Technische Tiefe trifft regulatorische Präzision
Unsere IT-Prüfungen verbinden klassische Wirtschaftsprüfung mit moderner Technologiekompetenz. Wir prüfen Informationssicherheits-, IT-Betriebs- und Cloud-Umgebungen nach anerkannten Standards und schaffen damit belastbare Nachweise für Aufsicht, Kunden und Stakeholder.
IDW PS 850 / 860 / 880 – IT-Prüfungen im Finanz- und Dienstleistungssektor
Wir prüfen IT-gestützte Systeme, Softwareprodukte und Prozessumgebungen, die für den Jahresabschluss, den Zahlungsverkehr oder die regulatorische Berichterstattung relevant sind.
Unsere Prüfungen decken den gesamten Lebenszyklus ab – von der Systementwicklung über Berechtigungs- und Schnittstellenkontrollen bis hin zur Datenverarbeitung und -integrität.
Ergebnis: belastbare Aussagen zur Ordnungsmäßigkeit und Nachvollziehbarkeit IT-gestützter Prozesse.
IDW PS 951 Typ 1 & Typ 2 / ISAE 3402 / SOC 1
Wir prüfen Dienstleistungsunternehmen, die IT-Prozesse für Dritte erbringen – von Cloud-Providern über Payment-Plattformen bis zu Outsourcing-Partnern im Finanzbereich.
- Typ 1: Prüfung des Aufbaus und der Angemessenheit des internen Kontrollsystems (IKS-IT)
- Typ 2: Prüfung der Wirksamkeit der implementierten Kontrollen über einen definierten Zeitraum
Wir verbinden die IDW-Anforderungen mit internationalen Standards (ISAE 3402 / SOC 1), um eine weltweit anschlussfähige Prüfungsdokumentation zu liefern.
C5-Testat (Cloud Computing Compliance Controls Catalogue, BSI) – Typ 1 & 2
Der C5-Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI) gilt als Referenzrahmen für sichere Cloud-Services.
Wir prüfen Cloud-Dienstleister sowie Institute, die Cloud-Services nutzen, hinsichtlich der Implementierung und Wirksamkeit von Sicherheits-, Compliance- und Governance-Kontrollen:
- C5 Typ 1: Bewertung des Aufbaus und der Angemessenheit der Cloud-Kontrollen
- C5 Typ 2: Wirksamkeitsprüfung über den Berichtszeitraum hinweg
Unsere Prüfungen können eigenständig oder integriert mit IDW PS 951 / ISAE 3402 durchgeführt werden – revisionssicher und international anschlussfähig.
DORA-Prüfungen (Digital Operational Resilience Act, EU 2022/2554)
DORA verpflichtet Finanz- und Dienstleistungsunternehmen zu einer nachweisbaren digitalen Resilienz.
Wir führen Aufbau- und Wirksamkeitsprüfungen zu Governance, IKT-Risikomanagement, Incident-Handling, operativer Sicherheit, Teststrategien und Drittparteirisikomanagement durch.
Dabei prüfen wir die Konzeption, Umsetzung und Wirksamkeit der Resilienz-Kontrollen entlang der Artikel 5–32 DORA und der begleitenden RTS-/ITS-Standards.
IT-Sonderprüfungen, Investigations & Forensik
Wenn kritische Vorfälle, Datenpannen oder Systemausfälle auftreten, unterstützen wir bei der unabhängigen Analyse.
Unsere Sonderprüfungen reichen von Security-Assessments über forensische Datenanalysen bis hin zu Incident-Response-Bewertungen und Untersuchungen von IKT-Dienstleistern im Rahmen des Drittparteirisikomanagements.
Ausgelagerte Interne Revision IT
Als unabhängiger Partner übernehmen wir die vollständige oder teilweise Auslagerung der Internen Revision IT gemäß MaRisk AT 4.4.2 und DORA-Vorgaben.
Unsere Leistungen umfassen die Planung, Durchführung und Dokumentation von IT-Prüfungen innerhalb der internen Revisionsfunktion:
- Aufbau- und Wirksamkeitsprüfungen technischer Kontrollen
- Reviews von IT-Strategie, Governance, IT-Betrieb, Informationssicherheit und Change-Management
- Durchführung von Kontrolltests und Walkthroughs
- Erstellung revisionssicherer Prüfungsberichte und Follow-up-Kontrollen
Damit bieten wir Banken, Finanzdienstleistern und FinTechs eine revisionssichere Lösung, um regulatorische Anforderungen vollumfänglich zu erfüllen – ohne eigene IT-Revisionskapazitäten aufbauen zu müssen.