IT-Systemprüfung gemäß Prüfstandard IDW PS 330

18:21 10 Januar in IT Prüfung, IT-Audit

Der vom Institut der Wirtschaftsprüfer (IDW) entwickelte Prüfstandard IDW PS 330 gebietet seit dem Jahr 2002 verbindliche IT-Systemprüfungen im Rahmen von Abschlussprüfungen.

IT-gestützte Rechnungslegungssysteme müssen vor diesem Hintergrund ob ihrer Konformität mit den gesetzlichen Anforderungen geprüft werden. Insbesondere müssen diese Systeme den Anforderungen an Ordnungsgemäßheit und Sicherheit entsprechen, wie sie IDW RS FAIT 1 definiert.

Weiterhin muss eine Risikoeinschätzung der Prüffelder IT-Organisation, IT-Infrastruktur, IT-Anwendungen, IT-Umfeld und IT-unterstützte Geschäftsprozesse erfolgen.

Mittels Peer Reviewer kann im Wege einer externen Qualitätskontrolle die Einhaltung des Prüfungsstandards IDW PS 330 vorab geprüft werden. Ob eine IT-Systemprüfung sachgerecht durchgeführt werden kann, ist schon vor Annahme von Aufträgen hinsichtlich Jahresabschlüssen sowie Zwischen- und Konzernabschlüssen einer Vorabprüfung zu unterziehen. Gegebenenfalls kann vor einer notwendigen Ablehnung des Auftrags wegen negativen Ergebnissen der Vorabprüfung zur Vermeidung der Ablehnung ein sachverständiger Dritter hinzugezogen werden.

WPNO begleitet und unterstützt den Abschlussprüfer bei der sachgerechten Umsetzung der von IDW PS 330 gestellten Anforderungen mit der im Folgenden vorgestellten Vorgehensweise:

ueberblick

Die Komplexität der eingesetzten Anwendungen und IT-Systeme definiert entsprechend den Umfang der IT-Systemprüfung.

Im Sinne von Kosteneffizienz und überschaubarer Budgetplanung empfiehlt sich eine Unterteilung der Prüfung in eine beginnende Aufnahmeprüfung und eine anschließende Vertiefungsprüfung, welche über mehrere Jahre erfolgt.

Folgende Prüffelder werden vom IDW PS 330 vorgegeben:

  1. IT-Umfeld und IT-Organisation
  2. IT-Infrastruktur und IT-Anwendungen
  3. IT-gestützte Geschäftsprozesse
  4. IT-Überwachungssystem
  5. IT-Outsourcing

Basis für unsere Prüfungen und Prüfungsdokumentationen ist die vom IDW erstellte  „Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PH 9.330.1)

Aufnahmeprüfung

aufnahmepruefung

Den Ausgangspunkt  für die weitere Prüfung der IT-Systemumgebung des Mandanten stellt die Erfassung der zur Rechnungslegung eingesetzten IT- Komponenten als ersten Prüfungsschritt gemäß IDW PS 330 (Aufnahme des IT-Systems) dar.

Hierfür werden die  betroffenen Geschäftsprozesse und Daten sowie der Datenfluss in einem ersten Schritt aufgenommen, bevor die zur Rechnungslegung eingesetzten Anwendungen und die gesamte Infrastruktur ermittelt werden.

Es folgt eine Definition hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit der aufgenommenen Daten, damit auf dieser Basis eine Visualisierung von möglichen Bedrohungen und Gefahren im Sinne einer adäquaten Risikoermittlung erfolgen kann. Mit Hilfe der gewonnenen Erkenntnisse werden die Prüfungsfelder und Prüfungsgegenstände festgelegt sowie ein Prüfungsplan und erste Dokumente generiert.

Ist die Aufnahme des IT-Systems erfolgt, schließt sich eine erste Bewertung der Ordnungsgemäßheit der IT-gestützten Rechnungslegungssysteme unter Beurteilung der Angemessenheit der getroffenen organisatorischen, technischen und personellen Maßnahmen an.

Insbesondere die Maßnahmen, welche der Schaffung eines geeigneten IT-Umfeldes, der Einführung einer geeigneten IT-Organisation und der Gewährleistung eines geordneten und sicheren IT-Betriebs dienen, unterliegen hier einer besonderen Betrachtung. Eine Bewertung erfolgt auch in Bezug auf die Ordnungsgemäßheit der Umsetzung der IT-Anwendungen, der Geschäftsprozessunterstützung und des zur Kontrolle installierten Überwachungssystems.

Die Erstellung eines mehrjährigen Prüfungsplans für die Durchführung von Vertiefungsprüfungen bildet den Abschluss der Aufnahmeprüfung, deren Ergebnis in einem Prüfungsprotokoll dokumentiert wird.

Das Prüfungsprotokoll deklariert den Gegenstand der IT-Prüfung sowie die in den einzelnen Prüfungsfeldern gemäß IDW PS 330 getroffenen Feststellungen. Weiterhin fasst es das Ergebnis der Prüfung zusammen und enthält eine Bewertung der im Bereich der Rechnungslegung eingesetzten Informationstechnologie.

Auf Wunsch und bei Bedarf wird zur Unterstützung bei der Umsetzung der im Prüfungsprotokoll genannten Empfehlungen und zur Verbesserung der Effizienz und Effektivität der eingesetzten Informationstechnologie ein an die Unternehmensführung adressierter Management-Letter verfasst.

Mit unserem Angebot der IT-Systemprüfung unterstützen wir insbesondere Wirtschaftsprüfer, Wirtschaftsprüfungsgesellschaften, und Steuerberater bei der Durchführung.

Wir arbeiten als Sachverständige im Sinne des IDW PS 322 n.F. führen unabhängig von den eingesetzten IT-Systemlandschaften (SAP, DATEV, SAGE, MICROSOFT, etc.) durch.

Wunschgemäß führen wir gerne im Rahmen der IT-Systemprüfung einen eingehenden methodischen Ansatz der Datenanalyse gemäß IDW PH 9.330.3 durch. Eine strukturierte Datenanalyse im Sinne des IDW PS 322 bieten wir Ihnen ebenfalls auch gerne als Sachverständiger gemäß IDW PS 322 n.F. an. 

Vertiefungsprüfung
Für die Vertiefungsprüfung empfehlen wir die folgende Vorgehensweise:


vertiefungspruefung

Den Vertiefungsprüfungen vorausgehend erfolgt zunächst eine Aktualisierungs- und Nachschauprüfung sowie eine Sichtung und Bewertung der erfolgten Änderungen seit der letzten Prüfung.

Entsprechend dem zuvor erstellten mehrjährigen Prüfungsplan sind nun die Prüfungshandlungen für die Funktionsprüfung mit dem dort manifestierten Prüfungsschwerpunkt zu definieren. Ziel ist die Kontrolle der Angemessenheit und Wirksamkeit der eingerichteten IT-Kontrolle mittels Bewertung, inwieweit durch die definierten Kontrollmaßnahmen die IT-Fehlerrisiken begrenzt werden.

Im Fall von ausgetauschten IT-Komponenten kann eine Verfahrensprüfung hinsichtlich der aktualisierten IT-Systeme, Anwendungen und Verfahren nach IDW PS 330 und IDW PS 880 als Softwarebescheinigung erfolgen. Branchen – und länderspezifische Anforderungen werden dabei berücksichtigt.

Der mehrjährige Prüfungsplan ist flexibel, damit er neuen Erkenntnissen, aktuellen Gegebenheiten oder geäußerten Mandantenwünschen zum Ende der Vertiefungsprüfung hin angepasst werden kann.