Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Wenn der Wirtschafts­prüfer zweimal klingelt

Wenn der Wirtschafts­prüfer zweimal klingelt

17. März 2005, 0:00 Uhr |
Fortsetzung des Artikels von Teil 1

Wenn der Wirtschafts­prüfer zweimal klingelt (Fortsetzung)

IT im Jahresabschluss
Der Zweck des Jahresabschlusses eines Unternehmens besteht darin, unter Beachtung der Grundsätze ordnungsgemäßer Buchführung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage zu vermitteln (§264 HGB). Dementsprechend muss der Wirtschaftsprüfer seine Prüfung so anlegen, dass Unrichtigkeiten und Verstöße gegen diese Pflicht möglichst lückenlos erkannt werden (§§ 317). Da es mittlerweile Konsens in Wirtschaftskreisen ist, dass der Einsatz von IT und vor allem die fortschreitende Vernetzung der IT-Systeme eine große Rolle bei der Ausführung und Vertuschung von Vergehen gegen diese Grundsätze spielen können, wird diesem Bereich nun eine besondere Beachtung zugewiesen. Niederschlag findet dies zum Beispiel auch im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), in dem eine Pflicht zur Prüfung von Risiken, die durch den Einsatz von IT entstehen, verankert worden ist. Die Wirtschaftsprüfer sind somit in der Pflicht, die Sicherheit von Systemen, Prozessen und Organisation in der IT zu untersuchen. Zu dieser Thematik hat das Institut der Wirtschaftsprüfer eine Reihe neuer Prüfungsstandards herausgegeben, die ihnen als Grundlage für diese Aufgaben dienen sollen.

Vorteile für Unternehmen
Ein prüfungspflichtiges Unternehmen sollte die Durchführung der IT-Prüfung im Rahmen der Abschlussprüfung nicht als Gängelung empfinden, sondern als gute und kostengünstigste Möglichkeit, Sicherheitsprobleme und Versäumnisse zu identifizieren und gleichzeitig eine Einschätzung ihrer Sicherheitsstandards im Vergleich mit anderen Unternehmen zu erhalten. Eine zertifizierte und den Anforderungen der Prüfungsstandards genügende IT-Systemlandschaft hat weitreichende Vorteile, wie Johann Schranner von der Wirtschaftsprüfungsgesellschaft KPWT Kirschner & Oelmaier GmbH erläutert: »Eine zertifizierte und den Anforderungen der Prüfungsstandards genügende IT-Systemlandschaft ist zum einen notwendig, um einen uneingeschränkten Bestätigungsvermerk für die Ordnungsmäßigkeit  des Jahresabschlusses zu erhalten, zum anderen aber auch, um eine persönliche Haftung der Geschäftsführung und des IT-Leiters auszuschließen. Das OLG Hamm hat beispielsweise bei einem angestellten IT-Leiter eine positive Vertragsverletzung aus seinem Arbeitsvertrag bei Nicht-Einhaltung der Sicherheitspolicy angenommen und ihn persönlich finanziell zur Verantwortung gezogen.«

Standardisierte Sicherheit mit geringem ­Aufwand
Das Kernstück der IT-Prüfungen ist der Prüfungsstandard 330. Im Gegensatz zu anderen Standards wird die Prüfung auf IT-Systeme limitiert, die dazu dienen, Daten zu verarbeiten, die direkt oder indirekt in die Rechnungslegung einfließen. »Rechnungslegungsrelevant« sind Buchführung, Jahresabschluss und Lagebericht. Standards wie das BSI Grundschutzhandbuch oder ISO 17799 gehen hier von einer ganzheitlichen Sichtweise eines IT-Systems aus, während sich eine Prüfung nach IDW PS 300 effektiv auf die Aspekte der IT-Sicherheit beschränkt, durch die einem Unternehmen wirtschaftlicher Schaden droht.
Ein zusätzlicher Pluspunkt, wenn es um die Kosten der Sicherheitsprüfung geht, ist die Methodik des IDW PS 330. Der Standard macht keine konkreten Vorgaben, sondern lässt den Unternehmen bei der Auswahl Ihrer Sicherheitsmaßnahmen freie Wahl. Von dem Prüfer wird erwartet, dass er den Aufbau und die Funktion der Sicherheits- und Risikomanagementsysteme anhand der Dokumentation und mittels Stichproben beurteilen kann. Dazu wird ein zweistufiges Vorgehen etabliert: In der Prüfung der Angemessenheit hat der Prüfer anhand eines vorgegebenen Prüfumfangs und eines Risikokatalogs zu überprüfen, ob die von einem Unternehmen getroffenen Sicherheitsmaßnahmen für den konkreten Fall angemessen sind. Typische Fragen sind hier zum Beispiel ob Virenschutzsystem und Firewall in einer angemessenen Ausbaustufe vorhanden sind. Dies kann im Idealfall anhand der Dokumentation der Unternehmens-IT geprüft werden.
In einer zweiten Phase wird dann die Wirksamkeit der Sicherheitsmaßnahmen betrachtet. Anhand der im Standard vorgeschlagenen sinnvollen Prüfungshandlungen, erarbeitet der Prüfer ein Reihe von Maßnahmen, die er dann am konkreten System überprüft. Typischerweise würde hier etwa die stichprobenartige Prüfung der Aktualität der Virenscanner und die richtige Konfiguration der Firewall auf dem Programm stehen.

Auf die erfahrung des Prüfer kommt es an
Ein Unternehmen muss sich daher weder beim Aufbau noch beim Betrieb an bestimmte Vorgaben halten, um eine Prüfung nach IDW PS 330 erfolgreich bestehen zu können - ganz im Gegensatz zu Sicherheitsprüfungen nach dem IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnologie (BSI) oder ISO 17799 (BS 7799), die ohne einen Auf- beziehungsweise Umbau der IT gemäß dem jeweiligen Standard nicht denkbar wären. Diese Flexibilität schafft für ein Unternehmen deutliche Kostenvorteile - ohne dass sich jemand Gedanken über die IT-Sicherheit gemacht hat, ist eine IDW PS 330 Prüfung aber nicht zu bestehen. Die von den Wirtschaftsprüfern beauftragten Sicherheitsexperten kennen Ihre Verantwortung meist sehr genau und ein uneingeschränkt positives Prüfungsergebnis, das keine Aufgaben für die Zukunft aufweist, ist selten. Ähnlich wie bei anderen Aspekten der Wirtschaftsprüfung steht und fällt die Qualität des Ergebnisses mit der Wahl eines sorgfältigen und erfahrenen Prüfers.
Die Wirtschaftsprüfer prüfen die IT-Systeme in den Unternehmen. Einen guten Prüfer und das richtige Vorgehen vorausgesetzt, können dieses Sicherheitsprüfungen nach IDW PS 330 inklusive Zertifizierung einen deutlichen Vorteil für ein mittelständisches Unternehmen darstellen. Nach einer Prüfung von oft nur wenigen Tagen erhält ein Unternehmen nicht nur eine realistische Einschätzung der wirtschaftlichen Gefahr durch IT-Sicherheitsprobleme in Händen, sondern auch einen auf die konkrete Unternehmenssituation zugeschnittenen Maßnahmenkatalog. Eine ordentliche Dokumentation der eigenen IT vorausgesetzt, sind dazu keinerlei weitere Vorarbeiten im Unternehmen notwendig. Interessant ist auch die Möglichkeit, die Prüfung mit den Vorbereitungsarbeiten auf die rein elektronische Betriebsprüfung zu kombinieren, die die Finanzämter im letzten Jahr eingeführt haben.
In Summe bietet sich mit dem IDW PS 330 somit auch für mittelständische Unternehmen zum ersten Mal die Möglichkeit, ihre Sicherheitsanstrengungen mit vergleichsweise geringem Kostenaufwand beurteilen und zertifizieren lassen.

* Florian Oelmeier und Georg Müller
  sind Senior Consultants bei der MSG Systems AG

  1. Wenn der Wirtschafts­prüfer zweimal klingelt
  2. Wenn der Wirtschafts­prüfer zweimal klingelt (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xelion GmbH

Xelion GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
Vertiv GmbH

Vertiv GmbH
WatchGuard Technologies

WatchGuard Technologies
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
easybell GmbH

easybell GmbH