Startseite Flyer Dienstleistungen Kontakt Impressum Datenschutzerklärung
 
 
 
 

EDV-Systemprüfung

Im Rahmen der Jahresabschlussprüfung ist das IT-gestützte Rechnungslegungssystem daraufhin zu beurteilen, ob es den gesetzlichen Anforderungen - insbesondere den Ordnungsmäßigkeits- und Sicherheitsanforderungen - entspricht. Diese Anforderungen sind im Einzelnen in der Stellungnahme des Instituts der Wirtschaftsprüfer: "Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie" (IDW RS FAIT 1) niedergelegt.

Folglich ist es die Aufgabe des Abschlussprüfers, das IT-System des Unternehmens insoweit zu prüfen, als dessen Elemente dazu dienen, Daten über Geschäftsvorfälle oder betriebliche Aktivitäten zu verarbeiten, die entweder direkt in die IT-gestützte Rechnungslegung einfließen oder als Grundlage für Buchungen im Rechnungslegungssystem in elektronischer Form zur Verfügung gestellt werden (rechnungslegungsrelevante Daten). Der Begriff der Rechnungslegung umfasst dabei die Buchführung, den Jahresabschluss und den Lagebericht bzw. auf Konzernebene den Konzernabschluss und den Konzernlagebericht (Fn. 10).

Die EDV-Systemprüfung ist somit keine eigenständige Prüfung, sondern ein wesentlicher Bestandteil einer Jahresabschlussprüfung.

Im Mittelpunkt der IT-Prüfung steht die Untersuchung, ob Bediener-, System- und Programmfehler in der IT-gestützten Buchhaltung rechtzeitig erkannt, behoben und damit zukünftig verhindert werden. Das Unternehmen muss also nachweisen, ob es ein internes Kontrollsystem eingerichtet hat, um die vom Gesetzgeber (AO, HGB) gestellten Anforderungen an eine ordnungsmäßige - i.S.v. nachvollziehbar und transparent - Rechnungslegung zu erfüllen. Prüfungsmaßstäbe sind, neben den handels- und steuerrechtlichen Vorschriften, die GoBS und die GoBD sowie die Stellungnahmen und Prüfungsvermerke des Instituts der Wirtschaftsprüfer.

Angesichts der gerade in den letzten Jahren erlebten Entwicklungen und Veränderungen in der IT-Welt und ihrer tiefgreifenden Auswirkungen auf die wertschöpfenden Bereiche im Unternehmen, ist die EDV-Systemprüfung um eine risikoorientierte Betrachtungsweise erweitert worden. Der Prüfer ermittelt die sich aus dem IT-basierenden, oft sogar IT-abhängigen Geschäftsbetrieb des Unternehmens für dessen Bestand ergebenden potentiellen materiellen und immateriellen Schäden. Daneben bewertet er die Wirksamkeit der technischen und organisatorischen Maßnahmen, die das Unternehmen ergriffen hat, um (erkannte) Schwachstellen zu schließen. Neben den technischen Risiken, die aus dem IT-Betrieb entstehen, wie Systemausfälle, Virenbefall, Datenverlust u.a., werden auch mittelbare Auswirkungen (Imageschäden) und Haftungsrisiken beleuchtet, die aus Verstößen gegen Datenschutz-Auflagen und Geheimhaltungspflichten entstehen können.

Der erste Schritt zur Vorbereitung auf eine EDV-Systemprüfung besteht darin, dass das Unternehmen die vom Prüfer erwartete Dokumentation erstellt bzw. aktualisiert. Dazu zählen, neben dem IT-Gesamtkonzept, die zur Erreichung der Unternehmensziele eingesetzte IT-Strategie und das IT-Sicherheitskonzept.
  • Unternehmensorganigramm
  • Organisationsanweisungen und -richtlinien
  • Betriebshandbücher über eingesetzte Software, Hardware und Netzwerk
  • Zugriffsberechtigungs- und Datensicherungskonzepte
  • Notfallplan
  • Anweisungen zu Test- und Freigabeverfahren
  • Interne Prüf- und Überwachungsroutinen und -programme
  • Systeminterne und externe Schnittstellenbeschreibungen
Die komplette EDV-Systemprüfung im Rahmen des mehrjährigen Prüfungsplans umfasst folgende Bereiche:
  • Sicherheit der Datenverarbeitung
  • IT-Umfeld und IT-Organisation
  • IT-Infrastruktur
  • IT-Anwendung
  • IT-Geschäftsprozesse
  • Grundsätze ordnungsmäßiger Buchführung
  • Allgemein
  • Belegfunktion
  • Journalfunktion
  • Kontenfunktion
  • Dokumentation
  • Aufbewahrungspflichten
Alle o. g. Maßnahmen führen im Unternehmen zu Verbesserungen, denn:
  • Die „für den Prüfer” erstellte Dokumentation erleichert die Betreuung der Anwender und die Fehlerdiagnose.
  • Die Nutzung lizenzierter Software schützt das Unternehmen vor Schadensersatzansprüchen.
  • Der alleinige Einsatz freigegebener (PC-) Software verringert Arbeitszeitausfälle.
  • Die Einhaltung von Geheimhaltungspflichten schützt das Unternehmen vor strafrechtlichen Konsequenzen.
  • Die Wahrung eines hohen Sicherheitsstandards schafft Vertrauen bei (zukünftigen) Partnern, Lieferanten, Kunden und Mitarbeitern.

FAZIT

Die Erfüllung der in einer risikoorientierten EDV-Systemprüfung gestellten Anforderungen greift bestandssichernd und liegt deshalb im ureigensten Interesse eines jeden Unternehmens. Angesichts der engen Verzahnung und Abhängigkeit zwischen IT- und Geschäftsbetrieb in vielen Unternehmen, muss der IT-Betrieb Funktionsfähigkeit, Verfügbarkeit und Datensicherheit gewährleisten und den Unternehmenswert schützen.

Schon bei vielen unseren Mandanten haben wir durch unser Know-how in diesem Bereich erfolgreiche Unternehmenslösungen erarbeiten können.

In einem unverbindlichen Beratungsgespräch können Ihnen, sofern Sie es wünschen, die wichtigsten Punkte der EDV-Systemprüfung aufgezeigt werden.