Informationssysteme sind heute für die meisten Unternehmen von entscheidender Bedeutung. Während der Prüfung begegnen wir bei unseren Kunden einer Vielzahl von Systemen und Anwendungen – von großen ERP-Paketen über zentrale Produktionssysteme bis hin zu unterstützenden Evidenzen, Excel-Dateien oder spezifischen Zweckanwendungen. Unternehmen erwerben diese Systeme entweder als Standardsoftware oder als maßgeschneiderte Lösungen, entwickelt durch externe Dienstleister oder eigene Mitarbeitende. Diese Systeme können auf unterschiedlichen Plattformen laufen. Die Zusammenarbeit und Integration dieser Systeme kann variieren – ebenso wie die Mitarbeitenden, die sie verwalten oder mit ihnen arbeiten.
Die Pflicht des Auditors, die IT-Umgebung des Kunden zu verstehen und eine Überprüfung der Funktion der IT-Systeme durchzuführen, ergibt sich aus dem internationalen Standard ISA 315. Wichtig ist dabei der Hinweis, dass eine IT-Prüfung für die Zwecke der Abschlussprüfung kein vollwertiges IT-Audit gemäß allgemein anerkannten Standards (COBIT, NIST, ISO/IEC 27001) oder anderen Anforderungen darstellt. Der Umfang dieser Tests wird vom Auditor selbst festgelegt – basierend auf dem Verständnis der IT-Umgebung des Kunden und seinem professionellen Ermessen im Einklang mit den ISA-Standards.
Worauf konzentriert sich der Auditor beim Kunden?
Für uns Auditoren sind Systeme für Buchhaltung, Lagerverwaltung, Kassensoftware usw. besonders relevant. Der Auditor muss die gesamte IT-Umgebung und deren Steuerung verstehen, die IT-Systeme, ihre Architektur, Datenflüsse, die Verarbeitung und Speicherung von Transaktionen und Daten sowie die Sicherheit der Systeme. Das reine Verständnis reicht jedoch nicht aus. Der Auditor muss allgemeine IT-Kontrollen und weitere Kontrollen identifizieren und deren Wirksamkeit testen. Eine bloße Feststellung und Dokumentation der Effektivität oder Ineffektivität ist nicht ausreichend. Zudem muss der Auditor berücksichtigen, ob kompensierende Kontrollen implementiert wurden, und versuchen, die konkrete Auswirkung unwirksamer IT-Kontrollen zu bestimmen.
Welchen Einfluss haben unwirksame IT-Kontrollen auf den Jahresabschluss?
Es ist sehr schwierig, die direkte Auswirkung unwirksamer IT-Kontrollen auf den Jahresabschluss zu bestimmen. Stellt der Auditor fest, dass z. B. die Sicherheitsrichtlinie nicht ordnungsgemäß genehmigt wurde, die Passwortregeln zu lax sind oder Monitoring- bzw. Incident-Tools fehlen, wird der Einfluss auf den Jahresabschluss minimal sein. Dennoch können wir das Management in einem Management Letter offiziell über diese Ineffektivitäten informieren. Unwirksame Kontrollen können zu Ereignissen führen, die sich zukünftig negativ auf das Unternehmen auswirken. Zu den wichtigsten Bereichen der Prüfung allgemeiner IT-Kontrollen gehören Zugriffsmanagement, Datensicherheit, Change-Management, Anwendungstests und Datensicherungen.
Welche Feststellungen macht der Auditor am häufigsten?
Zu den häufigsten Feststellungen gehören: unwirksame Einrichtung und Entziehung von Zugriffsrechten, übermäßige Administratorrechte, Nutzung gemeinsamer Benutzerkonten, Nichteinhaltung der Sicherheitsrichtlinie des Unternehmens, unzureichende Sicherung des Serverraums, Zugriffsrechte im Widerspruch zum Prinzip der Funktionstrennung, mangelnde Vertretbarkeit von Schlüssel-IT-Mitarbeitern, unzureichendes Sicherheitsmonitoring, unzureichende Trennung von Entwicklung und Betrieb, unzureichend dokumentierte Tests von Informationssystemen, fehlende Prozessautomatisierung und erhöhtes Risiko manueller Eingriffe durch Benutzer sowie fehlende automatisierte Workflows.
Für Aufgaben im Zusammenhang mit dem Verständnis der IT-Umgebung des Kunden und deren Prüfung kann der Auditor IT-Spezialisten (Experten) einsetzen. Dies ist eine bedeutende Unterstützung für eine effiziente Prüfung in einer Zeit, in der IT für die meisten Unternehmen ein wesentlicher Bestandteil ihres Betriebs ist.
