Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
IT-Audit
Informationssicherheit als begleitendes Merkmal in der Abschlussprüfung
Neben der Jahresabschlussprüfung haben Wirtschaftsprüfer auch die Aufgabe, zukünftige potenzielle Entwicklungen – Chancen und Risiken – der zu prüfenden Unternehmen zu betrachten. Da kaum ein Unternehmensprozess heute noch ohne IT-Strukturen funktioniert und diese bzw. die IT-Sicherheit damit nach den GoB betrachtet werden müssen, ist das Thema IT-Sicherheit auch für die Jahresabschlussprüfung relevant. Die stetige Zunahme der digitalen Datenverarbeitung sowie die damit einhergehende Notwendigkeit, Informationen in ihrer Verfügbarkeit, Integrität und Vertraulichkeit zu schützen, ist mittlerweile in viele Unternehmensprozesse integriert worden. Dennoch findet das Prüfen der IT-Systeme sowie deren Sicherheitsarchitektur häufig noch sehr wenig Beachtung. Um den vielseitigen (Cyber-)Bedrohungen entsprechend begegnen zu können und einen reibungslosen Geschäftsbetrieb sicherzustellen, sind IT-Audits auch im Rahmen der Jahresabschlussprüfung unabdingbar.
Nachdem sich der vorausgegangene Artikel primär mit den Gefahren der Cyberkriminalität und möglichen Schutzmaßnahmen für Wirtschaftsprüfungsgesellschaften beschäftigt hat, soll der Fokus dieses Beitrags auf der Tätigkeit des Prüfers, speziell des Prüfers der Informationstechnologie, liegen.
Corbe/Kreitmayr, Cyberrisiken und Gegenmaßnahmen in der Wirtschaftsprüfung, , NWB SAAAJ-37987
Es sollte eine höhere Sensibilisierung für das Thema IT-Prüfung bei den Auditoren sowie bei den zu beratenden Unternehmen geschaffen werden. Durch größere Budgets für die IT-Prüfung im Rahmen der Jahresabschlussprüfung kann eine einheitliche Prüfmethodik umgesetzt werden, die zu mehr Standardisierung führt.
Schäden, die durch Cyberangriffe verursacht werden, können teils gravierende Auswirkungen auf die Bilanz der Folgejahre haben, auch wenn im aktuellen Prüfungszeitraum keine Relevanz für die Rechnungslegung des Unternehmens erkennbar wird.
IT-Risiken sollten frühzeitig angesprochen und behoben werden. Prüfer sollten auch dann Handlungsempfehlungen aussprechen, wenn diese keinen direkten Einfluss auf die Finanzberichterstattung haben; so entsteht dem geprüften Unternehmen ein zusätzlicher Mehrwert, da die Chance einer präventiven Behebung besteht.
I. Einführung
Der vorangegangene Artikel untersuchte das Spannungsfeld der vielseitigen Risiken, die mit der Technisierung und Digitalisierung für Kanzleien jeder Größe einhergehen. Sowohl für die zu prüfenden Unternehmen als auch für die Wirtschaftsprüfungskanzleien selbst steigen die Geschäftsrisiken durch Cyberkriminalität erheblich. Besonders das häufig fehlende Bewusstsein für neue Trends in der Cyberkriminalität kann verheerende Folgen haben. Im Vergleich zu den Folgen für reguläre Unternehmen spielt bei Wirtschaftsprüfern zusätzlich der Unterschied der berufsrechtlichen Stellung eine entscheidende Rolle. Es konnte gezeigt werden, dass Informationssicherheit neben der technischen Absicherung auch organisatorische Maßnahmen benötigt, allen voran geschultes Personal im Umgang mit Technik, Anwendungen sowie Daten in jedem Geschäftsbereich. Auch die Technik und IT-Sicherheit sind ein wichtiger Bestandteil der Sicherheitsarchitektur insgesamt.
Und dennoch: häufig werden die Informationssicherheit und ihre Facetten nicht ausreichend betrachtet. Meist liegt der Fokus der IT-Prüfung im Rahmen der Jahresabschlussprüfung ausschließlich auf möglichen Schwachstellen, die die Rechnungslegung und Buchführung betreffen könnten. IT-Systeme werden demnach insoweit geprüft als sie diese Daten verarbeiten oder bereitstellen, die für die Rechnungslegung benötigt werden.S. 219
Mit dem veränderten Prüfungsstandard ISA 315 durch das International Auditing and Assurance Standards Board (IAASB), welcher verpflichtend für alle Jahresabschlussprüfungen, die nach dem beginnen, anzuwenden ist, wird der IT-Prüfungsansatz angepasst. Ein stärkerer Fokus wird auf die Bedeutung der IT-Prüfung im Rahmen der Jahresabschlussprüfung insgesamt gesetzt, um neuen technologischen Risiken stärker gerecht zu werden. Weitere Änderungen erfordern von Unternehmen jeder Größe, ihren Risikobewertungsansatz zu überarbeiten, indem neue inhärente Risikofaktoren, ein neues Risiken-Spektrum sowie mehr IT-Kontrollen Anwendung finden. Insgesamt sollen dadurch die Konsistenz und Qualität der Risikoprüfung verbessert werden.
Jahresabschlussprüfungen folgen einem risikoorientierten Prüfungsansatz, wobei nicht nur der IST-Stand geprüft werden sollte, sondern ebenfalls organisatorische Strukturen des Risikomanagements inklusive des Vorhandenseins eines IT-Sicherheitskonzepts hinsichtlich Trends und zukünftiger Perspektiven. Daher ist die Prüfung der IT-Systeme im Rahmen der Abschlussprüfung auch über die Prüfung hinaus von hohem Wert. Sie ermöglicht ein unabhängiges Bild von der eigenen Risikosituation und öffnet den Raum für konstruktive Handlungsempfehlungen. Gewonnene Erkenntnisse helfen, das Risikomanagement zu verbessern und regulatorischen Anforderungen, die es auch unabhängig von der Jahresabschlussprüfung zu erfüllen gilt, bspw. der DSGVO oder dem IT-Sicherheitsgesetz gerecht zu werden. Damit kann die Jahresabschlussprüfung – neben der gesetzlichen Notwendigkeit – auch als Hilfsmittel dienen, um die eigene Sicherheitsarchitektur sowie ihre objektiven Schwachstellen zu verbessern, um der Vielschichtigkeit diverser Bedrohungen gerecht zu werden und handlungsfähig zu bleiben.