Master of Science, Master of Science.
Co-Autoren:
Die Anforderungen an die im Unternehmen eingesetzten IT-Systeme sind mit dem technologischen Fortschritt in den letzten Jahrzehnten stetig gewachsen. Die damit verbundene Komplexität des IT-Umfelds sowie die zunehmende Digitalisierung von Geschäftsprozessen sorgen für eine wachsende Unsicherheit in Bezug auf die Ordnungsmäßigkeit, die Sicherheit und die Verlässlichkeit von IT-Systemen.
Neben den unternehmensspezifischen Anforderungen sind auch immer mehr gesetzliche Aspekte (z. B. IT-Sicherheitsgesetz, Bundesdatenschutzgesetz bzw. EU-Datenschutz-Grundverordnung, Tax Compliance Systeme) zu berücksichtigen, welche die Nutzung von Daten und IT regulieren. Für Unternehmen ist es daher ratsam, den Status quo der eigenen Geschäftsprozesse zu ermitteln, um notwendige Verbesserungen und Veränderungen herbeizuführen.
Bei der Erarbeitung eines Prüfungsstandards für IT-Prüfungen außerhalb der Abschlussprüfung wurde auf die bereits bestehenden rechnungslegungsbezogenen Standards, den IDW PS 330 (Abschlussprüfung bei Einsatz von Informationstechnologie) und den IDW RS FAIT 1 (Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie), zurückgegriffen. Der entsprechend neu veröffentlichte IDW PS 860 richtet sich an Unternehmen, die die Ordnungsmäßigkeit, die Sicherheit, das Risikomanagement sowie die Compliance (Überwachung der Einhaltung von Gesetzen und Vorschriften) ihrer IT-Systeme und Prozesse auch außerhalb der Abschlussprüfung sicherstellen wollen.
Der IDW PS 860 schafft einen verbindlichen Rahmen für die Angebotserstellung, Auftragsabwicklung und Berichterstattung von IT-Prüfungen auf Basis eines kriterienbasierten Prüfungsansatzes. Kriterien, welche zur Beurteilung herangezogen werden, können anerkannte Standards und Rahmenwerke (z. B. ISO 27001, COBIT, COSO), aber auch vom Unternehmen selbst entwickelte Kriterien sein. Der neue Prüfungsstandard steht im Einklang mit dem International Standard on Assurance Engagements (ISAE) 3000 (Revised) „Assurance Engagements Other than Audits or Reviews of Historical Financial Information“.
Der IDW PS 860 ermöglicht dank seines offenen Ansatzes damit einen breiten Anwendungsbereich und unterscheidet dabei, abgeleitet aus ISAE 3000, zwischen der Prüfung einer Erklärung zum IT-System und einer direkten IT-Prüfung:
Beide Prüfungsarten können als reine Angemessenheitsprüfung oder als Wirkamkeitsprüfung angelegt werden. Die Angemessenheitsprüfung beschränkt sich auf die Beurteilung, ob das IT-System bzw. die Erklärung hierzu für den vorgesehenen Anwendungszweck geeignet ist und die vom Unternehmen dokumentierten Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems implementiert sind. Ziel der Wirksamkeitsprüfung ist es darüber hinaus zu beurteilen, ob die in der Erklärung dargestellten bzw. – im Fall der direkten IT-Prüfung – die vom Unternehmen tatsächlich angewandten Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems im Prüfungszeitraum auch wirksam waren.
Neben den Kriterien, welche zur Beurteilung herangezogen werden, entwickelt der FAIT Ergänzungen mit konkreten Anforderungskatalogen, wie z. B. für die Prüfungen von Cloud-Computing-Dienstleistern oder für die Beurteilung von Datenschutzmaßnahmen im Hinblick auf deren Konformität mit der EU-DSGVO bzw. dem BDSG. Diese Kriterienkataloge können auch als Grundlage für die Vorbereitung oder Durchführung von Zertifizierungen dienen.
Durch IT-Prüfungen nach dem IDW PS 860 erhalten Unternehmen mehr Sicherheit über die Angemessenheit von IT-gestützten Geschäftsprozessen. Außerdem bietet sich die Möglichkeit, die Ergebnisse der Prüfung gegenüber Dritten (Geschäftspartnern, Finanzverwaltung) oder unternehmensintern (Aufsichtsgremien) zu dokumentieren. Zudem können die Ergebnisse gegebenenfalls auch im Rahmen der Abschlussprüfung verwendet werden.