IT-Compliance

ServicesAudit & AssuranceUnabhängige Prüfungen und StellungnahmenDigital Audit

IT-Compliance

Als IT-Expert*innen einer Wirtschaftsprüfungsgesellschaft sind wir auf die Prüfung, Beurteilung und Verbesserung von Prozessen, internen Kontrollsystemen, Softwareanwendungen und allgemeiner IT-Kontrollen, -Systeme und -Funktionen spezialisiert. Prüfungen nach IDW PS 330 unter Berücksichtigung der MaRisk oder SOX-404 sowie Zertifizierungen von Service Providern (IDW PS 951 / ISAE 3402 / SSAE16) und Softwareprodukten (IDW PS 880) gehören zu unseren Standarddienstleistungen.

Handels- und steuerrechtliche Anforderungen

Die handels- und steuerrechtlichen Anforderungen das IT –Management, IT- Service Prozesse sowie Anwendungen und Systeme sind haben ihren Ursprung in den einschlägigen Gesetzen, wie beispielsweise Handelsgesetzbuch (HGB) und Aktiengesetz (AktG) sowie Abgabenordnung (AO), und Umsatzsteuergesetz (UstG), und werden durch Verordnungen sowie Stellungsnahmen etc. konkretisiert.

Vorrangig sind für die IT die Anforderungen des Fachausschusses für Informationstechnik (FAIT) sowie Prüfungsstandard des Instituts für Wirtschaftsprüfer (IDW) , wie die  Prüfungsstandards PS 330,PS  850, PS 880 und PS  951 sowie die Rundschreiben des Bundesministeriums für Finanzen (BMF- Schreiben), hier insbesondere GoBS sowie GDPdU dargestellt. Nennenswert sind an dieser Stelle ebenfalls das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)“ sowie die Umsetzung der 8. EU Richtlinie durch das „Bilanzmodernisierungsgesetz (BilMog)“.

Darüber hinaus gibt es weitergehende oder bedarfsweise zu berücksichtigende handels- und steuerrechtliche Anforderungen, die im Rahmen von IT-Compliance Projekten erhoben und auf Ihre Relevanz und Anwendbarkeit beurteilt werden.

Durch unsere interdisziplinäre Zusammenarbeit mit unseren Wirtschaftsprüfern und Steuerberatern unterstützen wir unsere Kunden regelmäßig in besonderen Fragestellungen und Neuerungen im Feld der handels- und steuerrechtlichen Anforderungen, beispielsweis als Folge der Jahressteuergesetze.

In vielfältigen Projekten sind wir unseren Kunden behilflich:

  • in der Vorbereitung zur digitalen Betriebsprüfung (GDPdU), u.a. indem wir die Ist-Aufnahmen zur Datenhaltung ausführen und sie in der Entwicklung von Konzepten zur Bestimmung der steuerlichen Relevanz von Daten und deren Vorhaltung begleiten. Darüber hinaus testen wir die Bereitstellung von digitalen Daten und deren Qualität mit der Software IDEA.
  • bei der Einrichtung und Verbesserung einer  ordnungsmäßigen Archivierung von Dokumenten und Einführung von Archivierungssystemen und Dokumenten Management System (DMS).
  • bedarfsweise haben wir für unserer Kunden Ist-Aufnahmen und Stellungnahmen mit Verbesserungsmöglichkeiten ausgeführt, beispielhaft seien nachfolgende Themen genannt:
  • E-Mail- Archivierung,
  • Aufbewahrung digitaler Unterlagen bei Bargeschäften,
  • qualifizierten elektronischen Signatur,
  • elektronischen Rechnungen sowie
  • Electronic Data Interchange (EDI).

Aktuell stehen wir unseren Kunden zu Fragestellungen und Umsetzung der Anforderungen zur  sogenannten E-Bilanz zur Seite.

Projektbegleitende Prüfungen IDW PS 850

Die projektbegleitende Prüfung hat sich in unseren Jahresabschlussprüfungen und in den direkten Beauftragungen durch die Geschäftsführung oder die Interne Revision unserer Kunden  als geeignetes Mittel bewährt, um

  • einerseits im Sinne des IDW Prüfungsstandards 850 frühzeitig die gesetzlichen und regulativen als auch die unternehmensinternen Anforderungen in der Projektorganisation und -durchführung sowie im Gegenstand des Projektes, z.B. Einführungen einer ERP-Software, einzubringen,
  • andererseits die Projektleitung, den Lenkungsausschuss sowie andere berechtigte Adressaten (stakeholder) über Entwicklungen, Risiken und Ereignisse in der Projektdurchführung oder den Projektgegenstand betreffend zu informieren und Empfehlungen zur Verbesserung aufzuzeigen.

Die projektbegleitende Prüfung wird als unabhängige Institution dem geprüften Projekt zu Seite gestellt und ist nicht der Projektleitung unterstellt, sodass eine neutrale Sicht und Berichterstattung gewährleistet ist.

Mindestanforderungen an das Risikomanagement (MaRisk)

Unseren Kunden aus der Finanzdienstleistungsbranche sind wir behilflich bei und der Umsetzung der seitens der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) aufgestellten Mindestanforderungen an das Risikomanagement (MaRisk) und hiermit verbundener Fragestellungen, hier insbesondere hinsichtlich der Anforderungen der Themenschwerpunkte

  • Technisch- organisatorische Ausstattung (MaRisk 7.2.),
  • Notfallkonzept (MaRisk 7.3.) und
  • Outsourcing (MaRisk 9).

Seitens der BaFin wird hier besonders auf das IT-Risikomanagement und die IT-Sicherheit hingewiesen, als mögliche Norm wird die ISO 27001 als Orientierung angeführt.

Interne Kontrollsysteme

Interne Kontrollsysteme  sind maßgeblich, um den Willen der Geschäftsführung im Rahmen der Vorgangsbearbeitung umzusetzen und das Risiko von Vermögensschäden zu mindern. Wir stehen unseren Kunden beim Aufbau eines internen Kontrollsystems im Umfeld der IT-Prozesse, der Systeme und der Anwendung der Software in den Geschäftsprozessen zur Seite, damit die Geschäftsführung Ihre Verantwortung besser wahrnehmen kann.

Neben der Umsetzung der eigenen Anforderungen und Leitbildern der Geschäftsführung sowie den einschlägigen nationalen Anforderungen im Unternehmen unterstützen wir unsere an der New Yorker Börse (SEC) notierten Kunden in den speziellen Fragestellungen und Anforderungen des Sarbanes-Oxley-Act SOX-404.

Sarbanes-Oxley-Act SOX-404

Bei der SOX-konformen Einführung, Prüfung und Verbesserung der allgemeinen IT-Kontrollen (IT General Controls) und der Anwendungskontrollen (Application Controls) und bedarfsweise Geschäftsprozesse sind wir unseren Kunden bedarfsweise in den verschiedenen vorgesehen Rollen behilflich als Berater im Aufbau, als Unterstützung des Management Testing oder in der Rolle der internen Revision. Die Rolle des bei der SEC registrierten Abschlussprüfers nehmen als renommierte Wirtschaftsprüfungsgesellschaft natürlich ebenfalls wahr.

Durch unsere enge europäische und internationale Zusammenarbeit in der MAZARS-Gruppe stehen wir unseren Kunden lokal und auch in weltweiten SOX-Projekten zur Seite.

Zertifizierungen nach ISAE 3402, SSAE 16 und PS 951

In einem Markt für IT-Dienstleistungen, der durch hohen Wettbewerb geprägt ist, mit Kunden, deren Geschäftstätigkeit immer stärker regulatorischen Anforderungen unterliegt und Schlagworte wie IT-Compliance die Beurteilungen beeinflussen, ist eine Zertifizierung durch einen Wirtschaftsprüfer ein Entscheidendes Kriterium für Bestands- und Neukunden unserer Kunden sein.

Die Zertifizierung von Dienstleistungen nach gesetzlichen Normen und branchenüblichen Standards dokumentiert glaubhaft die Qualität der Dienstleistung.

Lesen Sie hier mehr zum Thema Zertifizierungen von Dienstleistungen!

Softwarebescheinigung nach IDW PS 880

Lesen Sie hier mehr zum Thema Softwarebescheinigung nach IDW PS 880!

Datenschutz

Auf der Grundlage der aktuellen gesetzlichen und regulativen Regelungen zum Datenschutz unterstützen wir unsere Kunden in der Wahrnehmung Ihrer Pflichten durch prüferische oder  beratende Aufgabenstellungen, wie

  • der Unterstützung bei der Erhebung der Verfahren mit Speicherung und/oder Verarbeitung von personenbezogenen Daten gemäß BDSG in Form von Interviews und gemeinsamen Systemeinsichten und dem Aufbau eines Verfahrensverzeichnisses. Im Ergebnis wird ein erstes Verfahrensverzeichnis gemäß BDSG gemeinsam erarbeitet und dem Kunden bzw. dem Datenschutzbeauftragten als Arbeitsversion zur Verfügung gestellt.
  • Der Durchsicht der für die Verfahren getroffenen technischen und organisatorischen Maßnahmen auf Schwachstellen hinsichtlich der Anforderungen gemäß BDSG respektive der Best Practice Vorgaben. Im Ergebnis wird eine kurze Notiz sowie eine tabellarische Darstellung der festgestellten Schwachstellen, Regelungsbedarfe und Verbesserungspotentiale mit einer mit unserem Kunden und dem Datenschutzbeauftragten abgestimmten Priorisierung erstellt.
  • Unterstützung bei der Verbesserung der technischen und organisatorischen Maßnahmen hinsichtlich einer abgestimmten Auswahl festgestellter Schwachstellen gemäß BDSG respektive der Best Practice. Im Ergebnis werden beispielsweise IT-Richtlinien und Policies gemeinsam erstellt bzw. überarbeitet und unserem Kunden zur weiteren Verwendung überlassen.

Ferner stehen wir unseren Kunden zur Beurteilung für spezielle Fragestellungen zum Datenschutz, die wir Bedarfsweise in Form von Stellungsnahmen beantworten, sowie für Datenschutzaudits zur Seite.

Zur Umsetzung der Anforderungen nutzen wir bedarfsweise Hinweise aus Best Pratice Modellen wie dem IT- Grundschutzhandbuch des Bundesamtes zur Sicherheit in der Informationstechnik (BSI) sowie ISO 27001 und ISO 27002 zum Management von Informationssicherheit.

Ferner stellen wir für unsere Kunden einen nachweislich fachlich geeigneten Berater als externen betrieblichen Datenschutzbeauftragten (ebDSB) im Sinne des BDSG §4f (Stand: August 2009) zur Bestellung durch das Unternehmen. Die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten sind hierzu im Bundesdatenschutzgesetz ausgehend von BDSG §4g verpflichtend dargestellt.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Kontakt