Unser Audit Support für Sie

13:49 14 Dezember in IT-Audit, IT-Systemprüfung

Wirtschaftsprüfer müssen sich in Ihrer Funktion als Jahresabschlussprüfer auch mit den IT-Systemen des zu prüfenden Unternehmens befassen. Insbesondere den IT-Systemen, die relevant für die Rechnungslegung sind, kommt in diesem Zusammenhang eine besondere Bedeutung zu.

Entsprechend den §§ 316-324 HGB hat der Wirtschaftsprüfer im Rahmen der Abschlussprüfungen grundsätzlich auch die Ordnungsmäßigkeit der Rechnungslegung zu beurteilen. Dies beinhaltet die Kontrolle der Einhaltung der Grundsätze einer ordnungsgemäßen Buchführung (GoB), welche sich aus den §§ 238 ff., 257 HGB und §§ 145-147 AO ableiten.

Der Fachausschuss für Informationstechnologie (FAIT) beim Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) hat aus diesen für die Buchführung relevanten Normen die GoB-Anforderungen für den Einsatz von IT eingehender definiert und entsprechende verschiedene Rechnungslegungsstandards veröffentlicht. Diese sind die

  • GoB bei Einsatz von Informationstechnologie (IDW RS FAIT 1),
  • GoB bei Einsatz von Electronic Commerce (IDW RS FAIT 2),
  • GoB beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3),
  • Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse (IDW RS FAIT 4),
  • GoB bei Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen einschließlich Cloud Computing (IDW RS FAIT 5).

Auch die vom Bundesministerium der Finanzen erlassenen Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) fließen in die Prüfungen von rechnungslegungsbezogenen IT-Systemen ein.

Eine IT-Prüfung ist ein Teil der Prüfung des internen Kontrollsystems (IKS). Je nach Komplexität der eingesetzten Systeme und Systemkomponenten ist eine umfassende IT-Systemprüfung nach IDW Prüfungsstandard 330 (IDW PS 330) oder zumindest die Prüfung ausgewählter Teilbereiche oder Teilelemente des IT-Systems notwendig.

Eine Bestandsaufnahme des IT-Systems im Vorfeld der eigentlichen Prüfung ist zwingend erforderlich. Hieraus resultiert die Risikoeinschätzung, welche als Basis der Prüfungsstrategie und dem weiteren Prüfungsvorgehen sowie zur Identifikation der IT-Prüfungsfelder dient.

Gemäß IDW PS 330 stellt die Erfassung der zur Rechnungslegung eingesetzten IT- Komponenten den ersten Prüfungsschritt (Aufnahme des IT-Systems) dar. Diese Erfassung dient ebenso als ideale Basis für weitere Prüfungen ihrer gesamten IT-Systemumgebung. Zunächst werden tangierte Geschäftsprozesse, Daten und Datenflüsse erfasst. Im Anschluss sind die zur Rechnungslegung eingesetzten Anwendungen sowie die IT-Infrastruktur insgesamt zu ermitteln. Auf Basis der erfassten Daten werden Vertraulichkeit/Schutzbedarf, Verfügbarkeit und Integrität definiert. Bedrohungen und Gefahren können auf diese Weise zur Risikoermittlung visualisiert werden. Dies dient der Ermittlung der Prüfungsfelder, der Ausarbeitung eines Prüfungsplans und der Erstellung erster Dokumentationen.

Ist das IT-System erfasst, erfolgt eine erste Bewertung der Ordnungsgemäßheit der zur Rechnungslegung eingesetzten IT-Systeme durch Prüfung der Angemessenheit der getroffenen organisatorischen, technischen und personellen Maßnahmen des Unternehmens. Der Fokus in der Betrachtung liegt hierbei auf den Maßnahmen, welche zur Generierung und Gewährleistung einer geeigneten IT-Organisation, eines geeigneten IT-Umfeldes und eines sicheren IT-Betriebs beitragen. Auch die Ordnungsgemäßheit der Geschäftsprozessunterstützung sowie der IT-Anwendungen wird auf deren Angemessenheit hin überprüft.

Im Rahmen einer Aufbauprüfung pro definiertem Prüfungsfeld, werden die Angemessenheit der konkreten Ausgestaltung des IKS bewertet. Diese mündet in die Beurteilung, ob das eingerichtete und dokumentierte IKS unter Berücksichtigung der prüffeldspezifischen Risiken angemessen und vor dem Hintergrund des erwarteten Umfangs adäquate Wirksamkeit entfalten kann.

Es folgt die Erstellung eines mehrjährigen Prüfungsplans für die Durchführung von Vertiefungsprüfungen. Zudem wird ein Prüfungsprotokoll erstellt, welches den Gegenstand der IT-Prüfung beschreibt. Dieses enthält die Feststellungen, welche in den einzelnen Prüfungsfeldern gemäß IDW PS 330 getroffen wurden, ein zusammengefasstes Prüfungsergebnis und eine Bewertung der im Bereich der Rechnungslegung eingesetzten Informationstechnologie.

Ein zusätzlicher Management-Letter, welcher die Umsetzung der im Prüfungsprotokoll genannten Empfehlungen sowie die Verbesserung der Effizienz und Effektivität der eingesetzten Informationstechnologie unterstützen soll, kann bei Bedarf zusätzlich an die Unternehmensführung des geprüften Unternehmens adressiert werden.

Sodann schließt sich die Funktionsprüfung für die Bereiche an, in welchen dem IKS in der Aufbauprüfung eine entsprechende Angemessenheit bescheinigt wurde. Die eingerichteten Kontrollen im Ist-Zustand müssen hier wirksam sein.

In späteren Folgeprüfungen kann mittels Nachschauprüfung eine Bewertung der seit der letzten Prüfung vorgenommenen Änderungen vorgenommen werden.

Die Prüfungshandlungen der Folgeprüfung werden entsprechend dem zuvor festgelegten mehrjährigen Prüfungsplan festgelegt. Prüfungsziel ist die Wirksamkeit und Angemessenheit der eingerichteten IT-Kontrolle unter Bewertung dessen, inwiefern die festgesetzten Kontrollmaßnahmen die Fehlerrisiken im IT-Bereich verhindern oder begrenzen.

Wurden Systemkomponenten der IT seit der letzten Prüfung ersetzt oder ergänzt, kann eine erneute Verfahrensprüfung gemäß IDW PS 330 und IDW PS 880 hinsichtlich der neuen IT-Systemkomponenten erfolgen. Entsprechend der Wünsche des Mandanten oder aufgrund von Zwischenergebnissen aus vorhergehenden Prüfungen, kann der mehrjährige Prüfungsplan an die aktuellen Gegebenheiten zum Ende der Folgeprüfung jederzeit flexibel angepasst werden.

Gemäß dem Prüfungshinweis IDW PH 9.100.1 betrifft die IT- Systemprüfung nach IDW PS 330 auch kleine und mittelgroße Unternehmen (KMU).

Unsere Mandanten, die IT-Dienstleistungen oder rechnungslegungsrelevante Geschäftsprozesse anbieten, profitieren von unseren Prüfungen und Beratungen zum Nachweis eines funktionierenden internen Kontrollsystems nach den Prüfungsstandards IDW PS 331 und IDW PS 951 n.F. oder den international anerkannten Prüfungsstandards ISAE 3402 und ISAE SSAE 16.

Ein Prüfungsprotokoll, welches die ordnungsgemäße Leistungserbringung der ausgelagerten Funktion bewertet und die Verträge, die Verfahrensdokumentation, die Anpassung des IKS sowie die Überwachung der Service-Level-Vereinbarungen berücksichtigt, fasst das Ergebnis der Prüfung zusammen.

Der nationale Prüfstandard IDW PS 951 n.F. wurde 2013 überarbeitet und nimmt nunmehr Bezug auf den internationalen Standard ISAE 3402, beinhaltet aber auch landessspezifische Anforderungen wie die Einhaltung der Ordnungsmäßigkeit über Hinweise auf die IDW Stellungnahme „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1). Auch der IDW PS 951 n.F. differenziert zwischen den Prüfungen nach Typ 1 und Typ 2.

Der Prüfer beurteilt grundsätzlich, ob die bei dem Dienstleistungsunternehmen zur Ausgestaltung des dienstleistungsbezogenen internen Kontrollsystems zugrunde gelegten Kriterien für den vorgesehenen Anwendungszweck geeignet und in der IKS-Beschreibung sachgerecht dargestellt sind. Zudem wird geprüft, ob die in der IKS-Beschreibung dargestellten Kontrollziele den festgelegten Kriterien entsprechen.

Im Falle vom Typ 1 hat der Prüfer zu beurteilen, ob die IKS-Beschreibung die tatsächliche Ausgestaltung und Einrichtung des dienstleistungsbezogenen internen Kontrollsystems zu dem zu prüfenden Zeitpunkt sachgerecht darstellt und die dargestellten Kontrollen angemessen ausgestaltet sind. Diese Zertifizierung kann nur als Grundlage für eine zu einem späteren Zeitpunkt folgende Zertifizierung nach Typ 2 dienen.

Im Falle von Typ 2 hat der Prüfer hingegen sowohl Aussagen zur Angemessenheit des IKS zu treffen, als auch insbesondere zu dessen Wirksamkeit.

Ausschließlich eine Zertifizierung nach Typ 2 ist geeignet vor Gericht eine exkulpierende Wirkung herbeizuführen, da nur Sie eine wesentliche Basis für die Einschätzung des Fehlerrisikos sein kann.

Das Prüfungsprotokoll kann nach einer kurzen Kontrolle für weitere auslagernde Unternehmen ergänzt werden, wenn der Sachverhalt der Auslagerung für mehrere Unternehmen zur Anwendung kommt.

Die Komplexität der eingesetzten IT bestimmt die Art und den Umfang der durchzuführenden Prüfungshandlungen, nicht die Größe des zu prüfenden Unternehmens.

Die stete und rasante Entwicklung der IT-Technik erfordert selbstverständlich eine entsprechend effektive Prüfung der IT, welche dieser Entwicklung Rechnung trägt. Zwingende Voraussetzung hierfür die technische Versiertheit und Aktualität der Prüfer.

Im Hause WPNO vereinen wir diese technische Sachkompetenz und kombinieren diese mit unserer wirtschaftswissenschaftlichen und juristischen Kompetenz.

Wir erkennen und berücksichtigen sämtliche Risiken, welche der Einsatz von IT in Ihrem Unternehmen mit sich führt, zeigen Ihnen adäquate Gegen- und Sicherungsmaßnahmen auf und testieren dies im Rahmen der zu erstellenden Abschlussprüfung. Wir verfügen über das geforderte technische Wissen, welches wir durch konsequente Weiterbildungsmaßnahmen immer auf dem neuesten Stand halten und denken prozess- und lösungsorientiert.

Gemäß IDW PS 450 berichten wir schriftlich über Art, Umfang und das Ergebnis unserer Prüfungen und dokumentieren unsere Prüfungshandlungen entsprechend IDW PS 460 n.F. im Sinne einer adäquaten Qualitätssicherung.

Unsere Mandanten erhalten zum Abschluss der Prüfungen eine Zusammenfassung und Übersicht über gewonnene Erkenntnisse und Ergebnisse sowie einen Empfehlungskatalog hinsichtlich zu ergreifender Maßnahmen.

WPNO unterliegt als Wirtschaftsprüfungsgesellschaft selbstverständlich den Berufsgrundsätzen der Wirtschaftsprüfer unter Beachtung der sich daraus ergebenden Prüfungsstandards.