Was wollen Wirtschaftsprüfer über IT Sicherheit wissen?

Jeder, der schon mal eine Jahresabschlussprüfung im eigenen Unternehmen hatte weiß, wie nervenaufreibend das sein kann. Schließlich soll das Prüftestat vorzugsweise uneingeschränkt erteilt werden. Deshalb sollte man sich gut auf eine Wirtschaftsprüfung vorbereiten. Aus meinem letzten Beitrag zu diesem Thema wissen Sie sicher, was die jährliche Wirtschaftsprüfung mit Ihrer IT zu tun hat. Dabei interessiert es den Prüfer besonders, wie Sie Ihre IT im Unternehmen betreiben und ob daraus möglicherweise Risiken entstehen. Aber was genau möchte der Wirtschaftsprüfer über die IT Sicherheit und die Datensicherheit in Ihrem Unternehmen wissen?

IT-Umfeld und IT-Organisation

Das IT-Umfeld und die IT-Organisation haben einen wesentlichen Einfluss auf die Qualität der rechnungsrelevanten Daten. Deshalb ist es für einen Wirtschaftsprüfer wichtig, die Einstellungen und Maßnahmen der Geschäftsführung verstehen und beurteilen zu können.

Beispielfragen eines Wirtschaftsprüfers

Was das IT-Umfeld und die IT-Organisation in Ihrem Unternehmen betrifft, so könnten in Form einer Jahresabschlussprüfung unter anderem folgende Fragen auf Sie zukommen:

      IT Strategie

• Gibt es eine Strategie bzw. Richtlinie für die Entwicklung der IT?
• Steht die IT Strategie in Einklang mit der Unternehmensentwicklung sowie der Unternehmensstrategie?

Umgang mit IT Risiken

• Existiert ein Sicherheitskonzept mit Handlungsempfehlungen bei Auftreten von IT-Risiken?
• Wurden im Berichtsjahr Sachverhalte bekannt, die auf einen Verstoß gegen bestehende Sicherheitsrichtlinien schließen lassen (z.B. unberechtigter Zugriff auf Daten, Manipulation von Daten, usw.)
• Gibt es IT Notfallpläne und Disaster Recovery Konzepte?

Kontrollumfeld

• Sind Verantwortlichkeiten klar geregelt?
• Gibt es Handlungsanweisungen für die Mitarbeiter der IT-Abteilung?
• Wurden IT-Systeme bzw. Funktionen ausgelagert (z.B. IT-Outsourcing)?
• Wenn ja – gibt es entsprechende Auftragsdatenverarbeitungsverträge dazu?

Betriebsprozesse spielen eine wesentliche Rolle bei einer Wirtschaftsprüfung

Um die Integrität der rechnungsrelevanten Systeme sicherzustellen und um Fehler in der Rechnungslegung zu vermeiden, müssen Betriebsprozesse kontrolliert ablaufen. Außerdem sind Verarbeitungsprobleme zu identifizieren und zu beheben.

Eine ebenso große Rolle spielt die Datensicherung. Können verlorene Daten nämlich nicht wiederhergestellt werden, dann ergeben sich für den Wirtschaftsprüfer daraus nicht kalkulierbare Unternehmensrisiken, die er bewerten muss. Dies kann nicht nur zu einem schmerzhaften Datenverlust, sondern in ganz besonderen Fällen auch zur Insolvenz des Unternehmens führen. Daher werden die Wirtschaftsprüfer in Zukunft viel stärker als bisher auf dieses Thema achten. Neben der Datensicherung stehen aber auch andere Fragen im Raum, für die Sie Antworten parat haben sollten:

Beispielfragen eines Wirtschaftsprüfers

Ein Wirtschaftsprüfer prüft Ihre Betriebsprozesse hinsichtlich dieser Themen:

 Sicherung der Betriebsbereitschaft 

• Wird die Wartung der IT-Komponenten regelmäßig durchgeführt?
  

Dokumentation der Betriebsprozesse

• Wird sichergestellt, dass der Regelbetrieb der IT geordnet und nachvollziehbar abläuft?

Durchführung von Hintergrundoperationen

• Werden Verarbeitungsfehler systemseitig aufgezeichnet (Log), überwacht und zeitnah behoben?

Datensicherung

• Existiert ein Datensicherungskonzept und diesbezüglich Arbeitsanweisungen?
• Werden durch die Datensicherung die gesetzlichen Aufbewahrungsfristen eingehalten?
• Hat es im Berichtsjahr Störfälle gegeben, die zum Verlust von Daten/Systemeinstellungen geführt haben?

Zugriff auf Programme und Daten

Der Zugriff auf Programme und Daten muss streng reglementiert und überwacht werden. Dies gilt für alle Komponenten eines IT-Systems und umfasst daher neben der IT-Infrastruktur mit Betriebssystem und dem Netzwerk auch die Anwendungsprogramme. Wesentliche Mängel in diesem Bereich können zu Verstößen gegen Gesetze (z.B. Datenschutz) und zu Manipulationen in der Rechnungslegung führen sowie Betriebsspionage ermöglichen. Daraus können sich des Weiteren Konsequenzen für das Prüfungsvorgehen bei einer Wirtschaftsprüfung ergeben.

Beispielfragen eines Wirtschaftsprüfers

Das Hauptziel der Daten- und Programmsicherung besteht darin, dass nur ein autorisierter Zugriff auf Programme und Daten erfolgen kann. In diesem Zusammenhang interessieren beispielsweise folgende Themen den Wirtschaftsprüfer:

Allgemeine Sicherheitsmaßnahmen des Managements

• Gibt es ein Berechtigungskonzept im rechnungsrelevanten IT-System?
• Gibt es verbindliche Regeln zur Erstellung von Passwörtern?

Datenbank-Sicherheit

• Erfolgen automatische und manuelle Zugriffe auf rechnungslegungsrelevante Datenbanken nach einem schriftlich definierten Verfahren?

Betriebssystem-Sicherheit

• Werden automatische und manuelle Zugriffe auf das Betriebssystem nach einem schriftlich definierten Verfahren vorgenommen?
• Werden die Sicherheitseinstellungen des Betriebssystems (wie z.B. Passwort-Anforderungen) auf Angemessenheit überprüft?

Sicherheitsrelevante Netzwerkkonfiguration

• Existiert ein Konzept für die Sicherstellung der Integrität und Verfügbarkeit des Netzwerks?

Physische Sicherheit von Hardware, Software und Daten

• Beinhalten die physischen Sicherheitsmaßnahmen ausreichende Vorkehrungen gegen schädliche Umwelteinflüsse (Überschwemmung, Hitze etc.) und Elementarschäden (Feuer)?

Programmänderungen

Programmänderungen müssen kontrolliert ablaufen. Außerdem sollen bei der Entwicklung, Konfiguration und der Implementierung der Systeme die Managementvorgaben eingehalten werden. Mängel in diesem Bereich können den Geschäftsbetrieb wesentlich beeinträchtigen. Daraus kann ein erhöhtes Risiko für Fehler in den Betriebsabläufen abgeleitet werden und damit ein Unternehmensrisiko bestehen.

Beispielfragen des Wirtschaftsprüfers

Wenn im Berichtsjahr Programmänderungen stattgefunden haben, dann stellt Ihnen der Wirtschaftsprüfer z.B. solche Fragen:

• Existiert eine schriftlich formulierte Verfahrensanweisung für Programmeinführungen und -änderungen?
• Gibt es schriftlich definierte Antragsprozesse für die Änderung/Entwicklung/Beschaffung von Programmen?
• Gibt es ein schriftlich dokumentiertes Verfahren, nach dem Programmänderungen in das Echtsystem überführt werden?

Fazit

Wie Sie sehen gibt es eine Menge, was der Wirtschaftsprüfer über die IT Sicherheit und die Datensicherheit in Ihrem Unternehmen wissen will. Und dabei habe ich Ihnen lediglich einige wenige Beispiele aufgezeigt. In der Praxis gibt es einen ganzen Fragebogen mit entsprechenden Antwortmöglichkeiten. Wenn Sie sich also optimal auf eine Wirtschaftsprüfung vorbereiten möchten, dann sollten Sie diese Fragen zusammen mit Ihrem IT-Sicherheitsbeauftragten durchgehen und ggf. Maßnahmen einleiten.

Tipp

Wir von BRANDMAUER IT arbeiten mit sogenannten Information Technology General Controls (ITGC), mit welchen sich jedes Unternehmen vor einer Abschlussprüfung auseinandersetzen sollte. Unsere Checkliste dient dazu, sich ein Verständnis über das rechnungslegungsrelevante IT-Kontrollumfeld und die entsprechenden IT-Kontrollaktivitäten zu verschaffen. Wenn Sie Interesse daran haben, dann melden Sie sich bei uns. Wir unterstützen Sie gerne bei der Vorbereitung der jährlichen Wirtschaftsprüfungstermine, damit Sie entspannt dem Wirtschaftsprüfer gegenübertreten können!