Lückenschluss durch IDW PS 860: IT-Prüfung außerhalb der Abschlussprüfung

Hintergrund:

Im Zuge der Digitalisierung sind Unternehmen mit steigenden Anforderungen hinsichtlich der Ordnungsmäßigkeit und Sicherheit ihrer IT-Systeme konfrontiert, da diese dank technologischem Fortschritt immer komplexer werden. Neben unternehmensspezifischen Aspekten sind es vor allem gesetzliche und regulatorische Anforderungen, die außerhalb der Abschlussprüfung zu Unsicherheiten hinsichtlich der Verlässlichkeit IT-gestützter Prozesse und Verfahren führen. Man denke z. B. an das IT-Sicherheitsgesetz, das Bundesdatenschutzgesetz, die Datenschutz-Grundverordnung oder die BAIT (Bankaufsichtliche Anforderungen an die IT). Darüber hinaus müssen IT-Systeme mit steuerlichen Vorgaben oder Industrie- und Branchenstandards korrespondieren. Daher kann es ratsam sein, die unternehmensinterne IT-Landschaft auch außerhalb der Jahresabschlussprüfung zu untersuchen.


Über den Standard

Für derartige IT-Prüfungen außerhalb der Abschlussprüfung wurde bislang auf die rechnungslegungsbezogenen Standards IDW PS 330 (Abschlussprüfung bei Einsatz von Informationstechnologie) und IDW RS FAIT 1 (Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie) zurückgegriffen, weil noch kein eigener Prüfungsstandard für diese Zwecke existierte. Der neue IDW PS 860 schließt nun diese Lücke und entspricht internationalen Standards für Wirtschaftsprüfer – nämlich dem International Standard on Assurance Engagements (ISAE) 3000 (Revised): „Assurance Engagements Other than Audits or Reviews of Historical Financial Information“.

Als verbindlicher Rahmen gewährleistet er die einheitliche Handhabung von Angebotserstellung, Auftragsabwicklung und Berichterstattung und trägt damit insgesamt zu einer hohen Qualität der IT-Prüfungen bei. Dabei ermöglicht der Standard sowohl hinsichtlich des Prüfungsumfangs (abgeleitet aus ISAE 3000) als auch der Beurteilungskriterien einen breiten Anwendungsbereich:

  • IT-Prüfung einer beurteilenden Erklärung zum IT-System: Überprüfung einer solchen Erklärung auf zugrunde liegende Kriterien und Stichhaltigkeit
  • Umfassende IT-Systemprüfung für Teilbereiche oder die gesamte IT-Landschaft: Prüfung der IT durch einen Wirtschaftsprüfer unter Einhaltung der festgelegten Kriterien
  • Beide Prüfungsarten können als Angemessenheits- oder Wirksamkeitsprüfung fungieren.
  • Dabei können die Kriterien, die zur Beurteilung herangezogen werden, anerkannte Standards und Rahmenwerke (z. B. ISO 27001, COBIT, COSO) oder vom Unternehmen selbst entwickelte Kriterien sein.


Ausblick

  • Komplexe IT-Landschaften sind aus unserem Alltag nicht mehr wegzudenken. In Ihrem Unternehmen muss die IT-Sicherheit gewährleistet sein, um letztlich auch für Ihre Unternehmenswerte einstehen zu können.
  • In diesem Zusammenhang ist die Berichterstattung nach IDW PS 860 ein wirksames Instrument für Unternehmen, sich nach innen und außen zu präsentieren – also sowohl gegenüber Aufsichtsgremien als auch gegenüber Geschäftspartnern oder der Finanzverwaltung.
  • Mittels IT-Prüfungen nach dem IDW PS 860 haben Sie die Möglichkeit, die Angemessenheit Ihrer IT-gestützten Geschäftsprozesse frühzeitig abzusichern.
  • Weil die Ergebnisse solcher Prüfungen Wirtschaftsprüfer nach den Qualitätsstandards des IDW verantworten, können diese auch im Rahmen der Abschlussprüfung verwertet werden.