36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger...

36. Deutsch-Dänisches Seminar

IT-Systemprüfung bei KMUSchwerin 5. September 2013

Holger Klindtworth

2

Inhalt

■ Einführung■ Informationstechnologie

und der WP■ Informationstechnologie

und KMU■ Prüfung der IT bei KMU■ Fazit

3

Einführung

■ 4000 v. Christus■ Das Archiv des IDW■ Entwicklung der IT im Zeitablauf■ IT und Risiko■ Praxisbeispiel Cloud Computing bei KMU

Begrüßung

4

Handelsrecht | Buchhaltung | Tiefe Vergangenheit

■ 4000 v. Christus, die Sumerer dokumentieren Geschäftsvorfälle

■ Das ist die Geburt des Buchungs-journals

■ Bei der Erfindung der Buchhaltung, wird nebenbei die Schriftsprache erfunden

■ Einhaltung des "Radierverbots" ergibt sich hier aus dem Speichermedium

■ Die „kaufmännische Datenverarbeitung“ hat begonnen■ Etwas später gelten die „Grundsätze ordnungsmäßiger Buchführung

(GoB)“ (Handelsrecht) und die daraus abgeleiteten „Grundsätze ordnungsmäßiger DV-gestützer Buchführungssysteme (GoBS)“ von 1995 n. Christus (Steuerrecht)

5

Begrüßung

6

EinleitungEntwicklung der IT im Zeitablauf

Unternehmen, Wirtschaftsprüfung und Informationstechnologie

Integrierte Software – vernetzte Unternehmen

Grundbuch Anwendung 1

Hauptbuch Anwendung 2

Anlagen Anwendung 3

offene Posten Anwendung 4

1980erInsellösungen mit

Schnittstellen

1990erIntegration der

Prozesse in einem Unternehmen

2000erProzessintegration über Unternehmensgrenzen

2010erVernetzung und Cloud

Computing

7

Grundprämisse

„Die nachhaltigste und effektivste Methode, ein Unternehmen zu Grunde zu richten, kann der Einsatz von Informationstechnologie sein.“

Prüferweisheit

8

Alan Turing

IT und Risiko | 1

■ Es kann bewiesen werden, dass die richtige und vollständige Verarbeitung durch ein Computer-programm (Turing-Maschine) nicht bewiesen werden kann …und wir alle kennen Schäden durch die IT.

■ Das heißt, auch für die Prüfung gilt:Nur, weil der Prüfer keine Fehler findet, muss nicht alles richtig sein.

■ Das heißt schlimmer:Nur „weil“ wir Auffälligkeiten finden, muss nicht alles falsch sein.

9

IT und Risiko | 2 | Hamburg

■ Das ursprüngliche Becken des Alstersees entstand durch einen Mühlenstau im Verlauf des Reesendamms.

■ Die Alster wurde um ca. 1190 aufgestaut, um eine Kornmühle zu betreiben.

■ 1235 wurde ein zweiter Damm für eine weitere Mühle gebaut, der die Alsterwiesen aufgrund eines Berechnungsfehlers zum Alstersee überschwemmte.

■ IT wurde nicht eingesetzt.

10

IT und Risiko | 3 | Wasser

■ Vermutung● Mühlenstau bei

Einsatz von IT■ keine Standards■ keine Kontrollen■ keine Nachvollziehbarkeit■ keine Revisionssicherheit

siehe auch: http://www.eusprig.org/horror-stories.htm

11

IT und Risiko | 4 | Komplexität von Projekten

BER

HH-EP

S21

12

Grundprämisse

„Der Wirtschaftsprüfer bestätigt mit seiner Unterschriftdie Ordnungsmäßigkeit der Buchhaltung (u.a. Richtigkeit und Vollständigkeit)“

13

EinleitungGegenwart > Cloud Computing

Quelle: Cloud Computing: Web-basierte dynamische IT-Services von Christian Baun, Marcel Kunze, Jens Nimis, Stefan Tai


„Cloud Computing“ erlaubt die Bereitstellung und Nutzung von IT-Infrastruktur, von Plattformen und von Anwendungen aller Art als im Internet elektronisch verfügbare Dienste

Begriff „Cloud“ deutet dabei an, dass die Dienste von einem Provider im Internet (bzw. im Intranet eines Unternehmens erbracht werden)

„Cloud“-Ressourcen sind in der Regel virtualisiert, d.h. keiner eindeutigen technischen Plattform zugeordnet Cloud Computing ist möglich dank

der enormen Steigerung der Rechenleistung der flächendeckenden Verfügbarkeit höherer Bandbreiten und der Virtualisierungstechnologien

D.h. JEDE Übertragung einer E-Mail ist Cloud Computing. Im Jahr 2010 wurden ca. 107 Billionen E-Mails verschickt, mit einem Spam-Anteil von 89,1 %*

Übertragung der Daten durch die Wolke (verschlüsselt über VPN/unverschlüsselt) Unterscheidung in Private / Public Clouds: unternehmensintern / -übergreifend

14

■ Praxisszenario: Kleines mittelständisches Mandat ● Finanzbuchhaltung in der „Cloud“● Buchhaltungsbelege werden am „Heimarbeitsplatz“

erfasst● Im Büro keine IT-Infrastruktur …● … bis auf Kommunikationsanbindung und „Thin-Clients“● Mobiler Zugriff auf das Reporting durch Geschäftsführer

via mobilem Endgerät

● Gleiches Vorgehen für□ Office-Dateien (Angebote, Aufträge, Bestellungen…)□ E-Mail und Kalender

● Faktisch keine eigene IT mehr

EinleitungGegenwart > Cloud Computing

15

■ Zunehmende Bedeutung und rasante Entwicklung der Informationstechnologie in Wirtschaft und Gesellschaft

■ Chancen und Risiken der Informationstechnologie● Chancen z.B. durch Standardisierung, Automatisierung

und Effizienzgewinne● Risiken z.B. durch Abhängigkeiten, Sicherheitsprobleme

und Datenverluste

■ Werden im Zeitalter des Internets Wirtschaftsprüfer als angemessen kompetent im Thema IT wahrgenommen?


EinleitungBedeutung der IT

16

Informationstechnologie und der WP

■ Rolle des WP■ Herausforderungen■ IT beim Mandanten■ Handelsrecht und IT■ Das IT-IKS■ Prüfungsstandards

17

EinleitungVeränderungen mit Chancen und Risiken

WP – Veränderungen des Berufsbilds- Stellung und Funktion – Öffentlichkeit- Arbeitsweise und Standards – Effizienz- Wissen und Erfahrung – IT-Wissen

IT – in der WP-Praxis- Einsatz für die Praxisorganisation- Nutzung in der Prüfung und Beratung

IT beim Mandanten- für Organisationsprozesse und IKS/RMS- als nützliche und schutzwürdige Ressource


18

Informationstechnologie und WPHerausforderungen > IT in der WP-Praxis

■ Das Prüfungsfeld IT wird weiterhin bedeutungsvollerfür den Abschlussprüfer.

■ Der Einsatz von IT in der Wirtschaftsprüferpraxis auch.■ Die Anforderungen, die der WP an die Rechnungslegung

beim Mandanten stellt, gilt auch für die eigene IT.■ IT-Sicherheit in der WP-Praxis gewinnt an Bedeutung.■ Die digitale Welt ist auch für den WP nicht mehr

aufzuhalten (z.B. ELSTER, EHUG, eBilanz etc.). ■ Mit der Vernetzung steigt der potenzielle Missbrauch durch

unternehmerische und auch durch soziale Netzwerke.■ Je mehr Geschäftserfolg mit IT verknüpft ist,

desto wichtiger ist IT-Sicherheit.■ Je mehr Berührungspunkte, desto größer die Gefahr!

19

Informationstechnologie und WPHerausforderungen > IT beim Mandanten

■ Informationstechnologie ist ein wichtiger Prüfungsgegenstand, der weiterhin komplexer wird.

■ Auch KMUs setzen inzwischen integrierte kaufmännische Anwendungssysteme für ihre Geschäftsprozesse ein.

■ Wissen in der Informationstechnologie aufzubauen, vorzuhalten und zielgerichtet einzusetzen ist von entscheidender Bedeutung.

■ Wirtschaftliche Prüfungsdurchführung trotz oder gerade durch IT

20

Handelsrecht Anforderungen HGB an die IT

■ Konkretisierung der aus § 257 HGB resultierenden Anforderungen an den IT-Einsatz:● Funktionsfähiges Internes Kontrollsystem● Nachvollziehbares (buchhalterisches) Verfahren● Einhaltung Journal-, Beleg-, Kontenfunktion● Speicherung auf Datenträger bei GoB-Einhaltung● Aufbewahrung, empfangene Handelsbriefe und

Buchungsbelege

21

IT-Kontrollsystem

■ IT-Kontrollsystem● ist Bestandteil des internen Kontrollsystems (IKS)● umfasst diejenigen Grundsätze, Verfahren und Maßnahmen

(Regelungen), die zur Bewältigung der Risiken aus dem Einsatz von IT eingerichtet werden□ Regelungen zur Steuerung des Einsatzes von IT im

Unternehmen (internes Steuerungssystem)□ Regelungen zur Überwachung der Einhaltung dieser

Regelungen (internes Überwachungssystem)

Praxishinweis

„internal controls“ bedeutet NICHT interne Kontrollen. „Control“ bedeutet u.a. Steuerung. Eine Richtlinie hat Kontrollfunktionen im Sinne IKS.

22

Vorgehensweise bei der IT-Prüfung

Beurteilung der Angemessenheit

vorl. Beurteilung der Wirksamkeit

Aufbau-prüfung

Prüfung der Wirksamkeit

Beurteilung der Wirksamkeit

Funktions-prüfung

Aufnahme

IT-System

IT-Geschäftsprozess

IT-Anwendungen

IT-InfrastrukturIT-K

ontro

llsys

tem

(IT

-Org

anis

atio

n/IT

-U

mfe

ld)

23

Geschäftsprozesse und Informationstechnologie

■ IT-System

(IDW RS FAIT 1) Netze

beeinflusst

beeinflusst

Hardware

IT-U

mfe

ld, -

Org

anis

atio

nGeschäfts-prozessebeneCycles

Applikations-/SystemebeneIT-Anwendungen

TechnischeSystemebeneIT-Infrastruktur

EA

DC

BB

Int. ReLeOper. Sys.

Ext. ReLe

Geschäftsprozesse

IT-Anwendungen

IT-Infrastruktur

z.B. Beschaffung, Absatz, Personal


24

■ IT-System

Geschäftsprozesse und Informationstechnologie

Sicherheitskonzept(Zugriffskontrollen, Sicherungsmaßnahmen, Datensicherungsverfahren, Auslagerung)

Organisationshandbuch (Regelbetrieb) Katastrophenfall-Szenarien (Notfall)

Anwendungsbezogene Kontrollen(Eingabe-, Verarbeitungs-, Ausgabekontrollen)

Generelle Kontrollen(Software-Entwicklung und -Beschaffung,Test- und Freigabeverfahren, Change Mgt.)

Interne Kontrollprozesse Datenaustausch (Teilsysteme) Zugriffsrechte (Berechtigungskonzepte) Funktionale Anforderungen (GoB) Prozessübergreifende Stammdatenpflege

Finanzbericht-erstattung

Netze

beeinflusst

beeinflusst

Hardware

EA

DC

BB

Int. ReLeOper. Sys.

Ext. ReLe


M

25

Anforderungen nach IDW RS FAIT 1

IT-gestützter Geschäftsprozess

IT-Anwendung

IT-Infrastruktur

IT-System

IT-K

ontro

llsys

tem

(IT-O

rgan

isat

ion/

-Um

feld

)

Prü

fung

sgeg

enst

and

(sow

eit r

echn

ungs

legu

ngsr

elev

ant)

Prü

fung

szie

l

Prüfungskriterien

Ordnungsmäßigkeit der Rechnungslegung:Vollständige, richtige, zeitgerechte, geordnete,

nachvollziehbare und unveränderbareVerarbeitung

Sicherheit:Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit,Integrität, Verfügbarkeit

Prozessrisiken

Anwendungsrisiken

Infrastrukturrisiken


26

Überblick Ordnungsmäßigkeitsanforderungen

Vollständigkeit § 239 II HGB

=

Zeitgerechtheit § 239 II HGB

|

Nachvollziehbarkeit§ 239 I 2 HGB

Verfahrensdokumentation

Richtigkeit § 239 II HGB

=

Ordnung§ 239 II HGBzeitlich + sachlich

Unveränderlichkeit§ 239 III HGB

Verfahrensdokumentation


27

Überblick Sicherheitsanforderungen

Vertraulichkeit

Verfügbarkeit

Authentizität

Integrität

Autorisierung

Verbindlichkeit


28

Standards des IDW im Überblick

IDW RS FAIT 1

GoB bei Einsatz von Informationstechnologie

IDW RS FAIT 2

GoB bei Einsatz von Electronic Commerce

IDW RS FAIT 3

GoB beim Einsatz elektronischer Archivierungsverfahren

IDW RS FAIT 4

Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse

IDW PS 261

Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken

IDW PS 330

Abschlussprüfung bei Einsatz von Informationstechnologie

IDW PS 951

Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungs-unternehmen ausgelagerte Funktionen

IDW PS 880 nF

Die Prüfung von Softwareprodukten

PH.9.330.1 Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie

PH.9.330.2 Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung

PH.9.330.3 Einsatz von Datenanalysen im Rahmen der Abschlussprüfung

IKS

IKS

IKS

-IT

Anw

endu

ng

Prüfungsstandards Bescheinigungen


29

Bedeutung und Einfluss der IT


30

Informationstechnologie und KMU

■ Organisation der IT■ Besonderheiten beim Mittelstand

31

Organisation und IT

■ Ohne den Einsatz von IT ist eine schlagkräftige und effektive Organisation nicht mehr vorstellbar.

■ Ohne eine effiziente Organisation ist ein erfolgreicher Marktauftritt im globalen Wettbewerb kaum möglich.

■ Unternehmen richten ihre Organisation zunehmend an den Märkten aus, die i.d.R. auf den wertschöpfenden Kernprozessen basiert.

■ Diese Geschäftsprozesse werden zunehmend in automatisierten, standardisierten, integrierten und flexiblen IT-Landschaften abgewickelt.

■ Die Informationen zur unternehmerischen Planung, Steuerung und Überwachung werden kontinuierlich aus diesen Systemen und Prozessen generiert.

■ Die IT-Organisation ist integraler Bestandteil der Unternehmens-organisation; IT Governance ist Teil der Corporate Governance

■ Das gilt auch für KMU !


32

IT-Systemprüfung und mittelständische Mandanten

■ Mittelständische Mandanten, u.a.● Niveau der IT-Integration z.T.

höher als bei Großunternehmen● Funktionstrennung oft nicht möglich● hohe Bandbreite an Unternehmensformen

und Organisationen● häufig eigentümergeführt● Selbstverständlichkeit der IT-Prüfung

nicht gegeben!● Honorardiskussion (Effizienzverbesserung)● Verdeutlichung des Mehrwerts für Mandanten

(neben Mehrwert für den Prüfer)

33

Identifizierung relevanterIT-Systeme

Ermittlung der wertmäßig bedeutenden Kontensalden

Festlegung der zu untersuchenden Posten der Bilanz und GuV

Identifizierung der zugrunde liegenden Geschäftsprozesse

Erhebung der jeweiligen IT-Systeme/Anwendungen für diese Transaktionen

34

Identifizierung relevanterIT-Systeme

■ Neben IT-Risiken, die zu wesentlichen Fehlern in der Bilanz & GuV führen, gibt es weitere prüfungsrelevante IT-Risiken

■ Beispiele für weitere IT-Risiken des Unternehmens ● Datenverlust oder Datenverfälschung

(z.B. Keine Rücksicherung nach Systemausfall)● Ausfall oder Einschränkung operativer Funktionen

(z.B. Keine Fakturierung möglich)● Falsche unternehmerische Entscheidungen

(z.B. Fehlerhafte Kalkulation mit Excel)

35

Daten und Systeme stehen vollständig und richtig zur Verfügung, kein Unbefugter kann Informationen verändern.

Informationen sind dann verfügbar, wenn sie benötigt werden; funktionsfähige Ressourcen.

Bearbeitung und Weitergabe von Informationen oder Geschäftsvorfällen sollen nur durch Berechtigte erfolgen.

Informationen stammen aus der vorgegebenen Quelle; eindeutige Zuordnung zum Verursacher.

Die Quelle der Informationen kann deren Sendung nicht abstreiten; Herbeiführung bindender Rechtsfolgen.

Kein Unbefugter kann auf Informationen zugreifen und diese lesen.

Sicherheitsanforderungen (IDW RS FAIT 1) | Wiederholung

Vertraulichkeit

Integrität

Verfügbarkeit

Autorisierung

Authentizität

Verbindlichkeit

36

Grundprämisse

„Alle Sicherheitsanforderungen sind wichtig! Integrität und Verfügbarkeit sind absolut unerlässlich“.

37

Prüfung der IT bei KMU

■ Prüfung des IT-Umfelds und der IT-Organisation

■ Prüfung IT-Infrastruktur■ Prüfung Anwendungen

Begrüßung

38

Prüfung der Sicherheitskonzeption

Berechtigungs-vergabe

Internet undE-Mail-Dienste

Notfallplanung

Kompetenzen

Verantwortlichkeiten

Sicherheits-KonzeptSicherheitsgrundsätze, übergreifende Regeln

Vorgehensweisen, Methoden, Standards

Policy fürIT - Mitarbeiter

Policy füralle Benutzer

(IDW RS FAIT 1, Tz. 21)

39

Prüfung der IT-Organisation

• Organigramme des Unternehmens und des IT-Bereichs

Aufnahme

Aufbauprüfung Funktionsprüfung• Unabhängigkeit IT-Bereich und

Fachbereiche• Gliederung der Aufgaben

(z.B. Entwicklung/IT-Betrieb)• klare Beschreibung der Aufgaben• Regelungen Zusammenarbeit mit

Fachbereichen (bei KMU wichtig!)• Vertreterregelung

• Entsprechen Tätigkeits- und Funktionsbeschreibungen der Realität?

• Sind Funktionstrennungen im Zugriffsschutzsystem abgebildet?

40

IT-Abteilung | 1

■ Risiken für die Datenintegrität● unautorisierte Änderungen

□ rechnungslegungsrelevante Daten!□ Programme□ Kernfrage: WER darf WAS? □ Kontrollen sollen verhindern oder□ zumindest aufdecken

● dolose Handlungen

41

IT-Abteilung | 2

■ Gegenmaßnahmen (Kontrollen)● Arbeitsplatzbeschreibungen

□ bei KMU eher selten!● Funktionstrennung

□ ausreichend und umgesetzt?□ wenn NICHT kompensierende Kontrollen

● Berechtigungskonzept□ dokumentiert vorhanden?□ angemessen kontrollierter Prozess□ inkl. Exit-Verfahren□ Rolle von Super-Usern

● Change Management

Exkurs: Datenprüfung

Begrüßung

43

Datenprüfung

■ Datenprüfung kann die Prüfungsqualität und -effizienz erhöhen

■ Möglichkeit der Prüfung von Massentransaktionen■ Best-Practice

aber

■ Kein Allheilmittel■ Nur Teil des Methodenmix■ Kenntnisse über Daten und Systeme zwingend

44

Funktionstrennungbei KMU

■ Funktionstrennungsmatrix aufstellen

■ Analyse: Wer hat gebucht ?● Auffälligkeiten● Auseinandersetzung mit Berechtigungskonzept● Auseinandersetzung mit Fraud

ST BD BE WE RE ZAStammdatenpflege (ST) NR K KBedarfsermittlung (BD) NR Bestellung (BE) K NR KWareneingang (WE) NR Rechnungseingang/-prüfung (RE) NR Zahlung (ZE) K K NR

45

Funktionstrennung im Einkauf Eine erste Datenprüfung

■ Datenquellen z.B.● User-Kennung im Stammsatz/Konditionensatz● User-Kennung Materialbeleg ● User-Kennung Zahlungsbuchung ● etc.

■ Gegenüberstellung in einer Matrixform

User ST BD BE WE RE ZA

K. Moss 300 50

M. Jovowitsch 70 20

C. Crawford 900

N. Campbell 50

46

Prüfung IT-gestützter Rechnungslegungssysteme



47

Prüfung der IT-Infrastruktur

■ Die Prüfung der IT-Infrastruktur richtet sich auf● physische Sicherungsmaßnahmen● logische Zugriffskontrollen (Netzwerk, Server)● Maßnahmen für den geordneten Regelbetrieb● Verfahren für den Notbetrieb● Maßnahmen zur Sicherung der Betriebsbereitschaft

(IDW PS 330, Tz. 53)

48

Umfang der physischen Sicherungsmaßnahmen

bauliche Maßnahmen

Versorgungseinrichtungen

Zugangskontrollen

Gebäudeschutz

DatenintegritätVerfügbarkeit

Vertraulichkeit

Authentizität

49

Physische Sicherungsmaßnahmen

• Übersichtspläne (Lagepläne, Schließanlage,...)

• Serverraumbegehung

• Verträge mit IT-Dienstleistern• Zutrittssysteme und

Berechtigungsvergabe

Aufnahme

Aufbauprüfung Funktionsprüfung• Beurteilung der Angemessenheit

- des Standorts- der organisatorischen

Regelungen - technischer Maßnahmen

• stichprobenartige Prüfung der vergebenen Zugangsberechtigungen

• Prüfung der Wartungsverträge• stichprobenartige Prüfung der

Zugangs- und Wartungsprotokolle

50

Physische Sicherheitsmaßnahmen

■ Zugangskontrollen● Überwacht und sicher?● Zugang von Dienstleistern?● Protokolliert?● „Social Engineering“

■ Diebstahlsicherung■ Schutz vor Umwelteinflüssen

● Feuer● Wasser● Temperatur● Strom

51

Logische Zugriffskontrollen

■ Berechtigungskonzept● Zugriff auf Infrastruktur UND Anwendungen● Ausreichend durchdacht

□ Differenzierte Benutzergruppen?□ Minimale Zugriffsrechte?

● Richtig umgesetzt□ Standardpasswörter geändert?□ Periodische Änderung der Passwörter?□ Löschen ausgeschiedener Mitarbeiter?

52

Datensicherung und Auslagerung

• Datensicherungskonzept• Arbeitsanweisungen• Datensicherungsprotokolle

• Übersichtspläne der Sicherungs- Infrastruktur

Aufnahme

Aufbauprüfung Funktionsprüfung• Angemessenheit der eingesetzten

Datensicherungsverfahren • Nachvollziehbarkeit der

Dokumentation• Sicherstellung der

Wiederauffindbarkeit der Daten

• Begehung der Archivräume (z.B. Tresor)

• Sichtkontrolle der Datensicherungsträger

• Prüfung des Schedulers (Kalender)• stichprobenartige Prüfung der

Datensicherungsprotokolle• Rücksicherungen, Tests

53

Datensicherung und Auslagerung

Risiko Kontrolle/Maßnahme FunktionsprüfungVerlust von Daten durch: Umwelteinflüsse Viren Diebstahl

Regelmäßige Sicherung der Daten

Mindestens eine ausgelagerte Datensicherung

Wurden Sicherungen regelmäßig durch-geführt?

Sind verschiedene Generationen vorhanden?

Gibt es ausgelagerte Datensicherungen?

Ist der Auslagerungsort sicher?

Werden alle relvanten Daten gesichert?

Sind die Datensicherungen jederzeit verfügbar?

54

• Handbücher • Administratoranweisungen• Job/Batch Aufstellungen

Aufnahme

Aufbauprüfung Funktionsprüfung• Abgleich der Anweisungen mit

erforderlichem Regelungsumfang• Prüfung der im Handbuch

aufgeführten Protokolle, Jobs und Nachweise auf Existenz und Aufbewahrung

• Durchsicht Protokolle auf (wiederkehrende) Fehler

Praxishinweis

Bei KMU sollte ERST das interne/externe Berichtswesen erhoben werden

IT-Regelbetrieb

55

• Notfall- und Wiederanlaufplan• Testdokumentationen

• Wartungs- und Wiederbeschaffungsverträge

Aufnahme

Aufbauprüfung Funktionsprüfung• Berücksichtigung unternehmens-

spezifischer Risiken• Berücksichtigung der Abhängigkeit

des Unternehmens von der IT• Prüfung der Plausibilität der

Schadenszenarien

• Prüfung der Testprotokolle• Prüfung der eingetretenen Notfälle

hinsichtlich- Dokumentation- Vorgehen gemäß Notfallplan

Sicherung der Betriebsbereitschaft

56

Prüfung IT-gestützter Rechnungslegungssysteme



57

Überblick

■ Prüfung der Programmfunktionen

■ Auswahl, Entwicklungs- und Änderungsprozess

■ Implementierung

■ Eingabekontrollen■ Verarbeitungskontrollen■ Ausgabekontrollen

Ordnungsmäßigkeit von IT-Anwendungen setzt voraus:

Anwendungsbezogene Kontrollen

GenerelleKontrollen

(IDW PS 330, Tz. 70)

58

IDW PH 9.330.1

■ Ausgewählte Punkte zu IT-Anwendungen● Liegt eine Verfahrensdokumentation vor?

□ Anwendungsdokumentation?□ technische Systemdokumentation?

● Gewährleisten IT-Anwendungen die Erfüllung der Beleg-, Journal und Kontenfunktion?

● Existiert eine Softwarebescheinigung?□ für die eingesetzte Version?□ Führen evtl. Abweichungen zu einer Beeinträchtigung

der Beleg-, Journal oder Kontenfunktion?

● Bei KMU häufig Standardsoftware

59

Fazit

■ Auch KMU sind inzwischen hochgradig abhängig von IT■ Für den WP muss die Verlässlichkeit und Verfügbarkeit

der Daten im Vordergrund stehen■ Systematische Auseinandersetzung mit IT-Risiken im

Rahmen der JAP■ Nicht „Feuerlöscher zählen“ sondern IKS-Prüfung■ IT-Prüfung im Rahmen der JAP ist keine

Raketenwissenschaft■ Nur Mut!

60

Wir sind für Sie da – sprechen Sie uns an

Ebner Stolz Mönning BachemGmbH & Co. KGWirtschaftsprüfungsgesellschaftSteuerberatungsgesellschaftAdmiralitätstraße 1020459 [email protected]. +49 40 37097-220Fax +49 40 37097-199

Holger Klindtworth CISA, CIA, CISMPartner

36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger...

Documents

Transcript of 36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger...