Page 1
IT-Compliance und
Governance-Anforderungen an
Unternehmen
Mag Stefan Werle, WP/StB
Seite 2
IT-Compliance - Definition
IT-Compliance beschreibt in der Unternehmensführung die
Einhaltung der gesetzlichen, unternehmensinternen und
vertraglichen Regelungen im Bereich der IT-Landschaft. Sie
kann als zentraler Einflussfaktor bzw Teilbereich der IT-
Governance verstanden werden.
IT-Compliance Anforderungen sind:
• Informationssicherheit (IT-Security)
• Datenschutz
• Datensicherheit
• Aufbau und Betrieb eines internen Kontrollsystems (IKS)
Seite 3
IT-Compliance – gesetzliche Regelungen
• § 190 UGB: Führung der Bücher, Verwendung von
Datenträgern
• § 212 UGB: Aufbewahrungspflicht
• § 124 - 132 BAO: Führung von Büchern und
Aufzeichnungen
• § 18 UStG: Aufzeichnungspflichten
• § 82 AktG, § 22 GmbH: Einrichtung eines dem
Unternehmen angemessenen Rechnungswesens und
internen Kontrollsystems (Verantwortlichkeit von
Vorstand/Geschäftsführung)
• Datenschutzgesetz 2000
Seite 4
IT-Compliance – Standards
Nationale Standards:
• Durchführung von Abschlussprüfungen (KFS/PG 1)
• Grundsätze ordnungsgemäßer IT-Buchführung (KFS/DV 1)
• Abschlussprüfung bei Einsatz von Informationstechnik
(KFS/DV 2)
• Richtlinie zur Prüfung ausgelagerter Funktionen (IWP/ PE
14)
• Kassenrichtlinie 2012/ Information über Registrierkassen
und Kassensysteme des BMF
Seite 5
IT-Compliance - Standards
Internationale Standards:
• ISA 315: Verständnis des Unternehmens und dessen
Umfeld und erfassen der Risiken wesentlicher
Fehldarstellungen
• ISA 402: Vorgehen bei Ausgliederung von
Dienstleistungen
Seite 6
IT-Compliance und Wirtschaftsprüfung
Einhaltung der gesetzlichen und gesellschaftsvertraglichen Bestimmungen, insbesondere
• § 269 UGB: In die Prüfung des Jahresabschlusses ist die Buchführung einzubeziehen. Die Prüfung hat sich darauf zu erstrecken, ob die gesetzlichen Vorschriften und die ergänzenden Bestimmungen des Gesellschaftsvertrags oder der Satzung beachtet worden sind.
• § 273 Abs 2 UGB: Redepflicht des Abschlussprüfers bei schwerwiegenden Verstößen gegen Gesetz und bei wesentlichen Schwächen bei der internen Kontrolle des Rechnungslegungsprozesses
Seite 7 Seite 7
IT Governance: Definition
= integraler Bestandteil der Corporate-Governance
und
• besteht aus Führungs- und Organisationsstrukturen • sowie Prozessen, die sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. • Für IT Governance sind Vorstand und Geschäftsführung verantwortlich.
Corporate Governance
IT Governance
Business
Informations-
systeme
Seite 8
IT-Governance: Anwendungsfall
• Es geht bei IT Governance darum, eine gewisse Disziplin der IT in einen besonderen Fokus zu stellen. Dieser Fokus ist besonders für Konzerne oder sehr große Unternehmen interessant, bei denen die IT Unterstützung für die Geschäftsprozesse eine Dimension angenommen hat, dass man um spezielle Regelungen und Absprachen nicht mehr herum kommt. Dieser Aufwand schlägt sich in Transaktionskosten nieder. Damit diese nicht ausufern, hat es Sinn sich auf einheitliche Standards der IT-Governance zu einigen.
Seite 9
IT-Governance: Anwendungsfall
• Grundsätzlich soll die IT-Governance einen effektiven und effizienten Rahmen schaffen, um die Geschäftsprozesse eines Unternehmens optimal durch IT unterstützen zu können. Dazu müssen Grundsätze im Unternehmen vorgegeben werden und geeignete Verfahren und Maßnahmen zur Durchsetzung sowohl in der IT, als auch - und sogar wesentlicher - in den Fachbereichen ergriffen werden.
Seite 10
IT-Governance: Anwendungsfall
• Die IT soll also optimal auf die Geschäftstätigkeit des
Konzerns ausgerichtet werden und dabei dem Konzern
helfen, dass mit den bereitgestellten IT-Ressourcen ein
Konzernoptimum bei Kosten, Qualität und Sicherheit
erreicht wird. Daneben wird erwartet, dass Risiken aus
der IT-Nutzung eliminiert oder minimiert werden und
dass der Nutzen, den die Investition in ein Vorhaben,
das durch IT unterstützt wird, auch erreicht wird.
Seite 11 Seite 11
IT Governance: Einflussgrößen
IT Governance
managt die Balance
zwischen beiden
Richtungen!
Die Rechtsprechung
drückt in Richtung Risiko-
Management.
Wettbewerb &
Marktdruck drücken in
Richtung Performance.
Seite 12 Seite 12
IT-Governance: wesentliche Standards
mögliche Einteilung der Standards:
• Standards, die Anforderungen formulieren:
Fachgutachten (KWT, IWP, IDW)
Sarbanes Oxley Act
ISA 402 / ISAE 3402 / SSAE 16
• Standards, die bei der Umsetzung helfen:
Control Objectives for Information and Related Technology (COBIT)
IT Infrastructure Library (ITIL)
ISO 17799 / ISO 27002
COSO
Seite 13
Organisationen – Veröffentlichungen:
deutschsprachige Fachgutachten:
• KFS – Kammer der WT – Fachsenat für Datenverarbeitung
KFS/DV1
KFS/DV2
• IDW – Institut der Wirtschaftsprüfer
FAIT 1 & 2 (Fachgutachten für die Prüfung von Informationstechnologie)
PS331 (Serviceorganisationen)
Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
Seite 14
Organisationen – Veröffentlichungen:
Organisationen und deren internationale Standards:
• IFAC – International Federation of Accountants
ISA (zB ISA 402 - Audit Considerations relating to Entities using Service Organizations; ISAE 3402 - Assurance Reports on a Service Organization's Controls)
• AICPA – American Institute of CPAs
SSAE 16 - Statement on Standards for Attestation Engagements
• PCAOB – Public Company Accounting Oversight Board
Auditing Standards
Seite 15 Seite 15
KFS/DV 1 - Grundsätze
Ordnungsmäßigkeit von IT-Buchführung
Gleiche Anforderungen an die Buchführung sowie
für die EDV-Buchführung
Radierverbot
Prüfspur vorwärts und rückwärts
Ordnungsmäßigkeit
Das Interne Kontrollsystem
Aufbewahrung sämtlicher Dokumente für 7 Jahre
Bezieht sich auf die Prüfung anwendungsABhängiger
Kontrollen
Seite 16 Seite 16
KFS/DV 1 - IKS
• Internes Kontrollsystem (IT-IKS)
IT-Kontrollumfeld
Generelle IT-Kontrollen
Anwendungskontrollen
Überwachung des IKS
Seite 17 Seite 17
KFS/DV 1 - IKS
• Kontrollen
Es wird unterschieden zwischen manuellen
Kontrollen, automatischen Kontrollen und
manuellen Kontrollen mit IT-Abhängigkeit
Sowohl die Definition als auch die Durchführung
der Kontrollen ist zu dokumentieren
Seite 18 Seite 18
KFS/DV 1 - IKS
• IT Kontrollumfeld
Sicherstellung eines angemessenen
Grundverständnisses für den Einsatz von IT
beim Buchführungspflichtigen und den
Mitarbeitern
Sicherstellung einer angemessenen
Funktionstrennung
Die Funktionalität der IT Buchführung muss den
Anforderungen der Geschäftsprozesse genügen
Seite 19 Seite 19
KFS/DV 1 - IKS
• Generelle IT-Kontrollen
Beschaffung, Entwicklung und Pflege von Systemen
Zugriffsschutz (Benutzerberechtigungsverwaltung,
Sicherheits- und Passworteinstellungen,
Berechtigungskonzept, administrative
Berechtigungen, Überwachung der
Zugriffsschutzmaßnahmen, physischer Zugriffschutz)
Betrieb (Jobsteuerung und –überwachung,
Datensicherung und – wiederherstellung,
Notfallplanung, Problem- und Fehlerbehebung)
Seite 20 Seite 20
KFS/DV 1 –IKS
• Anwendungskontrollen
Eingabekontrollen
Verarbeitungskontrollen
Ausgabekontrollen
Seite 21 Seite 21
KFS/DV 2 – Grobüberblick über IT Prüfungen
• Gewinnung eines Überblicks über Systeme und Abläufe
• Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an COBIT
• Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)
• Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)
Seite 22 Seite 22
Standards, die bei der Umsetzung helfen • COBIT:
Control Objectives for Information and Related Technology
Prozessorientiertes Framework für die Steuerung von IT Prozessen
herausgegeben von: IT Governance Institute (ITGI), früher ISACA
• ITIL: IT Infrastructure Library
Werkzeug zur Umsetzung eines IT-Service-Managements (ITSM)
herausgegeben von: Office of Government Commerce (OCG)
• ISO/IEC 17799:2005 (ISO27001): internationaler Standard, der diverse Kontrollmechanismen für die
Informationssicherheit beinhaltet
herausgegeben von: Internationale Organisation für Normung (ISO)
• COSO-Modell: anerkannter Standard für interne Kontrollen; dient der Dokumentation, Analyse
und Gestaltung des internen Kontrollsystems, beschränkt sich allerdings stark auf die Finanzberichterstattung.
herausgegeben von: Committee of Sponsoring Organizations of the Treadway Commission
Seite 23 Seite 23
• „Warum sind IT-Prüfungen notwendig bzw muss der Wirtschaftsprüfer (WP) die IT überhaupt beachten oder sogar prüfen?“ – KFS/DV1: Ordnungsmäßigkeit von IT-Buchführungen
– KFS/DV2: Abschlussprüfung bei Einsatz von Informationstechnik
– Internationale Prüfungserfordernisse aufgrund diverser Standards: ISA 401 & 402, SAS 70, SOX
– Rahmenwerke für Best Practice: COBIT, ITIL etc.
• Conclusio: – Heute ist bei jeder JA-Prüfung die Rolle der IT im Unternehmen
zu hinterfragen!
– Das Ausmaß der Prüfungshandlungen richtet sich grundsätzlich nach der Komplexität der IT-Landschaft!
Notwendigkeit von IT-Prüfungen
Seite 24 Seite 24
Vorgehensweise aus Sicht des WP
• Prüfungsplanung: Berücksichtigung der Informationstechnik
• Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens
• Feststellung der wesentlichen IT-bezogenen Risiken
• Feststellung der Maßnahmen zur Beseitigung oder Verminderung der Risiken
• Prüfungshandlungen im Einzelnen
– anwendungsabhängige Kontrollen
– anwendungsunabhängige Kontrollen
• Dokumentation der Prüfungshandlungen und Berichterstattung
Ordnungsgemäße Rechnungslegung sowie
Sicherheit
IT
-Ko
ntr
oll
syste
m(IT
-Org
an
isa
tio
n/IT
-Um
feld
) IT-System
IT-Infrastruktur
IT-Anwendungen
IT-GeschäftsprozesseIT
-Ges
chäf
ts-
proz
essr
isik
en
IT-A
nwen
dung
s-
risike
n
IT-I
nfra
stru
ktur
-
risike
n
Prü
fun
gsg
eg
en
sta
nd
Prü
fun
gszie
l
Prüfungskriterien
IT-Systemprüfung nach IDW PS330
Vorgehensweise nach KFS DV2
Seite 25 Seite 25
Rolle von IKS & IT in der JA-Prüfung: (Pfeile = Informationsfluss)
IT als Teil der JA-Prüfung
JA-Prüfung – Verständnis Geschäftstätigkeit
IKS-Prüfung – Prozesse und Kontrollen
(Soll)
IT-Prüfung – Abbildung in der IT
(Ist)
Conclusio:
Die IT-Prüfung ist
Teil der IKS-Prüfung!!
Seite 26
Erfahrungsberichte
Feststellungen bei anwendungsUNABhängiger IT-Prüfung
IT-Strategie
• die Mehrzahl der Unternehmen hat keine schriftlich
dokumentierte IT-Strategie
IT-Risikomanagement
• Risikobetrachtungen sind oftmals nicht als
wiederkehrender Prozess eingerichtet
IT-Organisation
• IT-Steuerungsgremien sind in den meisten Fällen nicht
eingerichtet
Seite 27
Erfahrungsberichte
Feststellungen bei anwendungsABhängiger IT-Prüfung am Beispiel SAP:
Basis-Sicherheit:
• Passworteinstellungen entsprechen nicht den heutigen
Standards
• Notfallbenutzer-Konzept nicht eindeutig festgelegt
• Auditing nicht umfassend eingerichtet
Seite 28
Erfahrungsberichte
Feststellungen bei anwendungsABhängiger IT-Prüfung am Beispiel
SAP:
Berechtigungskonzept:
• Bei einem Großteil der Unternehmen ist ein
Berechtigungskonzept nicht (ausreichend) dokumentiert
• bzw die lückenlose Kontrolle nicht erkennbar
• Umfassende Berechtigungen werden zahlreich vergeben
• Benutzer mit weitreichenden Berechtigungen werden
nicht isoliert bzw deren Aktivitäten nicht umfassend
protokolliert
Seite 29
Erfahrungsberichte
Feststellungen bei anwendungsABhängiger IT-Prüfung am Beispiel
SAP:
Aufzeichnung von Systemänderungen
(Tabellenprotokollierung):
• Änderungen an SAP-Tabellen werden vereinzelt gar
nicht, in vielen Fällen nicht umfassend protokolliert
• Keine unternehmensweite Vorgaben, welche
selbsterstellten rechnungslegungsrelevante Tabellen
protokolliert werden müssen
Seite 30
Erfahrungsberichte
Feststellungen bei anwendungsABhängiger IT-Prüfung am Beispiel SAP:
Entwicklung:
• Entwicklerrechte auch im Produktivsystem
• Teilweise sehr viele Benutzer mit Entwicklerrechten vorhanden
Seite 31
IT-Compliance und Governance-Anforderungen
Vielen Dank für Ihre Aufmerksamkeit!
Page 32
WP/StB Mag Stefan Werle
BDO Vorarlberg GmbH
Steuerberatungs- und Wirtschaftsprüfungsgesellschaft
Gallmiststraße 13
6800 Feldkirch
Tel: +43 5522 39440