IT-Prüfung und Zertifizierung

Rechnungslegungs- und steuerrelevante IT-Projekte bergen erhebliche Risiken. Werden Projektanforderungen nicht umgesetzt drohen Ordnungsmäßigkeits- und Sicherheitsrisiken bis zum vollständigen Verlust der Beweiskraft von Buchführungssystemen. Weiterhin können teure Change Requests entstehen, wenn Mitwirkungsverpflichtungen seitens des eigenen Unternehmens falsch eingeschätzt, Pflichten der Auftragnehmer*innen nicht fixiert werden oder die falsche Vertragsart genutzt wird. Eine Methode zur Sicherstellung der Erreichung gesteckter Projektziele und zur Einhaltung von Ordnungsmäßigkeits- und Sicherheitsanforderungen ist die projektbegleitende Prüfung durch einen sachverständigen Dritten.

PKF bietet projektbegleitende Prüfungen auf der Grundlage nationaler und internationaler Prüfungsstandards an (IDW PS 850 u.a.). Die Prüfung erfolgt auf der Basis von Kriterien und über einen risikoorientierten Prüfungsansatz.

Als Kriterien werden Sicherheits- und Ordnungsmäßigkeitskriterien verwendet (§§ 145 - 147 AO, §§ 238 ff HGB u.a.m.). Typischerweise werden diese Kriterien auftragsindividuell um weitere Kriterien erweitert. Im Projektumfeld sind dies insbesondere Kriterien wie die Einhaltung von Projektmanagementvorgaben des Unternehmens, Portabilität von Softwareentwicklungen, Konformität mit Arbeits- und Datenschutzrechtlichen Vorgaben und Benutzerverständlichkeit/Barrierefreiheit.

Das Ergebnis der Prüfung wird in einer Bescheinigung dargestellt, in der insbesondere die vorgabenkonforme Projektabwicklung, die Erreichung definierter Projektziele sowie die Einhaltung der anzuwendenden Ordnungsmäßigkeits- und Sicherheitsanforderungen durch die Projektergebnisse erklärt wird. Prüfung und Prüfungsergebnis richten sich an für Projekte verantwortliche Leitungsorgane, Mitglieder von Lenkungsausschüssen aber auch an mitwirkungsberechtigte Instanzen (Datenschutzbeauftragte*r, Betriebsrat etc.).

Das verantwortliche Management erfüllt mit der Beauftragung einer projektbegleitenden Prüfung die ihm obliegenden Überwachungspflichten. Darüber hinaus stellt eine projektbegleitende Prüfung sicher, dass Projekte nach den Unternehmensvorgaben durchgeführt werden, Projektanforderungen vollständig und richtig umgesetzt werden und ein hohes Maß an Einigungsfähigkeit unter allen mitwirkenden Ressourcen und Instanzen gewährleistet ist. Hiermit ist zwangsläufig eine gesteigerte Projekteffizienz verbunden.

Durch die steigenden Anforderungen an die Einhaltung von Ordnungsmäßigkeit, Compliance, Risikomanagement und Sicherheit der betriebenen IT-Landschaft, ergibt sich der Bedarf, eine Zertifizierung der IT-Prozesse und IT-Systeme – unabhängig von der Jahresabschlussprüfung – durchzuführen. Die Zertifizierung ist von einer Beurteilung der Angemessenheit einer Migration von Daten bis hin zu einer umfassenden IT-Systemprüfung für Teilbereiche oder für die gesamte IT-Landschaft skalierbar. Ein häufiger Anwendungsfall ist die Zertifizierung eines Systems nach den steuerlichen Anforderungen (GoBD). Als Beurteilungmaßstab können aber auch anerkannte Standards und Rahmenwerke oder vom Unternehmen selbst entwickelte Kriterien herangezogen werden.

• Konformität von IT-Systemen mit steuerlichen Vorgaben (§§ 14, 14b UStG, §§ 146, 147 AO, GoBD), zu Anforderungen der GoBD (vgl. Link IT-Advisory - GoBD)
• Erfüllung von gesetzlichen oder regulatorischen Anforderungen außerhalb der Abschlussprüfung, z.B. Erfüllung der MaRisk, des IT-Sicherheitsgesetzes oder des Bundesdatenschutzgesetzes (BDSG) bzw. der EU-Datenschutz-Grundverordnung (EU-DSGVO)
• Sicherheit im Softwareentwicklungsprozess
• Konformität von IT-Systemen mit Industrie-Standards, z.B. Payment Card Industry Data-Security Standard (PCI DSS), Archivierungsstandards, etc
• Konformität von IT-Systemen mit ISO- und DIN-Normen
• Konformität von IT-Systemen mit allgemein anerkannten Frameworks, z.B. COSO16,COBIT17, ITIL®
• Konformität von Projekten oder Prozessen mit allgemein anerkannten oder sonstigen Frameworks, z.B. PRINCE2®19, Guide to the Project Management Body of Knowledge (PMBOK Guide)20

• Finanzbuchführungssystem
• Elektronischer Rechnungseingangsprozess,
• Archivierungslösungen,
• Warenwirtschaftssystem,
• Migrationsverfahren,
• Schnittstellenverarbeitungen

PKF bietet Prüfungen auf der Grundlage nationaler und internationaler Prüfungsstandards an (IDW PS 860, ISAE 3000u.a.). Prüfungen nach IDW PS 860 können als indirekte oder direkte Prüfungen sowie als Angemessenheits- (Typ 1) oder Angemessenheits- und Wirksamkeitsprüfung (Typ 2) ausgestaltet werden.

• Indirekte Prüfung    
  Grundlage einer indirekten Prüfung ist die Erklärung der Geschäftsführung des/der Auftraggebers/Auftraggeberin über die Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems. PKF prüft, ob diese Erklärung in allen wesentlichen Belangen frei von Fehlern ist. Im zweiten Schritt prüft PKF die in der Erklärung dargestellten Grundsätze, Verfahren und Maßnahmen anhand der vorgegebenen Kriterien.
• Direkte Prüfung      
  PKF nimmt das von dem/der Auftraggeber*in abgegrenzte IT-System auf und prüft dieses anhand der vorgegebenen Kriterien.
• Angemessenheitsprüfung (Typ 1)          
  Beurteilung von Angemessenheit der Grundsätze, Verfahren und Maßnahmen die definierten Kriterien zu einem vorab festgelegten Zeitpunkt zu erfüllen.
• Angemessenheits- und Wirksamkeitsprüfung (Typ 2)
  In Ergänzung zum Prüfungsumfang gemäß Typ 1 erfolgt eine Beurteilung der Wirksamkeit der Grundsätze, Verfahren und Maßnahmen innerhalb eines vorab festgelegten Prüfungszeitraums.

Die Softwareprüfung und -zertifizierung nach IDW PS 880 stellt ein effektives Instrument für Softwarehersteller*innen und Softwarenutzer*innen zur Qualitätssicherung dar. Anwender*innen gewinnen mit Nutzung eines entsprechend zertifizierten Softwareprodukts zudem Sicherheit, ob die gesetzlichen Anordnungen erfüllt sind. Aus diesem Grund ist die Softwarebescheinigung ein geeignetes Hilfsmittel für die Vermarktung ihres Produktes.

Im Rahmen der Prüfung wird sichergestellt, dass die geltenden rechtlichen Anforderungen aus dem Handelsgesetzbuch, den Steuergesetzen oder den branchentypischen Vorgaben durch die zu prüfende Software eingehalten werden.

Die Kriterien, welche der Softwareprüfung zu Grunde gelegt werden, werden von den Auftraggeber*innen bestimmt. Somit ist es möglich, eine Software nach anderen Qualitätskriterien zu prüfen und deren Einhaltung zu bescheinigen.

Softwareprüfungen umfassen dabei die Beurteilung der für das Aufgabengebiet der Softwareprodukte notwendigen Programmfunktionen. Prüfungsgegenstand bei Softwareprüfungen können das gesamte Softwareprodukt oder nur einzelne, abgrenzbare Softwaremodule darstellen.

• Softwareentwicklungsprozess
• Dokumentation
• Softwaresicherheit
• Programmfunktionen

Bei der Auslagerung von rechnungslegungsbezogenen Geschäftsprozessen und Daten muss sichergestellt sein, dass diese den Ordnungsmäßigkeitsanforderungen des Rechnungswesens entsprechen. Das Outsourcing von betrieb­li­chen Pro­zes­sen ent­bin­det das auslagernde Unternehmen nicht von der Pflicht für ein aus­rei­chen­des inter­nes Kon­troll­sys­tem inn­er­halb die­ser Abläufe zu sor­gen. Folglich sollte es kontrollieren, ob die Outsourcing-Dienstleister*innen ihren vertraglichen Pflichten ordnungsgemäß nachkommen. Sowohl für den/die Auftraggeber*in aber insbesondere für den/die Outsourcing-Dienstleister*in kann hierfür erheblicher Aufwand entstehen.

Eine Möglichkeit für die Outsourcing-Dienstleister*innen den Nachweis über ihre pflichtgemäße Leistungserbringung zu erbringen, ist die Durchführung einer Prüfung des internen Kontrollsystems.

• Konformität von IT-Systemen mit handelsrechtlichen und steuerlichen Vorgaben (§§ 238 HGB ff., §§ 14, 14b UStG, §§ 140 ff., GoBD) (vgl. Link IT-Advisory - GoBD)
• Erfüllung von gesetzlichen oder regulatorischen, z.B. Erfüllung der MaRisk, des IT-Sicherheitsgesetzes oder des Bundesdatenschutzgesetzes (BDSG) bzw. der EU-Datenschutz-Grundverordnung (EU-DSGVO)
• Sicherheit von Cloud-Services, z.B. Cloud Computing Compliance Control Catalouge (C5) des Bundesamtes für Sicherheit in der Informationstechnik
• Konformität von IT-Systemen mit Industrie-Standards, z.B. Payment Card Industry Data-Security Standard (PCI DSS), Archivierungsstandards, etc
• Konformität von IT-Systemen mit ISO- und DIN-Normen
• Konformität von IT-Systemen mit allgemein anerkannten Frameworks, z.B. COSO16,COBIT17, ITIL®
• Konformität von Projekten oder Prozessen mit allgemein anerkannten oder sonstigen Frameworks, z.B. PRINCE2®, Guide to the Project Management Body of Knowledge (PMBOK Guide)

Eine Beschei­ni­gung nach IDW PS 951 dokumentiert den ange­mes­se­nen Auf­bau eines internen Kon­troll­sys­tems (Typ I) bzw. bestä­tigt darüber hinaus die Ein­hal­tung der defi­nier­ten Kon­trol­len (Typ II). Der daraus entstehende Prüfungsbericht kann allen Kund*innen und deren Prüfer*innen zur Verfügung gestellt werden. Diese Möglichkeit wird aktuell auch als Qualitätskriterium für Dienstleister*innen gesehen und kann als Wettbewerbsvorteil dienen.

IT-Fehler können zu wesentlichen Falschangaben in der Rechnungslegung führen. Der IT-Prüfungsansatz von PKF zielt daher insbesondere auf die Einschätzung und Beurteilung von Fehlerrisiken in den rechnungslegungsrelevanten Bereichen des IT-Systems ab. Gegenstand der Prüfung sind daher die Angemessenheit und Wirksamkeit von IT-Kontrollen.

Die Ergebnisse unserer IT-Prüfung dienen neben der Bestätigung funktionaler Anforderungen an die Ordnungsmäßigkeit und Sicherheit des geprüften IT-Systems auch der Einschätzung der Angemessenheit und Wirksamkeit des Internen Kontrollsystems und fließen somit in die Festlegung von einzelfallbezogenen Prüfungshandlungen zur Prüfung des Jahresabschlusses ein. Darüber hinaus erhält die Unternehmensleitung wichtige Informationen über die Ausgestaltung des Internen Kontrollsystems im Vergleich zu Good Practices sowie Hinweise auf Schwächen nebst effektiven Verbesserungsvorschlägen.

Die Beurteilung von Finanzinformationssystemen erfolgt in der Regel kriterienbasiert. Als Kriterien werden typischerweise Sicherheits- und Ordnungsmäßigkeitskriterien verwendet. Diese Kriterien können auftragsindividuell aber um branchenspezifischen Vorgaben und Rahmenbedingungen sowie weitere Kriterien (z.B. Portabilität, Einhaltung von Datenschutzvorgaben) erweitert werden.

PKF prüft und beurteilt rechnungslegungsrelevante IT-Systeme auf der Grundlage nationaler und internationaler kriterienbasierter Prüfungsstandards (IDW PS 330, ISA 315/330 etc.). Dabei wendet PKF einen risikoorientierten Prüfungsansatz an. Entsprechend des IDW Prüfungsstandards IDW PS 330 beziehen wir alle Ebenen der rechnungslegungsrelevanten IT-Systeme ein.