IDW PS 330 contra BSI GSHB und BS7799 am Beispiel mittelständischer Unternehmen

Transkript

1 IDW PS 330 contra BSI GSHB und BS7799 am Beispiel mittelständischer Unternehmen Florian Oelmaier, msg systems ag A msg systems ag Florian.Oelmaier@msg.de ( ) 1

2 IDW PS330 Agenda 1. Vorstellung 2. Hintergründe 3. Prüfungsstandard 4. Zusammenfassung 5. Fragen / Diskussion A msg systems ag Florian.Oelmaier@msg.de ( ) 2

3 Überblick msg systems ag Als produktbasiertes Lösungs- und Service-Haus agieren wir unter den Top 25 der IT-Berater und Systemintegratoren in Deutschland. Kerngeschäft: Branchenspezifische Gesamtlösungen (Beratung, Anwendung, Systemintegration) Gründung: 1980 Geschäftssitz: Vorstand: Ismaning / München Hans Zehetmaier (Vorsitzender) Karl-Martin Klein Pius Pflügler Volker Reichenbach Mitarbeiter: > 2000 A msg systems ag Florian.Oelmaier@msg.de ( ) 3

4 Standorte Chicago New York Hamburg Hannover Berlin Köln Chemnitz Frankfurt/M. Stuttgart München/ Ismaning Passau Wien Basel Zürich A msg systems ag Florian.Oelmaier@msg.de ( ) 4

5 Leistungsspektrum Kompetenz zur Beratung und Durchführung sämtlicher Projekte im Bereich der IT Sicherheit mit langjährigem Schwerpunkt im Bereich Applikationssicherheit. Leistungsspektrum - Full-Service für Business-Lösungen - Individuelle Anwendungsentwicklung - SAP-Beratung und -Entwicklung Branchenlösungen - Versicherungen - Finanzdienstleistungen - Gesundheitswesen Seit 1996 nach DIN EN ISO 9001 zertifiziert A msg systems ag Florian.Oelmaier@msg.de ( ) 5

6 Umsatz- und Mitarbeiterentwicklung A msg systems ag Florian.Oelmaier@msg.de ( ) 6

7 Branchen und Kunden (Auszug) V e r s i c h e r u n g e n ADAC-Versicherung Allstate, USA Allianz AMB Generali AOK Aspecta AXA Basler Versicherungen,CH Bayer. Beamten Vers. Folksam Gerling Gothaer Rück Hannover Rück Helvetia Patria, CH HUK Coburg Münchener Rück NÜRNBERGER Vers. Quelle Versicherungen Sparkassenversicherung UNIQA Versicherungskammer Bayern Wiener Städtische, A Winterthur, CH Zurich Fin. Services, CH F i n a n z d i e n s t l e i s t u n g e n Bankgesellschaft Berlin Bayerische Landesbank BHW BMW Financial Services Commerzbank Deutsche Bank DZ BANK Dresdner Bank Deutsche Börse Systems Finanz IT IT HELABA HSBC Trinkaus & Burkhardt HSH Nordbank IZB SOFT Bayerische Landesbausparkasse (LBS) Sparkassen Informatik Bausparkasse Schwäbisch Hall Stadtsparkasse Köln VW Financial Services WestLB Allianz PKV BARMER Ersatzkasse Bau Berufsgenossenschaft Rheinland/Westf. BKK Allianz BKK Berlin BKK futur Bundesinnungskrankenkasse Gesundheit(BIG) Deutsche Krankenversicherung (DKV) DRG-Institut (IneK ggmbh) Hanseatische KK IKK-Bundesverband IKK Sachsen-Anhalt Johanniter-Krankenhaus Bonn Kaiserswerther Diakonie Kliniken d. d. Landesverbandes Rheinland PKV Verband SIGNAL Krankenvers. Techniker Krankenkasse A msg systems ag Florian.Oelmaier@msg.de ( ) 7 G e s u n d h e i t s w e s e n I n d u s t r i e / B e h ö r d e n / T o u r i s t i k AUDI AG BMW AG Brunata Bundeswehr/-Marine Deutsche Telekom E.ON Europ. Patentamt GASAG Gebühreneinzugszentrale (GEZ) Hoffmann Werkzeuge Messer Griesheim PREMIERE Renault Nissan Deutschland Rolls Royce Deutschland TUI VW AG Wacker-Chemie

9 Warum prüfen Wirtschaftsprüfer IT-Systeme? Erfahrungen aus Enron, Worldcom & Co. Steuerumgehung Intransparenz Bereicherung Kontrollverlust => Vertrauensverlust in die Wirtchaft A msg systems ag Florian.Oelmaier@msg.de ( ) 9

10 Warum prüfen Wirtschaftsprüfer IT-Systeme? Gesetzlicher Auftrag: Der Jahresabschluss eines Unternehmens hat unter Beachtung der Grundsätze ordnungsgemäßer Buchführung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage zu vermitteln ( 264 HGB) Ein Wirtschaftsprüfer hat seine Prüfung so anzulegen, dass Unrichtigkeiten und Verstöße gegen diese Pflicht erkannt werden ( 317 HGB) A msg systems ag Florian.Oelmaier@msg.de ( ) 10

11 Warum prüfen Wirtschaftsprüfer IT-Systeme? IT-Systeme können dabei nicht außen vor bleiben: Controlling und Verwaltung sind essentiell vom IT-Einsatz abhängig IT ist in fast allen Unternehmen ein wichtiger Produktionsfaktor Gesetzliche Vorschriften, die die Prüfung von Risiken auch durch IT-Einsatz vorschreiben (KontraG) (Basel II) A msg systems ag Florian.Oelmaier@msg.de ( ) 11

12 Warum prüfen Wirtschaftsprüfer IT-Systeme? Forderung des internationalen Dachverbands IFAC (International Federation of Accountants) Nationale Umsetzung des internationalen Auditing Standards ISA 401 Institut der Wirtschaftsprüfer empfiehlt die Aufnahme einer Prüfung nach PS330 in den Prüfungsplan (keine jährliche Wiederholung!) A msg systems ag Florian.Oelmaier@msg.de ( ) 12

13 Wann ist ein Unternehmen prüfungspflichtig? Jedes Unternehmen kann seinen Abschluss freiwillig prüfen lassen Prüfungspflichtig sind mittelgroße und große Kapitalgesellschaften nach HGB, d.h. wenn 2 der drei Kriterien erfüllt bzw. überschritten sind besteht Prüfungspflicht (die Beträge gelten ab dem Wirtschaftsjahr 2004): TEUR Bilanzsumme nach Abzug eines auf der Aktivseite ausgewiesenen Fehlbetrags TEUR Umsatzerlöse in den zwölf Monaten vor Abschlussstichtag Im Jahresdurchschnitt fünfzig Arbeitnehmer A msg systems ag Florian.Oelmaier@msg.de ( ) 13

14 Vorteile der Prüfungen für Unternehmen Notwendig für einen uneingeschränkten Bestätigungsvermerk im Abschluss Wirtschaftlichen Schaden vermeiden (Haftung des WP!) Persönliche Haftung durch IT-Leiter und Geschäftsführer abwenden (OLG Hamm: positive Vertragsverletzung aus seinem Arbeitsvertrag bei angestelltem IT-Leiter wegen Nicht-Einhaltung der Sicherheitspolicy => persönlich finanziell verantwortlich) Gesetzliche Vorgaben erfüllen Außendarstellung gegenüber z.b. der Kreditwirtschaft (Basel II?) A msg systems ag Florian.Oelmaier@msg.de ( ) 14

16 IDW PS-330 Prüfung - Besonderheiten Prüfungsumfang ist eingeschränkt auf IT- Systeme die dazu dienen, Daten zu verarbeiten die direkt oder indirekt rechnungslegungsrelevant sind, d.h. für: Buchführung Jahresabschluss Lagebericht D.h. in Prosa: alle IT-Systeme, durch deren Gefährdung dem Unternehmen oder dessen Eigentümern ein wirtschaftlicher Schaden entstehen könnte. A msg systems ag Florian.Oelmaier@msg.de ( ) 16

17 IDW PS-330 Prüfungsumfang A msg systems ag Florian.Oelmaier@msg.de ( ) 17

18 IDW PS330 Prüfungskriterien Vollständigkeit Richtigkeit Zeitgerechtigkeit Die üblichen IT-Sicherheitsziele werden dementsprechend als nur Voraussetzung behandelt: Authentizität Autorisierung Vertraulichkeit Ordnung Nachvollziehbarkeit Unveränderlichbarkeit Verbindlichkeit Integrität Verfügbarkeit. A msg systems ag Florian.Oelmaier@msg.de ( ) 18

19 IDW PS330 Risikoindikatoren Abhängigkeit Änderungen Know-How und Ressourcen Geschäftliche Ausrichtung Anzuwenden auf Unternehmens- und Prüffeldebene. A msg systems ag Florian.Oelmaier@msg.de ( ) 19

20 IDW PS-330 Prüfung - Besonderheiten Keine statische Prüfung, sondern: Prüfung der Angemessenheit Genügt das IT-System (Dokumentationslage!) in den Augen des Prüfers den Anforderungen des Unternehmens (Größe, Markt, etc.)? Prüfung der Wirksamkeit Sind die dokumentierten bzw. geplanten Maßnahmen wirksam umgesetzt und werden sie gelebt? A msg systems ag Florian.Oelmaier@msg.de ( ) 20

21 Aufwand für vergleichbare Prüfungen + kein Vorbereitung der IT für die Zertifizierung notwendig + geringer Zeitaufwand = geringe Kosten + gute Verwendbarkeit als Lagebericht der IT-Sicherheit - Qualität der Prüfung in hohem Maß abhängig von der Qualität des Prüfers - Direkte Vergleichbarkeit (ohne Einsicht in die Prüfungsunterlagen) schwierig BSI BS 7799 IDW PS330 Vorbereitende Maßnahmen Prüfungsdauer A msg systems ag Florian.Oelmaier@msg.de ( ) 21

22 Prüfungsumfeld Prüfung wird nicht immer von den WPs selbst sondern von Spezialisten erledigt (Verwendung der Arbeit eines anderen Prüfers nach IDW PS 320) Buchhaltungssoftware selbst wird vom Programmhersteller meist bei einem Wirtschaftsprüfer zertifiziert (Korrekte Funktionsweise nach IDW PS 880) Oft kombiniert mit den Vorbereitungen auf die elektronische Buchprüfung A msg systems ag Florian.Oelmaier@msg.de ( ) 22

23 Einordnung vergleichbarer Prüfungen IDW PS330 BSI BS 7799 Zertifizierung Zertifiziert durch Wirtschaftsprüfer (WP) Grundschutzzertifikat BSI BS-7799-Zertifikat durch akkred. Unternehmen Abhängigkeit v. Prüfer Hoch Kaum Mittel Schwerpunkt der Prüfung Rechnungslegungsrelevante IT-Systeme Definierter IT -Verbund (meist gesamte IT) IT-Organisation Zielpublikum Prüfungspflichtige Unternehmen (auch KMU!) Behörden, Institute, auch Wirtschaft größere Firmen mit definierter Org. Herkunft Aus der Sicht WP / Juristen /Geschäftsleitung Von IT -Fachleuten für IT -Fachleute Qualitätssicherung, betriebliche Unternehmensorg. A msg systems ag Florian.Oelmaier@msg.de ( ) 23

24 Vielen Dank für die Aufmerksamkeit! A msg systems ag Florian.Oelmaier@msg.de ( ) 24

25 IDW PS 330 contra BSI GSHB und BS7799 am Beispiel mittelständischer Unternehmen Florian Oelmaier, msg systems ag A msg systems ag Florian.Oelmaier@msg.de ( ) 1

27 Überblick msg systems ag Als produktbasiertes Lösungs- und Service-Haus agieren wir unter den Top 25 der IT-Berater und Systemintegratoren in Deutschland. Kerngeschäft: Branchenspezifische Gesamtlösungen (Beratung, Anwendung, Systemintegration) Gründung: 1980 Geschäftssitz: Vorstand: Ismaning / München Hans Zehetmaier (Vorsitzender) Karl-Martin Klein Pius Pflügler Volker Reichenbach Mitarbeiter: > 2000 A msg systems ag Florian.Oelmaier@msg.de ( ) 3

28 Standorte Chicago New York Hamburg Hannover Berlin Köln Chemnitz Frankfurt/M. Stuttgart München/ Ismaning Passau Wien Basel Zürich A msg systems ag Florian.Oelmaier@msg.de ( ) 4

29 Leistungsspektrum Kompetenz zur Beratung und Durchführung sämtlicher Projekte im Bereich der IT Sicherheit mit langjährigem Schwerpunkt im Bereich Applikationssicherheit. Leistungsspektrum - Full-Service für Business-Lösungen - Individuelle Anwendungsentwicklung - SAP-Beratung und -Entwicklung Branchenlösungen - Versicherungen - Finanzdienstleistungen - Gesundheitswesen Seit 1996 nach DIN EN ISO 9001 zertifiziert A msg systems ag Florian.Oelmaier@msg.de ( ) 5

30 Umsatz- und Mitarbeiterentwicklung A msg systems ag Florian.Oelmaier@msg.de ( ) 6

31 Branchen und Kunden (Auszug) V e r s i c h e r u n g e n ADAC-Versicherung Allstate, USA Allianz AMB Generali AOK Aspecta AXA Basler Versicherungen,CH Bayer. Beamten Vers. Folksam Gerling Gothaer Rück Hannover Rück Helvetia Patria, CH HUK Coburg Münchener Rück NÜRNBERGER Vers. Quelle Versicherungen Sparkassenversicherung UNIQA Versicherungskammer Bayern Wiener Städtische, A Winterthur, CH Zurich Fin. Services, CH F i n a n z d i e n s t l e i s t u n g e n Bankgesellschaft Berlin Bayerische Landesbank BHW BMW Financial Services Commerzbank Deutsche Bank DZ BANK Dresdner Bank Deutsche Börse Systems Finanz IT IT HELABA HSBC Trinkaus & Burkhardt HSH Nordbank IZB SOFT Bayerische Landesbausparkasse (LBS) Sparkassen Informatik Bausparkasse Schwäbisch Hall Stadtsparkasse Köln VW Financial Services WestLB Allianz PKV BARMER Ersatzkasse Bau Berufsgenossenschaft Rheinland/Westf. BKK Allianz BKK Berlin BKK futur Bundesinnungskrankenkasse Gesundheit(BIG) Deutsche Krankenversicherung (DKV) DRG-Institut (IneK ggmbh) Hanseatische KK IKK-Bundesverband IKK Sachsen-Anhalt Johanniter-Krankenhaus Bonn Kaiserswerther Diakonie Kliniken d. d. Landesverbandes Rheinland PKV Verband SIGNAL Krankenvers. Techniker Krankenkasse A msg systems ag Florian.Oelmaier@msg.de ( ) 7 G e s u n d h e i t s w e s e n I n d u s t r i e / B e h ö r d e n / T o u r i s t i k AUDI AG BMW AG Brunata Bundeswehr/-Marine Deutsche Telekom E.ON Europ. Patentamt GASAG Gebühreneinzugszentrale (GEZ) Hoffmann Werkzeuge Messer Griesheim PREMIERE Renault Nissan Deutschland Rolls Royce Deutschland TUI VW AG Wacker-Chemie

33 Warum prüfen Wirtschaftsprüfer IT-Systeme? Erfahrungen aus Enron, Worldcom & Co. Steuerumgehung Intransparenz Bereicherung Kontrollverlust => Vertrauensverlust in die Wirtchaft A msg systems ag Florian.Oelmaier@msg.de ( ) 9

34 Warum prüfen Wirtschaftsprüfer IT-Systeme? Gesetzlicher Auftrag: Der Jahresabschluss eines Unternehmens hat unter Beachtung der Grundsätze ordnungsgemäßer Buchführung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage zu vermitteln ( 264 HGB) Ein Wirtschaftsprüfer hat seine Prüfung so anzulegen, dass Unrichtigkeiten und Verstöße gegen diese Pflicht erkannt werden ( 317 HGB) A msg systems ag Florian.Oelmaier@msg.de ( ) 10

35 Warum prüfen Wirtschaftsprüfer IT-Systeme? IT-Systeme können dabei nicht außen vor bleiben: Controlling und Verwaltung sind essentiell vom IT-Einsatz abhängig IT ist in fast allen Unternehmen ein wichtiger Produktionsfaktor Gesetzliche Vorschriften, die die Prüfung von Risiken auch durch IT-Einsatz vorschreiben (KontraG) (Basel II) A msg systems ag Florian.Oelmaier@msg.de ( ) 11

36 Warum prüfen Wirtschaftsprüfer IT-Systeme? Forderung des internationalen Dachverbands IFAC (International Federation of Accountants) Nationale Umsetzung des internationalen Auditing Standards ISA 401 Institut der Wirtschaftsprüfer empfiehlt die Aufnahme einer Prüfung nach PS330 in den Prüfungsplan (keine jährliche Wiederholung!) A msg systems ag Florian.Oelmaier@msg.de ( ) 12

37 Wann ist ein Unternehmen prüfungspflichtig? Jedes Unternehmen kann seinen Abschluss freiwillig prüfen lassen Prüfungspflichtig sind mittelgroße und große Kapitalgesellschaften nach HGB, d.h. wenn 2 der drei Kriterien erfüllt bzw. überschritten sind besteht Prüfungspflicht (die Beträge gelten ab dem Wirtschaftsjahr 2004): TEUR Bilanzsumme nach Abzug eines auf der Aktivseite ausgewiesenen Fehlbetrags TEUR Umsatzerlöse in den zwölf Monaten vor Abschlussstichtag Im Jahresdurchschnitt fünfzig Arbeitnehmer A msg systems ag Florian.Oelmaier@msg.de ( ) 13

38 Vorteile der Prüfungen für Unternehmen Notwendig für einen uneingeschränkten Bestätigungsvermerk im Abschluss Wirtschaftlichen Schaden vermeiden (Haftung des WP!) Persönliche Haftung durch IT-Leiter und Geschäftsführer abwenden (OLG Hamm: positive Vertragsverletzung aus seinem Arbeitsvertrag bei angestelltem IT-Leiter wegen Nicht-Einhaltung der Sicherheitspolicy => persönlich finanziell verantwortlich) Gesetzliche Vorgaben erfüllen Außendarstellung gegenüber z.b. der Kreditwirtschaft (Basel II?) A msg systems ag Florian.Oelmaier@msg.de ( ) 14

40 IDW PS-330 Prüfung - Besonderheiten Prüfungsumfang ist eingeschränkt auf IT- Systeme die dazu dienen, Daten zu verarbeiten die direkt oder indirekt rechnungslegungsrelevant sind, d.h. für: Buchführung Jahresabschluss Lagebericht D.h. in Prosa: alle IT-Systeme, durch deren Gefährdung dem Unternehmen oder dessen Eigentümern ein wirtschaftlicher Schaden entstehen könnte. A msg systems ag Florian.Oelmaier@msg.de ( ) 16

41 IDW PS-330 Prüfungsumfang A msg systems ag Florian.Oelmaier@msg.de ( ) 17

42 IDW PS330 Prüfungskriterien Vollständigkeit Richtigkeit Zeitgerechtigkeit Die üblichen IT-Sicherheitsziele werden dementsprechend als nur Voraussetzung behandelt: Authentizität Autorisierung Vertraulichkeit Ordnung Nachvollziehbarkeit Unveränderlichbarkeit Verbindlichkeit Integrität Verfügbarkeit. A msg systems ag Florian.Oelmaier@msg.de ( ) 18

43 IDW PS330 Risikoindikatoren Abhängigkeit Änderungen Know-How und Ressourcen Geschäftliche Ausrichtung Anzuwenden auf Unternehmens- und Prüffeldebene. A msg systems ag Florian.Oelmaier@msg.de ( ) 19

44 IDW PS-330 Prüfung - Besonderheiten Keine statische Prüfung, sondern: Prüfung der Angemessenheit Genügt das IT-System (Dokumentationslage!) in den Augen des Prüfers den Anforderungen des Unternehmens (Größe, Markt, etc.)? Prüfung der Wirksamkeit Sind die dokumentierten bzw. geplanten Maßnahmen wirksam umgesetzt und werden sie gelebt? A msg systems ag Florian.Oelmaier@msg.de ( ) 20

45 Aufwand für vergleichbare Prüfungen + kein Vorbereitung der IT für die Zertifizierung notwendig + geringer Zeitaufwand = geringe Kosten + gute Verwendbarkeit als Lagebericht der IT-Sicherheit - Qualität der Prüfung in hohem Maß abhängig von der Qualität des Prüfers - Direkte Vergleichbarkeit (ohne Einsicht in die Prüfungsunterlagen) schwierig BSI BS 7799 IDW PS330 Vorbereitende Maßnahmen Prüfungsdauer A msg systems ag Florian.Oelmaier@msg.de ( ) 21

46 Prüfungsumfeld Prüfung wird nicht immer von den WPs selbst sondern von Spezialisten erledigt (Verwendung der Arbeit eines anderen Prüfers nach IDW PS 320) Buchhaltungssoftware selbst wird vom Programmhersteller meist bei einem Wirtschaftsprüfer zertifiziert (Korrekte Funktionsweise nach IDW PS 880) Oft kombiniert mit den Vorbereitungen auf die elektronische Buchprüfung A msg systems ag Florian.Oelmaier@msg.de ( ) 22

47 Einordnung vergleichbarer Prüfungen IDW PS330 BSI BS 7799 Zertifizierung Zertifiziert durch Wirtschaftsprüfer (WP) Grundschutzzertifikat BSI BS-7799-Zertifikat durch akkred. Unternehmen Abhängigkeit v. Prüfer Hoch Kaum Mittel Schwerpunkt der Prüfung Rechnungslegungsrelevante IT-Systeme Definierter IT -Verbund (meist gesamte IT) IT-Organisation Zielpublikum Prüfungspflichtige Unternehmen (auch KMU!) Behörden, Institute, auch Wirtschaft größere Firmen mit definierter Org. Herkunft Aus der Sicht WP / Juristen /Geschäftsleitung Von IT -Fachleuten für IT -Fachleute Qualitätssicherung, betriebliche Unternehmensorg. A msg systems ag Florian.Oelmaier@msg.de ( ) 23

48 Vielen Dank für die Aufmerksamkeit! A msg systems ag Florian.Oelmaier@msg.de ( ) 24