IDW Prüfungsstandard: IT-Prüfung außerhalb der Abschlussprüfung (IDW PS 860)

Die Anforderungen an die im Unternehmen eingesetzten IT-Systeme sind mit dem technologischen Fortschritt in den letzten Jahrzehnten stetig gewachsen. Die damit verbundene Komplexität des IT-Umfelds sowie die zunehmende Digitalisierung von Geschäftsprozessen sorgen für eine wachsende Unsicherheit in Bezug auf die Ordnungsmäßigkeit, die Sicherheit und die Verlässlichkeit von IT-Systemen.

Hintergrund

Neben den unternehmensspezifischen Anforderungen sind auch immer mehr gesetzliche Aspekte (z. B. IT-Sicherheitsgesetz, Bundesdatenschutzgesetz bzw. EU-Datenschutz-Grundverordnung, Tax Compliance Systeme) zu berücksichtigen, welche die Nutzung von Daten und IT regulieren. Für Unternehmen ist es daher ratsam, den Status quo der eigenen Geschäftsprozesse zu ermitteln, um notwendige Verbesserungen und Veränderungen herbeizuführen. 

Der neue Standard

Bei der Erarbeitung eines Prüfungsstandards für IT-Prüfungen außerhalb der Abschlussprüfung wurde auf die bereits bestehenden rechnungslegungsbezogenen Standards, den IDW PS 330 (Abschlussprüfung bei Einsatz von Informationstechnologie) und den IDW RS FAIT 1 (Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie), zurückgegriffen. Der entsprechend neu veröffentlichte IDW PS 860 richtet sich an Unternehmen, die die Ordnungsmäßigkeit, die Sicherheit, das Risikomanagement sowie die Compliance (Überwachung der Einhaltung von Gesetzen und Vorschriften) ihrer IT-Systeme und Prozesse auch außerhalb der Abschlussprüfung sicherstellen wollen.

Der IDW PS 860 schafft einen verbindlichen Rahmen für die Angebotserstellung, Auftragsabwicklung und Berichterstattung von IT-Prüfungen auf Basis eines kriterienbasierten Prüfungsansatzes. Kriterien, welche zur Beurteilung herangezogen werden, können anerkannte Standards und Rahmenwerke (z. B. ISO 27001, COBIT, COSO), aber auch vom Unternehmen selbst entwickelte Kriterien sein. Der neue Prüfungsstandard steht im Einklang mit dem International Standard on Assurance Engagements (ISAE) 3000 (Revised) „Assurance Engagements Other than Audits or Reviews of Historical Financial Information“.

Der IDW PS 860 ermöglicht dank seines offenen Ansatzes damit einen breiten Anwendungsbereich und unterscheidet dabei, abgeleitet aus ISAE 3000, zwischen der Prüfung einer Erklärung zum IT-System und einer direkten IT-Prüfung:

• Bei der Prüfung einer Erklärung zum IT-System prüft der Wirtschaftsprüfer, ob die Erklärung der Geschäftsleitung zum IT-System bestimmte Kriterien einhält. Das Unternehmen stellt hierzu die erforderlichen Sachverhaltsinformationen zum IT-System in einer schriftlichen Erklärung dar. Diese enthält die angewandten Grundsätze, Verfahren und Maßnahmen, welche eine konsistente Anwendung und personenunabhängige Funktion des zu prüfenden IT-Systems ermöglichen.
• Prüfungsobjekt bei der direkten IT-Prüfung hingegen ist das IT-System selbst. Im Gegensatz zur Prüfung der Erklärung zum IT-System hat der Wirtschaftsprüfer die Bestandsaufnahme bezüglich des IT-Systems selbst durchzuführen, um im Anschluss die Einhaltung der festgelegten Kriterien zu prüfen. 

Beide Prüfungsarten können als reine Angemessenheitsprüfung oder als Wirkamkeitsprüfung angelegt werden. Die Angemessenheitsprüfung beschränkt sich auf die Beurteilung, ob das IT-System bzw. die Erklärung hierzu für den vorgesehenen Anwendungszweck geeignet ist und die vom Unternehmen dokumentierten Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems implementiert sind. Ziel der Wirksamkeitsprüfung ist es darüber hinaus zu beurteilen, ob die in der Erklärung dargestellten bzw. – im Fall der direkten IT-Prüfung – die vom Unternehmen tatsächlich angewandten Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems im Prüfungszeitraum auch wirksam waren. 

Neben den Kriterien, welche zur Beurteilung herangezogen werden, entwickelt der FAIT Ergänzungen mit konkreten Anforderungskatalogen, wie z. B. für die Prüfungen von Cloud-Computing-Dienstleistern oder für die Beurteilung von Datenschutzmaßnahmen im Hinblick auf deren Konformität mit der EU-DSGVO bzw. dem BDSG. Diese Kriterienkataloge können auch als Grundlage für die Vorbereitung oder Durchführung von Zertifizierungen dienen.

Nutzen für Unternehmen

Durch IT-Prüfungen nach dem IDW PS 860 erhalten Unternehmen mehr Sicherheit über die Angemessenheit von IT-gestützten Geschäftsprozessen. Außerdem bietet sich die Möglichkeit, die Ergebnisse der Prüfung gegenüber Dritten (Geschäftspartnern, Finanzverwaltung) oder unternehmensintern (Aufsichtsgremien) zu dokumentieren. Zudem können die Ergebnisse gegebenenfalls auch im Rahmen der Abschlussprüfung verwendet werden.