Direkt zum Inhalt

Sonderprüfung

Die Prüfungsstandards des IDW sehen im Zusammenhang mit IT-Systemen verschiedene Sonderprüfungen vor. Für diese Themen wurden Regelungen und Vorgehensmodelle entwickelt, die in den Prüfungsstandards und Prüfungshinweisen des IDW konkretisiert sind.

Gehrke Maas Consulting unterstützt Sie und Ihre Mandanten bei der Vorbereitung und Durchführung von Sonderprüfungen zu den folgenden Themen:

Bei der Einführung neuer IT-Systeme verbergen sich besondere Risiken für ein Unternehmen. Diese können vor allem in der Funktion von IT-Anwendungen, in der Nachvollziehbarkeit der Datenübernahme (Migration) oder in der Zeit- oder Budgetüberschreitung liegen.

Ziel der projektbegleitenden Prüfung ist es diese Risiken rechtzeitig zu erkennen, um finanzielle, organisatorische oder reputative Schäden von Ihren Mandanten abzuwenden.

Bei einer projektbegleitenden Prüfung werden wir als zusätzliche Qualitätssicherung tätig und berücksichtigen die Einhaltung der relevanten Ordnungsmäßigkeits- und Sicherheitsanforderungen.

Für IT-Prüfungen außerhalb der Jahresabschlussprüfung gab es bis 2018 keinen eigenen Standard. Der IDW PS 860 schließt diese Lücke mit einem eigenen Vorgehensmodell, der hinsichtlich der Beurteilungskriterien eine breite Anwendungsbasis für alle Sonderprüfungen in diesem Bereich bietet.

Zur Ergänzung dieses Prüfungsstandard wurden bereits zu den folgenden Themen weitere Prüfungshinweise veröffentlicht:

  • Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1)
  • Die Prüfung der von Betreibern kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen (IDW PH 9.860.2)

Der IDW PS 860 kann aber auch für Prüfungen im regulatorischen Umfeld für branchenspezifische Regeln oder anderen Standards herangezogen werden. Folgende Möglichkeiten sind an dieser Stelle zu nennen:

  • Prüfung nach steuerlichen Vorgaben der AO oder der GoBD
  • Prüfungen entsprechend den MaRisk in Verbindung mit den BAIT / KAIT / VAIT
  • Prüfungen nach COBIT, ITIL oder sonstigen Rahmenwerken
  • Prüfungen entsprechend der ISO 27001 oder anderen ISO-Normen oder
  • Prüfungen nach sonstigen Industriestandards

Der PS 880 ist heute ein Qualitätsmerkmal für Softwareprodukte, welches immer mehr von den Nutzern der Applikationen gefordert wird. Die Softwarebescheinigung wird somit für die Vermarktung einer Software immer wichtiger.

Folgende Punkte sind gemäß dem IDW PS 880 Prüfungsgegenstand:

  • Entwicklungsumgebung mit Test und Freigabeverfahren
  • Notwendige Programmfunktionen (Beleg-, Journal- und Kontenfunktion)
  • Softwaresicherheit
  • Funktionsfähigkeit der Programmfunktionen

Gemäß dem IDW PS 880 sind die Kriterien für die Prüfung im Vorfeld der Prüfung zwischen dem Auftraggeber und dem Prüfer abzustimmen. Dabei müssen die Kriterien für die Beurteilung des Softwareproduktes geeignet sein. Geeignete Kriterien im Sinne des IDW PS 880 weisen in der Regel folgende Eigenschaften aus:

  • Relevanz: Kriterien müssen für die Beurteilung des Softwareprodukts und für die Entscheidungsfindung maßgebend sein.
  • Vollständigkeit: Kriterien sind vollständig, wenn keine für die Beurteilung des Softwareprodukts und für die Entscheidungsfindung wesentlichen Gesichtspunkte ausgeklammert wurden.
  • Verlässlichkeit: Verlässlichkeit bedeutet, dass die Kriterien eine konsistente und nachvollziehbare Beurteilung des Softwareprodukts zulassen.
  • Neutralität: Kriterien sind neutral, wenn sie eine objektive Beurteilung des Softwareprodukts sicherstellen.
  • Verständlichkeit: Kriterien sind verständlich, soweit sie klare Schlussfolgerungen ermöglichen und dadurch Fehlinterpretationen vermieden werden.

Das Outsourcing von IT-Systemen sowie Cloud Computing wird heute von vielen Unternehmen genutzt. Die Verantwortung für diese Prozesse verbleibt dabei in den Unternehmen. Im Rahmen der Jahresabschlussprüfung muss sich der Wirtschaftsprüfer von der Ordnungsmäßigkeit und Sicherheit dieser Prozesse überzeugen. Hierzu kann der Wirtschaftsprüfer eigene Prüfungshandlungen durchführen oder auf einen Prüfungsbericht nach IDW PS 951 (ISAE 3402) - „Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen" zurückgreifen.
 
Eine Prüfung nach dem IDW PS 951 bzw. ISAE 3402 schafft somit die Möglichkeit, dass das Dienstleistungsunternehmen nur einmalig für eine bestimmte Periode geprüft werden muss. Der entstehende Prüfungsbericht kann allen Kunden und deren Wirtschaftsprüfern zur Verfügung gestellt werden.

Neben dem Zeit- und Kostenverteilen für das Dienstleistungsunternehmen ergeben sich weiterhin Qualitätsvorteile gegenüber den Konkurrenten.

Im Rahmen des Deutschen Corporate Governance Kodex (DCGK) und des § 107 Abs.3 sind Unternehmen, bzw. der Aufsichtsrat, verpflichtet, sich unter anderem von der Wirksamkeit des Risikomanagementsystems (RMS) zu überzeugen.

Gemäß dem Revisionsstandard NR. 2 werden die folgenden Grundelemente des RMS im Rahmen einer Prüfung untersucht und beurteilt.

  • Risikokultur: Basis für ein effektives Risikomanagementsystem ist eine Risikokultur, die einen offenen Umgang mit Risiken unterstützt. Damit wird nicht nur das Management bereits bekannter Risiken, sondern auch die schnelle Reaktion auf Änderungen im Risikoprofil unterstützt. Die Risikokultur umfasst als Teil der Unternehmenskultur die grundsätzliche Einstellung und das Verhalten beim Umgang mit Chancen und Risiken. Sie beeinflusst das Risikobewusstsein und bildet die Grundlage für ein wirksames Risikomanagementsystem im Unternehmen.
  • Ziele des RMS: Hier ist die Berücksichtigung der Unternehmensziele im RMS gemeint. Die Unternehmensziele sollen unter Berücksichtigung der Risikostrategie erreicht werden. Unternehmenspolitische Zielsetzungen und die Unternehmensstrategie bilden die Grundlage für die Ableitung der Risikostrategie. Diese legt fest, in welchem Ausmaß unter Berücksichtigung der „Risikotragfähigkeit“ Risiken eingegangen werden sollen.
  • Organisation des RMS: Im Rahmen der Organisationprüfung werden sowohl Aufbau als auch Ablauforganisation des RMS untersucht.
  • Risikoidentifikation: Risikoidentifikation und -erfassung bezieht sich auf die umfassende Ermittlung aller für die Aufgaben und Ziele der Organisation relevanten Risiken. Sie orientiert sich an den von der Geschäftsleitung vorgegebenen Zielen und den Voraussetzungen für die Existenzfähigkeit der Organisation.
  • Risikobewertung: Es erfolgt eine systematische Beurteilung der Risiken in Hinblick auf die Eintrittswahrscheinlichkeiten und mögliche Auswirkungen. Verfahren und Kriterien müssen dabei genau definiert werden. Die verwendete Systematik muss zur Beurteilung der Effektivität von Risikosteuerungsmaßnahmen geeignet sein. Dabei werden Einzelbewertungen aggregiert und Interdependenzen analysiert und entsprechend berücksichtigt.
  • Risikosteuerung: Im Rahmen der Prüfung wird die Wirksamkeit der Risikosteuerung untersucht. Insbesondere der Einsatz der Instrumente zur Risikosteuerung (Vermeidung, Reduktion, Akzeptanz, Teilung bzw. Transfer) und die durch ihren Einsatz erzielte Anpassung der Risiken an die Risikotoleranz und -tragfähigkeit des Unternehmens wird beurteilt.
  • Risikokommunikation: Erfolgt im Rahmen eines regelmäßigen Risikoberichtes an die Geschäftsführung und das Aufsichtsgremium. Außerdem muss eine Ad-hock Kommunikation für plötzlich in Erscheinung tretende Risiken vorhanden sein. Die Ad-hoc Kommunikation basiert auf Schwellwerten und ggf. weiteren Bedingungen.
  • Überprüfung und Verbesserung des RMS: Das RMS unterliegt einer ständigen Weiterentwicklung und sollte regelmäßig an sich ändernde Rahmenbedingungen angepasst werden. Für die Anpassungen des RMS liegt eine entsprechende Dokumentation vor.

Heutzutage ist die Qualitätsprüfung der internen Revisionsfunktion wichtiger denn je. Das Deutsche Institut für Interne Revision e.V. (DIIR) und das Institut für Wirtschaftsprüfer in Deutschland e.V. (IDW) haben deshalb einen gemeinschaftlichen Standard zur Prüfung der Internen Revision erarbeitet. Dieser DIIR Standard Nr.3 ist die Grundlage für unsere Prüfungen.

Im Rahmen einer solchen Prüfung werden 82 Aspekte der internen Revisionsfunktion aus elf Funktionsbereichen entsprechend dem Standard geprüft. Außerdem wird im Anschluss an die Prüfungsleistung ein umfassender Bericht erstellt und Vorschläge zur Weiterentwicklung der geprüften Funktion unterbreitet.

Da wir besonderen Wert auf die Qualität unserer Arbeit legen, sind die Mitarbeiter, die die interne Revision prüfen, vom DIIR zertifizierte und akkreditierte Prüfer für interne Revisionssysteme (DIIR).

Und das kann Gehrke Maas Consulting für Sie tun …

  • Unterstützung bei der Vorbereitung und Durchführung der verschiedenen Sonderprüfung (incl. Berichterstattung) nach den entsprechenden Standards

 

Ihr Nutzen durch die Zusammenarbeit mit Gehrke Maas Consulting:

  • Einhaltung der aktuellen Vorgaben des IDW
  • Unterstützung durch erfahrene Spezialisten (IT-AuditorIDW, CISA, CIA, Prüfer für Interne RevisionssystemeDIIR)
  • Schonung eigener Personalressourcen bei hoher Auslastung in der „Busy Season“.

 

Know-how und Erfahrung der Gehrke Maas Consulting

Auszüge aus unseren Tätigkeiten finden Sie hier.

 

Sprechen Sie uns an und wir unterbreiten Ihnen gerne ein auf Ihre Bedürfnisse abgestimmtes unverbindliches Angebot.