Wirtschaftsprüfung in der IT bringt großen Nutzen für Unternehmen
Zu den Kernaufgaben eines Wirtschaftsprüfers gehört vor allem die Prüfung der finanziellen Belange eines Unternehmens. Im Rahmen einer Wirtschaftsprüfung geht es primär darum, ob der Ist-Zustand der Finanzen im Unternehmen mit dem Soll-Zustand in der Buchhaltung übereinstimmt. Im Rahmen von Jahresabschlussprüfungen spielt für die Prüfer jedoch auch immer öfter das IT-Umfeld eine wichtige Rolle. Doch warum ist das so und welche Vorteile bringt das für Unternehmen mit sich? Die Antworten darauf finden sich in diesem Beitrag.
Was hat die IT-Organisation im Unternehmen mit der Wirtschaftsprüfung zu tun?
Egal, ob ein Unternehmen gesetzlich dazu verpflichtet ist, den Jahresabschluss prüfen zu lassen oder ob die Prüfung auf freiwilliger Basis erfolgt: Zu den Aufgaben eines Wirtschaftsprüfers gehört in diesem Fall auch ein genauer Blick auf das IT-Umfeld im Unternehmen.
Die Durchführung eines solchen IT-Audits erfolgt nicht aus reiner Willkür, sondern hat gute Gründe: Denn im Zeitalter der Digitalisierung sind die meisten Prozesse im Unternehmen IT-gestützt. Eine Vielzahl dieser Prozesse unterliegt auch den Grundsätzen ordnungsgemäßer Buchführung (GoB).
Dazu gehören beispielsweise alle rechnungsrelevanten Systeme. Um auszuschließen, dass es im Rahmen der Rechnungslegung zu Fehlern kommt, müssen die relevanten Systeme und Prozesse vom Wirtschaftsprüfer genau durchleuchtet und vor allem im Hinblick auf ihre Sicherheit überprüft werden.
Was sieht sich ein Wirtschaftsprüfer im IT-Umfeld genau an?
Die Grundlage für die IT-Prüfung sind die Grundsätze des Prüfungsstandard IDW PS 330, die vom Institut der Wirtschaftsprüfer in Deutschland festgelegt wurden.
Der Wirtschaftsprüfer interessiert sich dabei vor allem für die IT-Sicherheit und mögliche Risiken. In diesem Zusammenhang möchte er wissen, ob es im Unternehmen ein entsprechendes IT-Sicherheitskonzept gibt, das entsprechende Handlungsempfehlungen bei auftretenden Risiken im Zusammenhang mit der IT gibt.
In weiterer Folge geht es darum, ob es im Prüfungsjahr zu Situationen gekommen ist, bei denen es möglicherweise einen Verstoß gegen die Sicherheitsrichtlinien gegeben hat. Das kann zum Beispiel dann der Fall sein, wenn es einen unberechtigten Zugriff auf Daten im Unternehmen gegeben hat oder diese Daten in irgendeiner Weise von internen oder externen Personen manipuliert wurden. Dem Wirtschaftsprüfer geht es dabei vor allem darum, ob die Verantwortlichkeiten klar geregelt sind und es auch eindeutige Handlungsanweisungen für die Mitarbeiter in der IT gibt.
In einem weiteren Schritt sieht sich ein Wirtschaftsprüfer die Betriebsprozesse genau an. In diesem Zusammenhang geht es vor allem darum, ob die Wartung der IT-Komponenten regelmäßig durchgeführt wird und ein Datensicherungskonzept vorhanden ist, bei dem auch die gesetzlichen Aufbewahrungsfristen eingehalten werden.
In vielen Unternehmen gibt es einen regelrechten Software-Wildwuchs. Nicht immer ist es dabei einfach zu durchschauen, welche Personen im Unternehmen Zugriff auf bestimmte Programme und Daten haben. Die Aufgabe des Wirtschaftsprüfers in diesem Zusammenhang ist, das Berechtigungskonzept im Unternehmen zu analysieren und entsprechende Sicherheitslücken aufzuzeigen. Oftmals beginnt das bereits bei verbindlichen Regeln zur Erstellung von Passwörtern.
Welche Vorteile bringen diese IT-Audits für Unternehmen?
Auf den ersten Blick sind die Wirtschaftsprüfung und die IT zwei völlig unterschiedliche Bereiche in einem Unternehmen. Doch bei einer genaueren Analyse lassen sich die Zusammenhänge gut erkennen. Denn Sicherheitslücken in der IT bedeuten für die meisten Unternehmen der heutigen Zeit ein unternehmerisches Gesamtrisiko. Kommt es hier zu Komplikationen, kann das im schlimmsten Fall für ein Unternehmen sogar existenzbedrohend sein.
Genau deshalb bringen die IT-Audits im Rahmen der Wirtschaftsprüfung auch für Unternehmen enorme Vorteile mit sich. Denn Sicherheitslücken können so von den Experten frühzeitig erkannt werden, noch bevor ein Schadensfall eintritt. Die Unternehmer erhalten im Rahmen einer Benchmarking-Analyse Kenntnis über den Stand ihrer IT und die IT-gestützten Geschäftsprozesse im Vergleich zu anderen ähnlichen Unternehmen.
Aus den Ergebnissen des IT-Audits lassen sich auch entsprechende Handlungsempfehlungen für die IT ableiten. Für die Umsetzung dieser Maßnahmen sollte ein IT-Sicherheitsbeauftragter im Unternehmen implementiert werden. Dessen langfristige Aufgabe ist es, mögliche Sicherheitslücken bereits frühzeitig zu erkennen und bereits vor der nächsten Wirtschaftsprüfung zu schließen, damit das Ergebnis beim nächsten Mal positiver ausfällt.
In vielen Unternehmen spielt eCommerce eine wichtige Rolle. Fällt der eigene Internet-Shop über längere Zeit aus, führt das zu enormen Umsatzeinbußen. Im Rahmen eines IT-Audits können diese Systeme nicht nur auf Sicherheit und Einhaltung der rechtlichen Rahmenbedingungen überprüft werden.
Darüber hinaus kann auch ein Penetrationstest durchgeführt werden, bei dem die Empfindlichkeit des Systems bei gezielten Cyberangriffen gecheckt wird. Dadurch erlangen Unternehmer Kenntnis darüber, wo noch eventuelle Sicherheitslücken bestehen und nachgebessert werden sollte.
Bildnachweis:
Parradee – adobe.stock
Rückmeldungen