IT-Prüfungen im Rahmen von Jahresabschlussprüfungen

GLIEDERUNG

Vorwort

ziele dieser Arbeit

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1. Problemorientierte EinfOhrung
1.1 Begriffsabgrenzungen
1.2 Problemstellung
1.3 Entwicklung der I T in Unternehmen
1.4 Entwicklung der Gesetzeslage
1.5 Bedeutung für den Revisor

2.Uberblick Ober die gesetzlichen und fachlichen Grundlagen
2.1 Uberblick über die gesetzlichen Grundlagen
2.1.1 Handelsgesetzbuch
2.1.2 Abgabenordnung
2.1.3 Die Grundsätze ordnungsmäBiger Buchführung
2.1.3.1 Buchführungsprinzipien
2.1.3.2 Buchführungsfunktionen
2.1.4 Grundsätze ordnungsmäBiger DV-gestützter Buchführungssysteme
2.1.5 Bundesdatenschutzgesetz
2.2 Uberblick über die fachlichen Stellungnahmen und Verlautbarungen
2.2.1 Institut der Wirtschaftsprüfer in Deutschland e.V.
2.2.2 Bundesamt für Sicherheit in der Informationstechnik
2.2.3 Control Objectives for Information and related Technology
2.2.4 I T Infrastructure Library (I TIL)

3.Ziele und PrOfungsfelder von IT-PrOfungen .
3.1 Ziele von I T-Prüfungen
3.2 Prüfungsfelder von I T-Prüfungen
3.2.1 IT-Umfeld und IT-Organisation
3.2.2 I T-Infrastruktur
3.2.3 SicherheitsmaBnahmen und -kontrollen
3.2.3.1 Physische SicherheitsmaBnahmen
3.2.3.2 Logische Zugriffskontrollen
3.2.4 Datensicherung und Archivierung
3.2.5 I T-Regelbetrieb
3.2.6 I T-Anwendungen
3.2.7 I T-Oberwachungssystem

4. Fazit

Quellenverzeichnis

Vorwort

Das Thema Informationstechnologie im Allgemeinen habe ich als EDV-technischer Angestell-ter bei der Stadtverwaltung Mülheim kennen gelernt. Meine Arbeit entsprach einer innerbe-trieblichen Dienstleistung im Bereich des First- und Second-Level-Supports.

Im Juli 2006 wurde ich durch den Rat der Stadt Mülheim zum I T-Prüfer im Rechnungsprü-fungsamt bestellt. Dort bin ich erstmalig mit der Prüfung von I T in Berührung gekommen. Seit Juli 2008 bin ich bei einer Wirtschaftsprüfungs- und Steuerberatungsgesellschaft als I T-Prüfer tätig und prüfe dort die I T-Systeme der Mandanten auf OrdnungsmäBigkeit und Si-cherheit. Diese Prüfungen finden zum groBten Teil im Rahmen von Jahresabschlussprüfun-gen statt.

Um mich möglichst schnell mit der den Aufgaben der I T-Prüfung vertraut zu machen, habe ich mich intensiv mit der für mich noch recht neuen Materie auseinander gesetzt. Diese Hausarbeit bot mir die Chance, mich noch tiefer in die Thematik einzuarbeiten, weshalb ich mich für dieses Thema entschieden habe.

ziele dieser Arbeit

Diese Arbeit beschäftigt sich mit den Grundlagen der I T-Prüfung und liefert einen Uberblick über die Thematik. So sollen die Gründe für die Prüfung von I T-Systemen aus der Sicht der Unternehmen dargelegt werden. Hier besteht zum einen ein gewisses Eigeninteresse der Unternehmen zum Schutz des laufenden Betriebes und des Vermögens, zum anderen die Pflicht zur Erfüllung gesetzlicher Anforderungen.

Zunächst wird die Entwicklung des Einsatzes von I T in Unternehmen aufgezeigt. Anschlie-Bend wird ein kurzer Uberblick über die gesetzlichen Normen gegeben, die es für Unter-nehmen zu erfüllen gilt. Ziel ist hier nicht die Auseinandersetzung mit der einzelnen Norm, sondern das Aufzeigen des Uberblicks über die gesetzlichen Anforderungen, beginnend mit der OrdnungsmäBigkeit der Buchführung bis hin zum Datenschutzbereich. Neben den ge-setzlichen Grundlagen werden die fachlichen Stellungnahmen behandelt, die die gesetzli-chen Vorgaben erläutern, konkretisieren und ergänzen und als MaBstab für die Durchfüh-rung der I T-Prüfungen dienen.

Nach der Behandlung der gesetzlichen und fachlichen Grundlagen und damit den Mindest-maBstäben für die Revision werden die Gründe, Ziele und der Umfang von I T-Prüfungen und die einzelnen Prüffelder erläutert und abschlieBend potentielle Risiken in den einzelnen Ebe-nen eines IT-Systems aufgezeigt.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Durchgriff der GoB und Gesetze auf die Datenverarbeitung

Abbildung 2: Grundsätze ordnungsmäBiger Buchführung

Abbildung 3: Prüfungswürfel I T-Systemprüfungen

Abbildung 4: Sicherheitsaspekte eines Sicherheitskonzeptes

Tabellenverzeichnis

Tabelle 1: Parameter zur Kennwortkomplexität

1. Problemorientierte Einfiihrung

1.1 Begriffsabgrenzungen

Unter Informationstechnologie (I T) wird die Gesamtheit der im Unternehmen zur elektroni-schen Datenverarbeitung eingesetzten Hard- und Software verstanden.^[1]

Die I T-Prüfung, die IT-Revision oder das IT-Audit (alle drei Begriffe werden in dieser Arbeit synonym verwendet), beschäftigt sich mit der Analyse der Abweichungen zwischen einem Soll- und einem Ist-Zustand. Dabei ist der Soll-Zustand durch Normen und Gesetze vorge-geben während der Ist-Zustand mit Hilfe von Befragungen, Beobachtungen und Prüfungen am Objekt festgestellt werden muss.

Die Jahresabschlussprüfung findet ihre Grundlage im Handelsgesetzbuch. MittelgroBe und groBe Kapitalgesellschaften haben gemä8 § 242 HGB zum Schluss eines jeden Geschäfts-jahrs einen Jahresabschluss aufzustellen und diesen gemä8 § 316 HGB durch einen Ab-schlussprüfer prüfen zu lassen.

1.2 Problemstellung

Die zunehmende Komplexität der I T mit steigender Heterogenität durch den Einsatz unter-schiedlicher Hardware und Software und der zunehmenden Vernetzung sowohl innerhalb der Unternehmen als auch die externe Anbindung an das Internet führt zu immer h6heren An-forderungen an das I T-Sicherheitsmanagement.^[2] Diese Anforderungen wachsen darüber hinaus durch ein exponentiell ansteigendes Technologieniveau und zunehmender Abhängig-keit der Gesamtorganisation von der Informationstechnologie. Hieraus folgt eine Risikoerh6-hung für die Unternehmen, denn I T-Sicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und schlimmstenfalls den Fortbestand eines Unternehmens gefähr-den.^[3]

Dennoch werden Risiken in vielen Unternehmen unterschätzt und das eigene Sicherheitsni-veau falsch eingeschätzt. Oft trifft man auf die folgenden Aussagen:

- „Bei uns ist noch nie etwas passiert".
- „Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht."
- „Unser Netz ist sicher."
- „Unsere Mitarbeiter sind vertrauenswürdig."

Hier werden jedoch Gegebenheiten vorausgesetzt, die so evtl. nicht vorliegen. Vielleicht hat bei früheren Sicherheitsvorfällen lediglich niemand etwas bemerkt. Statistisch sind die eige-nen Mitarbeiter für die Mehrzahl der SicherheitsverstöBe ursächlich, wobei dies nicht immer vorsätzlich erfolgt.^[4]

1.3 Entwicklung der IT in Unternehmen

Unternehmen, die ohne Informations- und Kommunikationstechnik auskommen sind heute kaum mehr vorstellbar. Seit der Entwicklung der ersten Computer gewinnt die Informations-technologie kontinuierlich an Bedeutung für die Ausführung betriebswirtschaftlicher Aufga-ben. Die Bandbreite des Einsatzes von Informationstechnologie in Unternehmen reicht von der Unterstützung manueller Tätigkeiten bis zu komplexen I T-Systemen, wie z.B. Enterprise Ressource Planning-Systeme, über die gesamte Geschäftsprozesse abgebildet werden kön-nen. Die Rechnungslegung wird I T-gestützt geführt und Daten elektronisch gespeichert und archiviert.^[5]

Während die Informationstechnologie früher einem kleinen Kreis von entsprechend ausge-bildeten „Profis" vorbehalten war, gehört sie heute zum Schul- und Arbeitsalltag. Spätestens mit der Verbreitung des Personalcomputers und dem Internet sind die Anwender durchaus als sachverständig zu bezeichnen. In Verbindung mit dem problemlosen einfachen Daten-austausch wird jeder Rechner in einem Unternehmensnetzwerk zur potentiellen Gefahr. Die-se reicht weit über die Virenproblematik hinaus und geht von der Einspielung unautorisierter Programme bis zur möglichen Ausspähung und Ausschleusung vertraulicher Informationen. Die Sicherheit der I T-Komponenten oder Anwendungen wird von jedem Hersteller nur für die von ihm zu verantwortenden Bereiche gewährleistet.

Zudem werden unterschiedliche Daten an verschiedenen Orten gespeichert. Die darin be-findlichen Informationen sind für das Unternehmen von unterschiedlicher Bedeutung und Wichtigkeit und sollen möglicherweise auf Grund der Vertraulichkeit der Informationen nur einem bestimmten Personenkreis zum Zugriff bereitgestellt werden. Daneben wird differen-ziert zwischen den Zugriffsa]rten. Bestimmte Daten dürfen evtl. nur gelesen, nicht jedoch verändert werden. Da für alle aufgeführten Schichten häufig eigene Berechtigungsobjekte zur Verfügung gestellt werden, ist eine Beurteilung der Gesamtsicherheit auBerordentlich zeitaufwendig und schwierig.^[6]

Aufgrund dieser Entwicklungen gewinnt die unternehmerische Uberwachung durch die Revi­sion, insbesondere im Hinblick auf den Einsatz der Informationstechnologie, immer mehr an Bedeutung.

1.4 Entwickl u ng der Gesetzeslage

Auch die geänderte Gesetzeslage trägt dazu bei, die Sensibilität für I T-Sicherheitsthemen zu erhöhen. Die Verantwortung beschränkt sich keineswegs mehr auf die I T-Abteilungen. Ver-schiedene Gesetze und Regelungen belegen, dass Vorstände und Geschäftsführer persönlich für Versäumnisse und mangelnde Risikovorsorge verantwortlich sind.^[7]

Während zum Beispiel bei Kapitalgesellschaften in der Vergangenheit davon ausgegangen wurde, dass ihre Leitungsorgane gar nicht oder nur sehr beschränkt mit dem Privatvermö-gen haftet, hat sich dieses grundlegend geändert. Gemä13 § 93 AktG sowie § 43 GmbHG hat sich die Beweislast umgedreht.

In der Praxis ist es aber meistens schwierig, ein angemessenes Sicherheitsniveau zu errei-chen und aufrecht zu erhalten. Die Gründe dafür sind meist fehlende Ressourcen, zu knappe Budgets und nicht zuletzt die steigende Komplexität der I T-Systeme.^[8] Hinzu kommt die steigende Anzahl gesetzlicher Normen, wie beispielsweise die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)^[9], sowie die ständige Aktualisierung und Konkretisierung bereits bestehender Gesetze wie das Gesetz über das Kreditwesen (KWG).^[10]

[...]

^[1] Vgl. IDW RS FAIT 1, Tz.

^[2] Vgl. I T-Grundschutz kompakt, S. 5; Wirtschaftsinformatik 1 - Grundlagen und Anwendungen, S. 284

^[3] Vgl. I T-Grundschutz kompakt, S. 9; Einführung in die Wirtschaftsinformatik, S. 481

^[4] Vgl. I T-Grundschutz kompakt, S. 6

^[5] Vgl. IDW RS FAIT 1, Tz. 15

^[6] Vgl. Sicherheit und Prüfung von Betriebssystem und Netzwerk in einer SAP R/3-Umgebung, S. 19; Einführung in das SAP R/3-System unter revisionsspezifischen Gesichtspunkten, S. 12; Wirtschaftsinformatik 1 - Grundlagen und Anwendungen, S. 284

^[7] Vgl. I T-Grundschutz kompakt, S. 5-6; IDW RS FAIT 1, Tz. 6

^[8] Vgl. I T-Grundschutz kompakt, S. 5

^[9] Vgl. Bundesministerium der Finanzen (BMF): Schreiben vom 16. Juli 2001 sowie Aufbewahrungspflichten und - fristen nach Handels- und Steuerrecht, 8. Auflage, AWV - Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. , 2002

^[10] Gesetz über das Kreditwesen - KWG, i.d.F. der Bekanntmachung vom 09. September 1998 (BGBl. I S. 2772), zuletzt geändert durch Artikel 1 des Gesetzes vom 22. November 2006, BGBl. I S. 2606 ff.