Modernisierung als Erfolgsfaktor

Technologische Transformation: Der Treiber unserer modernen Geschäftswelt

Der technologische Wandel verändert die Geschäftswelt rasant und stellt Unternehmen vor neue Herausforderungen. Gesetzliche Vorgaben, komplexe IT-Systeme und steigende Anforderungen an Compliance erfordern schnelle und sichere Anpassungen. Mit unseren IT Assurance Services sorgen wir dafür, dass Ihre IT-Systeme nicht nur den aktuellen Standards entsprechen, sondern auch Ihr Unternehmen optimal unterstützen.

Von ITGC- und GoBD-Prüfungen bis hin zu Datenmigrationen und Systemeinführungen – wir bieten maßgeschneiderte Lösungen, die Sicherheit, Effizienz und Compliance vereinen.

Jetzt Beratung anfragen
Damit Ihre IT den Unterschied macht

Unsere IT Assurance Leistungen

Als Ihre Prüfer und Berater kombinieren wir fundierte Expertise mit praxisnahen Lösungen, um sicherzustellen, dass Ihre IT-Systeme den höchsten Standards entsprechen und Ihr Unternehmen optimal unterstützen.

Die Implementierung effektiver IT-gestützter Kontrollen in den Geschäftsprozessen (ITAC) sowie der sichere Betrieb rechnungslegungsrelevanter IT-Anwendungen sind unerlässlich für digital operierende Unternehmen nicht nur für die Wirksamkeit des internen Kontrollsystems (IKS), sondern auch für eine effiziente Abschlussprüfung. 

Viele Unternehmen tun sich schwer mit der Einführung oder Härtung von ITGC und ITAC. Wir unterstützen unsere Mandanten bei der Beschreibung oder bei der Implementierung von Kontrollen und bei der Stärkung der Nachweisführung im Regelbetrieb. Der Unterstützungsumfang kann dabei von wenigen Workshops bis zum langlaufenden Einsatz von Ressourcen bei Einführungs- oder Optimierungsprojekten reichen.

Veränderungen an Ihren rechnungslegungsrelevanten IT-Systemen erfordern i.d.R. eine Berücksichtigung durch den Abschlussprüfer. Dieses Erfordernis leitet sich aus den geltenden Prüfungsstandards ab (siehe ISA [DE] 315 REVISED 2019, Tz. A64). Diese Berücksichtigung kann in Form einer nachgelagerten oder projektbegleitenden Prüfung erfolgen.

Im Interesse einer frühzeitigen Berücksichtigung von Ordnungsmäßigkeits- und Sicherheitsanforderungen empfiehlt sich die projektbegleitende Prüfung von IT-Projekten. Dabei lass sich typischerweise folgende Vorteile für das Projekt erzielen:

  • Compliance im Hinblick auf die Einhaltung handelsrechtlicher und steuerrechtliche Anforderungen
  • Vermeidung unerwünschter Effekte auf die Abschlussprüfung
  • Sicherungsinstanz im Projektablauf: Wir schaffen Transparenz zu Projektrisiken und befähigen das Management, Risiken rechtzeitig und sachgerecht zu begegnen.

Die Digitalisierung geht auch an der Finanzverwaltung nicht vorbei. So tritt die digitale Betriebsprüfung in Ergänzung zur bisherigen Betriebsprüfung auf. Unternehmen, die eine elektronische Datenverarbeitung einsetzen, sind verpflichtet, entsprechende Daten in digitaler Form vorzuhalten. Die Finanzverwaltung hat mit den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD, vgl. BMF-Schreiben vom 28. November 2019) die Anforderungen der Abgabenordnung (AO) konkretisiert.

Diese beziehen sich nicht allein auf die revisionssichere Aufbewahrung von Unterlagen, sondern auch auf den vollständigen Verarbeitungsprozess von der Entstehung und Erfassung eines Geschäftsvorfalls über dessen Verarbeitung in den Geschäftsprozessen (und IT-Applikationen) bis in die Steuerbilanz und betreffen daher nicht nur direkt die Finanzbuchhaltung, sondern auch vorgelagerte Prozesse und Systeme.  Vereinfacht gesagt müssen alle Unternehmen GoBD Anforderungen erfüllen,

  • die betriebswirtschaftliche Software einsetzen,
  • die elektronischen steuerrelevante Daten austauschen, d. h. Daten, die elektronisch eingehen, z.B. per E-Mail oder als elektronische Rechnung, auch elektronisch weiterverarbeiten und
  • in denen elektronische Daten vom EDV-System selbst erzeugt werden, also z.B. Buchungssätze der Finanzbuchhaltung.

Wir unterstützen Sie bei der Umsetzung sämtlicher GoBD-Anforderungen mit sachgerechten, individuellen Lösungen sowie dem Einsatz interdisziplinärer Teams bestehend aus Steuer- und IT-Experten. Entsprechend der geltenden Prüfungsstandards fokussieren wir auf:

  • die Verfahrensdokumentation und generelle IT-Kontrollen (Basiselement)
  • die relevanten Prozesse (Ergänzungselemente) 
    - Prüfung des Belegeingangs 
    - Prüfung des elektronischen Belegausgangs 
    - Prüfung der elektronischen Aufbewahrung 
    - Prüfung des Datenzugriffs der Finanzverwaltung

Immer mehr Unternehmen lagern Teile Ihrer IT an externe Dienstleister aus. Beispielhaft seien hier der Betrieb von Rechenzentren (z.B. bei Google oder Microsoft) oder IT-Anwendung im SaaS (Software as a Servie) Modell genannt. Dabei kommt es regelmäßig auch zur Auslagerung von Prozessen und Kontrollen des internen Kontrollsystems (IKS), welche das rechnungslegungsrelevante IT-System betreffen. Dabei gilt der Grundsatz: Auslagerung entbindet von Kontrollverpflichtung nicht.

So müssen sich auslagernde Unternehmen damit auseinandersetzen, ob das ausgelagerte dienstleistungsbezogene IKS beim Dienstleister angemessen und / oder wirksam ist. Das Mittel hierzu sind Service Organization Control 1 (sog. SOC 1 ausgesprochen "Sock One") Berichte. Im internationalen Umfeld hat hierzu das IAASB (International Auditing and Assurance Standards Board) den Standard ISAE 3402 (International Standard on Assurance Engagements No. 3402) geschaffen.

Gegenstand einer Prüfung nach ISAE 3402 sind die rechnungslegungsrelevanten Dienstleistungen von Dienstleistungsunternehmen. Grundlage für die Prüfung bildet die vom Dienstleister zu erstellende Beschreibung des dienstleistungsbezogenen rechnungslegungsrelevanten internen Kontrollsystems.

Die Prüfung kann zeitpunkt- oder zeitraumbezogen, also in zwei Ausprägungen bzw. mit zwei verschiedenen Ergebnisberichten erfolgen:

  • ISAE 3402 Typ 1-Bericht bestätigt lediglich die Angemessenheit der internen Kontrollen und Prozesse zu einem bestimmten Zeitpunkt.
  • ISAE 3402 Typ 2-Bericht geht einen Schritt weiter und bestätigt nicht nur die Angemessenheit der Kontrollen, sondern auch ihre Wirksamkeit über einen bestimmten Zeitraum hinweg.
     

Grant Thornton übernimmt hier die Rolle des Service Auditors. Der IT-Dienstleister bestätigen mittels unseres ISAE 3402 Berichts gegenüber seinen Kunden bzw. deren Abschlussprüfern, dass hinsichtlich der ausgelagerten Prozesse ein angemessenes und / oder funktionierendes internes Kontrollsystem besteht.

In frühen Phasen von IT-Auslagerungen helfen wir Ihnen auch bei der Vorbereitung auf eine Prüfung nach ISAE 3402 im Rahmen eines sog. Readiness Projekts.

Entsprechend der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Die Anforderungen an KRITIS-Betreiber definiert § 8a Absatz 1 und Absatz 1a BSIG.

Der Anforderungskatalog "Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen" des BSI bietet KRITIS-Betreibern und prüfenden Stellen eine Konkretisierung der Anforderungen des § 8a Absatz 1 und Absatz 1a BSIG. Zudem stellt der Anforderungskatalog den prüfenden Stellen geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen vor, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können. Im Rahmen dieser Prüfung kann der Anforderungskatalog als Prüfgrundlage herangezogen werden, wobei er zusätzlich an die spezifischen betrieblichen Gegebenheiten der KRITIS-Betreiber angepasst werden muss.

Der Anforderungskatalog ist eine Fortschreibung des in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) auf Basis des C5 2016 entwickelten Anforderungskatalogs.

Zusammen mit dem Anforderungskatalog bieten die ergänzenden Prüfungshandlungen des IDW PH 9.860.2 Betreibern kritischer Infrastrukturen und prüfenden Stellen eine Orientierung über geeignete Kriterien zur Durchführung einer sachgerechten Prüfung der eingesetzten Sicherheitsvorkehrungen, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können. Dennoch obliegt es dem Betreiber sowie der prüfenden Stelle, für den konkreten Anwendungsfall zu entscheiden, ob diese Anforderungen im Rahmen der Organisation passend sind oder ob zusätzliche, weiterführende Anforderungen notwendig sind.

GUT INFORMIERT!

Abonnieren Sie unsere kostenlosen Newsletter und Webinare.

    Wir sind ausgezeichnet.

    Und darauf sind wir stolz. Und klar – es freut uns genauso, dass unsere Mandantinnen und Mandanten uns bestens bewerten. Wir arbeiten hart dafür, dass das auch so bleibt. Versprochen!

    WirtschaftsWoche Top Mittelstand Dienstleister 2024 Best Lawyers 2025 Welt Top Berater 2024

    manager magazin 2023