IT – Governance

17:19 21 November in IT Audit & Advisory

Organisationsstrukturen und Prozesse, die sicherstellen, dass die unternehmensinterne Informationstechnik (IT) die Unternehmensstrategie und Unternehmensziele unterst├╝tzt definieren den Begriff der IT-Governance. Die IT-Governance beinhaltet die operativen, administrativen und strategischen Ma├čnahmen und Festlegungen in Bezug auf den Aufbau und die Ablauforganisation sowie ├ťberwachung der IT. Die IT- Governance dient der F├Ârderung und Unterst├╝tzung der Unternehmensziele durch die IT.

WPNO unterst├╝tzt seine Mandanten in den klassischen folgenden Aufgabenfeldern von IT-Governance und IT-Management.

IT - Outsourcing

Die Auslagerung von IT-Dienstleistungen ist im Interesse der Einsparung von Kosten und personellen Ressourcen eine etablierte Ma├čnahme. Insbesondere im Rahmen einer erstmaligen Auslagerung stellt der Prozess der Auslagerung mit den begleitenden vertraglichen Vereinbarungen und Regelungen des gemeinsamen Betriebes hohe Herausforderungen an Mandanten.

WPNO unterst├╝tzt und begleitet Sie bei der Pr├╝fung von IT-Systemen oder IT-Funktionen, welche Sie an ein externes Dienstleistungsunternehmen auslagern m├Âchten.

Zertifizierungen durch WPNO Wirtschaftspr├╝fer stellen einen entscheidenden Wettbewerbsvorteil In dem prim├Ąr von IT-Dienstleistungsgesellschaften beherrschten Markt dar.

Nur Wirtschaftspr├╝fer k├Ânnen vor dem Hintergrund zunehmender regulatorischer Anforderungen auf Basis von gesetzlichen Normen und branchen├╝blichen Standards glaubhaft die Qualit├Ąt Ihrer Dienstleistungen dokumentieren.

Wir begleiten unsere Mandanten bei der Ber├╝cksichtigung der regulatorischen und unternehmensinternen Anforderungen, bei der Auswahl des externen Dienstleisters, der Ausgestaltung der Vereinbarungen, der Migration der Daten und der Umstellung auf den Normalbetrieb. Zudem erarbeiten wir gemeinsam mit Ihnen ein Betriebsf├╝hrungskonzept, welches die Verantwortlichkeiten, Zust├Ąndigkeiten, Kommunikationswege sowie notwendige Kontroll- und Reporting-Pflichten festlegt und beschreibt.

Wir unterst├╝tzen Sie bei der Bewertung des internen Kontrollsystems hinsichtlich ausgelagerter Funktionen entsprechend den Anforderungen der IDW PS 330 n.F. und IDW 951 n.F. sowie. der IDW RS FAIT 1, FAIT 2 und FAIT 3, FAIT 5 und begutachten sowohl Ihre Kontrollen, wie auch die Kontrollen des Serviceunternehmens. Eine Beurteilung erfolgt auch hinsichtlich der Einhaltung von vereinbarten Service-Leveln und der Best├Ąndigkeit der Leistungserbringung durch das Serviceunternehmen.

Die Betreiber von Rechenzentren sowie IT-Dienstleister werden von verschiedenen Wirtschaftspr├╝fungsgesellschaften gepr├╝ft, da sie in der Regel ihre Dienstleistungen einer Vielzahl von Kunden anbieten, welche wiederum von anderen Wirtschaftspr├╝fungsgesellschaften gepr├╝ft werden. Dies f├╝hrt in der Konsequenz zu regelm├Ą├čigen Pr├╝fungen des dienstleistungsbezogenen internen Kontrollsystems beim Dienstleistungsunternehmen.

Im Interesse einer Reduzierung des insgesamt zu erwartenden Pr├╝fungsaufwandes f├╝r das Dienstleistungsunternehmen durch die Bereitstellung personeller Ressourcen und das Bereitstellen von Systemzugriffen und Unterlagen, empfiehlt sich eine separate Pr├╝fung durch einen WPNO Wirtschaftspr├╝fer. Dessen standardisierter Pr├╝fbericht nebst zusammenfassender Darstellung kann im Anschluss Kunden und deren Wirtschaftspr├╝fern zur Verf├╝gung gestellt werden, so dass nur ein externer Pr├╝fer in das Umfeld und die Charakteristiken und Funktionen der Dienstleistung und das Unternehmens eingewiesen werden muss. Auch erg├Ąnzende Informationen und ├änderungen m├╝ssen nur an einen externen Pr├╝fer kommuniziert werden, der diese bei entsprechender Relevanz weiterleitet.

Unsere Mandanten, die IT-Dienstleistungen oder rechnungslegungsrelevante Gesch├Ąftsprozesse anbieten, profitieren von unseren Pr├╝fungen und Beratungen zum Nachweis eines funktionierenden internen Kontrollsystems nach den Pr├╝fungsstandards IDW PS 330 n.F. und IDW PS 951 n.F. oder den international anerkannten Pr├╝fungsstandards ISAE 3402 und ISAE SSAE 16.

Ein Pr├╝fungsprotokoll, welches die ordnungsgem├Ą├če Leistungserbringung der ausgelagerten Funktion bewertet und die Vertr├Ąge, die Verfahrensdokumentation, die Anpassung des IKS sowie die ├ťberwachung der Service-Level-Vereinbarungen ber├╝cksichtigt, fasst das Ergebnis der Pr├╝fung zusammen.

Der nationale Pr├╝fstandard IDW PS 951 n.F. wurde 2013 ├╝berarbeitet und nimmt nunmehr Bezug auf den internationalen Standard ISAE 3402, beinhaltet aber auch landessspezifische Anforderungen wie die Einhaltung der Ordnungsm├Ą├čigkeit ├╝ber Hinweise auf die┬áIDW Stellungnahme┬áÔÇ×Grunds├Ątze ordnungsm├Ą├čiger Buchf├╝hrung bei Einsatz von InformationstechnologieÔÇť (IDW RS FAIT 1). Auch der IDW PS 951 n.F. differenziert zwischen den Pr├╝fungen nach Typ 1 und Typ 2.

Der Pr├╝fer beurteilt grunds├Ątzlich, ob die bei dem Dienstleistungsunternehmen zur Ausgestaltung des dienstleistungsbezogenen internen Kontrollsystems zugrunde gelegten Kriterien f├╝r den vorgesehenen Anwendungszweck geeignet und in der IKS-Beschreibung sachgerecht dargestellt sind. Zudem wird gepr├╝ft, ob die in der IKS-Beschreibung dargestellten Kontrollziele den festgelegten Kriterien entsprechen.

Im Falle vom Typ 1 hat der Pr├╝fer zu beurteilen, ob die IKS-Beschreibung die tats├Ąchliche Ausgestaltung und Einrichtung des dienstleistungsbezogenen internen Kontrollsystems zu dem zu pr├╝fenden Zeitpunkt sachgerecht darstellt und die dargestellten Kontrollen angemessen ausgestaltet sind. Diese Zertifizierung kann nur als Grundlage f├╝r eine zu einem sp├Ąteren Zeitpunkt folgende Zertifizierung nach Typ 2 dienen.

Im Falle von Typ 2 hat der Pr├╝fer hingegen sowohl Aussagen zur Angemessenheit des IKS zu treffen, als auch insbesondere zu dessen Wirksamkeit.

Ausschlie├člich eine Zertifizierung nach Typ 2 ist geeignet vor Gericht eine exkulpierende Wirkung herbeizuf├╝hren, da nur Sie eine wesentliche Basis f├╝r die Einsch├Ątzung des Fehlerrisikos sein kann.

Das Pr├╝fungsprotokoll kann nach einer kurzen Kontrolle f├╝r weitere auslagernde Unternehmen erg├Ąnzt werden, wenn der Sachverhalt der Auslagerung f├╝r mehrere Unternehmen zur Anwendung kommt.

IT - Controlling

Der unternehmensinternen IT kommt die Aufgabe zu, das Unternehmen und dessen Management unter Ber├╝cksichtigung der Wirtschaftlichkeit und des Nutzens der bereitgestellten Systeme und Dienste bei der Erreichung der Unternehmensziele zu unterst├╝tzen.

Die Umsetzung eines angemessenen Kostenmanagements und IT-Controllings sowie die Integration der IT-Kosten und Planungen in die Unternehmensplanung und Budgetierung sind grundlegende Voraussetzungen f├╝r die Steuerung, ├ťberwachung und darauf basierenden weitergehenden unternehmerischen Entscheidungen.

WPNO unterst├╝tzt und begleitet seine Mandanten mit Analysen zum Stand der Methoden und Prozesse f├╝r Kostenmanagement und IT-Controlling unter Ber├╝cksichtigung Ihrer individuellen Unternehmensgr├Â├če. Wir zeigen Optimierungspotentiale auf und begleiten Sie beim Aufbau eines ad├Ąquaten IT-Controllings.

IT - Due Diligence

Im Rahmen von Unternehmensk├Ąufen sind Due Diligence-Pr├╝fungen von existenzieller Bedeutung und machen dementsprechend einen wesentlichen Analysebestandteil aus.

Eine professionell konzipierte und durchgef├╝hrte IT Due Diligence-Pr├╝fung verringert das Risiko von Fehlinvestitionen drastisch und f├╝hrt gleicherma├čen zu einer deutlichen Kostenreduzierung.

Zentrale IT-Funktionen wie die IT-System- und Anwendungsinfrastruktur, die Ausgestaltung der IT-Organisation und Prozesse, die IT-Sicherheit und die entsprechenden personellen Ressourcen und Qualifikationen beeinflussen ma├čgeblich die Effizienz, Wirtschaftlichkeit und Zukunftsf├Ąhigkeit eines Unternehmens. Unternehmenszuk├Ąufe erfordern regelm├Ą├čig Nachholinvestitionen f├╝r die Integration von IT-Funktion.

Zielsetzung einer IT Due Diligence ist die Aufnahme und Darstellung der Schl├╝sselmerkmale der aktuellen IT-Situation auf der Basis von bereitgestellten Dokumentationen und Interviews und Beobachtungen. Dabei liegt der Schwerpunkt in der Identifizierung und Einsch├Ątzung der IT-Risiken, welche die Entscheidung des K├Ąufers beeinflussen k├Ânnen.

Bereits in der Phase vor dem eigentlichen Zukauf m├╝ssen die Daten, Gesch├Ąftsprozesse und Rechtsbeziehungen der Zielgesellschaft einer systematischen und detaillierten Pr├╝fung zugef├╝hrt werden. In diesem Zusammenhang sind auch zwangsnotwendig die eingesetzten IT-Systeme und technologischen Infrastrukturen des Unternehmens im Wege einer IT-Due Diligence-Pr├╝fung zu untersuchen.

F├╝r den Erhalt eines umfassenden ├ťberblicks ├╝ber den strategischen Nutzen und Wert der vorhandenen Infrastruktur der Zielgesellschaft muss deren IT-Infrastruktur und Systematik erfasst, aufgenommen und beurteilt werden.

Werden Schw├Ąchen im IT-Bereich und systemimmanente Risiken identifiziert, stellt dies ein gutes Argument f├╝r entsprechende Nachl├Ąsse beim Kaufpreis dar. Sind die Schw├Ąchen in der zu ├╝bernehmenden IT-Infrastruktur jedoch zu schwer und vielf├Ąltig, d├╝rfte sich ein Absehen von der geplanten ├ťbernahme empfehlen.

Es ist aus der Sicht des Kaufinteressenten zu pr├╝fen, inwiefern und mit welchen m├Âglichen Hindernissen sich die in der Zielgesellschaft vorhandene IT-Infrastruktur und ITÔÇôUmgebung in die IT-Struktur des ├ťbernehmers integrieren lassen.

Von besonderer Bedeutung ist, ob und in welchem Umfang bei einer ├ťbernahme und Verbindung der IT-Strukturen beider Unternehmen Anpassungsma├čnahmen notwendig werden w├╝rden.

Ist der IT-Bereich der Zielgesellschaft erfasst und gepr├╝ft, ergibt sich eine ├ťbersicht ├╝ber potentielle Schnittstellen sowie gegebenenfalls notwendige Zusatzinvestitionen im Fall einer ├ťbernahme.

WPNO verf├╝gt mit seinem interdisziplin├Ąren Team aus Wirtschaftspr├╝fern und Rechtsanw├Ąlten ├╝ber die n├Âtige Fachexpertise sowie die methodische Kompetenz f├╝r die Konzeption und Umsetzung von IT Due Diligence-Pr├╝fungen.

Unsere Mandanten profitieren von der klaren und zusammengefassten Darstellung unserer Ergebnisse. Die Zielsetzung und Ausgestaltung sowie die Schwerpunkte der Durchf├╝hrung von IT-Due Diligence Projekten werden gemeinsam mit Ihnen im Rahmen unserer individuellen Beratung detailliert abgestimmt.

IT - Projektmanagement

IT-Umgebungen werden regelm├Ą├čig durch Projekte entwickelt, ver├Ąndert oder umstrukturiert. Schl├╝sselfunktionen kommen in diesem Rahmen den Regelungen und Vorgaben des Managements, den Prozessen und den Projektportfolien zu. Projektintern m├╝ssen Gefahren fr├╝hzeitig antizipiert und Risiken rechtzeitig erkannt werden, um eine angemessene und zeitnahe Reaktion zu gew├Ąhrleisten.

WPNO unterst├╝tzt seine Mandanten durch Prozessanalysen, in welchen wir den gegebenen Ist-Stand der Methoden und Prozesse zum Management des Projektportfolios und der Projekte erfassen, unter Ber├╝cksichtigung der Gr├Â├če Ihres Unternehmens bewerten und Optimierungspotentiale aufzeigen.

Zudem begleiten wir unsere Mandanten bei dem Aufbau eines Managements f├╝r Projektportfolien und Projekte und unterst├╝tzen Sie bei der Umsetzung von Ma├čnahmen zur entsprechenden Optimierung.

WPNO begleitet Sie im Rahmen der Durchf├╝hrung aktueller IT-Projekte. Wir unterst├╝tzen die Projektleitung und f├╝hren bei Bedarf Projekt-Reviews durch. Im Fall von unerwarteten projektbezogenen Kostenentwicklungen oder aufgetretenen Verz├Âgerungen zeigen wir L├Âsungs- und Optimierungsm├Âglichkeiten auf.

Richtlinien, Prozesse und Verfahrensanweisungen

Im Sinne einer ordnungsgem├Ą├čen IT-Governance m├╝ssen IT-Prozesse des Unternehmens und zugeh├Âriger Organisationen verbindlich manifestiert werden. Diese Manifestierung erfolgt regelm├Ą├čig in Form von Richtlinien, Verfahrens- und Arbeitsanweisungen und Betriebshandb├╝chern in gedruckten oder elektronisch vorgehaltenen Dokumenten, welche den berechtigten Adressaten kommuniziert werden.

WPNO unterst├╝tzt und begleitet seine Mandanten bei der erforderlichen Ber├╝cksichtigung von unternehmensinternen und regulatorischen Anforderungen. Wir gestalten Ihre IT-Prozesse und deren verbindliche Manifestation in Verfahrens- und Arbeitsanweisungen und zeigen Optimierungsm├Âglichkeiten auf.

Wir f├╝hren unsere Projekte im Zusammenhang mit IT-Prozessen und deren begleitender schriftlicher Manifestierung in gemischten Teams in enger Abstimmung und Kooperation mit unseren Mandanten durch. Dies erm├Âglicht die Implementierung der im Unternehmen des Mandanten vorhandenen Expertise in die ausgestalteten Regelungen.

Zudem integrieren wir im Interesse einer optimierten Akzeptanz, Umsetzung und Einhaltung der Regelungen die sp├Ąteren Adressaten bereits im Erstellungsprozess und begleiten die Implementierungen der Umsetzungsma├čnahmen durch Coachings und Schulungen.

Projektbegleitende Pr├╝fung

IT-Projekte, insbesondere komplexe Projekte gehen meist einher mit erheblichen Risiken f├╝r die Unternehmen. Sind die Projekte von gr├Â├čerem Umfang und sollen wom├Âglich in die bisherige IT-Infrastruktur integriert werden, besteht die Gefahr, dass auch laufende IT-Komponenten m├Âglicherweise in ihre Funktion gest├Ârt werden oder ausfallen. Enge Zeitrahmen und Kostenrestriktionen erh├Âhen die Risiken zus├Ątzlich. Fehlen entsprechende Kenntnisse und Erfahrungen in der Umsetzung und Organisation von IT-Projekten besteht regelm├Ą├čig die Gefahr von Systemausf├Ąllen und Sch├Ąden.

Durch unsere projektbegleitende Pr├╝fung auf Basis des Pr├╝fungsstandards IDW PS 850 sind wir in der Lage, die gesetzlichen, regulativen und unternehmensinternen Anforderungen in die Organisation, Durchf├╝hrung und Zielsetzung des Projekts einzubringen. Dies erm├Âglicht es uns, die Projektleitung und andere berechtigte Adressaten fr├╝hzeitig und fortlaufend ├╝ber die Entwicklungen, Sachst├Ąnde und identifizierten Risiken im Rahmen der Durchf├╝hrung des Projekts zu informieren und zeitnah Empfehlungen f├╝r Optimierungen auszusprechen.

Sowohl in technischer, wie auch in fachspezifischer Hinsicht sind wir f├╝r Sie in allen Fragen und Herausforderungen im Rahmen von IT-Projekten als Ansprechpartner pr├Ąsent.