. Wir kooperieren hierbei insbesondere mit der Ravin GmbH.
IT-Systemprüfung im Rahmen der Jahresabschlussprüfung von nicht regulierten Unternehmen nach IDW PS 330
Im Rahmen der Jahreabschlussprüfung von nicht regulierten Unternehmen hat der Wirtschaftsprüfer auch das “jahresabschlussbezogene” IT-System des Unternehmens zur prüfen. Dies wird nach dem IDW Prüfungsstandard 330 “Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)” des Instituts der Wirtschaftsprüfer (IDW) vorgenommen.
Den Kernpunkt der IT-Systemprüfung bilden insbesondere die IT-Anwendungen, die für die Buchhaltung und den Jahresabschluss verwendet werden, sowie die IT-bezogenen Kontrollen. Darüber hinaus haben wir uns im Rahmen des COSO-Ansatzes üblicherweise auch mit der Organisation und der Strategie der IT-Abteilung des Unternehmens, den IT-Risiken und dem Management dieser Risiken zu befassen.
Methodisch wird dies als „Systemprüfung“ nicht etwa im Sinne von “IT-System” bezeichnet, sondern die Begrifflichkeit ist aus dem betriebswirtschaftlichen Prüfungswesen und dem risikoorientierten Prüfungsansatz (IDW PS 261 n.F.) abgeleitet.
Im Prüfungswesen läuft die Systemprüfung in folgenden zwei Schritten ab:
- Soll-Soll-Vergleich: hierbei wird geprüft, ob das System, wie es in den Organisationshandbüchern und sonstigen schriftlichen Unterlagen des Unternehmens beschrieben wird („Soll“ als Unternehmensvorgaben), zu dem passt, was entweder der Regulator vorgegeben hat („Soll“ als regulatorische Vorgaben) oder ansonsten allgemein üblich bzw. die Erwartungshaltung ist. Wenn hier festgestellt wird, dass das Unternehmen Vorgaben gemacht hat, die die Regulatorik bzw. die allgemeine Erwartungshaltung an IT-Systeme nicht erfüllen, ist das System schon nicht angemessen ausgestaltet. Ziel ist also die Prüfung der Angemessenheit. Beispiel: es gibt allgemeine Vorgaben hinsichtlich der Länge und der Komplexität von Passwörtern, z.B. vom BSI. Im Rahmen der Angemessenheitsprüfung ist zu prüfen, ob das Unternehmen in den eigenen internen Vorgaben diese allgemeinen Vorgaben beachtet hat.
- Soll-Ist-Vergleich: Voraussetzung ist, dass vorher die Angemessenheit (Soll-Soll-Vergleich) erfüllt ist, sonst kommt es zu diesem Soll-Ist-Vergleich gar nicht. Hier wird geprüft, ob die Unternehmensvorgaben in der Realität gelebt werden, in der Regel in Stichproben. Beispiel: das Unternehmen hat sich die Vorgabe gemacht, dass Passwörter eine bestimmte Länge und Struktur haben müssen. Im Rahmen der Wirksamkeitsprüfung prüfen wir, inwiefern das von den Mitarbeitern umgesetzt wird und wie / von wem / wie oft das kontrolliert wird.
IT-Systemprüfung im Rahmen der Jahresabschlussprüfung von Banken und sonstigen Finanzdienstleistern nach BAIT
Im Rahmen der Jahreabschlussprüfung von Banken und sonstigen Finanzdienstleistern (z.B. Wertpapierinstituten nach dem WPiG) hat der Wirtschaftsprüfer die Einhaltung der BAIT zu prüfen.
Bei den BAIT handelt es sich um Vorgaben in einem Rundschreiben der BaFin, mit welchen die Vorgaben der §§ 25a und 25b KWG sowie der MaRisk hinsichtlich der Ausgestaltung des IT-Risikomanagements konkretisiert werden. Die BaFin hat hierbei eine gesetzliche Verordnungsermächtigung, d.h. dieses Rundschreiben ist nicht bloß eine “Richtlinie”, sondern hat quasi Gesetzescharakter. Die Nichteinhaltung kann entsprechend zu Ordnungswidrigkeit oder Straftat führen.
Die BAIT hat folgendes zum Inhalt:
1. IT-Strategie
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Operative Informationssicherheit
6. Identitäts- und Rechtemanagement
7. IT-Projekte, Anwendungsentwicklung
8. IT-Betrieb
9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
10. IT-Notfallmanagement
11. Management von Beziehungen mit Zahlungsdienstleistern
12. Kritische Infrastrukturen
Methodisch handelt es sich auch hierbei um eine „Systemprüfung“ gemäß dem risikoorientierten Prüfungsansatz, Vgl. im Detail oben unter der Überschrifft “IT-Systemprüfung im Rahmen der Jahresabschlussprüfung von nicht regulierten Unternehmen nach IDW PS 330”. Im Rahmen des Soll-Soll-Vergleichs wird als “Soll” die regulatorische Vorgabe aus den BAIT als Maßstab verwendet und mit dem Soll gemäß den Organisationsrichtlinien des Unternehmens verglichen. Im Rahmen des Soll-Ist-Vergleich wird die Wirksamkeit dieser Organisationsrichtlinien in der täglichen Praxis des Unternehmens geprüft.
IT-Systemprüfung im Rahmen der Jahresabschlussprüfung von Kapitalverwaltungsgesellschaften nach KAIT
Im Rahmen der Jahreabschlussprüfung von Kapitalverwaltungsgesellschaften hat der Wirtschaftsprüfer die Einhaltung der KAIT zu prüfen.
Bei den KAIT handelt es sich um Vorgaben in einem Rundschreiben der BaFin, mit welchen die Vorgaben der §§ 28, 29 und 30 KAGB, der §§ 4–6 KAVerOV, der Artikel 38 bis 66 VO (EU) Nr. 231/2013 („AIFM Level 2‑VO“) sowie der KAMaRisk hinsichtlich der Ausgestaltung des IT-Risikomanagements konkretisiert werden. Die BaFin hat hierbei eine gesetzliche Verordnungsermächtigung, d.h. dieses Rundschreiben ist nicht bloß eine “Richtlinie”, sondern hat quasi Gesetzescharakter. Die Nichteinhaltung kann entsprechend zu Ordnungswidrigkeit oder Straftat führen.
Die KAIT hat folgendes zum Inhalt:
1. IT-Strategie
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Benutzerberechtigungsmanagement
6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
7. IT-Betrieb (inkl. Datensicherung)
8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Methodisch handelt es sich auch hierbei um eine „Systemprüfung“ gemäß dem risikoorientierten Prüfungsansatz, Vgl. im Detail oben unter der Überschrifft “IT-Systemprüfung im Rahmen der Jahresabschlussprüfung von nicht regulierten Unternehmen nach IDW PS 330”. Im Rahmen des Soll-Soll-Vergleichs wird als “Soll” die regulatorische Vorgabe aus den KAIT als Maßstab verwendet und mit dem Soll gemäß den Organisationsrichtlinien des Unternehmens verglichen. Im Rahmen des Soll-Ist-Vergleich wird die Wirksamkeit dieser Organisationsrichtlinien in der täglichen Praxis des Unternehmens geprüft.
IT-Systemprüfung im Rahmen der Jahresabschlussprüfung von Zahlungsinstituten nach ZAIT
Im Rahmen der Jahreabschlussprüfung von Zahlungsinstituten hat der Wirtschaftsprüfer die Einhaltung der ZAIT zu prüfen.
Bei den ZAIT handelt es sich um Vorgaben in einem Rundschreiben der BaFin, mit welchen die Vorgaben der §§ 26, 27 und 53 ZAG hinsichtlich der Ausgestaltung des IT-Risikomanagements konkretisiert werden. Die BaFin hat hierbei eine gesetzliche Verordnungsermächtigung, d.h. dieses Rundschreiben ist nicht bloß eine “Richtlinie”, sondern hat quasi Gesetzescharakter. Die Nichteinhaltung kann entsprechend zu Ordnungswidrigkeit oder Straftat führen.
Die ZAIT hat folgendes zum Inhalt:
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Operative Informationssicherheit
6. Identitäts- und Rechtemanagement
7. IT-Projekte, Anwendungsentwicklung
8. IT-Betrieb
9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
10. IT-Notfallmanagement
11. Management von Beziehungen mit Zahlungsdienstleistern
12. Kritische Infrastrukturen
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Operative Informationssicherheit
6. Identitäts- und Rechtemanagement
7. IT-Projekte, Anwendungsentwicklung
8. IT-Betrieb
9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
10. IT-Notfallmanagement
11. Management von Beziehungen mit Zahlungsdienstleistern
12. Kritische Infrastrukturen
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Operative Informationssicherheit
6. Identitäts- und Rechtemanagement
7. IT-Projekte, Anwendungsentwicklung
8. IT-Betrieb
9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
10. IT-Notfallmanagement
11. Management von Beziehungen mit Zahlungsdienstleistern
12. Kritische Infrastrukturen
Methodisch handelt es sich auch hierbei um eine „Systemprüfung“ gemäß dem risikoorientierten Prüfungsansatz, Vgl. im Detail oben unter der Überschrifft “IT-Systemprüfung im Rahmen der Jahresabschlussprüfung von nicht regulierten Unternehmen nach IDW PS 330”. Im Rahmen des Soll-Soll-Vergleichs wird als “Soll” die regulatorische Vorgabe aus den ZAIT als Maßstab verwendet und mit dem Soll gemäß den Organisationsrichtlinien des Unternehmens verglichen. Im Rahmen des Soll-Ist-Vergleich wird die Wirksamkeit dieser Organisationsrichtlinien in der täglichen Praxis des Unternehmens geprüft.
Sie haben Interesse, uns im Rahmen Ihrer Jahresabschlussprüfung als Spezialisten für die IT-Prüfung zu beauftragen?
Oder Sie möchten sich von uns hinsichtlich der Umsetzung regulatorischer Vorgaben beraten lassen?
Dann nutzen Sie bitte das Kontaktformular unten. Alternativ können Sie uns auch direkt per E‑Mail oder Telefon kontaktieren, hier finden Sie unsere Kontaktdaten.
Hinweis zum Datenschutz: Mit dem Absenden des Formulars willigen Sie ein, dass Ihre Daten zur Beantwortung Ihrer Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht. Sie können Ihre Einwilligung jederzeit für die Zukunft per E‑Mail an mail@taxmain.de widerrufen. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.