IT – Governance

17:19 21 November in IT Audit & Advisory

Organisationsstrukturen und Prozesse, die sicherstellen, dass die unternehmensinterne Informationstechnik (IT) die Unternehmensstrategie und Unternehmensziele unterstützt definieren den Begriff der IT-Governance. Die IT-Governance beinhaltet die operativen, administrativen und strategischen Maßnahmen und Festlegungen in Bezug auf den Aufbau und die Ablauforganisation sowie Überwachung der IT. Die IT- Governance dient der Förderung und Unterstützung der Unternehmensziele durch die IT.

WPNO unterstützt seine Mandanten in den klassischen folgenden Aufgabenfeldern von IT-Governance und IT-Management.

IT - Outsourcing

Die Auslagerung von IT-Dienstleistungen ist im Interesse der Einsparung von Kosten und personellen Ressourcen eine etablierte Maßnahme. Insbesondere im Rahmen einer erstmaligen Auslagerung stellt der Prozess der Auslagerung mit den begleitenden vertraglichen Vereinbarungen und Regelungen des gemeinsamen Betriebes hohe Herausforderungen an Mandanten.

WPNO unterstützt und begleitet Sie bei der Prüfung von IT-Systemen oder IT-Funktionen, welche Sie an ein externes Dienstleistungsunternehmen auslagern möchten.

Zertifizierungen durch WPNO Wirtschaftsprüfer stellen einen entscheidenden Wettbewerbsvorteil In dem primär von IT-Dienstleistungsgesellschaften beherrschten Markt dar.

Nur Wirtschaftsprüfer können vor dem Hintergrund zunehmender regulatorischer Anforderungen auf Basis von gesetzlichen Normen und branchenüblichen Standards glaubhaft die Qualität Ihrer Dienstleistungen dokumentieren.

Wir begleiten unsere Mandanten bei der Berücksichtigung der regulatorischen und unternehmensinternen Anforderungen, bei der Auswahl des externen Dienstleisters, der Ausgestaltung der Vereinbarungen, der Migration der Daten und der Umstellung auf den Normalbetrieb. Zudem erarbeiten wir gemeinsam mit Ihnen ein Betriebsführungskonzept, welches die Verantwortlichkeiten, Zuständigkeiten, Kommunikationswege sowie notwendige Kontroll- und Reporting-Pflichten festlegt und beschreibt.

Wir unterstützen Sie bei der Bewertung des internen Kontrollsystems hinsichtlich ausgelagerter Funktionen entsprechend den Anforderungen der IDW PS 330 n.F. und IDW 951 n.F. sowie. der IDW RS FAIT 1, FAIT 2 und FAIT 3, FAIT 5 und begutachten sowohl Ihre Kontrollen, wie auch die Kontrollen des Serviceunternehmens. Eine Beurteilung erfolgt auch hinsichtlich der Einhaltung von vereinbarten Service-Leveln und der Beständigkeit der Leistungserbringung durch das Serviceunternehmen.

Die Betreiber von Rechenzentren sowie IT-Dienstleister werden von verschiedenen Wirtschaftsprüfungsgesellschaften geprüft, da sie in der Regel ihre Dienstleistungen einer Vielzahl von Kunden anbieten, welche wiederum von anderen Wirtschaftsprüfungsgesellschaften geprüft werden. Dies führt in der Konsequenz zu regelmäßigen Prüfungen des dienstleistungsbezogenen internen Kontrollsystems beim Dienstleistungsunternehmen.

Im Interesse einer Reduzierung des insgesamt zu erwartenden Prüfungsaufwandes für das Dienstleistungsunternehmen durch die Bereitstellung personeller Ressourcen und das Bereitstellen von Systemzugriffen und Unterlagen, empfiehlt sich eine separate Prüfung durch einen WPNO Wirtschaftsprüfer. Dessen standardisierter Prüfbericht nebst zusammenfassender Darstellung kann im Anschluss Kunden und deren Wirtschaftsprüfern zur Verfügung gestellt werden, so dass nur ein externer Prüfer in das Umfeld und die Charakteristiken und Funktionen der Dienstleistung und das Unternehmens eingewiesen werden muss. Auch ergänzende Informationen und Änderungen müssen nur an einen externen Prüfer kommuniziert werden, der diese bei entsprechender Relevanz weiterleitet.

Unsere Mandanten, die IT-Dienstleistungen oder rechnungslegungsrelevante Geschäftsprozesse anbieten, profitieren von unseren Prüfungen und Beratungen zum Nachweis eines funktionierenden internen Kontrollsystems nach den Prüfungsstandards IDW PS 330 n.F. und IDW PS 951 n.F. oder den international anerkannten Prüfungsstandards ISAE 3402 und ISAE SSAE 16.

Ein Prüfungsprotokoll, welches die ordnungsgemäße Leistungserbringung der ausgelagerten Funktion bewertet und die Verträge, die Verfahrensdokumentation, die Anpassung des IKS sowie die Überwachung der Service-Level-Vereinbarungen berücksichtigt, fasst das Ergebnis der Prüfung zusammen.

Der nationale Prüfstandard IDW PS 951 n.F. wurde 2013 überarbeitet und nimmt nunmehr Bezug auf den internationalen Standard ISAE 3402, beinhaltet aber auch landessspezifische Anforderungen wie die Einhaltung der Ordnungsmäßigkeit über Hinweise auf die IDW Stellungnahme „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1). Auch der IDW PS 951 n.F. differenziert zwischen den Prüfungen nach Typ 1 und Typ 2.

Der Prüfer beurteilt grundsätzlich, ob die bei dem Dienstleistungsunternehmen zur Ausgestaltung des dienstleistungsbezogenen internen Kontrollsystems zugrunde gelegten Kriterien für den vorgesehenen Anwendungszweck geeignet und in der IKS-Beschreibung sachgerecht dargestellt sind. Zudem wird geprüft, ob die in der IKS-Beschreibung dargestellten Kontrollziele den festgelegten Kriterien entsprechen.

Im Falle vom Typ 1 hat der Prüfer zu beurteilen, ob die IKS-Beschreibung die tatsächliche Ausgestaltung und Einrichtung des dienstleistungsbezogenen internen Kontrollsystems zu dem zu prüfenden Zeitpunkt sachgerecht darstellt und die dargestellten Kontrollen angemessen ausgestaltet sind. Diese Zertifizierung kann nur als Grundlage für eine zu einem späteren Zeitpunkt folgende Zertifizierung nach Typ 2 dienen.

Im Falle von Typ 2 hat der Prüfer hingegen sowohl Aussagen zur Angemessenheit des IKS zu treffen, als auch insbesondere zu dessen Wirksamkeit.

Ausschließlich eine Zertifizierung nach Typ 2 ist geeignet vor Gericht eine exkulpierende Wirkung herbeizuführen, da nur Sie eine wesentliche Basis für die Einschätzung des Fehlerrisikos sein kann.

Das Prüfungsprotokoll kann nach einer kurzen Kontrolle für weitere auslagernde Unternehmen ergänzt werden, wenn der Sachverhalt der Auslagerung für mehrere Unternehmen zur Anwendung kommt.

IT - Controlling

Der unternehmensinternen IT kommt die Aufgabe zu, das Unternehmen und dessen Management unter Berücksichtigung der Wirtschaftlichkeit und des Nutzens der bereitgestellten Systeme und Dienste bei der Erreichung der Unternehmensziele zu unterstützen.

Die Umsetzung eines angemessenen Kostenmanagements und IT-Controllings sowie die Integration der IT-Kosten und Planungen in die Unternehmensplanung und Budgetierung sind grundlegende Voraussetzungen für die Steuerung, Überwachung und darauf basierenden weitergehenden unternehmerischen Entscheidungen.

WPNO unterstützt und begleitet seine Mandanten mit Analysen zum Stand der Methoden und Prozesse für Kostenmanagement und IT-Controlling unter Berücksichtigung Ihrer individuellen Unternehmensgröße. Wir zeigen Optimierungspotentiale auf und begleiten Sie beim Aufbau eines adäquaten IT-Controllings.

IT - Due Diligence

Im Rahmen von Unternehmenskäufen sind Due Diligence-Prüfungen von existenzieller Bedeutung und machen dementsprechend einen wesentlichen Analysebestandteil aus.

Eine professionell konzipierte und durchgeführte IT Due Diligence-Prüfung verringert das Risiko von Fehlinvestitionen drastisch und führt gleichermaßen zu einer deutlichen Kostenreduzierung.

Zentrale IT-Funktionen wie die IT-System- und Anwendungsinfrastruktur, die Ausgestaltung der IT-Organisation und Prozesse, die IT-Sicherheit und die entsprechenden personellen Ressourcen und Qualifikationen beeinflussen maßgeblich die Effizienz, Wirtschaftlichkeit und Zukunftsfähigkeit eines Unternehmens. Unternehmenszukäufe erfordern regelmäßig Nachholinvestitionen für die Integration von IT-Funktion.

Zielsetzung einer IT Due Diligence ist die Aufnahme und Darstellung der Schlüsselmerkmale der aktuellen IT-Situation auf der Basis von bereitgestellten Dokumentationen und Interviews und Beobachtungen. Dabei liegt der Schwerpunkt in der Identifizierung und Einschätzung der IT-Risiken, welche die Entscheidung des Käufers beeinflussen können.

Bereits in der Phase vor dem eigentlichen Zukauf müssen die Daten, Geschäftsprozesse und Rechtsbeziehungen der Zielgesellschaft einer systematischen und detaillierten Prüfung zugeführt werden. In diesem Zusammenhang sind auch zwangsnotwendig die eingesetzten IT-Systeme und technologischen Infrastrukturen des Unternehmens im Wege einer IT-Due Diligence-Prüfung zu untersuchen.

Für den Erhalt eines umfassenden Überblicks über den strategischen Nutzen und Wert der vorhandenen Infrastruktur der Zielgesellschaft muss deren IT-Infrastruktur und Systematik erfasst, aufgenommen und beurteilt werden.

Werden Schwächen im IT-Bereich und systemimmanente Risiken identifiziert, stellt dies ein gutes Argument für entsprechende Nachlässe beim Kaufpreis dar. Sind die Schwächen in der zu übernehmenden IT-Infrastruktur jedoch zu schwer und vielfältig, dürfte sich ein Absehen von der geplanten Übernahme empfehlen.

Es ist aus der Sicht des Kaufinteressenten zu prüfen, inwiefern und mit welchen möglichen Hindernissen sich die in der Zielgesellschaft vorhandene IT-Infrastruktur und IT–Umgebung in die IT-Struktur des Übernehmers integrieren lassen.

Von besonderer Bedeutung ist, ob und in welchem Umfang bei einer Übernahme und Verbindung der IT-Strukturen beider Unternehmen Anpassungsmaßnahmen notwendig werden würden.

Ist der IT-Bereich der Zielgesellschaft erfasst und geprüft, ergibt sich eine Übersicht über potentielle Schnittstellen sowie gegebenenfalls notwendige Zusatzinvestitionen im Fall einer Übernahme.

WPNO verfügt mit seinem interdisziplinären Team aus Wirtschaftsprüfern und Rechtsanwälten über die nötige Fachexpertise sowie die methodische Kompetenz für die Konzeption und Umsetzung von IT Due Diligence-Prüfungen.

Unsere Mandanten profitieren von der klaren und zusammengefassten Darstellung unserer Ergebnisse. Die Zielsetzung und Ausgestaltung sowie die Schwerpunkte der Durchführung von IT-Due Diligence Projekten werden gemeinsam mit Ihnen im Rahmen unserer individuellen Beratung detailliert abgestimmt.

IT - Projektmanagement

IT-Umgebungen werden regelmäßig durch Projekte entwickelt, verändert oder umstrukturiert. Schlüsselfunktionen kommen in diesem Rahmen den Regelungen und Vorgaben des Managements, den Prozessen und den Projektportfolien zu. Projektintern müssen Gefahren frühzeitig antizipiert und Risiken rechtzeitig erkannt werden, um eine angemessene und zeitnahe Reaktion zu gewährleisten.

WPNO unterstützt seine Mandanten durch Prozessanalysen, in welchen wir den gegebenen Ist-Stand der Methoden und Prozesse zum Management des Projektportfolios und der Projekte erfassen, unter Berücksichtigung der Größe Ihres Unternehmens bewerten und Optimierungspotentiale aufzeigen.

Zudem begleiten wir unsere Mandanten bei dem Aufbau eines Managements für Projektportfolien und Projekte und unterstützen Sie bei der Umsetzung von Maßnahmen zur entsprechenden Optimierung.

WPNO begleitet Sie im Rahmen der Durchführung aktueller IT-Projekte. Wir unterstützen die Projektleitung und führen bei Bedarf Projekt-Reviews durch. Im Fall von unerwarteten projektbezogenen Kostenentwicklungen oder aufgetretenen Verzögerungen zeigen wir Lösungs- und Optimierungsmöglichkeiten auf.

Richtlinien, Prozesse und Verfahrensanweisungen

Im Sinne einer ordnungsgemäßen IT-Governance müssen IT-Prozesse des Unternehmens und zugehöriger Organisationen verbindlich manifestiert werden. Diese Manifestierung erfolgt regelmäßig in Form von Richtlinien, Verfahrens- und Arbeitsanweisungen und Betriebshandbüchern in gedruckten oder elektronisch vorgehaltenen Dokumenten, welche den berechtigten Adressaten kommuniziert werden.

WPNO unterstützt und begleitet seine Mandanten bei der erforderlichen Berücksichtigung von unternehmensinternen und regulatorischen Anforderungen. Wir gestalten Ihre IT-Prozesse und deren verbindliche Manifestation in Verfahrens- und Arbeitsanweisungen und zeigen Optimierungsmöglichkeiten auf.

Wir führen unsere Projekte im Zusammenhang mit IT-Prozessen und deren begleitender schriftlicher Manifestierung in gemischten Teams in enger Abstimmung und Kooperation mit unseren Mandanten durch. Dies ermöglicht die Implementierung der im Unternehmen des Mandanten vorhandenen Expertise in die ausgestalteten Regelungen.

Zudem integrieren wir im Interesse einer optimierten Akzeptanz, Umsetzung und Einhaltung der Regelungen die späteren Adressaten bereits im Erstellungsprozess und begleiten die Implementierungen der Umsetzungsmaßnahmen durch Coachings und Schulungen.

Projektbegleitende Prüfung

IT-Projekte, insbesondere komplexe Projekte gehen meist einher mit erheblichen Risiken für die Unternehmen. Sind die Projekte von größerem Umfang und sollen womöglich in die bisherige IT-Infrastruktur integriert werden, besteht die Gefahr, dass auch laufende IT-Komponenten möglicherweise in ihre Funktion gestört werden oder ausfallen. Enge Zeitrahmen und Kostenrestriktionen erhöhen die Risiken zusätzlich. Fehlen entsprechende Kenntnisse und Erfahrungen in der Umsetzung und Organisation von IT-Projekten besteht regelmäßig die Gefahr von Systemausfällen und Schäden.

Durch unsere projektbegleitende Prüfung auf Basis des Prüfungsstandards IDW PS 850 sind wir in der Lage, die gesetzlichen, regulativen und unternehmensinternen Anforderungen in die Organisation, Durchführung und Zielsetzung des Projekts einzubringen. Dies ermöglicht es uns, die Projektleitung und andere berechtigte Adressaten frühzeitig und fortlaufend über die Entwicklungen, Sachstände und identifizierten Risiken im Rahmen der Durchführung des Projekts zu informieren und zeitnah Empfehlungen für Optimierungen auszusprechen.

Sowohl in technischer, wie auch in fachspezifischer Hinsicht sind wir für Sie in allen Fragen und Herausforderungen im Rahmen von IT-Projekten als Ansprechpartner präsent.