IT-Compliance
Die Aufrechterhaltung einer angemessenen „Compliance“, also die (nachweisbare) Einhaltung von Regeln, rückt zunehmend in den Fokus der Unternehmen. Grund hierfür ist zum einen die mit einigen Compliance-Verstößen verbundene Haftung, häufig in Form der Geschäftsführerhaftung, zum anderen eine mögliche Bedrohung der Geschäftsgrundlage, wenn z.B. Vorgaben zentraler Kunden nicht sachgerecht umgesetzt werden. Denn unter der Überschrift „Compliance“ können sich neben gesetzlichen Regelungen (bspw. aus HGB und KWG) auch aufsichtsrechtliche Vorgaben (bspw. MaRisk, BAIT, VAIT), Steuer- und Zollvorschriften (bspw. GoBD und UZK/UZK-DA) sowie vertragliche Vereinbarungen mit Kunden oder Dienstleistern (bspw. PCI-DSS) verbergen. Nicht zuletzt kann ein wirksam eingeführtes Compliance-Management-System das Unternehmen und die Geschäftsführung vor Schaden schützen oder mögliche Sanktionsmaßnahmen abmildern.
Mit der schnellen Entwicklung der Informationstechnologie verändern sich fortlaufend auch die einzuhaltenden Vorschriften: EU-Verordnungen, nationale Gesetze, Richtlinien, ISO-Standards, Sicherheitsnormen, unternehmensinterne Verhaltens-Codices usw. Wir beraten und begleiten Sie bei der Anpassung Ihrer Geschäftsprozesse und IT-Systeme an die für Sie geltenden Vorschriften.
Aus einigen Regelwerken, die Gegenstand der Compliance eines Unternehmens sind, ergeben sich direkte Anforderungen an die IT. Beispiele hierfür sind die Aufbewahrungspflicht für rechnungslegungsrelevante, originär digitale Unterlagen (z.B. E-Mail-Rechnung) und die Verpflichtung zur Durchführung einer dem Stand der Technik entsprechenden Datensicherung. Aber auch in vielen anderen Fällen entfalten Compliance-Vorgaben eine (indirekte) Wirkung auf die Umsetzung von Geschäftsprozessen in IT-Systemen. Einige Compliance-Vorgaben, wie bspw. die Durchführung der zollrechtlichen Präferenzkalkulation, sind im Regelfall ohne IT-Unterstützung gar nicht mehr umsetzbar.
Nachfolgend geben wir einen auszugsweisen Überblick zu Themen, die wir im Kontext „IT-Compliance“ im Fokus unserer Prüfungs- und Beratungsleistungen anbieten:
| GoBD | Anforderungen an die Bearbeitung und revisionssichere Archivierung elek-tronischer Unterlagen, Nutzung von DMS-Systemen, Z3-konforme Archivierung, Verfahren „ersetzendes Scannen“. |
| E-Invoicing | Anforderungen für die rechtskonforme Verarbeitung von elektronischen Eingangsrechnungen, den Versand von elektronischen Ausgangsrechnungen sowie den richtigen Umgang mit gescannten papierhaften Belegen und der anschließenden Vernichtung (sog. ersetzendes Scannen). Standardformate für elektronische Rechnungen (z.B. „ZUGFeRD“) bieten zusätzliche Anreize für die Einführung elektronischer Abrechnungsprozesse. Neben einer technisch angemessenen Lösung sind auch organisatorische Aspekte zu beachten um die Rechtssicherheit zu gewährleisten. |
| Exportkontrolle und Zoll | Präferenzkalkulation im ERP-System, Sanktionslistenprüfung, automatische Prüfung der USt-ID, effiziente Verwaltung der Langzeit-Lieferantenerklärungen und der Gelangensbestätigungen. |
| Datenschutz (DS-GVO) | Wirksame Berufung eines Datenschutzbeauftragten, Umsetzung der technisch-organisatorischen Maßnahmen, verschlüsselte Speicherung und Übertragung personenbezogener Daten. |
| IT-Sicherheitsgesetz, BSI KritisV |
Betreiben Sie ein Unternehmen der sog. kritischen Infrastrukturen („KRITIS“)? Dazu gehören die Sektoren Energie, Informationstechnik/Telekommunikation, Gesundheit, Wasser, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Überschreiten Unternehmen dieser Sektoren bestimmte Schwellenwerte, gilt für sie das IT‑Sicherheitsgesetz und die darauf beruhende Verordnung (KritisV) mit besonderen Vorschriften zum Schutz vor Cyberangriffen und anderen sicherheitsrelevanten Vorfällen. |
| Kassengesetz, Kassenrichtlinie, Kassensicherungsverordnung |
Aus den Neuerungen des Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen haben sich weitere Anforderungen an elektronische Kassensysteme ergeben. Diese beinhalten u.a. die Anforderungen an die technischen Sicherheitseinrichtung, die Pflicht zur Zertifizierung der technischen Sicherheitseinrichtungen, die Sicherung der digitalen Grundaufzeichnungen und die Einzelaufzeichnungspflicht. |
Wir stehen Ihnen beratend zu diesen und weiteren Themen zur Verfügung und helfen Ihnen, Ihr operatives Geschäft an die neuen gesetzlichen Anforderungen anzupassen. Sprechen Sie uns gerne an.
IT-Forensik
Bei Vorliegen eines Anfangsverdachts auf wirtschaftskriminelle Handlungen (sog. „dolose Handlungen“ oder „Fraud“, wie z.B. Untreue, Unterschlagung, Betrug, Wirtschaftsspionage, Korruption, Manipulation) kann ein gezielter Einsatz unserer IT-Forensik-Leistungen Sie bei der Aufdeckung und gerichtsfesten Sicherstellung und Auswertung von Beweismitteln maßgeblich unterstützen. Außerdem helfen wir Ihnen bei der Schadensminimierung. Unsere Spezialisten unterstützen Sie in dieser kritischen Situation schnell, unkompliziert und vor allem diskret. Von Vorteil ist dabei die Möglichkeit, sofort auf ein eingespieltes, interdisziplinär arbeitendes Team von erfahrenen IT-Spezialisten, Wirtschaftsprüfern und IT-Juristen sowie Datenschutzexperten zurückgreifen zu können.
So ist auch die effektive Vertretung in gerichtlich geführten Streitverfahren durch unser Haus ohne Effizienzverluste problemlos möglich.
Neben der Sachverhaltsaufklärung bieten wir Ihnen natürlich auch Beratungsleistungen zur IT‑gestützten Prävention wirtschaftskrimineller Handlungen an.
IT-Revision
Bestimmte Unternehmen unterliegen der Verpflichtung eine interne Revision durchzuführen. Dies sind in Deutschland beispielsweise Banken, Versicherungen und Unternehmen in der Rechtsform einer AG. Eine Teildisziplin dieser Innenrevision ist die IT-Revision, also die objektive und prozessunabhängige Prüfung und Bewertung von IT-Systemen. Eine eigene IT-Revision aufzubauen und deren Mitarbeiter in adäquater Weise weiterzubilden ist sehr aufwendig. Wir bieten daher eine Auslagerung dieses Teilaspekts der Innenrevision an.
Unsere Mitarbeiter sind routinemäßig seit vielen Jahren in IT-Revisionstätigkeiten in verschiedenen Unternehmen tätig, werden regelmäßig zu neuesten Entwicklungen geschult und gewinnen durch ihre Tätigkeit permanent neue Praxiserfahrungen dazu.
Sie können so von einer höheren Effizienz und Wirtschaftlichkeit gegenüber einer ausschließlich intern besetzten IT-Revision profitieren, selbst wenn unsere Expertise nur für bestimmte Sonderfälle benötigt wird.
IT-Zertifizierung
Wir sind unabhängig, unparteilich, qualifiziert und praxiserprobt hinsichtlich der Durchführung von IT-Zertifizierungen. Durch eine Vielzahl durchgeführter IT-Prüfungen verfügen wir über fundierte Kenntnisse in der Planung, Koordination und Durchführung von Zertifizierungsprüfungen, unter Einhaltung der Qualitäts- und Prüfungsstandards und haben Zugriff auf eine breite Palette an Prüfungsnormen.
Software Zertifizierung
Die uns zur Verfügung stehenden Prüfungsstandards ermöglichen es uns, rechnungslegungsrelevante Softwareprodukte, z. B. nach dem Prüfungsstandard IDW PS 880, zu zertifizieren. Dies ist insbesondere für Softwarehersteller interessant, oder für Mandanten, die rechnungslegungsrelevante Geschäftsprozesse in eigenerstellten Anwendungen abgebildet haben. Durch eine erfolgreiche Zertifizierung Ihrer Software nach dem IDW PS 880 weisen Sie mit Wirkung gegen Dritte nach, dass Ihr Softwareprodukt, bei sachgerechter Anwendung, eine den Grundsätzen ordnungsmäßiger Buchführung entsprechende Rechnungslegung ermöglicht.
Outsourcing und RZ-Betrieb
Auch der Betrieb einer vollständig oder teilweise ausgelagerten IT kann durch uns geprüft werden. Dies ist insbesondere für Unternehmen von Interesse, die ausgelagerte IT-Dienstleistungen anbieten. Durch den Nachweis einer erfolgreich durchgeführten Prüfung auf Basis der Prüfungsstandards ISAE 3402, SSAE 16 (ehemals SAS 70) oder IDW PS 951 kann ein Dienstleistungsunternehmen gegenüber seinen Kunden und deren Wirtschaftsprüfern belegen, dass ein nach den anzuwendenden Prüfungskriterien ordnungsgemäßer Betrieb vorliegt und in welchen Bereichen ggf. Mitwirkungspflichten vom Kunden wahrzunehmen sind.
Betreiber kritischer Infrastrukturen (KRITIS)
Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist ein verbindlicher normativer Rahmen erlassen worden, der dazu dienen soll, IT-Systeme und digitale Geschäftsprozesse von Betreibern sogenannter „kritischer Infrastrukturen“ sicherer zu gestalten. So müssen nach § 8a BSIG Betreiber kritischer Infrastrukturen die Einhaltung eines angemessenen IT-Sicherheitsniveaus nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen.
Wir prüfen, ob Ihr Unternehmen als Betreiber einer kritischen Infrastruktur gilt und führen für Sie eine Prüfung nach § 8a (3) BSIG durch.
Gern unterstützen wir Sie auch bei der Zertifizierung Ihrer IT basierend auf anerkannten nationalen und internationalen Normen, die dem Bereich der IT-Sicherheit zuzurechnen sind, wie beispielsweise ISO 27001 (genau: ISO/IEC 27001), auch mit dem zusätzlichen Nachweis der Einhaltung des BSI IT-Grundschutz (ISO 27001 Zertifizierung auf Basis von IT-Grundschutz).
Berechtigungsprüfungen
Ein gutes Berechtigungskonzept ist ein wesentlicher Grundpfeiler eines wirksamen internen Kontrollsystems (IKS). Durch eine präzise Konzeption von Berechtigungsrollen, eine korrekte technische Implementierung in Ihren IT-Systemen sowie eine gute Überwachung kann wirksam Gefahren aus
- kriminellen Handlungen (z.B. Fraud, Wirtschaftsspionage)
- gravierenden Fehlern durch menschliches Versagen (z.B. bei fehlerhaften Massendatenänderungen ohne Gegenkontrolle)
- Schäden aus digitaler Erpressung (bspw. in Form von Verschlüsselungstrojanern
begegnet werden.
Ein Berechtigungskonzept sollte sicherstellen, dass ausschließlich autorisierte Personen Zugriff auf IT-Systeme haben. In den Systemen ist der Zugriff auf die Daten zu beschränken, die für den jeweiligen Arbeitsbereich relevant sind. Auch Funktionsbeschränkungen sind vorzusehen, um beispielweise nicht genehmigte Änderungen an Daten zu verhindern.
Zu beachten ist außerdem, dass keine kritischen Berechtigungskombinationen vergeben werden, die ein vorhandenes Vier-Augen-Prinzip aushebeln würden (bspw. Auslösung von Zahlungen in Kombination mit der Berechtigung zum Ändern von Bankverbindungen).
Die Nutzung von hochprivilegierten Benutzern (sog. Admin-User) und von Wartungs- oder Servicebenutzern (bspw. des Softwareherstellers) ist streng zu limitieren und zu überwachen. Die vom systemlieferanten voreingestellten Standardpasswörter müssen vor der Inbetriebnahme eines Systems geändert werden.
Dies sind nur einige der Aspekte, die wir im Rahmen einer Berechtigungsprüfung durch automatisierte und manuelle Prüfungshandlungen beleuchten.
Wir unterstützen Sie bei der Erstellung und Prüfung eines systemübergreifenden Berechtigungskonzepts. Dabei bauen wir im Grundsatz auf bei uns vorhandene Standards auf und passen diese an Ihre individuelle Situation an.
Ergänzend bieten wir Ihnen eine Analyse der in Ihren Systemen tatsächlich vergebenen Berechtigungen an. Wir vergleichen dazu im Rahmen einer Datenanalyse die tatsächlich vergebenen Berechtigungen mit dem zuvor definierten Soll-Zustand, um möglichen Handlungsbedarf zu identifizieren.
Datenanalysen und Schnittstellenprüfungen
Ein wesentlicher Vorteil der zunehmenden Digitalisierung von Geschäftsprozessen ist die Möglichkeit, mit geeigneten Werkzeugen selbst unfassbar große Datenmengen vollständig und außerdem weitgehend automatisiert auswerten zu können. Auch die systematische Herstellung von Zusammenhängen in Daten aus verschiedenen Systemen ist möglich.
Durch Einsatz moderner Analysewerkzeuge können zudem nicht nur strukturierte Daten (bspw. Saldenlisten, Adressdaten etc.) ausgewertet werden, sondern auch sog. schwach- oder unstrukturierte Daten (bspw. E-Mails, frei formulierte Dokumente).
Der Einsatz von Data-Mining und Text-Mining Werkzeugen ermöglicht es außerdem, neben der hypothesenbasierten Analyse auch explorative Analysen vorzunehmen. So ist nicht nur die Durchführung einer vollständigen, im Gegensatz zur früher verwendeten stichprobenweisen Analyse möglich. Es können auch Aussagen zu bisher in ihrem Zusammenhang völlig unbekannten Sachverhalten neben der Prüfung vermuteter Zusammenhänge getroffen werden.
Einsatzmöglichkeiten für Datenanalysen sind zum Beispiel:
- Aufdeckung oder Prävention von wirtschaftskriminellen Handlungen (Fraud Prevention)
- Aufdeckung nicht-konformer Geschäftsprozesse
- Kalkulation der Auswirkung von Korrekturen zu nicht-konformen Geschäftsprozessen (beispielweise zur Vorbereitung einer strafbefreienden Selbstanzeige nach § 371 AO oder im Zuge einer kartellrechtlichen Kronzeugenregelung)
- Aufdeckung von wirtschaftlichen Optimierungspotentialen
- Compliance-Prüfungen
- Prüfung der Datenqualität, auch systemübergreifend (Data Quality Management und Data Quality Measurement, bzw. Data Quality Monitoring)
- Aufdeckung von Schnittstellenfehlern
Projektbegleitende Prüfung
Auf Basis des Prüfungsstandards IDW PS 850 (Projektbegleitende Prüfung bei Einsatz von Informationstechnologie) kann bereits während der Laufzeit eines IT-Projekts eine prüferische Beurteilung IT-gestützter Rechnungslegungssysteme erfolgen. Durch unsere unabhängige Stellung im Projekt sowie unsere Qualifikation und umfassende Projekterfahrung können wir helfen, Risiken im Projekt frühzeitig zu erkennen und diesen entgegenzuwirken. Ein besonderes Augenmerk haben wir dabei auf die Ordnungsmäßigkeit der vom Projekt betroffenen IT-Systeme und -Verfahren. So stellen wir sicher, dass Sie in der nächsten Abschluss- oder Betriebsprüfung keine unangenehmen Überraschungen erleben.
Langenweg 55
26125 Oldenburg
Telefon: 0441 9710-0
Telefax: 0441 9710-401