36. deutsch-dänisches seminar it-systemprüfung bei kmu schwerin 5. september 2013 holger...
TRANSCRIPT
36. Deutsch-Dänisches Seminar
IT-Systemprüfung bei KMUSchwerin 5. September 2013
Holger Klindtworth
2
Inhalt
■ Einführung■ Informationstechnologie
und der WP■ Informationstechnologie
und KMU■ Prüfung der IT bei KMU■ Fazit
3
Einführung
■ 4000 v. Christus■ Das Archiv des IDW■ Entwicklung der IT im Zeitablauf■ IT und Risiko■ Praxisbeispiel Cloud Computing bei KMU
Begrüßung
4
Handelsrecht | Buchhaltung | Tiefe Vergangenheit
■ 4000 v. Christus, die Sumerer dokumentieren Geschäftsvorfälle
■ Das ist die Geburt des Buchungs-journals
■ Bei der Erfindung der Buchhaltung, wird nebenbei die Schriftsprache erfunden
■ Einhaltung des "Radierverbots" ergibt sich hier aus dem Speichermedium
■ Die „kaufmännische Datenverarbeitung“ hat begonnen■ Etwas später gelten die „Grundsätze ordnungsmäßiger Buchführung
(GoB)“ (Handelsrecht) und die daraus abgeleiteten „Grundsätze ordnungsmäßiger DV-gestützer Buchführungssysteme (GoBS)“ von 1995 n. Christus (Steuerrecht)
5
Begrüßung
6
EinleitungEntwicklung der IT im Zeitablauf
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
Integrierte Software – vernetzte Unternehmen
Grundbuch Anwendung 1
Hauptbuch Anwendung 2
Anlagen Anwendung 3
offene Posten Anwendung 4
1980erInsellösungen mit
Schnittstellen
1990erIntegration der
Prozesse in einem Unternehmen
2000erProzessintegration über Unternehmensgrenzen
2010erVernetzung und Cloud
Computing
7
Grundprämisse
„Die nachhaltigste und effektivste Methode, ein Unternehmen zu Grunde zu richten, kann der Einsatz von Informationstechnologie sein.“
Prüferweisheit
8
Alan Turing
IT und Risiko | 1
■ Es kann bewiesen werden, dass die richtige und vollständige Verarbeitung durch ein Computer-programm (Turing-Maschine) nicht bewiesen werden kann …und wir alle kennen Schäden durch die IT.
■ Das heißt, auch für die Prüfung gilt:Nur, weil der Prüfer keine Fehler findet, muss nicht alles richtig sein.
■ Das heißt schlimmer:Nur „weil“ wir Auffälligkeiten finden, muss nicht alles falsch sein.
9
IT und Risiko | 2 | Hamburg
■ Das ursprüngliche Becken des Alstersees entstand durch einen Mühlenstau im Verlauf des Reesendamms.
■ Die Alster wurde um ca. 1190 aufgestaut, um eine Kornmühle zu betreiben.
■ 1235 wurde ein zweiter Damm für eine weitere Mühle gebaut, der die Alsterwiesen aufgrund eines Berechnungsfehlers zum Alstersee überschwemmte.
■ IT wurde nicht eingesetzt.
10
IT und Risiko | 3 | Wasser
■ Vermutung● Mühlenstau bei
Einsatz von IT■ keine Standards■ keine Kontrollen■ keine Nachvollziehbarkeit■ keine Revisionssicherheit
siehe auch: http://www.eusprig.org/horror-stories.htm
11
IT und Risiko | 4 | Komplexität von Projekten
BER
HH-EP
S21
12
Grundprämisse
„Der Wirtschaftsprüfer bestätigt mit seiner Unterschriftdie Ordnungsmäßigkeit der Buchhaltung (u.a. Richtigkeit und Vollständigkeit)“
13
EinleitungGegenwart > Cloud Computing
Quelle: Cloud Computing: Web-basierte dynamische IT-Services von Christian Baun, Marcel Kunze, Jens Nimis, Stefan Tai
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
„Cloud Computing“ erlaubt die Bereitstellung und Nutzung von IT-Infrastruktur, von Plattformen und von Anwendungen aller Art als im Internet elektronisch verfügbare Dienste
Begriff „Cloud“ deutet dabei an, dass die Dienste von einem Provider im Internet (bzw. im Intranet eines Unternehmens erbracht werden)
„Cloud“-Ressourcen sind in der Regel virtualisiert, d.h. keiner eindeutigen technischen Plattform zugeordnet Cloud Computing ist möglich dank
der enormen Steigerung der Rechenleistung der flächendeckenden Verfügbarkeit höherer Bandbreiten und der Virtualisierungstechnologien
D.h. JEDE Übertragung einer E-Mail ist Cloud Computing. Im Jahr 2010 wurden ca. 107 Billionen E-Mails verschickt, mit einem Spam-Anteil von 89,1 %*
Übertragung der Daten durch die Wolke (verschlüsselt über VPN/unverschlüsselt) Unterscheidung in Private / Public Clouds: unternehmensintern / -übergreifend
14
■ Praxisszenario: Kleines mittelständisches Mandat ● Finanzbuchhaltung in der „Cloud“● Buchhaltungsbelege werden am „Heimarbeitsplatz“
erfasst● Im Büro keine IT-Infrastruktur …● … bis auf Kommunikationsanbindung und „Thin-Clients“● Mobiler Zugriff auf das Reporting durch Geschäftsführer
via mobilem Endgerät
● Gleiches Vorgehen für□ Office-Dateien (Angebote, Aufträge, Bestellungen…)□ E-Mail und Kalender
● Faktisch keine eigene IT mehr
EinleitungGegenwart > Cloud Computing
15
■ Zunehmende Bedeutung und rasante Entwicklung der Informationstechnologie in Wirtschaft und Gesellschaft
■ Chancen und Risiken der Informationstechnologie● Chancen z.B. durch Standardisierung, Automatisierung
und Effizienzgewinne● Risiken z.B. durch Abhängigkeiten, Sicherheitsprobleme
und Datenverluste
■ Werden im Zeitalter des Internets Wirtschaftsprüfer als angemessen kompetent im Thema IT wahrgenommen?
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
EinleitungBedeutung der IT
16
Informationstechnologie und der WP
■ Rolle des WP■ Herausforderungen■ IT beim Mandanten■ Handelsrecht und IT■ Das IT-IKS■ Prüfungsstandards
17
EinleitungVeränderungen mit Chancen und Risiken
WP – Veränderungen des Berufsbilds- Stellung und Funktion – Öffentlichkeit- Arbeitsweise und Standards – Effizienz- Wissen und Erfahrung – IT-Wissen
IT – in der WP-Praxis- Einsatz für die Praxisorganisation- Nutzung in der Prüfung und Beratung
IT beim Mandanten- für Organisationsprozesse und IKS/RMS- als nützliche und schutzwürdige Ressource
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
18
Informationstechnologie und WPHerausforderungen > IT in der WP-Praxis
■ Das Prüfungsfeld IT wird weiterhin bedeutungsvollerfür den Abschlussprüfer.
■ Der Einsatz von IT in der Wirtschaftsprüferpraxis auch.■ Die Anforderungen, die der WP an die Rechnungslegung
beim Mandanten stellt, gilt auch für die eigene IT.■ IT-Sicherheit in der WP-Praxis gewinnt an Bedeutung.■ Die digitale Welt ist auch für den WP nicht mehr
aufzuhalten (z.B. ELSTER, EHUG, eBilanz etc.). ■ Mit der Vernetzung steigt der potenzielle Missbrauch durch
unternehmerische und auch durch soziale Netzwerke.■ Je mehr Geschäftserfolg mit IT verknüpft ist,
desto wichtiger ist IT-Sicherheit.■ Je mehr Berührungspunkte, desto größer die Gefahr!
19
Informationstechnologie und WPHerausforderungen > IT beim Mandanten
■ Informationstechnologie ist ein wichtiger Prüfungsgegenstand, der weiterhin komplexer wird.
■ Auch KMUs setzen inzwischen integrierte kaufmännische Anwendungssysteme für ihre Geschäftsprozesse ein.
■ Wissen in der Informationstechnologie aufzubauen, vorzuhalten und zielgerichtet einzusetzen ist von entscheidender Bedeutung.
■ Wirtschaftliche Prüfungsdurchführung trotz oder gerade durch IT
20
Handelsrecht Anforderungen HGB an die IT
■ Konkretisierung der aus § 257 HGB resultierenden Anforderungen an den IT-Einsatz:● Funktionsfähiges Internes Kontrollsystem● Nachvollziehbares (buchhalterisches) Verfahren● Einhaltung Journal-, Beleg-, Kontenfunktion● Speicherung auf Datenträger bei GoB-Einhaltung● Aufbewahrung, empfangene Handelsbriefe und
Buchungsbelege
21
IT-Kontrollsystem
■ IT-Kontrollsystem● ist Bestandteil des internen Kontrollsystems (IKS)● umfasst diejenigen Grundsätze, Verfahren und Maßnahmen
(Regelungen), die zur Bewältigung der Risiken aus dem Einsatz von IT eingerichtet werden□ Regelungen zur Steuerung des Einsatzes von IT im
Unternehmen (internes Steuerungssystem)□ Regelungen zur Überwachung der Einhaltung dieser
Regelungen (internes Überwachungssystem)
Praxishinweis
„internal controls“ bedeutet NICHT interne Kontrollen. „Control“ bedeutet u.a. Steuerung. Eine Richtlinie hat Kontrollfunktionen im Sinne IKS.
22
Vorgehensweise bei der IT-Prüfung
Beurteilung der Angemessenheit
vorl. Beurteilung der Wirksamkeit
Aufbau-prüfung
Prüfung der Wirksamkeit
Beurteilung der Wirksamkeit
Funktions-prüfung
Aufnahme
IT-System
IT-Geschäftsprozess
IT-Anwendungen
IT-InfrastrukturIT-K
ontro
llsys
tem
(IT
-Org
anis
atio
n/IT
-U
mfe
ld)
23
Geschäftsprozesse und Informationstechnologie
■ IT-System
(IDW RS FAIT 1) Netze
beeinflusst
beeinflusst
Hardware
IT-U
mfe
ld, -
Org
anis
atio
nGeschäfts-prozessebeneCycles
Applikations-/SystemebeneIT-Anwendungen
TechnischeSystemebeneIT-Infrastruktur
EA
DC
BB
Int. ReLeOper. Sys.
Ext. ReLe
Geschäftsprozesse
IT-Anwendungen
IT-Infrastruktur
z.B. Beschaffung, Absatz, Personal
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
24
■ IT-System
Geschäftsprozesse und Informationstechnologie
Sicherheitskonzept(Zugriffskontrollen, Sicherungsmaßnahmen, Datensicherungsverfahren, Auslagerung)
Organisationshandbuch (Regelbetrieb) Katastrophenfall-Szenarien (Notfall)
Anwendungsbezogene Kontrollen(Eingabe-, Verarbeitungs-, Ausgabekontrollen)
Generelle Kontrollen(Software-Entwicklung und -Beschaffung,Test- und Freigabeverfahren, Change Mgt.)
Interne Kontrollprozesse Datenaustausch (Teilsysteme) Zugriffsrechte (Berechtigungskonzepte) Funktionale Anforderungen (GoB) Prozessübergreifende Stammdatenpflege
Finanzbericht-erstattung
Netze
beeinflusst
beeinflusst
Hardware
EA
DC
BB
Int. ReLeOper. Sys.
Ext. ReLe
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
M
25
Anforderungen nach IDW RS FAIT 1
IT-gestützter Geschäftsprozess
IT-Anwendung
IT-Infrastruktur
IT-System
IT-K
ontro
llsys
tem
(IT-O
rgan
isat
ion/
-Um
feld
)
Prü
fung
sgeg
enst
and
(sow
eit r
echn
ungs
legu
ngsr
elev
ant)
Prü
fung
szie
l
Prüfungskriterien
Ordnungsmäßigkeit der Rechnungslegung:Vollständige, richtige, zeitgerechte, geordnete,
nachvollziehbare und unveränderbareVerarbeitung
Sicherheit:Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit,Integrität, Verfügbarkeit
Prozessrisiken
Anwendungsrisiken
Infrastrukturrisiken
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
26
Überblick Ordnungsmäßigkeitsanforderungen
Vollständigkeit § 239 II HGB
=
Zeitgerechtheit § 239 II HGB
|
Nachvollziehbarkeit§ 239 I 2 HGB
Verfahrensdokumentation
Richtigkeit § 239 II HGB
=
Ordnung§ 239 II HGBzeitlich + sachlich
Unveränderlichkeit§ 239 III HGB
Verfahrensdokumentation
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
27
Überblick Sicherheitsanforderungen
Vertraulichkeit
Verfügbarkeit
Authentizität
Integrität
Autorisierung
Verbindlichkeit
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
28
Standards des IDW im Überblick
IDW RS FAIT 1
GoB bei Einsatz von Informationstechnologie
IDW RS FAIT 2
GoB bei Einsatz von Electronic Commerce
IDW RS FAIT 3
GoB beim Einsatz elektronischer Archivierungsverfahren
IDW RS FAIT 4
Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse
IDW PS 261
Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken
IDW PS 330
Abschlussprüfung bei Einsatz von Informationstechnologie
IDW PS 951
Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungs-unternehmen ausgelagerte Funktionen
IDW PS 880 nF
Die Prüfung von Softwareprodukten
PH.9.330.1 Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie
PH.9.330.2 Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung
PH.9.330.3 Einsatz von Datenanalysen im Rahmen der Abschlussprüfung
IKS
IKS
IKS
-IT
Anw
endu
ng
Prüfungsstandards Bescheinigungen
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
29
Bedeutung und Einfluss der IT
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
30
Informationstechnologie und KMU
■ Organisation der IT■ Besonderheiten beim Mittelstand
31
Organisation und IT
■ Ohne den Einsatz von IT ist eine schlagkräftige und effektive Organisation nicht mehr vorstellbar.
■ Ohne eine effiziente Organisation ist ein erfolgreicher Marktauftritt im globalen Wettbewerb kaum möglich.
■ Unternehmen richten ihre Organisation zunehmend an den Märkten aus, die i.d.R. auf den wertschöpfenden Kernprozessen basiert.
■ Diese Geschäftsprozesse werden zunehmend in automatisierten, standardisierten, integrierten und flexiblen IT-Landschaften abgewickelt.
■ Die Informationen zur unternehmerischen Planung, Steuerung und Überwachung werden kontinuierlich aus diesen Systemen und Prozessen generiert.
■ Die IT-Organisation ist integraler Bestandteil der Unternehmens-organisation; IT Governance ist Teil der Corporate Governance
■ Das gilt auch für KMU !
Unternehmen, Wirtschaftsprüfung und Informationstechnologie
32
IT-Systemprüfung und mittelständische Mandanten
■ Mittelständische Mandanten, u.a.● Niveau der IT-Integration z.T.
höher als bei Großunternehmen● Funktionstrennung oft nicht möglich● hohe Bandbreite an Unternehmensformen
und Organisationen● häufig eigentümergeführt● Selbstverständlichkeit der IT-Prüfung
nicht gegeben!● Honorardiskussion (Effizienzverbesserung)● Verdeutlichung des Mehrwerts für Mandanten
(neben Mehrwert für den Prüfer)
33
Identifizierung relevanterIT-Systeme
Ermittlung der wertmäßig bedeutenden Kontensalden
Festlegung der zu untersuchenden Posten der Bilanz und GuV
Identifizierung der zugrunde liegenden Geschäftsprozesse
Erhebung der jeweiligen IT-Systeme/Anwendungen für diese Transaktionen
34
Identifizierung relevanterIT-Systeme
■ Neben IT-Risiken, die zu wesentlichen Fehlern in der Bilanz & GuV führen, gibt es weitere prüfungsrelevante IT-Risiken
■ Beispiele für weitere IT-Risiken des Unternehmens ● Datenverlust oder Datenverfälschung
(z.B. Keine Rücksicherung nach Systemausfall)● Ausfall oder Einschränkung operativer Funktionen
(z.B. Keine Fakturierung möglich)● Falsche unternehmerische Entscheidungen
(z.B. Fehlerhafte Kalkulation mit Excel)
35
Daten und Systeme stehen vollständig und richtig zur Verfügung, kein Unbefugter kann Informationen verändern.
Informationen sind dann verfügbar, wenn sie benötigt werden; funktionsfähige Ressourcen.
Bearbeitung und Weitergabe von Informationen oder Geschäftsvorfällen sollen nur durch Berechtigte erfolgen.
Informationen stammen aus der vorgegebenen Quelle; eindeutige Zuordnung zum Verursacher.
Die Quelle der Informationen kann deren Sendung nicht abstreiten; Herbeiführung bindender Rechtsfolgen.
Kein Unbefugter kann auf Informationen zugreifen und diese lesen.
Sicherheitsanforderungen (IDW RS FAIT 1) | Wiederholung
Vertraulichkeit
Integrität
Verfügbarkeit
Autorisierung
Authentizität
Verbindlichkeit
36
Grundprämisse
„Alle Sicherheitsanforderungen sind wichtig! Integrität und Verfügbarkeit sind absolut unerlässlich“.
37
Prüfung der IT bei KMU
■ Prüfung des IT-Umfelds und der IT-Organisation
■ Prüfung IT-Infrastruktur■ Prüfung Anwendungen
Begrüßung
38
Prüfung der Sicherheitskonzeption
Berechtigungs-vergabe
Internet undE-Mail-Dienste
Notfallplanung
Kompetenzen
Verantwortlichkeiten
Sicherheits-KonzeptSicherheitsgrundsätze, übergreifende Regeln
Vorgehensweisen, Methoden, Standards
Policy fürIT - Mitarbeiter
Policy füralle Benutzer
(IDW RS FAIT 1, Tz. 21)
39
Prüfung der IT-Organisation
• Organigramme des Unternehmens und des IT-Bereichs
Aufnahme
Aufbauprüfung Funktionsprüfung• Unabhängigkeit IT-Bereich und
Fachbereiche• Gliederung der Aufgaben
(z.B. Entwicklung/IT-Betrieb)• klare Beschreibung der Aufgaben• Regelungen Zusammenarbeit mit
Fachbereichen (bei KMU wichtig!)• Vertreterregelung
• Entsprechen Tätigkeits- und Funktionsbeschreibungen der Realität?
• Sind Funktionstrennungen im Zugriffsschutzsystem abgebildet?
40
IT-Abteilung | 1
■ Risiken für die Datenintegrität● unautorisierte Änderungen
□ rechnungslegungsrelevante Daten!□ Programme□ Kernfrage: WER darf WAS? □ Kontrollen sollen verhindern oder□ zumindest aufdecken
● dolose Handlungen
41
IT-Abteilung | 2
■ Gegenmaßnahmen (Kontrollen)● Arbeitsplatzbeschreibungen
□ bei KMU eher selten!● Funktionstrennung
□ ausreichend und umgesetzt?□ wenn NICHT kompensierende Kontrollen
● Berechtigungskonzept□ dokumentiert vorhanden?□ angemessen kontrollierter Prozess□ inkl. Exit-Verfahren□ Rolle von Super-Usern
● Change Management
Exkurs: Datenprüfung
Begrüßung
43
Datenprüfung
■ Datenprüfung kann die Prüfungsqualität und -effizienz erhöhen
■ Möglichkeit der Prüfung von Massentransaktionen■ Best-Practice
aber
■ Kein Allheilmittel■ Nur Teil des Methodenmix■ Kenntnisse über Daten und Systeme zwingend
44
Funktionstrennungbei KMU
■ Funktionstrennungsmatrix aufstellen
■ Analyse: Wer hat gebucht ?● Auffälligkeiten● Auseinandersetzung mit Berechtigungskonzept● Auseinandersetzung mit Fraud
ST BD BE WE RE ZAStammdatenpflege (ST) NR K KBedarfsermittlung (BD) NR Bestellung (BE) K NR KWareneingang (WE) NR Rechnungseingang/-prüfung (RE) NR Zahlung (ZE) K K NR
45
Funktionstrennung im Einkauf Eine erste Datenprüfung
■ Datenquellen z.B.● User-Kennung im Stammsatz/Konditionensatz● User-Kennung Materialbeleg ● User-Kennung Zahlungsbuchung ● etc.
■ Gegenüberstellung in einer Matrixform
User ST BD BE WE RE ZA
K. Moss 300 50
M. Jovowitsch 70 20
C. Crawford 900
N. Campbell 50
46
Prüfung IT-gestützter Rechnungslegungssysteme
■ Prüfung des IT-Umfelds und der IT-Organisation
■ Prüfung IT-Infrastruktur■ Prüfung Anwendungen
47
Prüfung der IT-Infrastruktur
■ Die Prüfung der IT-Infrastruktur richtet sich auf● physische Sicherungsmaßnahmen● logische Zugriffskontrollen (Netzwerk, Server)● Maßnahmen für den geordneten Regelbetrieb● Verfahren für den Notbetrieb● Maßnahmen zur Sicherung der Betriebsbereitschaft
(IDW PS 330, Tz. 53)
48
Umfang der physischen Sicherungsmaßnahmen
bauliche Maßnahmen
Versorgungseinrichtungen
Zugangskontrollen
Gebäudeschutz
DatenintegritätVerfügbarkeit
Vertraulichkeit
Authentizität
49
Physische Sicherungsmaßnahmen
• Übersichtspläne (Lagepläne, Schließanlage,...)
• Serverraumbegehung
• Verträge mit IT-Dienstleistern• Zutrittssysteme und
Berechtigungsvergabe
Aufnahme
Aufbauprüfung Funktionsprüfung• Beurteilung der Angemessenheit
- des Standorts- der organisatorischen
Regelungen - technischer Maßnahmen
• stichprobenartige Prüfung der vergebenen Zugangsberechtigungen
• Prüfung der Wartungsverträge• stichprobenartige Prüfung der
Zugangs- und Wartungsprotokolle
50
Physische Sicherheitsmaßnahmen
■ Zugangskontrollen● Überwacht und sicher?● Zugang von Dienstleistern?● Protokolliert?● „Social Engineering“
■ Diebstahlsicherung■ Schutz vor Umwelteinflüssen
● Feuer● Wasser● Temperatur● Strom
51
Logische Zugriffskontrollen
■ Berechtigungskonzept● Zugriff auf Infrastruktur UND Anwendungen● Ausreichend durchdacht
□ Differenzierte Benutzergruppen?□ Minimale Zugriffsrechte?
● Richtig umgesetzt□ Standardpasswörter geändert?□ Periodische Änderung der Passwörter?□ Löschen ausgeschiedener Mitarbeiter?
52
Datensicherung und Auslagerung
• Datensicherungskonzept• Arbeitsanweisungen• Datensicherungsprotokolle
• Übersichtspläne der Sicherungs- Infrastruktur
Aufnahme
Aufbauprüfung Funktionsprüfung• Angemessenheit der eingesetzten
Datensicherungsverfahren • Nachvollziehbarkeit der
Dokumentation• Sicherstellung der
Wiederauffindbarkeit der Daten
• Begehung der Archivräume (z.B. Tresor)
• Sichtkontrolle der Datensicherungsträger
• Prüfung des Schedulers (Kalender)• stichprobenartige Prüfung der
Datensicherungsprotokolle• Rücksicherungen, Tests
53
Datensicherung und Auslagerung
Risiko Kontrolle/Maßnahme FunktionsprüfungVerlust von Daten durch: Umwelteinflüsse Viren Diebstahl
Regelmäßige Sicherung der Daten
Mindestens eine ausgelagerte Datensicherung
Wurden Sicherungen regelmäßig durch-geführt?
Sind verschiedene Generationen vorhanden?
Gibt es ausgelagerte Datensicherungen?
Ist der Auslagerungsort sicher?
Werden alle relvanten Daten gesichert?
Sind die Datensicherungen jederzeit verfügbar?
54
• Handbücher • Administratoranweisungen• Job/Batch Aufstellungen
Aufnahme
Aufbauprüfung Funktionsprüfung• Abgleich der Anweisungen mit
erforderlichem Regelungsumfang• Prüfung der im Handbuch
aufgeführten Protokolle, Jobs und Nachweise auf Existenz und Aufbewahrung
• Durchsicht Protokolle auf (wiederkehrende) Fehler
Praxishinweis
Bei KMU sollte ERST das interne/externe Berichtswesen erhoben werden
IT-Regelbetrieb
55
• Notfall- und Wiederanlaufplan• Testdokumentationen
• Wartungs- und Wiederbeschaffungsverträge
Aufnahme
Aufbauprüfung Funktionsprüfung• Berücksichtigung unternehmens-
spezifischer Risiken• Berücksichtigung der Abhängigkeit
des Unternehmens von der IT• Prüfung der Plausibilität der
Schadenszenarien
• Prüfung der Testprotokolle• Prüfung der eingetretenen Notfälle
hinsichtlich- Dokumentation- Vorgehen gemäß Notfallplan
Sicherung der Betriebsbereitschaft
56
Prüfung IT-gestützter Rechnungslegungssysteme
■ Prüfung des IT-Umfelds und der IT-Organisation
■ Prüfung IT-Infrastruktur■ Prüfung Anwendungen
57
Überblick
■ Prüfung der Programmfunktionen
■ Auswahl, Entwicklungs- und Änderungsprozess
■ Implementierung
■ Eingabekontrollen■ Verarbeitungskontrollen■ Ausgabekontrollen
Ordnungsmäßigkeit von IT-Anwendungen setzt voraus:
Anwendungsbezogene Kontrollen
GenerelleKontrollen
(IDW PS 330, Tz. 70)
58
IDW PH 9.330.1
■ Ausgewählte Punkte zu IT-Anwendungen● Liegt eine Verfahrensdokumentation vor?
□ Anwendungsdokumentation?□ technische Systemdokumentation?
● Gewährleisten IT-Anwendungen die Erfüllung der Beleg-, Journal und Kontenfunktion?
● Existiert eine Softwarebescheinigung?□ für die eingesetzte Version?□ Führen evtl. Abweichungen zu einer Beeinträchtigung
der Beleg-, Journal oder Kontenfunktion?
● Bei KMU häufig Standardsoftware
59
Fazit
■ Auch KMU sind inzwischen hochgradig abhängig von IT■ Für den WP muss die Verlässlichkeit und Verfügbarkeit
der Daten im Vordergrund stehen■ Systematische Auseinandersetzung mit IT-Risiken im
Rahmen der JAP■ Nicht „Feuerlöscher zählen“ sondern IKS-Prüfung■ IT-Prüfung im Rahmen der JAP ist keine
Raketenwissenschaft■ Nur Mut!
60
Wir sind für Sie da – sprechen Sie uns an
Ebner Stolz Mönning BachemGmbH & Co. KGWirtschaftsprüfungsgesellschaftSteuerberatungsgesellschaftAdmiralitätstraße 1020459 [email protected]. +49 40 37097-220Fax +49 40 37097-199
Holger Klindtworth CISA, CIA, CISMPartner