IT Audit & Assurance

Die IT ist Wegbereiter für die Digitalisierung. Sie hat wesentlichen Anteil am Erfolg eines Unternehmens. Gerade deshalb wird der IT ein großes Vertrauen entgegengebracht. Aber IT ist auch disruptiv und komplex. Veränderungen an den Systemen, ständige Bedrohungen von innen und außen und das Risiko, dass Fehler unentdeckt bleiben, erfordern eine starke IT-Organisation.

Ein IT Audit ist ein sinnvolles Mittel, um Sicherheit zu gewinnen. Sicherheit, die es braucht, um sich auf die Systeme, die Prozesse und die Mitarbeiter zu verlassen. Mit einem IT Audit identifiziert man Schwachstellen in Prozessen und kann dies als Grundlage für Verbesserungen nehmen.

Audit als Chance für Ihr Unternehmen

Wir von Kleeberg sehen in einem Audit eine Chance für das Unternehmen, Schwachstellen zu erkennen und Verbesserungen herbeizuführen. Wir sehen in unserem Gegenüber einen Partner, mit dem wir gemeinsam positive Ergebnisse für Sicherheit in den IT-Systemen, Verlässlichkeit bei den Unternehmensprozessen sowie Vertrauen bei den Mitarbeitern erzielen.

Vertrauen in unsere IT und die Prozesse ist enorm wichtig für den Erfolg unseres Unternehmens

Prozessanalyse und Prozessoptimierung

Wir analysieren Ihre bestehenden IT-Geschäftsprozesse und decken Ineffizienzen und Schwachstellen auf. Im Hinblick auf eine fortschreitende Digitalisierung in Ihrem Unternehmen zeigen wir Ihnen, wie sich verborgene Potentiale heben und Prozesse verbessern lassen.

Natürlich haben wir auch die rechtliche Seite im Blick. Bei unseren Audits messen wir Ihre Prozesse an den geltenden Rechnungslegungsvorschriften und steuerlichen Vorgaben. Aber auch die Erfüllung der Anforderungen des IT-Sicherheitsgesetzes oder der EU-Datenschutzgrundverordnung wird bei unserem Audit analysiert. Aufgrund wachsender branchenspezifischer Anforderungen gewinnt auch die Konformität Ihrer Prozesse oder IT-Systeme mit Industrie-Standards, ISO-Normen oder allgemein anerkannten  Frameworks wie COSO oder COBIT zusehends an Bedeutung.

IT-Systemprüfungen

Eine funktionierende IT ist für Ihr Unternehmen essentiell. Ausfälle oder Fehler in Abläufen können Sie sich nicht erlauben. Die IT hat nicht nur unterstützende Funktion! Der Anspruch: „Die IT muss einfach laufen!“ genügt nicht mehr. Die IT ist die treibende Kraft im Unternehmen. Genau wie in den anderen Abteilungen Ihres Unternehmens gilt es, Risiken zu erkennen und zu beherrschen.

Es handelt sich meist um komplexe Themen wie Berechtigungen, Datensicherungen oder Schnittstellen. Die Erkenntnisse aus einem Audit helfen nicht nur dem → Abschlussprüfer im Rahmen seiner Abschlussprüfung, vielmehr dient es Ihrem Unternehmen als Gradmesser und zeigt Stärken und Schwächen auf.

Unser IT Audit orientiert sich am Prüfungsstandard 330 des Instituts der Wirtschaftsprüfer (IDW PS 330) und umfasst grundsätzlich die Bereiche

  • IT-Strategie und IT-Organisation
  • IT-Umfeld
  • IT-Infrastruktur mit den Teilbereichen „Physischer Schutz“, „Logische Zugriffskontrollen“, „Datensicherungen“ und „Notfallkonzept“
  • IT-Anwendungen
  • IT-gestützte Geschäftsprozesse
  • IT-Überwachung und
  • IT-Outsourcing

Wir legen großen Wert darauf, unsere Ergebnisse adressatengerecht zu kommunizieren. Dabei zeigen wir nicht nur Schwachstellen auf, sondern geben Handlungsempfehlungen zur raschen Umsetzung und Verbesserung.

Buchtipp

Im Juni 2019 ist in der Reihe „Praxistipps IT“ des IDW-Verlags das Werk „SAP®-IT-Prüfung im Rahmen der Abschlussprüfung“ von Martin Lamm, Geschäftsführer der Crowe Kleeberg IT Audit, et al. erschienen. Das Buch ist besonders praxisnah geschrieben und ermöglicht jedem Prüfer ein standardisiertes Vorgehen bei der Prüfung eines SAP®-Systems. Es beinhaltet eine detaillierte Beschreibung für jeden Prüfungsschritt, verbindet die jeweiligen Prüfschritte mit konkreten Risiken für die Sicherheit und Ordnungsmäßigkeit der Buchführung und gibt Empfehlungen zur Behebung von Feststellungen sowie zu alternativen Prüfungshandlungen zur Adressierung des jeweiligen Risikos.

→ Hier können Sie das Buch bestellen

SAP IT-Prüfung im Rahmen der Abschlussprüfung

IT Due Diligence

Der Begriff „Due Diligence“ wird meist im Zusammenhang mit Unternehmenskäufen verwendet. Dabei werden die rechtlichen und finanziellen Verhältnisse eines Unternehmens mit der „gebotenen Sorgfalt“ einer Risikoanalyse unterzogen. Die klassischen Bestandteile einer Due Diligence sind Finanzen, Recht und Steuern. Doch damit würde man nicht alles abdecken: Mit einer „IT Due Diligence“ lassen sich die Chancen und Risiken innerhalb der IT des Unternehmens prüfen. Wesentliche Bestandteile sind:

  • Zukunftsfähigkeit der bestehenden IT-Infrastruktur und -Organisation
  • Komplexität der IT-Prozesse
  • Anwendungsentwicklung (Software Development Life Cycle, SDLC)
  • Prozesssicherheit innerhalb der IT-Anwendungen
  • Sicherheit der IT-Systeme
  • Datenschutzkonformität der IT-Systeme
  • Change Management
  • Lizenzmanagement
  • Open Source Management: Gerade, wenn selbstentwickelte Software ein großer Faktor beim Unternehmenskauf ist, spielt der Umgang mit Open Source Software, deren Verwendung oft kostenlos, aber nicht frei von bestimmten Verpflichtungen ist, eine zentrale Rolle im Rahmen einer IT Due Diligence.

Im Rahmen einer IT Due Diligence greifen die Experten der Crowe Kleeberg IT Audit auf einen standardisierten und erprobten Fragenkatalog zurück, mit dem eine rasche Ermittlung von Red Flags erfolgen kann.

Datenanalyse und Process Mining

Was wäre Digitalisierung ohne Daten? Die Daten sind das Gold unserer Zeit. Dabei sind es nicht mehr nur Suchmaschinen, die mit ihrem Big Data-Vorrat einen Blick in die Zukunft werfen. Selbst die ERP-Systeme im Unternehmen wickeln die Prozesse heutzutage nicht mehr ab, ohne Unmengen an Daten für jeden Vorgang, jeden Prozessschritt zu produzieren. Diese Daten dokumentieren Geschehenes und lassen damit umfangreiche Analysen zu, um Schwächen im internen Kontrollsystem, fehlerhafte Abläufe im Prozess/bei Schnittstellen, betrügerische Handlungen im Unternehmen und zukünftige Entwicklungen (Predictive Analysis) aufzudecken.

Mit unseren Datenanalyse- und Process Mining-Tools unterstützen wir die Unternehmen bei der Auswertung und Optimierung ihrer Kernprozesse wie Einkauf oder Verkauf oder ihren Berechtigungskonzepten. Wir unterstützen auch unsere → Berufskollegen mit Datenanalysen im Rahmen einer Jahresabschlussprüfung oder einer internen Revision und werten Prozessflüsse, kritische Berechtigungen oder Funktionstrennungskonflikte aus.

Fraud

Datenanalyse eignet sich auch zur Aufdeckung und zum Nachvollziehen betrügerischer Handlungen im Unternehmen. Schwächen im internen Kontrollsystem, eingeschliffene Abläufe und eine langjährige Vertrauensstellung eröffnen oftmals eine Gelegenheit, die zusammen mit einem Motiv und einer persönlichen Rechtfertigung dem Unternehmen finanziellen Schaden zufügt oder die Reputation zerstört. Doch in den allermeisten Fällen hinterlassen solche Vorgänge digitale Spuren in den Systemen, die wir mittels Datenanalysen auf Auffälligkeiten hin untersuchen.

Buchtipp

Im März 2018 ist das Handbuch Bilanzrecht aus dem Bundesanzeiger Verlag in der zweiten Auflage erschienen. Das Handbuch fokussiert auf wesentliche Problemstellungen im Zusammenhang mit der Rechnungslegung mittelständischer HGB-Bilanzierer und erläutert Fälle, die über den Standard der Bilanzierung hinausgehen.

Martin Lamm, Geschäftsführer der Crowe Kleeberg IT Audit, hat an diesem Standardwerk als Autor mitgearbeitet. In dem Artikel „Datenanalyse in der Abschlussprüfung“ werden Chancen und Risiken von Datenanalysen in einer modernen Abschlussprüfung thematisiert. Anschauliche Praxisbeispiele zeigen den Analyseprozess in unterschiedlichen Einsatzbereichen während Vor- und Hauptprüfung und schildern, welchen Einfluss Datenanalyse auf die Effizienz, die Sicherheit und die Qualität in einer Prüfung hat.

→ Hier können Sie das Buch bestellen

User- und Access Management

Eine gut funktionierende Benutzerverwaltung (User Management) ist der Grundstein für den Zugang zu einem IT-System. Im Unternehmen sollte daher ein standardisierter Prozess zur Anlage und zum Löschen von Benutzern (Usern) eingerichtet sein, bei dem die Personalabteilung involviert ist. Die Anmeldung am System sollte hohen Sicherheitsanforderungen wie z. B. einem starken Passwort oder einer Zwei-Faktor-Authentifizierung genügen.

Berechtigungen steuern den Zugriff auf die Daten in einem System. Dem Schutz dieser Daten kommt zentrale Bedeutung zu. Deshalb sind auch hier ein geregelter Prozess zur Ausgestaltung von Rollen und Rechten sowie ein dokumentiertes Berechtigungskonzept sinnvoll (Access Management).

Die Experten der Crowe Kleeberg IT Audit durchleuchten das User Management und das Access Management in Ihrem Unternehmen. Wir zeigen Schwachstellen im Prozess auf und untersuchen die einzelnen Rechte mittels Datenanalyse. Dabei prüfen wir auch die Einhaltung einer Funktionstrennung und damit die Vereinbarkeit von Funktionen im Unternehmen. Insbesondere achten wir darauf, dass operative Funktionen nicht mit kontrollierenden Funktionen kombiniert sind. Beispielsweise sollte die Bestellung (operativ) und der dazugehörige Wareneingang (kontrollierend) nicht von der selben Person erfasst werden.

SAP Berechtigungs-Check

Mit unserem selbstentwickelten SAP-Tool durchleuchten wir die Berechtigungen in SAP. Damit sind wir in der Lage, die Prüfung offline in unseren Kanzleiräumen durchzuführen. Alles, was wir dafür benötigen, sind ein Dutzend Tabellen, die Sie uns zur Verfügung stellen. Anschließend werten wir sowohl kritische Basis-Berechtigungen als auch prozessbezogene Berechtigungen z. B. im Einkauf, Vertrieb oder in der Finanzbuchhaltung aus.

Software-Bescheinigungen

Software-Bescheinigungen richten sich an Softwarehersteller, die von unabhängiger Stelle die Funktionalität ihrer Software bescheinigen lassen möchten, um damit am Markt kompetent aufzutreten. Natürlich stehen hier zunächst Finanzbuchhaltungssysteme im Fokus, die hohen rechtlichen Anforderungen unterliegen.

Interessant sind Software-Audits aber auch für andere Systeme, wie z. B. Dokumentenmanagement- bzw. Archivsysteme, denen die Aufbewahrung rechnungslegungsrelevanter Unterlagen anvertraut wird. Hier gilt es nicht nur, die Dokumente unverändert abzulegen, sondern diesen Zustand auch für eine lange Zeit zu gewährleisten.

Ein weiteres aktuelles Beispiel für Software-Audits sind Kassensysteme. Diese müssen für den ordnungsmäßigen Einsatz mit einem wirksamen technischen Schutz gegen Manipulation ausgerüstet werden. Für solche Zwecke wird die neue Blockchain-Technologie zum Einsatz kommen, die die einzelnen Kassentransaktionen nachweislich unveränderbar macht.

Software-Audits sind an keine bestimmte Branche gebunden. Deshalb kommen auch Apps infrage, die besonderen Wert auf Zuverlässigkeit oder Vertraulichkeit legen, wie z.B. für Messaging oder FinTech-Transaktionen. Gerade Start-Ups können davon profitieren.

Lassen Sie uns gemeinsam überlegen, ob ein Software-Audit für Ihr Produkt sinnvoll ist.

Nehmen Sie Kontakt zu uns auf