Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger Klindtworth.

Ähnliche Präsentationen


Präsentation zum Thema: "36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger Klindtworth."—  Präsentation transkript:

1 36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger Klindtworth

2 2 Inhalt ■Einführung ■Informationstechnologie und der WP ■Informationstechnologie und KMU ■Prüfung der IT bei KMU ■Fazit

3 3 Einführung ■4000 v. Christus ■Das Archiv des IDW ■Entwicklung der IT im Zeitablauf ■IT und Risiko ■Praxisbeispiel Cloud Computing bei KMU Begrüßung

4 4 Handelsrecht | Buchhaltung | Tiefe Vergangenheit ■4000 v. Christus, die Sumerer dokumentieren Geschäftsvorfälle ■Das ist die Geburt des Buchungs- journals ■Bei der Erfindung der Buchhaltung, wird nebenbei die Schriftsprache erfunden ■Einhaltung des "Radierverbots" ergibt sich hier aus dem Speichermedium ■Die „kaufmännische Datenverarbeitung“ hat begonnen ■Etwas später gelten die „Grundsätze ordnungsmäßiger Buchführung (GoB)“ (Handelsrecht) und die daraus abgeleiteten „Grundsätze ordnungsmäßiger DV-gestützer Buchführungssysteme (GoBS)“ von 1995 n. Christus (Steuerrecht)

5 5 Begrüßung

6 6 Einleitung Entwicklung der IT im Zeitablauf Unternehmen, Wirtschaftsprüfung und Informationstechnologie Integrierte Software – vernetzte Unternehmen Grundbuch Anwendung 1 Hauptbuch Anwendung 2 Anlagen Anwendung 3 offene Posten Anwendung er Insellösungen mit Schnittstellen 1990er Integration der Prozesse in einem Unternehmen 2000er Prozessintegration über Unternehmensgrenzen 2010er Vernetzung und Cloud Computing

7 7 Grundprämisse „Die nachhaltigste und effektivste Methode, ein Unternehmen zu Grunde zu richten, kann der Einsatz von Informationstechnologie sein.“ Prüferweisheit „Die nachhaltigste und effektivste Methode, ein Unternehmen zu Grunde zu richten, kann der Einsatz von Informationstechnologie sein.“ Prüferweisheit

8 8 Alan Turing IT und Risiko | 1 ■Es kann bewiesen werden, dass die richtige und vollständige Verarbeitung durch ein Computer- programm (Turing-Maschine) nicht bewiesen werden kann …und wir alle kennen Schäden durch die IT. ■Das heißt, auch für die Prüfung gilt: Nur, weil der Prüfer keine Fehler findet, muss nicht alles richtig sein. ■Das heißt schlimmer: Nur „weil“ wir Auffälligkeiten finden, muss nicht alles falsch sein.

9 9 IT und Risiko | 2 | Hamburg ■Das ursprüngliche Becken des Alstersees entstand durch einen Mühlenstau im Verlauf des Reesendamms. ■Die Alster wurde um ca aufgestaut, um eine Kornmühle zu betreiben. ■1235 wurde ein zweiter Damm für eine weitere Mühle gebaut, der die Alsterwiesen aufgrund eines Berechnungsfehlers zum Alstersee überschwemmte. ■IT wurde nicht eingesetzt.

10 10 IT und Risiko | 3 | Wasser ■Vermutung ●Mühlenstau bei Einsatz von IT ■keine Standards ■keine Kontrollen ■keine Nachvollziehbarkeit ■keine Revisionssicherheit siehe auch:

11 11 IT und Risiko | 4 | Komplexität von Projekten BER HH-EP S21

12 12 Grundprämisse „Der Wirtschaftsprüfer bestätigt mit seiner Unterschrift die Ordnungsmäßigkeit der Buchhaltung (u.a. Richtigkeit und Vollständigkeit)“

13 13 Einleitung Gegenwart > Cloud Computing Quelle: Cloud Computing: Web-basierte dynamische IT-Services von Christian Baun, Marcel Kunze, Jens Nimis, Stefan Tai Unternehmen, Wirtschaftsprüfung und Informationstechnologie „Cloud Computing“ erlaubt die Bereitstellung und Nutzung von IT- Infrastruktur, von Plattformen und von Anwendungen aller Art als im Internet elektronisch verfügbare Dienste Begriff „Cloud“ deutet dabei an, dass die Dienste von einem Provider im Internet (bzw. im Intranet eines Unternehmens erbracht werden) „Cloud“-Ressourcen sind in der Regel virtualisiert, d.h. keiner eindeutigen technischen Plattform zugeordnet  Cloud Computing ist möglich dank  der enormen Steigerung der Rechenleistung  der flächendeckenden Verfügbarkeit höherer Bandbreiten und  der Virtualisierungstechnologien  D.h. JEDE Übertragung einer ist Cloud Computing. Im Jahr 2010 wurden ca. 107 Billionen s verschickt, mit einem Spam-Anteil von 89,1 %*  Übertragung der Daten durch die Wolke (verschlüsselt über VPN/unverschlüsselt)  Unterscheidung in Private / Public Clouds: unternehmensintern / -übergreifend „Cloud“-Ressourcen sind in der Regel virtualisiert, d.h. keiner eindeutigen technischen Plattform zugeordnet  Cloud Computing ist möglich dank  der enormen Steigerung der Rechenleistung  der flächendeckenden Verfügbarkeit höherer Bandbreiten und  der Virtualisierungstechnologien  D.h. JEDE Übertragung einer ist Cloud Computing. Im Jahr 2010 wurden ca. 107 Billionen s verschickt, mit einem Spam-Anteil von 89,1 %*  Übertragung der Daten durch die Wolke (verschlüsselt über VPN/unverschlüsselt)  Unterscheidung in Private / Public Clouds: unternehmensintern / -übergreifend

14 14 ■Praxisszenario: Kleines mittelständisches Mandat ●Finanzbuchhaltung in der „Cloud“ ●Buchhaltungsbelege werden am „Heimarbeitsplatz“ erfasst ●Im Büro keine IT-Infrastruktur … ●… bis auf Kommunikationsanbindung und „Thin-Clients“ ●Mobiler Zugriff auf das Reporting durch Geschäftsführer via mobilem Endgerät ●Gleiches Vorgehen für □Office-Dateien (Angebote, Aufträge, Bestellungen…) □ und Kalender ●Faktisch keine eigene IT mehr Einleitung Gegenwart > Cloud Computing

15 15 ■Zunehmende Bedeutung und rasante Entwicklung der Informationstechnologie in Wirtschaft und Gesellschaft ■Chancen und Risiken der Informationstechnologie ●Chancen z.B. durch Standardisierung, Automatisierung und Effizienzgewinne ●Risiken z.B. durch Abhängigkeiten, Sicherheitsprobleme und Datenverluste ■Werden im Zeitalter des Internets Wirtschaftsprüfer als angemessen kompetent im Thema IT wahrgenommen? Unternehmen, Wirtschaftsprüfung und Informationstechnologie Einleitung Bedeutung der IT

16 16 Informationstechnologie und der WP ■Rolle des WP ■Herausforderungen ■IT beim Mandanten ■Handelsrecht und IT ■Das IT-IKS ■Prüfungsstandards

17 17 Einleitung Veränderungen mit Chancen und Risiken WP – Veränderungen des Berufsbilds - Stellung und Funktion – Öffentlichkeit - Arbeitsweise und Standards – Effizienz - Wissen und Erfahrung – IT-Wissen IT – in der WP-Praxis - Einsatz für die Praxisorganisation - Nutzung in der Prüfung und Beratung IT beim Mandanten - für Organisationsprozesse und IKS/RMS - als nützliche und schutzwürdige Ressource Unternehmen, Wirtschaftsprüfung und Informationstechnologie

18 18 Informationstechnologie und WP Herausforderungen > IT in der WP-Praxis ■Das Prüfungsfeld IT wird weiterhin bedeutungsvoller für den Abschlussprüfer. ■Der Einsatz von IT in der Wirtschaftsprüferpraxis auch. ■Die Anforderungen, die der WP an die Rechnungslegung beim Mandanten stellt, gilt auch für die eigene IT. ■IT-Sicherheit in der WP-Praxis gewinnt an Bedeutung. ■Die digitale Welt ist auch für den WP nicht mehr aufzuhalten (z.B. ELSTER, EHUG, eBilanz etc.). ■Mit der Vernetzung steigt der potenzielle Missbrauch durch unternehmerische und auch durch soziale Netzwerke. ■Je mehr Geschäftserfolg mit IT verknüpft ist, desto wichtiger ist IT-Sicherheit. ■Je mehr Berührungspunkte, desto größer die Gefahr!

19 19 Informationstechnologie und WP Herausforderungen > IT beim Mandanten ■Informationstechnologie ist ein wichtiger Prüfungsgegenstand, der weiterhin komplexer wird. ■Auch KMUs setzen inzwischen integrierte kaufmännische Anwendungssysteme für ihre Geschäftsprozesse ein. ■Wissen in der Informationstechnologie aufzubauen, vorzuhalten und zielgerichtet einzusetzen ist von entscheidender Bedeutung. ■Wirtschaftliche Prüfungsdurchführung trotz oder gerade durch IT

20 20 Handelsrecht Anforderungen HGB an die IT ■Konkretisierung der aus § 257 HGB resultierenden Anforderungen an den IT-Einsatz: ●Funktionsfähiges Internes Kontrollsystem ●Nachvollziehbares (buchhalterisches) Verfahren ●Einhaltung Journal-, Beleg-, Kontenfunktion ●Speicherung auf Datenträger bei GoB-Einhaltung ●Aufbewahrung, empfangene Handelsbriefe und Buchungsbelege

21 21 IT-Kontrollsystem ■IT-Kontrollsystem ●ist Bestandteil des internen Kontrollsystems (IKS) ●umfasst diejenigen Grundsätze, Verfahren und Maßnahmen (Regelungen), die zur Bewältigung der Risiken aus dem Einsatz von IT eingerichtet werden □Regelungen zur Steuerung des Einsatzes von IT im Unternehmen (internes Steuerungssystem) □Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) Praxishinweis „internal controls“ bedeutet NICHT interne Kontrollen. „Control“ bedeutet u.a. Steuerung. Eine Richtlinie hat Kontrollfunktionen im Sinne IKS.

22 22 Vorgehensweise bei der IT-Prüfung Beurteilung der Angemessenheit vorl. Beurteilung der Wirksamkeit Aufbau- prüfung Prüfung der Wirksamkeit Beurteilung der Wirksamkeit Funktions- prüfung Aufnahme IT-System IT-Geschäftsprozess IT-Anwendungen IT-Infrastruktur IT-Kontrollsystem (IT-Organisation/IT- Umfeld)

23 23 Geschäftsprozesse und Informationstechnologie ■IT-System (IDW RS FAIT 1) Netze beeinflusst Hardware IT-Umfeld, -Organisation Geschäfts- prozessebene Cycles Applikations-/ Systemebene IT-Anwendungen Technische Systemebene IT-Infrastruktur E A D C BB Int. ReLe Oper. Sys. Ext. ReLe Geschäftsprozesse IT-Anwendungen IT-Infrastruktur z.B. Beschaffung, Absatz, Personal Unternehmen, Wirtschaftsprüfung und Informationstechnologie

24 24 ■IT-System Geschäftsprozesse und Informationstechnologie  Sicherheitskonzept (Zugriffskontrollen, Sicherungsmaßnahmen, Datensicherungsverfahren, Auslagerung)  Organisationshandbuch (Regelbetrieb)  Katastrophenfall-Szenarien (Notfall)  Sicherheitskonzept (Zugriffskontrollen, Sicherungsmaßnahmen, Datensicherungsverfahren, Auslagerung)  Organisationshandbuch (Regelbetrieb)  Katastrophenfall-Szenarien (Notfall)  Anwendungsbezogene Kontrollen (Eingabe-, Verarbeitungs-, Ausgabekontrollen)  Generelle Kontrollen (Software-Entwicklung und -Beschaffung, Test- und Freigabeverfahren, Change Mgt.)  Anwendungsbezogene Kontrollen (Eingabe-, Verarbeitungs-, Ausgabekontrollen)  Generelle Kontrollen (Software-Entwicklung und -Beschaffung, Test- und Freigabeverfahren, Change Mgt.)  Interne Kontrollprozesse  Datenaustausch (Teilsysteme)  Zugriffsrechte (Berechtigungskonzepte)  Funktionale Anforderungen (GoB)  Prozessübergreifende Stammdatenpflege  Interne Kontrollprozesse  Datenaustausch (Teilsysteme)  Zugriffsrechte (Berechtigungskonzepte)  Funktionale Anforderungen (GoB)  Prozessübergreifende Stammdatenpflege Finanzbericht- erstattung Netze beeinflusst Hardware E A D C BB Int. ReLe Oper. Sys. Ext. ReLe Unternehmen, Wirtschaftsprüfung und Informationstechnologie M

25 25 Anforderungen nach IDW RS FAIT 1 IT-gestützter Geschäftsprozess IT-Anwendung IT-Infrastruktur IT-System IT-Kontrollsystem (IT-Organisation/-Umfeld) Prüfungsgegenstand (soweit rechnungslegungsrelevant) Prüfungsziel Prüfungskriterien Ordnungsmäßigkeit der Rechnungslegung: Vollständige, richtige, zeitgerechte, geordnete, nachvollziehbare und unveränderbare Verarbeitung Sicherheit: Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit, Integrität, Verfügbarkeit Unternehmen, Wirtschaftsprüfung und Informationstechnologie

26 26 Überblick Ordnungsmäßigkeitsanforderungen Vollständigkeit § 239 II HGB = Vollständigkeit § 239 II HGB = Zeitgerechtheit § 239 II HGB | Zeitgerechtheit § 239 II HGB | Nachvollziehbarkeit § 239 I 2 HGB Verfahrensdokumentation Nachvollziehbarkeit § 239 I 2 HGB Verfahrensdokumentation Richtigkeit § 239 II HGB = Richtigkeit § 239 II HGB = Ordnung § 239 II HGB zeitlich + sachlich Ordnung § 239 II HGB zeitlich + sachlich Unveränderlichkeit § 239 III HGB Verfahrensdokumentation Unveränderlichkeit § 239 III HGB Verfahrensdokumentation Unternehmen, Wirtschaftsprüfung und Informationstechnologie

27 27 Überblick Sicherheitsanforderungen Vertraulichkeit Verfügbarkeit Authentizität Integrität Autorisierung Verbindlichkeit Unternehmen, Wirtschaftsprüfung und Informationstechnologie

28 28 Standards des IDW im Überblick IDW RS FAIT 1 GoB bei Einsatz von Informationstechnologie IDW RS FAIT 2 GoB bei Einsatz von Electronic Commerce IDW RS FAIT 3 GoB beim Einsatz elektronischer Archivierungsverfahren IDW RS FAIT 4 Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse IDW PS 261 Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologie IDW PS 951 Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungs- unternehmen ausgelagerte Funktionen IDW PS 880 nF Die Prüfung von Softwareprodukten PH Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie PH Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung PH Einsatz von Datenanalysen im Rahmen der Abschlussprüfung IKS IKS-ITAnwendung PrüfungsstandardsBescheinigungen Unternehmen, Wirtschaftsprüfung und Informationstechnologie

29 29 Bedeutung und Einfluss der IT Unternehmen, Wirtschaftsprüfung und Informationstechnologie

30 30 Informationstechnologie und KMU ■Organisation der IT ■Besonderheiten beim Mittelstand

31 31 Organisation und IT ■Ohne den Einsatz von IT ist eine schlagkräftige und effektive Organisation nicht mehr vorstellbar. ■Ohne eine effiziente Organisation ist ein erfolgreicher Marktauftritt im globalen Wettbewerb kaum möglich. ■Unternehmen richten ihre Organisation zunehmend an den Märkten aus, die i.d.R. auf den wertschöpfenden Kernprozessen basiert. ■Diese Geschäftsprozesse werden zunehmend in automatisierten, standardisierten, integrierten und flexiblen IT-Landschaften abgewickelt. ■Die Informationen zur unternehmerischen Planung, Steuerung und Überwachung werden kontinuierlich aus diesen Systemen und Prozessen generiert. ■Die IT-Organisation ist integraler Bestandteil der Unternehmens- organisation; IT Governance ist Teil der Corporate Governance ■Das gilt auch für KMU ! Unternehmen, Wirtschaftsprüfung und Informationstechnologie

32 32 IT-Systemprüfung und mittelständische Mandanten ■Mittelständische Mandanten, u.a. ●Niveau der IT-Integration z.T. höher als bei Großunternehmen ●Funktionstrennung oft nicht möglich ●hohe Bandbreite an Unternehmensformen und Organisationen ●häufig eigentümergeführt ●Selbstverständlichkeit der IT-Prüfung nicht gegeben! ●Honorardiskussion (Effizienzverbesserung) ●Verdeutlichung des Mehrwerts für Mandanten (neben Mehrwert für den Prüfer)

33 33 Identifizierung relevanter IT-Systeme Ermittlung der wertmäßig bedeutenden Kontensalden Festlegung der zu untersuchenden Posten der Bilanz und GuV Identifizierung der zugrunde liegenden Geschäftsprozesse Erhebung der jeweiligen IT-Systeme/Anwendungen für diese Transaktionen

34 34 Identifizierung relevanter IT-Systeme ■Neben IT-Risiken, die zu wesentlichen Fehlern in der Bilanz & GuV führen, gibt es weitere prüfungsrelevante IT-Risiken ■Beispiele für weitere IT-Risiken des Unternehmens ●Datenverlust oder Datenverfälschung (z.B. Keine Rücksicherung nach Systemausfall) ●Ausfall oder Einschränkung operativer Funktionen (z.B. Keine Fakturierung möglich) ●Falsche unternehmerische Entscheidungen (z.B. Fehlerhafte Kalkulation mit Excel)

35 35 Daten und Systeme stehen vollständig und richtig zur Verfügung, kein Unbefugter kann Informationen verändern. Informationen sind dann verfügbar, wenn sie benötigt werden; funktionsfähige Ressourcen. Bearbeitung und Weitergabe von Informationen oder Geschäftsvorfällen sollen nur durch Berechtigte erfolgen. Informationen stammen aus der vorgegebenen Quelle; eindeutige Zuordnung zum Verursacher. Die Quelle der Informationen kann deren Sendung nicht abstreiten; Herbeiführung bindender Rechtsfolgen. Kein Unbefugter kann auf Informationen zugreifen und diese lesen. Sicherheitsanforderungen (IDW RS FAIT 1) | Wiederholung Vertraulichkeit Integrität Verfügbarkeit Autorisierung Authentizität Verbindlichkeit

36 36 Grundprämisse „Alle Sicherheitsanforderungen sind wichtig! Integrität und Verfügbarkeit sind absolut unerlässlich“. „Alle Sicherheitsanforderungen sind wichtig! Integrität und Verfügbarkeit sind absolut unerlässlich“.

37 37 Prüfung der IT bei KMU ■Prüfung des IT-Umfelds und der IT-Organisation ■Prüfung IT-Infrastruktur ■Prüfung Anwendungen Begrüßung

38 38 Prüfung der Sicherheitskonzeption Berechtigungs- vergabe Internet und -Dienste Notfallplanung Kompetenzen Verantwortlichkeiten Sicherheits-Konzept Sicherheitsgrundsätze, übergreifende Regeln Vorgehensweisen, Methoden, Standards Policy für IT - Mitarbeiter Policy für alle Benutzer (IDW RS FAIT 1, Tz. 21)

39 39 Prüfung der IT-Organisation Organigramme des Unternehmens und des IT-Bereichs Aufnahme AufbauprüfungFunktionsprüfung Unabhängigkeit IT-Bereich und Fachbereiche Gliederung der Aufgaben (z.B. Entwicklung/IT-Betrieb) klare Beschreibung der Aufgaben Regelungen Zusammenarbeit mit Fachbereichen (bei KMU wichtig!) Vertreterregelung Entsprechen Tätigkeits- und Funktionsbeschreibungen der Realität? Sind Funktionstrennungen im Zugriffsschutzsystem abgebildet?

40 40 IT-Abteilung | 1 ■Risiken für die Datenintegrität ●unautorisierte Änderungen □rechnungslegungsrelevante Daten! □Programme □Kernfrage: WER darf WAS? □Kontrollen sollen verhindern oder □zumindest aufdecken ●dolose Handlungen

41 41 IT-Abteilung | 2 ■Gegenmaßnahmen (Kontrollen) ●Arbeitsplatzbeschreibungen □bei KMU eher selten! ●Funktionstrennung □ausreichend und umgesetzt? □wenn NICHT  kompensierende Kontrollen ●Berechtigungskonzept □dokumentiert vorhanden? □angemessen kontrollierter Prozess □inkl. Exit-Verfahren □Rolle von Super-Usern ●Change Management

42 Exkurs: Datenprüfung Begrüßung

43 43 Datenprüfung ■Datenprüfung kann die Prüfungsqualität und -effizienz erhöhen ■Möglichkeit der Prüfung von Massentransaktionen ■Best-Practice aber ■Kein Allheilmittel ■Nur Teil des Methodenmix ■Kenntnisse über Daten und Systeme zwingend

44 44 Funktionstrennung bei KMU ■Funktionstrennungsmatrix aufstellen ■Analyse: Wer hat gebucht ? ●Auffälligkeiten ●Auseinandersetzung mit Berechtigungskonzept ●Auseinandersetzung mit Fraud STBDBEWEREZA Stammdatenpflege (ST) NR K K Bedarfsermittlung (BD) NR Bestellung (BE) K NR K Wareneingang (WE) NR Rechnungseingang/-prüfung (RE) NR Zahlung (ZE) K K NR

45 45 Funktionstrennung im Einkauf Eine erste Datenprüfung ■Datenquellen z.B. ●User-Kennung im Stammsatz/Konditionensatz ●User-Kennung Materialbeleg ●User-Kennung Zahlungsbuchung ●etc. ■Gegenüberstellung in einer Matrixform UserSTBDBEWEREZA K. Moss M. Jovowitsch70 20 C. Crawford 900 N. Campbell 50

46 46 Prüfung IT-gestützter Rechnungslegungssysteme ■Prüfung des IT-Umfelds und der IT-Organisation ■Prüfung IT-Infrastruktur ■Prüfung Anwendungen

47 47 Prüfung der IT-Infrastruktur ■Die Prüfung der IT-Infrastruktur richtet sich auf ●physische Sicherungsmaßnahmen ●logische Zugriffskontrollen (Netzwerk, Server) ●Maßnahmen für den geordneten Regelbetrieb ●Verfahren für den Notbetrieb ●Maßnahmen zur Sicherung der Betriebsbereitschaft (IDW PS 330, Tz. 53)

48 48 Umfang der physischen Sicherungsmaßnahmen bauliche Maßnahmen Versorgungseinrichtungen Zugangskontrollen Gebäudeschutz Datenintegrität Verfügbarkeit Vertraulichkeit Authentizität

49 49 Physische Sicherungsmaßnahmen Übersichtspläne (Lagepläne, Schließanlage,...) Serverraumbegehung Verträge mit IT-Dienstleistern Zutrittssysteme und Berechtigungsvergabe Aufnahme AufbauprüfungFunktionsprüfung Beurteilung der Angemessenheit -des Standorts -der organisatorischen Regelungen -technischer Maßnahmen stichprobenartige Prüfung der vergebenen Zugangsberechtigungen Prüfung der Wartungsverträge stichprobenartige Prüfung der Zugangs- und Wartungsprotokolle

50 50 Physische Sicherheitsmaßnahmen ■Zugangskontrollen ●Überwacht und sicher? ●Zugang von Dienstleistern? ●Protokolliert? ●„Social Engineering“ ■Diebstahlsicherung ■Schutz vor Umwelteinflüssen ●Feuer ●Wasser ●Temperatur ●Strom

51 51 Logische Zugriffskontrollen ■Berechtigungskonzept ●Zugriff auf Infrastruktur UND Anwendungen ●Ausreichend durchdacht □Differenzierte Benutzergruppen? □Minimale Zugriffsrechte? ●Richtig umgesetzt □Standardpasswörter geändert? □Periodische Änderung der Passwörter? □Löschen ausgeschiedener Mitarbeiter?

52 52 Datensicherung und Auslagerung Datensicherungskonzept Arbeitsanweisungen Datensicherungsprotokolle Übersichtspläne der Sicherungs- Infrastruktur Aufnahme AufbauprüfungFunktionsprüfung Angemessenheit der eingesetzten Datensicherungsverfahren Nachvollziehbarkeit der Dokumentation Sicherstellung der Wiederauffindbarkeit der Daten Begehung der Archivräume (z.B. Tresor) Sichtkontrolle der Datensicherungsträger Prüfung des Schedulers (Kalender) stichprobenartige Prüfung der Datensicherungsprotokolle Rücksicherungen, Tests

53 53 Datensicherung und Auslagerung RisikoKontrolle/MaßnahmeFunktionsprüfung Verlust von Daten durch:  Umwelteinflüsse  Viren  Diebstahl  Regelmäßige Sicherung der Daten  Mindestens eine ausgelagerte Datensicherung  Wurden Sicherungen regelmäßig durch- geführt?  Sind verschiedene Generationen vorhanden?  Gibt es ausgelagerte Datensicherungen?  Ist der Auslagerungsort sicher?  Werden alle relvanten Daten gesichert?  Sind die Datensicherungen jederzeit verfügbar?

54 54 Handbücher Administratoranweisungen Job/Batch Aufstellungen Aufnahme AufbauprüfungFunktionsprüfung Abgleich der Anweisungen mit erforderlichem Regelungsumfang Prüfung der im Handbuch aufgeführten Protokolle, Jobs und Nachweise auf Existenz und Aufbewahrung Durchsicht Protokolle auf (wiederkehrende) Fehler Praxishinweis Bei KMU sollte ERST das interne/externe Berichtswesen erhoben werden IT-Regelbetrieb

55 55 Notfall- und Wiederanlaufplan Testdokumentationen Wartungs- und Wiederbeschaffungsverträge Aufnahme AufbauprüfungFunktionsprüfung Berücksichtigung unternehmens- spezifischer Risiken Berücksichtigung der Abhängigkeit des Unternehmens von der IT Prüfung der Plausibilität der Schadenszenarien Prüfung der Testprotokolle Prüfung der eingetretenen Notfälle hinsichtlich -Dokumentation -Vorgehen gemäß Notfallplan Sicherung der Betriebsbereitschaft

56 56 Prüfung IT-gestützter Rechnungslegungssysteme ■Prüfung des IT-Umfelds und der IT-Organisation ■Prüfung IT-Infrastruktur ■Prüfung Anwendungen

57 57 Überblick ■Prüfung der Programmfunktionen ■Auswahl, Entwicklungs- und Änderungsprozess ■Implementierung ■ Eingabekontrollen ■ Verarbeitungskontrollen ■ Ausgabekontrollen Ordnungsmäßigkeit von IT-Anwendungen setzt voraus: Anwendungsbezogene Kontrollen Generelle Kontrollen (IDW PS 330, Tz. 70)

58 58 IDW PH ■Ausgewählte Punkte zu IT-Anwendungen ●Liegt eine Verfahrensdokumentation vor? □Anwendungsdokumentation? □technische Systemdokumentation? ●Gewährleisten IT-Anwendungen die Erfüllung der Beleg-, Journal und Kontenfunktion? ●Existiert eine Softwarebescheinigung? □für die eingesetzte Version? □Führen evtl. Abweichungen zu einer Beeinträchtigung der Beleg-, Journal oder Kontenfunktion? ●Bei KMU häufig Standardsoftware

59 59 Fazit ■Auch KMU sind inzwischen hochgradig abhängig von IT ■Für den WP muss die Verlässlichkeit und Verfügbarkeit der Daten im Vordergrund stehen ■Systematische Auseinandersetzung mit IT-Risiken im Rahmen der JAP ■Nicht „Feuerlöscher zählen“ sondern IKS-Prüfung ■IT-Prüfung im Rahmen der JAP ist keine Raketenwissenschaft ■Nur Mut!

60 60 Wir sind für Sie da – sprechen Sie uns an Ebner Stolz Mönning Bachem GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Admiralitätstraße Hamburg Tel Fax Holger Klindtworth CISA, CIA, CISM Partner


Herunterladen ppt "36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger Klindtworth."

Ähnliche Präsentationen


Google-Anzeigen