Zum Inhalt springen

Sie sind hier:

IT-Prüfung und Zertifizierung

Wir prüfen und zertifizieren IT-gestützte Prozesse, IT-Anwendungen, ausgewählte IT-gestützte Funktionen, das IT-Environment, die IT-Organisation und IT-Projekte sowie viele andere Prüfungsobjekte im IT-Umfeld nach Maßgabe allgemein anerkannter nationaler und internationaler Prüfungsstandards.

PKF-Vorgehensmodell

  • Unser Vorgehensmodell ist risikoorientiert und entspricht den allgemein anerkannten Prüfungsstandards.
  • Unsere Feststellungen besprechen wir zeitnah mit unseren Mandanten. Dies ermöglicht die Bereinigung von Prüfungsfeststellungen und eine erneute Prüfung der betroffenen Bereiche, bevor wir unser Prüfungsurteil bilden.
  • PKF setzt hochqualifizierte IT-Prüfer ein. Sofern erforderlich, ist in die Prüfung ein erweitertes Team eingebunden, in denen Spezialkompetenzen (z.B. Datenschutzrecht, Branchenrecht, spezifische IT-Anwendungen wie SAP IS-U) stetig verfügbar sind.
  • Der Prüfungsansatz von PKF basiert auf einer umfassenden Analyse der prüfungsrelevanten Daten. Prüfungsfeststellungen werden durch Auswertung verfügbarer Daten substantiiert.
  • Selbstverständlich arbeitet PKF mit den vom Mandanten zur Verfügung gestellten Werkzeugen. Das reicht von dem Einsatz von Collaboration-Plattformen über die Datenanalysewerkzeugen bis zur Anwendung von Projektmanagement-Tools und Reporting-Packages. Zur Gewährleistung kontinuierlich hoher Qualifikation und Erfahrung der IT-Prüfer betreibt PKF eigene ERP-Systeme für Entwicklungs-, Test- und Schulungszwecke.

Projektbegleitende Prüfung bei Einsatz von Informationstechnologie

Rechnungslegungs- und steuerrelevante IT-Projekte bergen erhebliche Risiken. Werden Projektanforderungen nicht umgesetzt drohen Ordnungsmäßigkeits- und Sicherheitsrisiken bis zum vollständigen Verlust der Beweiskraft von Buchführungssystemen. Weiterhin können teure Change Requests entstehen, wenn Mitwirkungsverpflichtungen seitens des eigenen Unternehmens falsch eingeschätzt, Pflichten des Auftragnehmers nicht fixiert werden oder die falsche Vertragsart genutzt wird. Eine Methode zur Sicherstellung der Erreichung gesteckter Projektziele und zur Einhaltung von Ordnungsmäßigkeits- und Sicherheitsanforderungen ist die projektbegleitende Prüfung durch einen sachverständigen Dritten.

PKF bietet projektbegleitende Prüfungen auf der Grundlage nationaler und internationaler Prüfungsstandards an (IDW PS 850 u.a.). Die Prüfung erfolgt auf der Basis von Kriterien und über einen risikoorientierten Prüfungsansatz.

Als Kriterien werden Sicherheits- und Ordnungsmäßigkeitskriterien verwendet (§§ 145 - 147 AO, §§ 238 ff HGB u.a.m.). Typischerweise werden diese Kriterien auftragsindividuell um weitere Kriterien erweitert. Im Projektumfeld sind dies insbesondere Kriterien wie die Einhaltung von Projektmanagementvorgaben des Unternehmens, Portabilität von Softwareentwicklungen, Konformität mit Arbeits- und Datenschutzrechtlichen Vorgaben und Benutzerverständlichkeit/Barrierefreiheit.

Das Ergebnis der Prüfung wird in einer Bescheinigung dargestellt, in der insbesondere die vorgabenkonforme Projektabwicklung, die Erreichung definierter Projektziele sowie die Einhaltung der anzuwendenden Ordnungsmäßigkeits- und Sicherheitsanforderungen durch die Projektergebnisse erklärt wird. Prüfung und Prüfungsergebnis richten sich an für Projekte verantwortliche Leitungsorgane, Mitglieder von Lenkungsausschüssen aber auch an mitwirkungsberechtigte Instanzen (Datenschutzbeauftragter, Betriebsrat etc.).

Das verantwortliche Management erfüllt mit der Beauftragung einer projektbegleitenden Prüfung die ihm obliegenden Überwachungspflichten. Darüber hinaus stellt eine projektbegleitende Prüfung sicher, dass Projekte nach den Unternehmensvorgaben durchgeführt werden, Projektanforderungen vollständig und richtig umgesetzt werden und ein hohes Maß an Einigungsfähigkeit unter allen mitwirkenden Ressourcen und Instanzen gewährleistet ist. Hiermit ist zwangsläufig eine gesteigerte Projekteffizienz verbunden.

Vorgehensmodell:

In der projektbegleitenden Prüfung werden die nachfolgend dargestellten Projektergebnisse Gegenstand unserer Prüfung sein:

IT-Prüfungen außerhalb der Abschlussprüfung

Durch die steigenden Anforderungen an die Einhaltung von Ordnungsmäßigkeit, Compliance, Risikomanagement und Sicherheit der betriebenen IT-Landschaft, ergibt sich der Bedarf, eine Zertifizierung der IT-Prozesse und IT-Systeme – unabhängig von der Jahresabschlussprüfung – durchzuführen. Die Zertifizierung ist von einer Beurteilung der Angemessenheit einer Migration von Daten bis hin zu einer umfassenden IT-Systemprüfung für Teilbereiche oder für die gesamte IT-Landschaft skalierbar. Ein häufiger Anwendungsfall ist die Zertifizierung eines Systems nach den steuerlichen Anforderungen (GoBD). Als Beurteilungmaßstab können aber auch anerkannte Standards und Rahmenwerke oder vom Unternehmen selbst entwickelte Kriterien herangezogen werden.

Beispiele für Kriterien für eine Prüfung nach diesem IDW Prüfungsstandard sind:

  • Konformität von IT-Systemen mit steuerlichen Vorgaben (§§ 14, 14b UStG, §§ 146, 147 AO, GoBD), zu Anforderungen der GoBD (vgl. Link IT-Advisory - GoBD)
  • Erfüllung von gesetzlichen oder regulatorischen Anforderungen außerhalb der Abschlussprüfung, z.B. Erfüllung der MaRisk, des IT-Sicherheitsgesetzes oder des Bundesdatenschutzgesetzes (BDSG) bzw. der EU-Datenschutz-Grundverordnung (EU-DSGVO)
  • Sicherheit im Softwareentwicklungsprozess
  • Konformität von IT-Systemen mit Industrie-Standards, z.B. Payment Card Industry Data-Security Standard (PCI DSS), Archivierungsstandards, etc
  • Konformität von IT-Systemen mit ISO- und DIN-Normen
  • Konformität von IT-Systemen mit allgemein anerkannten Frameworks, z.B. COSO16,COBIT17, ITIL®
  • Konformität von Projekten oder Prozessen mit allgemein anerkannten oder sonstigen Frameworks, z.B. PRINCE2®19, Guide to the Project Management Body of Knowledge (PMBOK Guide)20

Beispiele für IT-gestützte Prozesse und -Systeme:

  • Finanzbuchführungssystem
  • Elektronischer Rechnungseingangsprozess,
  • Archivierungslösungen,
  • Warenwirtschaftssystem,
  • Migrationsverfahren,
  • Schnittstellenverarbeitungen

PKF bietet Prüfungen auf der Grundlage nationaler und internationaler Prüfungsstandards an (IDW PS 860, ISAE 3000u.a.). Prüfungen nach IDW PS 860 können als indirekte oder direkte Prüfungen sowie als Angemessenheits- (Typ 1) oder Angemessenheits- und Wirksamkeitsprüfung (Typ 2) ausgestaltet werden.

  • Indirekte Prüfung    
    Grundlage einer indirekten Prüfung ist die Erklärung der Geschäftsführung des Auftraggebers über die Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems. PKF prüft, ob diese Erklärung in allen wesentlichen Belangen frei von Fehlern ist. Im zweiten Schritt prüft PKF die in der Erklärung dargestellten Grundsätze, Verfahren und Maßnahmen anhand der vorgegebenen Kriterien.
  • Direkte Prüfung      
    PKF nimmt das von dem Auftraggeber abgegrenzte IT-System auf und prüft dieses anhand der vorgegebenen Kriterien.
  • Angemessenheitsprüfung (Typ 1)          
    Beurteilung von Angemessenheit der Grundsätze, Verfahren und Maßnahmen die definierten Kriterien zu einem vorab festgelegten Zeitpunkt zu erfüllen.
  • Angemessenheits- und Wirksamkeitsprüfung (Typ 2)
    In Ergänzung zum Prüfungsumfang gemäß Typ 1 erfolgt eine Beurteilung der Wirksamkeit der Grundsätze, Verfahren und Maßnahmen innerhalb eines vorab festgelegten Prüfungszeitraums.

Prüfung der Einhaltung von Ordnungsmäßigkeits- und Sicherheitsanforderungen in Softwareprodukten

Rechnungslegungsbezogene Software:

Die Softwareprüfung und -zertifizierung nach IDW PS 880 stellt ein effektives Instrument für Softwarehersteller und Softwarenutzer zur Qualitätssicherung dar. Anwender gewinnen mit Nutzung eines entsprechend zertifizierten Softwareprodukts zudem Sicherheit, ob die gesetzlichen Anordnungen erfüllt sind. Aus diesem Grund ist die Softwarebescheinigung ein geeignetes Hilfsmittel für die Vermarktung ihres Produktes.

Im Rahmen der Prüfung wird sichergestellt, dass die geltenden rechtlichen Anforderungen aus dem Handelsgesetzbuch, den Steuergesetzen oder den branchentypischen Vorgaben durch die zu prüfende Software eingehalten werden.

Andere Softwareprodukte

Die Kriterien, welche der Softwareprüfung zu Grunde gelegt werden, werden vom Auftraggeber bestimmt. Somit ist es möglich, eine Software nach anderen Qualitätskriterien zu prüfen und deren Einhaltung zu bescheinigen.

Prüfungsumfang

Softwareprüfungen umfassen dabei die Beurteilung der für das Aufgabengebiet der Softwareprodukte notwendigen Programmfunktionen. Prüfungsgegenstand bei Softwareprüfungen können das gesamte Softwareprodukt oder nur einzelne, abgrenzbare Softwaremodule darstellen.

Bei der Prüfung werden folgende Aspekte berücksichtigt:

  • Softwareentwicklungsprozess
  • Dokumentation
  • Softwaresicherheit
  • Programmfunktionen

Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen

Bei der Auslagerung von rechnungslegungsbezogenen Geschäftsprozessen und Daten muss sichergestellt sein, dass diese den Ordnungsmäßigkeitsanforderungen des Rechnungswesens entsprechen. Das Outsourcing von betrieb­li­chen Pro­zes­sen ent­bin­det das auslagernde Unternehmen nicht von der Pflicht für ein aus­rei­chen­des inter­nes Kon­troll­sys­tem inn­er­halb die­ser Abläufe zu sor­gen. Folglich sollte es kontrollieren, ob der Outsourcing-Dienstleister seinen vertraglichen Pflichten ordnungsgemäß nachkommt. Sowohl für den Auftraggeber aber insbesondere für den Outsourcing-Dienstleister kann hierfür erheblicher Aufwand entstehen.

Eine Möglichkeit für den Outsourcing-Dienstleister den Nachweis über seine pflichtgemäße Leistungserbringung zu erbringen, ist die Durchführung einer Prüfung des internen Kontrollsystems.

Beispiele für Kriterien einer entsprechenden Prüfung sind:

  • Konformität von IT-Systemen mit handelsrechtlichen und steuerlichen Vorgaben (§§ 238 HGB ff., §§ 14, 14b UStG, §§ 140 ff., GoBD) (vgl. Link IT-Advisory - GoBD)
  • Erfüllung von gesetzlichen oder regulatorischen, z.B. Erfüllung der MaRisk, des IT-Sicherheitsgesetzes oder des Bundesdatenschutzgesetzes (BDSG) bzw. der EU-Datenschutz-Grundverordnung (EU-DSGVO)
  • Sicherheit von Cloud-Services, z.B. Cloud Computing Compliance Control Catalouge (C5) des Bundesamtes für Sicherheit in der Informationstechnik
  • Konformität von IT-Systemen mit Industrie-Standards, z.B. Payment Card Industry Data-Security Standard (PCI DSS), Archivierungsstandards, etc
  • Konformität von IT-Systemen mit ISO- und DIN-Normen
  • Konformität von IT-Systemen mit allgemein anerkannten Frameworks, z.B. COSO16,COBIT17, ITIL®
  • Konformität von Projekten oder Prozessen mit allgemein anerkannten oder sonstigen Frameworks, z.B. PRINCE2®, Guide to the Project Management Body of Knowledge (PMBOK Guide)

Eine Beschei­ni­gung nach IDW PS 951 dokumentiert den ange­mes­se­nen Auf­bau eines internen Kon­troll­sys­tems (Typ I) bzw. bestä­tigt darüber hinaus die Ein­hal­tung der defi­nier­ten Kon­trol­len (Typ II). Der daraus entstehende Prüfungsbericht kann allen Kunden und deren Prüfern zur Verfügung gestellt werden. Diese Möglichkeit wird aktuell auch als Qualitätskriterium für Dienstleister gesehen und kann als Wettbewerbsvorteil dienen.

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Fehler können zu wesentlichen Falschangaben in der Rechnungslegung führen. Der IT-Prüfungsansatz von PKF zielt daher insbesondere auf die Einschätzung und Beurteilung von Fehlerrisiken in den rechnungslegungsrelevanten Bereichen des IT-Systems ab. Gegenstand der Prüfung sind daher die Angemessenheit und Wirksamkeit von IT-Kontrollen.

Die Ergebnisse unserer IT-Prüfung dienen neben der Bestätigung funktionaler Anforderungen an die Ordnungsmäßigkeit und Sicherheit des geprüften IT-Systems auch der Einschätzung der Angemessenheit und Wirksamkeit des Internen Kontrollsystems und fließen somit in die Festlegung von einzelfallbezogenen Prüfungshandlungen zur Prüfung des Jahresabschlusses ein. Darüber hinaus erhält die Unternehmensleitung wichtige Informationen über die Ausgestaltung des Internen Kontrollsystems im Vergleich zu Good Practices sowie Hinweise auf Schwächen nebst effektiven Verbesserungsvorschlägen.

Die Beurteilung von Finanzinformationssystemen erfolgt in der Regel kriterienbasiert. Als Kriterien werden typischerweise Sicherheits- und Ordnungsmäßigkeitskriterien verwendet. Diese Kriterien können auftragsindividuell aber um branchenspezifischen Vorgaben und Rahmenbedingungen sowie weitere Kriterien (z.B. Portabilität, Einhaltung von Datenschutzvorgaben) erweitert werden.

PKF prüft und beurteilt rechnungslegungsrelevante IT-Systeme auf der Grundlage nationaler und internationaler kriterienbasierter Prüfungsstandards (IDW PS 330, ISA 315/330 etc.). Dabei wendet PKF einen risikoorientierten Prüfungsansatz an. Entsprechend des IDW Prüfungsstandards IDW PS 330 beziehen wir alle Ebenen der rechnungslegungsrelevanten IT-Systeme ein.

Zurück zum Seitenanfang