36. Deutsch-Dänisches Seminar IT-Systemprüfung bei KMU Schwerin 5. September 2013 Holger Klindtworth

Inhalt Einführung Informationstechnologie und der WP Informationstechnologie und KMU Prüfung der IT bei KMU Fazit

Entwicklung der IT im Zeitablauf IT und Risiko Begrüßung Einführung 4000 v. Christus Das Archiv des IDW Entwicklung der IT im Zeitablauf IT und Risiko Praxisbeispiel Cloud Computing bei KMU

Handelsrecht | Buchhaltung | Tiefe Vergangenheit 4000 v. Christus, die Sumerer dokumentieren Geschäftsvorfälle Das ist die Geburt des Buchungs- journals Bei der Erfindung der Buchhaltung, wird nebenbei die Schriftsprache erfunden Einhaltung des "Radierverbots" ergibt sich hier aus dem Speichermedium Die „kaufmännische Datenverarbeitung“ hat begonnen Etwas später gelten die „Grundsätze ordnungsmäßiger Buchführung (GoB)“ (Handelsrecht) und die daraus abgeleiteten „Grundsätze ordnungsmäßiger DV-gestützer Buchführungssysteme (GoBS)“ von 1995 n. Christus (Steuerrecht)

Begrüßung

Einleitung Entwicklung der IT im Zeitablauf Mandantenveranstaltung IT-Revision/Innenrevision Unternehmen, Wirtschaftsprüfung und Informationstechnologie Einleitung Entwicklung der IT im Zeitablauf Grundbuch Anwendung 1 Hauptbuch Anwendung 2 Anlagen Anwendung 3 offene Posten Anwendung 4 1980er Insellösungen mit Schnittstellen 1990er Integration der Prozesse in einem Unternehmen 2000er Prozessintegration über Unternehmensgrenzen 2010er Vernetzung und Cloud Computing Integrierte Software – vernetzte Unternehmen

Grundprämisse „Die nachhaltigste und effektivste Methode, ein Unternehmen zu Grunde zu richten, kann der Einsatz von Informationstechnologie sein.“ Prüferweisheit

IT und Risiko | 1 Es kann bewiesen werden, dass die richtige und vollständige Verarbeitung durch ein Computer- programm (Turing-Maschine) nicht bewiesen werden kann …und wir alle kennen Schäden durch die IT. Das heißt, auch für die Prüfung gilt: Nur, weil der Prüfer keine Fehler findet, muss nicht alles richtig sein. Das heißt schlimmer: Nur „weil“ wir Auffälligkeiten finden, muss nicht alles falsch sein. Alan Turing

IT und Risiko | 2 | Hamburg Das ursprüngliche Becken des Alstersees entstand durch einen Mühlenstau im Verlauf des Reesendamms. Die Alster wurde um ca. 1190 aufgestaut, um eine Kornmühle zu betreiben. 1235 wurde ein zweiter Damm für eine weitere Mühle gebaut, der die Alsterwiesen aufgrund eines Berechnungsfehlers zum Alstersee überschwemmte. IT wurde nicht eingesetzt.

keine Nachvollziehbarkeit keine Revisionssicherheit IT und Risiko | 3 | Wasser Vermutung Mühlenstau bei Einsatz von IT keine Standards keine Kontrollen keine Nachvollziehbarkeit keine Revisionssicherheit siehe auch: http://www.eusprig.org/horror-stories.htm

IT und Risiko | 4 | Komplexität von Projekten HH-EP BER S21

Grundprämisse „Der Wirtschaftsprüfer bestätigt mit seiner Unterschrift die Ordnungsmäßigkeit der Buchhaltung (u.a. Richtigkeit und Vollständigkeit)“

Einleitung Gegenwart > Cloud Computing Unternehmen, Wirtschaftsprüfung und Informationstechnologie Einleitung Gegenwart > Cloud Computing „Cloud Computing“ erlaubt die Bereitstellung und Nutzung von IT-Infrastruktur, von Plattformen und von Anwendungen aller Art als im Internet elektronisch verfügbare Dienste Begriff „Cloud“ deutet dabei an, dass die Dienste von einem Provider im Internet (bzw. im Intranet eines Unternehmens erbracht werden) „Cloud“-Ressourcen sind in der Regel virtualisiert, d.h. keiner eindeutigen technischen Plattform zugeordnet Cloud Computing ist möglich dank der enormen Steigerung der Rechenleistung der flächendeckenden Verfügbarkeit höherer Bandbreiten und der Virtualisierungstechnologien D.h. JEDE Übertragung einer E-Mail ist Cloud Computing. Im Jahr 2010 wurden ca. 107 Billionen E-Mails verschickt, mit einem Spam-Anteil von 89,1 %* Übertragung der Daten durch die Wolke (verschlüsselt über VPN/unverschlüsselt) Unterscheidung in Private / Public Clouds: unternehmensintern / -übergreifend Quelle: Cloud Computing: Web-basierte dynamische IT-Services von Christian Baun, Marcel Kunze, Jens Nimis, Stefan Tai

Einleitung Gegenwart > Cloud Computing Praxisszenario: Kleines mittelständisches Mandat Finanzbuchhaltung in der „Cloud“ Buchhaltungsbelege werden am „Heimarbeitsplatz“ erfasst Im Büro keine IT-Infrastruktur … … bis auf Kommunikationsanbindung und „Thin-Clients“ Mobiler Zugriff auf das Reporting durch Geschäftsführer via mobilem Endgerät Gleiches Vorgehen für Office-Dateien (Angebote, Aufträge, Bestellungen…) E-Mail und Kalender Faktisch keine eigene IT mehr

Einleitung Bedeutung der IT Unternehmen, Wirtschaftsprüfung und Informationstechnologie Einleitung Bedeutung der IT Zunehmende Bedeutung und rasante Entwicklung der Informationstechnologie in Wirtschaft und Gesellschaft Chancen und Risiken der Informationstechnologie Chancen z.B. durch Standardisierung, Automatisierung und Effizienzgewinne Risiken z.B. durch Abhängigkeiten, Sicherheitsprobleme und Datenverluste Werden im Zeitalter des Internets Wirtschaftsprüfer als angemessen kompetent im Thema IT wahrgenommen?

Informationstechnologie und der WP Rolle des WP Herausforderungen IT beim Mandanten Handelsrecht und IT Das IT-IKS Prüfungsstandards

Einleitung Veränderungen mit Chancen und Risiken Unternehmen, Wirtschaftsprüfung und Informationstechnologie Einleitung Veränderungen mit Chancen und Risiken WP – Veränderungen des Berufsbilds - Stellung und Funktion – Öffentlichkeit - Arbeitsweise und Standards – Effizienz - Wissen und Erfahrung – IT-Wissen IT – in der WP-Praxis - Einsatz für die Praxisorganisation - Nutzung in der Prüfung und Beratung IT beim Mandanten - für Organisationsprozesse und IKS/RMS - als nützliche und schutzwürdige Ressource

Informationstechnologie und WP Herausforderungen > IT in der WP-Praxis Das Prüfungsfeld IT wird weiterhin bedeutungsvoller für den Abschlussprüfer. Der Einsatz von IT in der Wirtschaftsprüferpraxis auch. Die Anforderungen, die der WP an die Rechnungslegung beim Mandanten stellt, gilt auch für die eigene IT. IT-Sicherheit in der WP-Praxis gewinnt an Bedeutung. Die digitale Welt ist auch für den WP nicht mehr aufzuhalten (z.B. ELSTER, EHUG, eBilanz etc.). Mit der Vernetzung steigt der potenzielle Missbrauch durch unternehmerische und auch durch soziale Netzwerke. Je mehr Geschäftserfolg mit IT verknüpft ist, desto wichtiger ist IT-Sicherheit. Je mehr Berührungspunkte, desto größer die Gefahr! 18

Informationstechnologie und WP Herausforderungen > IT beim Mandanten Informationstechnologie ist ein wichtiger Prüfungsgegenstand, der weiterhin komplexer wird. Auch KMUs setzen inzwischen integrierte kaufmännische Anwendungssysteme für ihre Geschäftsprozesse ein. Wissen in der Informationstechnologie aufzubauen, vorzuhalten und zielgerichtet einzusetzen ist von entscheidender Bedeutung. Wirtschaftliche Prüfungsdurchführung trotz oder gerade durch IT

Handelsrecht Anforderungen HGB an die IT Konkretisierung der aus § 257 HGB resultierenden Anforderungen an den IT-Einsatz: Funktionsfähiges Internes Kontrollsystem Nachvollziehbares (buchhalterisches) Verfahren Einhaltung Journal-, Beleg-, Kontenfunktion Speicherung auf Datenträger bei GoB-Einhaltung Aufbewahrung, empfangene Handelsbriefe und Buchungsbelege

IT-Kontrollsystem IT-Kontrollsystem ist Bestandteil des internen Kontrollsystems (IKS) umfasst diejenigen Grundsätze, Verfahren und Maßnahmen (Regelungen), die zur Bewältigung der Risiken aus dem Einsatz von IT eingerichtet werden Regelungen zur Steuerung des Einsatzes von IT im Unternehmen (internes Steuerungssystem) Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) Praxishinweis Das IT-Kontrollsystem ist Bestandteil des internen Kontrollsystems (IKS). Es umfasst diejenigen Grundsätze, Verfahren und Maßnahmen (Rege-lungen), die zur Bewältigung der Risiken aus dem Einsatz von IT eingerichtet werden. Hierzu gehören Regelungen zur Steuerung des Einsatzes von IT im Unternehmen (internes Steuerungs-system) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) „internal controls“ bedeutet NICHT interne Kontrollen. „Control“ bedeutet u.a. Steuerung. Eine Richtlinie hat Kontrollfunktionen im Sinne IKS. 21

Vorgehensweise bei der IT-Prüfung Funktions- prüfung Prüfung der Wirksamkeit Beurteilung der Wirksamkeit Aufbau- prüfung Beurteilung der Angemessenheit Aufnahme vorl. Beurteilung der Wirksamkeit IT-System IT-Geschäftsprozess IT-Kontrollsystem (IT-Organisation/IT-Umfeld) IT-Anwendungen IT-Infrastruktur

Geschäftsprozesse und Informationstechnologie Unternehmen, Wirtschaftsprüfung und Informationstechnologie Geschäftsprozesse und Informationstechnologie IT-System z.B. Beschaffung, Absatz, Personal E A D C B Geschäfts- prozessebene Cycles Geschäftsprozesse beeinflusst Applikations-/ Systemebene IT-Anwendungen IT-Anwendungen IT-Umfeld, -Organisation Int. ReLe Oper. Sys. Ext. ReLe beeinflusst Technische Systemebene IT-Infrastruktur IT-Infrastruktur Hardware (IDW RS FAIT 1) Netze

Geschäftsprozesse und Informationstechnologie Unternehmen, Wirtschaftsprüfung und Informationstechnologie Geschäftsprozesse und Informationstechnologie Finanzbericht-erstattung IT-System Interne Kontrollprozesse Datenaustausch (Teilsysteme) Zugriffsrechte (Berechtigungskonzepte) Funktionale Anforderungen (GoB) Prozessübergreifende Stammdatenpflege E A D C B beeinflusst Anwendungsbezogene Kontrollen (Eingabe-, Verarbeitungs-, Ausgabekontrollen) Generelle Kontrollen (Software-Entwicklung und -Beschaffung, Test- und Freigabeverfahren, Change Mgt.) Int. ReLe Oper. Sys. Ext. ReLe beeinflusst Sicherheitskonzept (Zugriffskontrollen, Sicherungsmaßnahmen, Datensicherungsverfahren, Auslagerung) Organisationshandbuch (Regelbetrieb) Katastrophenfall-Szenarien (Notfall) Hardware Netze M

Anforderungen nach IDW RS FAIT 1 Unternehmen, Wirtschaftsprüfung und Informationstechnologie Anforderungen nach IDW RS FAIT 1 Prüfungskriterien Ordnungsmäßigkeit der Rechnungslegung: Vollständige, richtige, zeitgerechte, geordnete, nachvollziehbare und unveränderbare Verarbeitung Sicherheit: Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit, Integrität, Verfügbarkeit Prüfungsziel Prozessrisiken Prüfungsgegenstand (soweit rechnungslegungsrelevant) (IT-Organisation/-Umfeld) IT-Kontrollsystem IT-System Anwendungsrisiken IT-gestützter Geschäftsprozess IT-Anwendung Infrastrukturrisiken IT-Infrastruktur

Überblick Ordnungsmäßigkeitsanforderungen Unternehmen, Wirtschaftsprüfung und Informationstechnologie Überblick Ordnungsmäßigkeitsanforderungen Vollständigkeit § 239 II HGB = Richtigkeit § 239 II HGB = Zeitgerechtheit § 239 II HGB | Ordnung § 239 II HGB zeitlich + sachlich Nachvollziehbarkeit § 239 I 2 HGB Verfahrensdokumentation Unveränderlichkeit § 239 III HGB Verfahrensdokumentation

Überblick Sicherheitsanforderungen Unternehmen, Wirtschaftsprüfung und Informationstechnologie Überblick Sicherheitsanforderungen Vertraulichkeit Integrität Verfügbarkeit Autorisierung Authentizität Verbindlichkeit

Standards des IDW im Überblick Unternehmen, Wirtschaftsprüfung und Informationstechnologie Standards des IDW im Überblick IDW RS FAIT 1 GoB bei Einsatz von Informationstechnologie Prüfungsstandards Bescheinigungen IDW PS 261 IDW PS 951 IDW RS FAIT 2 GoB bei Einsatz von Electronic Commerce Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungs- unternehmen ausgelagerte Funktionen IKS IKS IDW RS FAIT 3 GoB beim Einsatz elektronischer Archivierungsverfahren IDW PS 330 IDW PS 880 nF IKS-IT Abschlussprüfung bei Einsatz von Informationstechnologie Anwendung Die Prüfung von Softwareprodukten IDW RS FAIT 4 Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse PH.9.330.1 Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie PH.9.330.2 Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung PH.9.330.3 Einsatz von Datenanalysen im Rahmen der Abschlussprüfung

Bedeutung und Einfluss der IT Unternehmen, Wirtschaftsprüfung und Informationstechnologie Bedeutung und Einfluss der IT

Informationstechnologie und KMU Organisation der IT Besonderheiten beim Mittelstand

Unternehmen, Wirtschaftsprüfung und Informationstechnologie Organisation und IT Ohne den Einsatz von IT ist eine schlagkräftige und effektive Organisation nicht mehr vorstellbar. Ohne eine effiziente Organisation ist ein erfolgreicher Marktauftritt im globalen Wettbewerb kaum möglich. Unternehmen richten ihre Organisation zunehmend an den Märkten aus, die i.d.R. auf den wertschöpfenden Kernprozessen basiert. Diese Geschäftsprozesse werden zunehmend in automatisierten, standardisierten, integrierten und flexiblen IT-Landschaften abgewickelt. Die Informationen zur unternehmerischen Planung, Steuerung und Überwachung werden kontinuierlich aus diesen Systemen und Prozessen generiert. Die IT-Organisation ist integraler Bestandteil der Unternehmens- organisation; IT Governance ist Teil der Corporate Governance Das gilt auch für KMU !

IT-Systemprüfung und mittelständische Mandanten Mittelständische Mandanten, u.a. Niveau der IT-Integration z.T. höher als bei Großunternehmen Funktionstrennung oft nicht möglich hohe Bandbreite an Unternehmensformen und Organisationen häufig eigentümergeführt Selbstverständlichkeit der IT-Prüfung nicht gegeben! Honorardiskussion (Effizienzverbesserung) Verdeutlichung des Mehrwerts für Mandanten (neben Mehrwert für den Prüfer) HK Art und Umfang von IT-Systemprüfungen haben sich grundlegend verändert. Die DV-Revision war in der Vergangenheit eher technisch ausgerichtet. IT-Systemprüfungen von heute sind untrennbar mit der Organisation von Unternehmen und den eingesetzten Steuerungs- und Überwachungssystemen verknüpft. Diese veränderten Rahmenbedingungen erfordern entsprechende Prüfungsansätze und –standards. Im Hinblick auf die Komplexität und Automatisierung ist auch der Einsatz von Spezialisten wichtiger denn je.

Identifizierung relevanter IT-Systeme Festlegung der zu untersuchenden Posten der Bilanz und GuV Ermittlung der wertmäßig bedeutenden Kontensalden Identifizierung der zugrunde liegenden Geschäftsprozesse Erhebung der jeweiligen IT-Systeme/Anwendungen für diese Transaktionen HK

Identifizierung relevanter IT-Systeme Neben IT-Risiken, die zu wesentlichen Fehlern in der Bilanz & GuV führen, gibt es weitere prüfungsrelevante IT-Risiken Beispiele für weitere IT-Risiken des Unternehmens Datenverlust oder Datenverfälschung (z.B. Keine Rücksicherung nach Systemausfall) Ausfall oder Einschränkung operativer Funktionen (z.B. Keine Fakturierung möglich) Falsche unternehmerische Entscheidungen (z.B. Fehlerhafte Kalkulation mit Excel) HK

Sicherheitsanforderungen (IDW RS FAIT 1) | Wiederholung Vertraulichkeit Kein Unbefugter kann auf Informationen zugreifen und diese lesen. Integrität Daten und Systeme stehen vollständig und richtig zur Verfügung, kein Unbefugter kann Informationen verändern. Verfügbarkeit Informationen sind dann verfügbar, wenn sie benötigt werden; funktionsfähige Ressourcen. Autorisierung Bearbeitung und Weitergabe von Informationen oder Geschäftsvorfällen sollen nur durch Berechtigte erfolgen. Authentizität Informationen stammen aus der vorgegebenen Quelle; eindeutige Zuordnung zum Verursacher. Sichere IT-Systeme müssen die folgenden Anforderungen erfüllen: Vertraulichkeit verlangt, dass von Dritten erlangte Daten nicht unberechtigt weitergegeben oder veröffentlicht werden. Integrität von IT-Systemen ist gegeben, wenn Daten, Informationen und Systeme vollständig und richtig zur Verfügung stehen und vor ungewollten Änderungen und Manipulation geschützt sind. Verfügbarkeit verlangt, dass das Unternehmen zur Aufrechterhaltung des Geschäftsbetriebs die ständige Verfügbarkeit der Hardware, Software sowie Daten und Informationen gewährleistet. Autorisierung bedeutet, dass nur Berechtigte die Rechte wahrnehmen können, die für dieses System definiert sind. Authentizität ist gegeben, wenn ein Geschäftsvorfall einem Verursacher eindeutig zuzuordnen ist. Unter Verbindlichkeit wird die Eigenschaft von IT-gestützten Verfahren verstanden, gewollte Rechtsfolgen bindend herbeizuführen. Verbindlichkeit Die Quelle der Informationen kann deren Sendung nicht abstreiten; Herbeiführung bindender Rechtsfolgen. 35

Grundprämisse „Alle Sicherheitsanforderungen sind wichtig! Integrität und Verfügbarkeit sind absolut unerlässlich“.

Prüfung des IT-Umfelds und der IT-Organisation Begrüßung Prüfung der IT bei KMU Prüfung des IT-Umfelds und der IT-Organisation Prüfung IT-Infrastruktur Prüfung Anwendungen

Prüfung der Sicherheitskonzeption Sicherheitsgrundsätze, übergreifende Regeln Vorgehensweisen, Methoden, Standards Policy für IT - Mitarbeiter Policy für alle Benutzer Berechtigungs- vergabe Internet und E-Mail-Dienste Notfallplanung Die Prüfung der Sicherheitskonzeption erstreckt sich auf die durch die Unternehmensleitung erlassene Sicherheits-Policy, und auf die Ausführungsanweisung an die Mitarbeiter. Die Sicherheits-Policy muss die grundsätzliche Einstellung der Unternehmensleitung zum Thema Sicherheit wiedergeben. Dazu zählen z.B. Festlegungen der besonders zu schützenden Daten, Grundsatzvorgaben zu Sicherheitskonzepten sowie die zur Gewährleistung einer hohen Sicherheit einzusetzenden Methoden und Standards. Zur praktischen Umsetzung dieser Sicherheitsrichtlinien bedarf es dann Ausführungsbestimmungen für IT-Mitarbeiter etwa zur Einrichtung von Berechtigungen und für die Mitarbeiter aus Fachabteilungen, z.B. über besondere Verfahrensanweisungen bei Ausfall der IT-Systeme. In jedem Fall müssen Verantwortungen und Kompetenzen klar geregelt und schriftlich fixiert sein. Verantwortlichkeiten Kompetenzen (IDW RS FAIT 1, Tz. 21) 38

Prüfung der IT-Organisation Organigramme des Unternehmens und des IT-Bereichs Aufnahme Aufbauprüfung Funktionsprüfung Unabhängigkeit IT-Bereich und Fachbereiche Gliederung der Aufgaben (z.B. Entwicklung/IT-Betrieb) klare Beschreibung der Aufgaben Regelungen Zusammenarbeit mit Fachbereichen (bei KMU wichtig!) Vertreterregelung Entsprechen Tätigkeits- und Funktionsbeschreibungen der Realität? Sind Funktionstrennungen im Zugriffsschutzsystem abgebildet? Prüfungshandlungen werden hier exemplarisch am Beispiel der IT-Organisation gezeigt. Zunächst erfolgt die Aufnahme des relevanten Bereiches anhand der Unterlagen zur Aufbau- und Ablauforganisation, etwa Organigramme, Stellenbeschreibungen und sonstige Organisationsunterlagen. Anhand dieser Unterlagen werden die Fragen zur Aufbauprüfung beantwortet, etwa: Sind Fachbereich und IT-Bereich räumlich und organisatorisch getrennt? Sind die Aufgaben sinnvoll gegliedert und klar beschrieben? Existieren Regelungen zur Zusammenarbeit mit den Fachbereichen? Existieren Vertreterregelungen? 39

Risiken für die Datenintegrität IT-Abteilung | 1 Risiken für die Datenintegrität unautorisierte Änderungen rechnungslegungsrelevante Daten! Programme Kernfrage: WER darf WAS? Kontrollen sollen verhindern oder zumindest aufdecken dolose Handlungen

Gegenmaßnahmen (Kontrollen) IT-Abteilung | 2 Gegenmaßnahmen (Kontrollen) Arbeitsplatzbeschreibungen bei KMU eher selten! Funktionstrennung ausreichend und umgesetzt? wenn NICHT  kompensierende Kontrollen Berechtigungskonzept dokumentiert vorhanden? angemessen kontrollierter Prozess inkl. Exit-Verfahren Rolle von Super-Usern Change Management

Begrüßung Exkurs: Datenprüfung

Datenprüfung Datenprüfung kann die Prüfungsqualität und -effizienz erhöhen Möglichkeit der Prüfung von Massentransaktionen Best-Practice aber Kein Allheilmittel Nur Teil des Methodenmix Kenntnisse über Daten und Systeme zwingend

Funktionstrennung bei KMU Funktionstrennungsmatrix aufstellen Analyse: Wer hat gebucht ? Auffälligkeiten Auseinandersetzung mit Berechtigungskonzept Auseinandersetzung mit Fraud   ST BD BE WE RE ZA Stammdatenpflege (ST) NR K Bedarfsermittlung (BD) Bestellung (BE) Wareneingang (WE) Rechnungseingang/-prüfung (RE) Zahlung (ZE)

Funktionstrennung im Einkauf Eine erste Datenprüfung Datenquellen z.B. User-Kennung im Stammsatz/Konditionensatz User-Kennung Materialbeleg User-Kennung Zahlungsbuchung etc. Gegenüberstellung in einer Matrixform User ST BD BE WE RE ZA K. Moss   300 50 M. Jovowitsch 70 20 C. Crawford 900 N. Campbell

Prüfung IT-gestützter Rechnungslegungssysteme Prüfung des IT-Umfelds und der IT-Organisation Prüfung IT-Infrastruktur Prüfung Anwendungen

Prüfung der IT-Infrastruktur Die Prüfung der IT-Infrastruktur richtet sich auf physische Sicherungsmaßnahmen logische Zugriffskontrollen (Netzwerk, Server) Maßnahmen für den geordneten Regelbetrieb Verfahren für den Notbetrieb Maßnahmen zur Sicherung der Betriebsbereitschaft Diese Folie gibt einen Überblick über die Bereiche, die im Rahmen der Prüfung der IT-Infrastruktur untersucht werden müssen. Die Prüfung der IT-Infrastruktur richtet sich auf die Prüfung der physischen Sicherungsmaßnahmen, Logische Zugriffskontrollen, Datensicherungs- und Auslagerungsverfahren, Maßnahmen für den geordneten Regelbetrieb und Verfahren für den Notbetrieb und die Sicherung der Betriebsbereitschaft. (IDW PS 330, Tz. 53) 47

Umfang der physischen Sicherungsmaßnahmen bauliche Maßnahmen Verfügbarkeit Versorgungseinrichtungen Datenintegrität Zugangskontrollen Authentizität Gebäudeschutz Kontrollmaßnahmen zur physischen Sicherheit dienen in erster Linie zur Gewährleistung von Sicherheitsanforderungen: Bauliche Maßnahmen wie die Einrichtung besonders gesicherter Rechnerräume gewährleisten den Schutz der Daten vor Feuer, Wasser und Einbruch. Ziel dieser Maßnahmen ist die Gewährleistung der Datenintegrität. Versorgungseinrichtungen wie Strom und Klimatisierung sind zur Sicherung der Verfügbarkeit der Daten erforderlich. Zugangskontrollen wie Ausweissysteme und Schlüsselsysteme sollen verhindern, dass Unbefugte Zugang zu den Daten erhalten. Gebäudeschutz hat bei hochsensiblen Daten oder Hochsicherheits-/Hochverfügbarkeits-Rechenzentren entsprechende Priorität Vertraulichkeit 48

Physische Sicherungsmaßnahmen Übersichtspläne (Lagepläne, Schließanlage,...) Serverraumbegehung Verträge mit IT-Dienstleistern Zutrittssysteme und Berechtigungsvergabe Aufnahme Aufbauprüfung Funktionsprüfung Beurteilung der Angemessenheit des Standorts der organisatorischen Regelungen technischer Maßnahmen stichprobenartige Prüfung der vergebenen Zugangsberechtigungen Prüfung der Wartungsverträge stichprobenartige Prüfung der Zugangs- und Wartungsprotokolle Die Aufbauprüfung der physischen Sicherungsmaßnahmen richten sich auf die Beurteilung der Angemessenheit der festgelegten Sicherheitsmaßnahmen im Hinblick auf die eingesetzte Technik und den gewünschten Schutzzweck. Die Prüfung der Wirksamkeit erfolgt in Stichproben, in denen sich der Abschlussprüfer von der Funktionsfähigkeit der Maßnahmen überzeugt, etwa durch Begehung des Rechnerraums oder durch Abgleich der im Zugangskontrollsystem eingerichteten persönlichen Zugangsberechtigungen mit den Zugangsberechtigungen laut Organisationsanweisung. In der Folie werden typische Aktivitäten zur Prüfung physischer Sicherungsmaßnahmen dargestellt. Die Aufnahme basiert etwa auf vorliegenden Dokumenten und auf den Erkenntnissen aus Rechenzentrumsbegehungen. In der Aufbauprüfung werden die Dokumente und Ergebnisse einer kritischen Würdigung auf Angemessenheit unterzogen. Funktionsprüfungen sind nur insoweit möglich, wie Prüfungshandlungen keine Gefährdung des laufenden Betriebs erzeugen, etwa durch tatsächlichen Test der Funktionsfähigkeit des Not-Aus-Schaltens. 49

Physische Sicherheitsmaßnahmen Zugangskontrollen Überwacht und sicher? Zugang von Dienstleistern? Protokolliert? „Social Engineering“ Diebstahlsicherung Schutz vor Umwelteinflüssen Feuer Wasser Temperatur Strom

Logische Zugriffskontrollen Berechtigungskonzept Zugriff auf Infrastruktur UND Anwendungen Ausreichend durchdacht Differenzierte Benutzergruppen? Minimale Zugriffsrechte? Richtig umgesetzt Standardpasswörter geändert? Periodische Änderung der Passwörter? Löschen ausgeschiedener Mitarbeiter?

Datensicherung und Auslagerung Datensicherungskonzept Arbeitsanweisungen Datensicherungsprotokolle Übersichtspläne der Sicherungs- Infrastruktur Aufnahme Aufbauprüfung Funktionsprüfung Angemessenheit der eingesetzten Datensicherungsverfahren Nachvollziehbarkeit der Dokumentation Sicherstellung der Wiederauffindbarkeit der Daten Begehung der Archivräume (z.B. Tresor) Sichtkontrolle der Datensicherungsträger Prüfung des Schedulers (Kalender) stichprobenartige Prüfung der Datensicherungsprotokolle Rücksicherungen, Tests Die Angemessenheit des Datensicherungsverfahrens bezieht sich etwa auf die Einrichtung eines Mehr-Generationen-Prinzips mit Tages-, Wochen-, Monats- und evt. Jahressicherungen, die verwendeten Sicherungsmedien (Bänder, CD-ROM, Platten) sowie die Auslagerungsorte und -intervalle. Die Wirksamkeit muss in Stichproben durch Einblick in Protokolle und Inaugenscheinnahme geprüft werden. Die Aufnahme der Datensicherungs- und Auslagerungsverfahren basiert auf schriftliche Unterlagen des Unternehmens wie Arbeitsanweisungen oder Datensicherungsprotokollen. Anhand dieser Unterlagen muss sich der Prüfer ein Bild über die Angemessenheit der Maßnahmen bilden, etwa bei adäquate Umsetzung des Generationsprinzip in der Datensicherung. Von der Einhaltung dieser Maßnahmen muss sich der Prüfer durch diverse Funktionsprüfungen, wie eine Sichtkontrolle der Datensicherungsmedien, überzeugen. 52

Datensicherung und Auslagerung Risiko Kontrolle/Maßnahme Funktionsprüfung Verlust von Daten durch: Umwelteinflüsse Viren Diebstahl Regelmäßige Sicherung der Daten Mindestens eine ausgelagerte Datensicherung Wurden Sicherungen regelmäßig durch-geführt? Sind verschiedene Generationen vorhanden? Gibt es ausgelagerte Datensicherungen? Ist der Auslagerungsort sicher? Werden alle relvanten Daten gesichert? Sind die Datensicherungen jederzeit verfügbar?

IT-Regelbetrieb Aufnahme Aufbauprüfung Funktionsprüfung Praxishinweis Handbücher Administratoranweisungen Job/Batch Aufstellungen Aufnahme Aufbauprüfung Funktionsprüfung Abgleich der Anweisungen mit erforderlichem Regelungsumfang Prüfung der im Handbuch aufgeführten Protokolle, Jobs und Nachweise auf Existenz und Aufbewahrung Durchsicht Protokolle auf (wiederkehrende) Fehler Abhängigkeit von der Art und Komplexität der Hardware bedeutet, dass in einem Rechenzentrum detaillierte organisatorische Anweisungen zur Abwicklung der Datenverarbeitung (RZ-Handbuch, Operatoranweisungen) als auch technische Systeme zur Steuerung des Rechnerbetriebs (Jobsteuerungssysteme, Überwachungssysteme) erforderlich sind. Bei kleineren PC-Netzwerken kann der Regelungsbedarf entsprechend weniger umfassend sein (z.B. nur Anweisungen zur Datensicherung). Unabhängig von Art und Größe des IT-Betriebs müssen die innerbetrieblichen Abläufe schriftlich geregelt sein. Die Abwicklung von IT-Anwendungen muss z.B. anhand von Jobprotokollen nachvollziehbar sein. Auf der Folie ist die Prüfung des IT-Regelbetriebs am Beispiel eines Rechenzentrumsbetriebs dargestellt. Basis der Prüfung sind das Rechenzentrums-Handbuch sowie ergänzende Unterlagen wie Operatorenanweisungen und Jobprotokolle. Im Rahmen der Aufbauprüfung wird beurteilt, ob das Regelwerk bzw. das Rechenzentrums-Handbuch hinsichtlich des Regelumfangs die Art und Komplexität des RZ-Betriebs widerspiegelt. Die Funktionsprüfungen richten sich dann auf die tatsächliche Durchführung der im RZ-Handbuch vorgeschriebenen Kontrollen und Dokumentationspflichten. Praxishinweis Bei KMU sollte ERST das interne/externe Berichtswesen erhoben werden 54

Sicherung der Betriebsbereitschaft Notfall- und Wiederanlaufplan Testdokumentationen Wartungs- und Wiederbeschaffungsverträge Aufnahme Aufbauprüfung Funktionsprüfung Berücksichtigung unternehmens-spezifischer Risiken Berücksichtigung der Abhängigkeit des Unternehmens von der IT Prüfung der Plausibilität der Schadenszenarien Prüfung der Testprotokolle Prüfung der eingetretenen Notfälle hinsichtlich Dokumentation Vorgehen gemäß Notfallplan Die Anforderungen an die Verfügbarkeit der Datenverarbeitung variieren je nach Branche und Unternehmensgröße. Banken und Telekommunikationsunternehmen haben tendenziell andere Anforderungen an die Verfügbarkeit ihrer IT als mittelständische Produktionsunternehmen. Zumindest sollte organisatorisch vorgeplant sein, welche Maßnahmen im Falle des Ausfalls der Datenverarbeitung ergriffen werden können. Bei Unternehmen mit höheren Anforderungen an die Verfügbarkeit müssen diese organisatorischen Maßnahmen ergänzt werden um technische Maßnahmen wie die redundante, d.h. doppelte Auslegung von Hardwarekomponenten, z.B. Servern oder Netzwerk-Routern bspw. zu vertraglichen Vereinbarungen über Ersatzkapazitäten und eigene Ausweichrechenzentren. Zunächst sind Informationen über die Maßnahmen des Unternehmens zur Sicherung der Betriebsbereitschaft gegen Notfall- und Wiederanlaufpläne einzuholen sowie Protokolle über bislang durchgeführte Tests einzusehen. Im Rahmen der Aufbauprüfung ist zu beurteilen , ob die geplanten Maßnahmen der Risikosituation des Unternehmens adäquat sind. Funktionstest kann der Abschlussprüfer bei einem Regelfall nicht selbst durchführen, er muss sich vielmehr auf die dokumentierten Tests des Unternehmens verlassen. 55

Prüfung IT-gestützter Rechnungslegungssysteme Prüfung des IT-Umfelds und der IT-Organisation Prüfung IT-Infrastruktur Prüfung Anwendungen

Überblick Ordnungsmäßigkeit von IT-Anwendungen setzt voraus: Anwendungsbezogene Kontrollen Generelle Eingabekontrollen Verarbeitungskontrollen Ausgabekontrollen Prüfung der Programmfunktionen Auswahl, Entwicklungs- und Änderungsprozess Implementierung IT-Kontrollen in Bezug auf IT-Anwendungen bestehen wie gesagt aus anwendungsbezogenen und generellen Kontrollen. Anwendungsbezogenen Eingabe-, Verarbeitungs- und Ausgabekontrollen bilden das maschinelle interne Kontrollsystem und sollen die Richtigkeit und Vollständigkeit der Daten sicherstellen. Hier findet sich das EVA-Prinzip wieder, bestehend aus Eingabe-, Verarbeitung- und Ausgabekontrollen. Im folgenden werden die generellen Kontrollen vertiefend erläutert: Programmfunktionen, Auswahlprozess etc. und Implementierung (IDW PS 330, Tz. 70) 57

Ausgewählte Punkte zu IT-Anwendungen IDW PH 9.330.1 Ausgewählte Punkte zu IT-Anwendungen Liegt eine Verfahrensdokumentation vor? Anwendungsdokumentation? technische Systemdokumentation? Gewährleisten IT-Anwendungen die Erfüllung der Beleg-, Journal und Kontenfunktion? Existiert eine Softwarebescheinigung? für die eingesetzte Version? Führen evtl. Abweichungen zu einer Beeinträchtigung der Beleg-, Journal oder Kontenfunktion? Bei KMU häufig Standardsoftware

Fazit Auch KMU sind inzwischen hochgradig abhängig von IT Für den WP muss die Verlässlichkeit und Verfügbarkeit der Daten im Vordergrund stehen Systematische Auseinandersetzung mit IT-Risiken im Rahmen der JAP Nicht „Feuerlöscher zählen“ sondern IKS-Prüfung IT-Prüfung im Rahmen der JAP ist keine Raketenwissenschaft Nur Mut!

Wir sind für Sie da – sprechen Sie uns an Holger Klindtworth CISA, CIA, CISM Partner Ebner Stolz Mönning Bachem GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Admiralitätstraße 10 20459 Hamburg E-Mail holger.klindtworth@ebnerstolz.de Tel. +49 40 37097-220 Fax +49 40 37097-199