Die Bedeutung von Cloud Computing und deren Auswirkung auf die Wirtschaftsprüfung

image description

Stefan Groß

Steuerberater und Certified Information Systems Auditor (CISA)

Unternehmen wollen zunehmend ununterbrochen, ortsunabhängig und bequem auf die unternehmenseigene IT-Infrastruktur zugreifen, kaum verwunderlich, dass Cloud-Lösungen sich zunehmender Beliebtheit erfreuen. Dies stellt jedoch zugleich besondere Anforderungen an die Sicherheitsinfrastruktur, denn beim Einsatz entsprechender Lösungen verliert der Nutzer die Datenhoheit. Sowohl die Kontrolle über den Ort und die Art der Aufbewahrung als auch das Datenmanagement obliegen fortan dem Dienstleister. Fehlende gesetzliche Vorgaben und Richtlinien erschweren jedoch regelmäßig eine abschließende Risikobeurteilung – ein Aspekt, welcher auch die Beurteilung im Rahmen der Jahresabschlussprüfung tangiert.

IDW PS 860 als „lex generalis“ für einen Kriterien basierten Prüfungsansatz

Um den wachsenden Herausforderungen auch außerhalb der Abschlussprüfung „Herr zu werden“, hat der IDW mit dem Prüfungsstandard 860 als „lex generalis“ einen Kriterien basierten Prüfungsansatz verabschiedet, der neben den gesetzlichen und regulatorischen Anforderungen auch branchenspezifische Vorgaben – wie etwa aus dem Anforderungskatalog C5 zum Cloud Computing – einen Rahmen gibt. 

Während der Prüfungsstandard dabei als Framework fungiert und unter anderem Vorgaben zur Prüfungsdurchführung, Dokumentation sowie Berichterstattung enthält, werden innerhalb einzelner Prüfungshinweise die der Prüfung zugrunde gelegten Kriterien definiert – so geschehen mit dem IDW PH 9.860.3 für Cloud Computing.

Verabschiedung des Prüfungshinweises PH 9.860.3 Cloud Computing

Erstmalig im Jahr 2016 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb des Anforderungskatalogs C5 (Cloud Computing Compliance Controls Catalogue) entsprechende Leitlinien für Sicherheit im Cloud Computing. Der Katalog greift dabei Themen etwa zum Datenschutz, der Organisation der Informationssicherheit oder Aspekte zur physischen Sicherheit auf und basiert u. a. auf Sicherheitsstandards wie dem ISO/IEC 27001. Gleichwohl bestehen keine allgemein anerkannten Richtlinien oder zwingend anzuwendenden Vorgaben bei der Bewertung von Cloud-Risiken.

Vor diesem Hintergrund hat das IDW den Prüfungshinweis PS 9.860.3 verabschiedet. Dieser richtet sich dabei nach den Cloud-spezifischen Dienstleistungsmodellen IaaS (Infrastructure as a Service), PaaS (Platform as a Service) sowie SaaS (Software as a Service) und leitet je nach Anwendungsfall entsprechende Mindestanforderungen aus dem Anforderungskatalog C5 sowie den Rechnungslegungsstandards RS FAIT 1 und 5 ab. Je nach Anwendungsfall ist dabei für die Überprüfung der Angemessenheit und Wirksamkeit der eingerichteten Grundsätze, Verfahren und Maßnahmen eine unterschiedliche Prüfungstiefe vorgesehen.

Auswirkungen von Cloud Computing sind fachübergreifend

Aber auch im Zusammenhang mit fachübergreifenden Fragestellungen gewinnt das Thema Cloud Computing zunehmend an Bedeutung, was wiederum durch die Aktualisierung des Anforderungskatalogs C5 vom 21.01.2020 u. a. in Bezug auf die technischen und organisatorischen Anforderungen zum Datenschutz deutlich wird. Steuerrechtlich hingegen ist der Ort der Datenhaltung von Interesse, kann dies doch eine Antragspflicht im Zusammenhang mit der Verlagerung der elektronischen Buchführung mit sich bringen.

Fazit

Der Trend weg von On-Premise-Lösungen hin zur Nutzung Cloud-spezifischer Dienstleistungen wird auch in naher Zukunft weiter anhalten. Immer häufiger überwiegen Vorteile wie etwa ein geringer Wartungsaufwand, Skalierbarkeit, die Reduktion von Kosten oder der Wunsch bei Technologietrends immer „ganz vorne mit dabei zu sein“. Umso wichtiger ist es, entsprechende Risiken zu erkennen und prüferisch einzuwerten.