WP/StB Prof. Dr. Klaus-Peter Naumann Chancen, Risiken und Sicherheit – Wirtschaftsprüfung/ Steuerberatung und IT Begrüßung Vorstellung Thema meines kurzen Vortrags Welche Bedeutung haben Informationstechnologie und IT-Sicherheit aus Sicht der Wirtschaftsprüfung? In welchem Kontext steht IT-Sicherheit mit den Chancen und den damit verbundenen Risiken für Wirtschaftsprüfer und die von ihnen betreuten Unternehmen? Was hat IT-Sicherheit mit dem wichtigsten Tätigkeitsfeld der Wirtschaftsprüfer zu tun, nämlich einen Beitrag für die Zuverlässigkeit der Finanzberichterstattung zu leisten?

IT: neue Chancen und Risiken Chancen durch Informationstechnologie wesentlicher Treiber technischen Fortschritts fördert Wachstum und Effizienz prägt Organisation und Kommunikation Risiken heterogen stark vernetzt kritisch ungeschützt angreifbar Nichts wirklich Neues: IT ist der wesentliche Treiber technischen Fortschritts und führt zu Wachstum und Effizienz: ohne IT funktioniert heute kaum noch etwas IT eröffnet völlig neue Geschäftsmodelle, bspw. den online-Handel oder Cloud Computing Die gesamte Produktionstechnik ist bereits durch IT revolutioniert worden, gleiches gilt zunehmend für Dienstleister aber IT wirft auch für WP und StB neue Fragen auf: Wo beeinflusst IT uns selbst und unsere Unternehmen und wie gehen wir mit IT um? Z.B. die zunehemende Nutzung von SmartPhones und der Einsatz von social media Was bedeutet IT-Sicherheit für die Organisation von WP/StB - Kanzleien? Insbes. der Umgang mit vertraulichen oder brisanten Daten ist erfolgskritisch. Wie wirkt sich IT-Sicherheit auf die Dienstleistungen von WP/StB aus? Bspw. die Beurteilung der von unseren Mandanten eingesetzten IT oder die Verwendung digitaler Datenanalysen Warum können WP/StB geeignete Multiplikatoren für IT-Sicherheit sein? Man kennt uns doch primär als Experten für Rechnungslegungs- und Bilanzierungsfragen.

WP/vBP/StB und Informationstechnologie neue Herausforderungen durch IT auch für WP/vBP/StB Veränderungen in der eigenen Praxisorganisation, im Projektmanagement und im Dienstleistungsangebot Veränderungen bei unseren Mandanten, deren Unternehmensorganisation, internen Informationssystemen sowie deren externer Rechnungslegung Markt- und Wettbewerbsdruck Einsatz von verlässlichen und sicheren IT-Systemen effiziente Praxisorganisation Nichts wirklich Neues: IT ist der wesentliche Treiber technischen Fortschritts und führt zu Wachstum und Effizienz: ohne IT funktioniert heute kaum noch etwas IT eröffnet völlig neue Geschäftsmodelle, bspw. den online-Handel oder Cloud Computing Die gesamte Produktionstechnik ist bereits durch IT revolutioniert worden, gleiches gilt zunehmend für Dienstleister aber IT wirft auch für WP und StB neue Fragen auf: Wo beeinflusst IT uns selbst und unsere Unternehmen und wie gehen wir mit IT um? Z.B. die zunehemende Nutzung von SmartPhones und der Einsatz von social media Was bedeutet IT-Sicherheit für die Organisation von WP/StB - Kanzleien? Insbes. der Umgang mit vertraulichen oder brisanten Daten ist erfolgskritisch. Wie wirkt sich IT-Sicherheit auf die Dienstleistungen von WP/StB aus? Bspw. die Beurteilung der von unseren Mandanten eingesetzten IT oder die Verwendung digitaler Datenanalysen Warum können WP/StB geeignete Multiplikatoren für IT-Sicherheit sein? Man kennt uns doch primär als Experten für Rechnungslegungs- und Bilanzierungsfragen.

WP/vBP/StB-Leistungen: geändertes Prüfungs-/ Beratungsumfeld Rechnungslegungssysteme und interne Kontroll- und Risikomanagementsysteme  IT-gestützt und eng verbunden mit operativen Systemen und Prozessen (ERP-Systeme) systematischen Prüfung von IT-Systemen und den damit generierten Rechnungslegungsdaten Nutzung der Erkenntnisse der Informationstechnologie Ergänzung um Anforderungen der Rechnungslegung und Finanzberichterstattung Das Prüfungs- und Beratungsumfeld für WP und StB hat sich in den vergangenen Jahren geändert. Dazu haben teilweise veränderte Markt- und Wettbewerbsbedingungen beigetragen, aber ganz wesentlich auch neue Geschäfts- und Organisationsmodelle und -formen, die nicht zuletzt durch IT beeinflusst sind. Die von uns zu untersuchenden Rechnungslegungssysteme sind heute zum einen IT-gestützt und zum anderen eng verbunden mit operativen Systemen und Prozessen. In modernen Enterprise Resource Planning (ERP) – Systemen läuft die Buchhaltung eben nicht mehr separat und losgelöst von den wertschöpfenden Kernprozessen eines Unternehmens. Software wie die von SAP dient primär der operativen Planung, Abwicklung und Steuerung von Geschäftsprozessen und dann sekundär der sachgerechten Abbildung in der Rechnungslegung. Die operative Wertschöpfung ist darüber hinaus kombiniert mit den jeweils erforderlichen internen Kontroll- und Risikomanagementsystemen. Die Unternehmensplanung, -steuerung und -überwachung läuft hier oft unter Einsatz von standardisierter und hoch integrierter Software ab. WPs haben dies zu prüfen, da diese Organisationsformen dazu beitragen, bedeutsamen Unternehmensrisiken entgegenzutreten, ein Frühwarnsystem zu ermöglichen und letztlich auch Falschdarstellungen in der Rechnungslegung zu verhindern. WPs haben dazu einen systematischen Ansatz zur Prüfung von IT-Systemen einschließlich damit verbundener Prozesse und den dadurch generierten Rechnungslegungsdaten entwickelt. Dazu nutzen sie die Erkenntnisse der Informationstechnologie und ergänzen sie diese um die Anforderungen der Rechnungslegung und Finanzberichterstattung

IT-Systeme und Finanzberichterstattung Zusammenhänge Finanzbericht-erstattung Geschäftsprozesse IT-Anwendungen IT-Infrastruktur Netze beeinflusst Hardware E A D C B Int. ReLe Oper. Sys. Ext. ReLe Daten Geschäfts- prozessebene Cycles Applikations-/ Systemebene IT-Anwendungen Technische IT-Infrastruktur IT-Umfeld, IT-Organisation Das Schaubild soll die Zusammenhänge erläutern: Die Finanzberichterstattung beruht auf Daten, die letztlich die Unternehmensaktivitäten widerspiegeln und mit bestimmten nationalen oder internationalen Abbildungsregeln in Jahresabschlüsse umgesetzt werden und dann z.B. Grundlage für Gewinnausschüttungen darstellen. Die Daten stammen aus Geschäftsprozessen, in denen die gesamte Unternehmensorganisation umgesetzt wird. Dies geht von der Beschaffung über Produktion und Absatz bis zur Personal-, Material- und Finanzwirtschaft. Nebenbei werden – wie schon erläutert – die Buchhaltung und andere Abrechnungsverfahren mit Daten versorgt. Das Ganze kann nicht ohne geeignete Software, wie z.B. ERP-Systeme laufen. Wir betrachten jetzt dien Anwendungsebene, die neben der Prozesssteuerung aber auch funktionale Anforderungen aus Gesetzen oder Unternehmenszielen erfüllen muss. Die IT-Infrastruktur reflektiert die technische Systemebene, die als Basis die Hardware, die Netze oder auch Betriebssysteme oder Middleware umfasst. Einerseits ist die Technik also die Basis, ohne die nichts läuft, andererseits aber auch nur Mittel zum Zweck. Dies gilt jedenfalls bei einer betriebswirtschaftlichen und integrierten Betrachtung der Elemente eines IT-Systems, wie es eben auch WPs handhaben.

IT-Einfluss auf unseren Prüfungsansatz Risikoorientierter Prüfungsansatz keine lückenlose Prüfung Risiken wird durch Kontrollen begegnet Wesentliche Fehler müssen erkannt werden bei den internen Planungs-, Steuerungs- und Überwachungssystemen für Management und Kontrolle den zugrunde liegenden operativen Systemen, die IT- gestützt die Rechnungslegungsdaten liefern der zu beurteilenden Finanzberichterstattung Beurteilung der IT-Sicherheit, soweit Rechnungslegungs- und Kontrollsysteme betroffen Welchen Einfluss haben dann IT-Systeme mit ihren verschiedenen Elementen auf unseren Prüfungsansatz? Eine lückenlose Prüfung ist bei kapitalmarktorientierten Unternehmen oder größeren mittelständischen Gesellschaften wirtschaftlich nicht möglich. Sie wäre schlichtweg zu ineffizient und zu teuer – und das jedes Jahr wieder. Daher wurde ein risikoorientierter Prüfungsansatz entwickelt. Wir prüfen also in Stichproben, aber vorher haben wir uns die Systeme und Prozesse genau angeschaut. Uns interessiert zunächst, wie das Unternehmen mit seinen Risiken umgeht. Dort wo wir Kontrollschwächen erkennen, prüfen wir dann gezielt und vertieft. Das ist viel besser als das Gießkannenprinzip, erfordert aber auch eine stringente Prüfungstechnik. Letztlich stehen wir mit unserem Testat dafür, dass wesentliche Fehler in der Finanzberichterstattung vermieden bzw. entsprechend im Rahmen der Prüfung erkannt und korrigiert werden. Dazu müssen WPs aber auch die zugrunde liegenden operativen Systeme untersuchen, sofern diese IT-gestützt die Rechnungslegungsdaten liefern. Zusätzlich sind wir verpflichtet, die internen Planungs-, Steuerungs- und Überwachungssysteme zu prüfen, da diese nicht nur für das Management unerlässlich sind, sondern auch für das Kontroll- und Risikomanagementsystem unverzichtbar sind. Noch ein Fazit: wegen besonderer Bedeutung der IT muss auch die IT-Sicherheit durch WPs beurteilt werden, soweit Rechnungslegungs- und Kontrollsysteme betroffen sind. Oder noch weiter gefasst: WPs sind keine Buchprüfer, sondern sind Unternehmensprüfer.

IT-Sicherheit und Umgang mit Daten Umgang mit vertraulichen Daten Beachtung berufsrechtlicher Anforderungen Sicherung der Reputation als Wirtschaftsprüfer/ Steuerberater Unternehmen Geschäfts-partner Wirtschaftsprüfer/Steuerberater mobiles Büro Home-Office/ Niederlassung Kunde Kommunikation In den Kanzleien der WP und StB könnte sich ein ähnliches buntes Bild vorfinden, hoffentlich nicht ganz so komplex WP und StB gehen täglich mit vertraulichen Daten um. Sie können betrieblicher Art sein, z.B. Debitorenlisten, Auftragsbestände oder Gewährleistungsfälle Es kann sich um personenbezogene Daten handeln, z.B. Lohn- und Gehaltsabrechnungen oder Pensionszusagen Wir müssen sorgfältig unsere berufsrechtlichen Anforderungen erfüllen, bspw. die Verschwiegenheitsverpflichtung nach § 43 WPO und nach § 9 unserer Berufssatzung Aber wir müssen auch unserer hohen Reputation gerecht werden, die ein hohes Vertrauensverhältnis wiederspiegelt Unsere Kommunikation läuft immer mehr in digitaler Form: Das gilt sowohl für den E-Mail-Verkehr mit den eigenen Mitarbeitern oder den Mitarbeitern eines Mandanten oder die Übermittlung von Daten in elektronischer Form. Ebenso verlangen Behörden wie Finanzämter von unseren Mandanten wie von uns selbst den digitalen Datentransfer, wie etwa die E-Bilanz oder Steuererklärungen über Elster Nicht zuletzt fordert aber auch ein deutlich gestiegener Markt- und Wettbewerbsdruck sowohl stets eine effiziente und schlagkräftige Praxis- und Projektorganisation und damit eben auch untrennbar verbunden den Einsatz von verlässlichen und sicheren IT-Systemen

Informationssicherheit und Sicherheitsmaßnahmen Kommunikation zunehmend elektronisch mit Mandanten und Mitarbeitern: E-Mail, Datenaustausch mit Finanzämtern: E-Bilanz, Elster sichere Praxisorganisation notwendig Schutz der Systeme und Ressourcen Schutz der Daten und der Kommunikationswege Einrichtung und Betrieb geeigneter technischer und organisatorischer Maßnahmen kein Vertrauen in die Tätigkeiten von WP/StB ohne entsprechende Sicherheit der eingesetzten Informations- und Kommunikationssysteme In den Kanzleien der WP und StB könnte sich ein ähnliches buntes Bild vorfinden, hoffentlich nicht ganz so komplex WP und StB gehen täglich mit vertraulichen Daten um. Sie können betrieblicher Art sein, z.B. Debitorenlisten, Auftragsbestände oder Gewährleistungsfälle Es kann sich um personenbezogene Daten handeln, z.B. Lohn- und Gehaltsabrechnungen oder Pensionszusagen Wir müssen sorgfältig unsere berufsrechtlichen Anforderungen erfüllen, bspw. die Verschwiegenheitsverpflichtung nach § 43 WPO und nach § 9 unserer Berufssatzung Aber wir müssen auch unserer hohen Reputation gerecht werden, die ein hohes Vertrauensverhältnis wiederspiegelt Unsere Kommunikation läuft immer mehr in digitaler Form: Das gilt sowohl für den E-Mail-Verkehr mit den eigenen Mitarbeitern oder den Mitarbeitern eines Mandanten oder die Übermittlung von Daten in elektronischer Form. Ebenso verlangen Behörden wie Finanzämter von unseren Mandanten wie von uns selbst den digitalen Datentransfer, wie etwa die E-Bilanz oder Steuererklärungen über Elster Nicht zuletzt fordert aber auch ein deutlich gestiegener Markt- und Wettbewerbsdruck sowohl stets eine effiziente und schlagkräftige Praxis- und Projektorganisation und damit eben auch untrennbar verbunden den Einsatz von verlässlichen und sicheren IT-Systemen

WP/StB als Multiplikatoren für IT-Sicherheit hohe Professionalität umfassende betriebswirtschaftliche und rechtliche Kenntnisse und Erfahrungen i.d.R. keine IT-Experten Erfordernis der Erweiterung des generellen Unternehmenswissens durch grundlegende IT-Kenntnisse Zusammenarbeit mit IT-Experten WP und StB sind inzwischen als Multiplikatoren für IT-Sicherheit unterwegs. Der Grund dafür dürfte jetzt etwas deutlicher geworden sein: Wir betreuen Unternehmen, um sie bei der Realisation neuer Erfolgschancen zu unterstützen. Aber wir stehen in besonderem Maße auch für den Umgang mit unternehmerischen Risiken und tragen damit zu Transparenz und Vertrauen bei.er IT eröffnet neue Chancen, für Wachstum und Profitabilität ist sie praktisch unverzichtbar. Aber auch die Risiken müssen erkannt und bearbeitet werden. Das gilt sowohl für die von uns betreuten Unternehmen, als auch für unser eigenes IT-Risikomanagement. Wir sind als professionelle Berufsgruppen in der Wirtschaft anerkannt, aber auch wir müssen stets darüber nachdenken, ob und wie wir den hohen Erwartungen an unsere Professionalität gerecht werden. Aufgrund ihrer Ausbildung und Erfahrung verfügen WP und StB zumeist über ein recht breites betriebswirtschaftliches und rechtliches Knowhow. Aber als ausgewiesene IT-Experten tritt unser Beruf doch seltener in Erscheinung. Die wenigsten haben eben einen Background als Informatiker, sondern sind zumeist Kaufleute oder Juristen. Im aktuellen Umfeld brauchen aber auch WP/StB eine gewisse Erweiterung des generellen Unternehmens- und Organisationswissens durch grundlegende IT-Kenntnisse. Das bringt uns dann umso mehr in die Lage, Gesamtzusammenhänge und Interdependenzen zu erkennen und zu vermitteln. Dann sind wir zwar immer noch keine IT-Experten, aber vielleicht wichtige Brückenbauer für Unternehmensleitung und –aufsicht.

IT-Mittelstandinitiative des IDW Mit IT-Experten arbeiten WP/StB aber schon länger zusammen. Dies gilt natürlich besonders für die größeren WP/StB-Gesellschaften. Aber auch die mittelgroßen Kanzleien streben mehr denn je nach der Kooperation mit ausgewiesenen IT-Spezialisten. Das gilt sowohl für die interne Praxis- und Projektorganisation als auch für die externe Erbringung von Prüfungs- und Beratungsdienstleistungen für die Mandanten. Natürlich erkennen auch wir, und hier spreche ich jetzt ausdrücklich das IDW an, weiteren Handlungsbedarf. Wie reagieren wir auf neue Marktchancen, aber auch -risiken? Wie gehen wir mit einer zunehmenden Vernetzung um? …übrigens nicht nur im Zusammenhang mit IT! Was unternehmen wir schließlich, um unserer besonderen Vertrauensstellung gerecht zu werden? Unsere Antwort ist die IT-Mittelstandsinitiative des IDW. Hier bündeln wir unseren system- und prozessbezogenen Handlungsbedarf im Zusammenhang mit der Weiterentwicklung unseres Berufs. Ein Teilelement ist natürlich das Multiplikatorenprojekt. Das Fazit liegt dann auf der Hand: insbesondere bei KMU können WP und StB die Geschäftsleitung sensibilisieren und gezielte Hinweise auf IT-Sicherheitsmängel geben. Erste Nachfragen bei unseren Berufskollegen haben übrigens ergeben, dass …

Multiplikatorenprojekt DsiN Bisher 17 Veranstaltungen mit ca. 1.500 Teilnehmern Feedback über 90%: Informationsgehalt und Sensibilisierung für IT- Sicherheit = gut oder sehr gut 90%: Vermittlung von Denkanstößen = gut oder sehr gut knapp 90%: Relevanz für den beruflichen Alltag = gut oder sehr gut knapp 90%: bereit als Multiplikatoren aufzutreten. Durch 17 gemeinsame Veranstaltungen und Workshops haben wir mittlerweile über 1.500 Berufskollegen angesprochen und erreicht, dass sich die überwiegende Mehrheit jetzt intensiver mit dem Thema IT-Sicherheit auseinandersetzt. Insgesamt hoffen wir, mehr als 2.000 WPs und StB als Multiplikatoren für die IT-Sicherheit bei KMU gewonnen zu haben. Nach jeder Veranstaltung wurden die Teilnehmer um schriftliches Feedback gebeten. Dieses war durchweg sehr positiv und ermutigt uns, dieses Projekt weiter zu unterstützen. Die wichtigsten Aussagen sind: Über 90 Prozent bewerten den Informationsgehalt und die Sensibilisierung der Veranstaltung als gut oder sehr gut. 90 Prozent bewerteten die Vermittlung von Denkanstößen in der Veranstaltung als gut oder sehr gut. Die Relevanz der Veranstaltung für den beruflichen Alltag fanden ebenfalls knapp 90 Prozent gut oder sehr gut. Knapp 90 Prozent wollen zukünftig als Multiplikatoren auftreten. Aktuell laufen im Nachgang zu den Veranstaltungen noch weitere telefonische sowie Online-Befragungen zu den von uns erhofften Folgeaktivitäten unserer WP und StB. Erste Zwischenauswertungen stimmen uns ebenfalls positiv.

Unterstützung für die Wirtschaft, insbesondere den Mittelstand Zusammenfassung Nutzung der IKT für interne Praxisorganisation und externe Leistungserbringung der WP/StB Wachstum und Effizienzpotential, aber auch neue Risiken – sowohl für Unternehmen als auch WP/StB Sichere und verlässliche Daten der Rechnungslegung aus IT-gestützten Systemen und Prozessen Umfassendes Verständnis für Organisation und Geschäftstätigkeit von Unternehmen einschließlich IKT Unterstützung für die Wirtschaft, insbesondere den Mittelstand Lassen Sie mich ein letztes Fazit ziehen und einen kleinen Ausblick in dieser Sache wagen. Natürlich ist das Thema IT auch für WP und StB nicht neu. Wie alle Anderen auch nutzen wir diese Technologie für die internen Praxisorganisation und setzen sie zunehmend auch für unsere Leistungserbringung am Markt ein. In heutigen Unternehmensorganisationen – insbesondere auch bei KMU – wird IT eingesetzt, um Wachstum zu erreichen und effizienter zu werden. Die damit verbundenen Risiken dürfen aber nicht unter den Tisch fallen. Als WP und StB beurteilen wir die Verlässlichkeit der Finanzberichterstattung und damit die Ordnungsmäßigkeit und Sicherheit der Rechnungslegung. Die Daten werden aus IT-gestützten Systemen und Prozessen bezogen. Somit brauchen wir eine umfassende Sichtweise auf die Unternehmensorganisation, die die IT mit einschließt. Wir alle sind uns einig, dass das Thema IT die gesamte deutsche Wirtschaft betrifft. Ein besonderer Handlungsbedarf besteht – wie viele Erhebungen und Umfragen bestätigen – im Mittelstand. Er bildet das Rückgrat unserer Wirtschaft – wir wollen hier aktiv unterstützen.