SAP-Revision aus Sicht der Wirtschaftsprüfung

Transkript

1 Seite 1

2 26. SAP-Anwendertag Region Ost am 30. November 2007 Spannungsfeld GRC - "Governance/Risk Control/ Compliance" Teil 1: SAP-Revision aus Sicht der Wirtschaftsprüfung WP/StB Steffen Nowocien CISA Klaus-Peter Grosser Seite 2

3 Agenda 1. Audit Trends 2. Maßgebende Standards 3. Rahmenwerke Governance/Compliance 4. Risiken aus Geschäftsprozessen 5. IT-Systemprüfungen 6. Anwendungs-Systemprüfungen 7. IKS-Strukturen 8. AIS - Audit Information System Seite 3

4 Audit Trends 1. Audit Trends Ausbau/Restrukturierung Interner Kontroll-Systeme (IKS) Ausbau Konsistenzprüfungen (z.b. Z3-Pools) Übergang von periodischen Kontrollen zum Monitoring Durchführung und Dokumentation (interner) Risk Assessments Ausbau permanenter Externer Kontroll-Systeme (EKS) mit Frühwarn-Funktionalität (Early Watch der Wirtschaftsprüfer) Abstimmung/Verzahnung mit dem IKS der Mandanten Projektbegleitendes Auditing Projekte können z.b. sein: Softwareumstellung Upgrades Umstellung der Rechnungslegung auf IFRS Vorbereitung GDPdU-Konzepte Seite 4

5 Audit Trends 1. Audit Trends Prozessbegleitendes Auditing/Continuous Audit/ Zertifizierung von Prozessen Prüfung, Zertifizierung und Synchronisierung der Prozessketten bzw. Prozessmodelle Nutzung der synchronisierten Prozessmodelle im Rahmen der Permanent-Überwachung (Early Watch/Monitoring) Beispiele für Prozesse: Anlagenbuchhaltung, Wareneingang etc. Umfassende Nutzung von AUDIT-SYSTEMEN und AUDIT-TOOLS durch den Wirtschaftsprüfer im Rahmen der Abschlussprüfung (insbesondere IKS und EKS) durch den steuerlichen Betriebsprüfer im Rahmen des Zugriffs Z1 und Z2 Seite 5

6 Audit Trends Anmerkungen zur 8. EU-Richtlinie Inhaltliche Schwerpunkte Die internationalen Standards (ISA) sind künftig auch für Deutschland verbindlich Das INTERNE KONTROLLSYSTEM (IKS) rückt noch stärker in den Blickpunkt von Geprüften und Prüfern Wirksamkeit Verabschiedung auf europäischer Ebene in 2005 Deutsche Übersetzung: Amtsblatt der EU L157/87 vom 17. Mai 2006 Betroffene Prüfungsstandards International: ISA 315 und 330 National: IDW PS 230, 260/261, 330 Modelle, Best Practises, Rahmenwerke, Orientierungshilfen Weltweit: COSO I/COSO II bzw. SPC SAP: GRC u. VIRSA (neu) bzw. MIC u. ORM (bisher) Seite 6

7 Maßgebende Standards 2. Maßgebende Standards Rechnungslegungs- und Prüfungsgrundsätze IDW RS FAIT 1: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie IDW PS 330: Abschlussprüfung bei Einsatz von Informationstechnologie Seite 7

8 Maßgebende Standards Rechnungslegungs- und Prüfungsgrundsätze Rechnungslegungsgrundsätze Prüfungsgrundsätze gesetzliche GoB (insbes. 239 HGB) gesetzliche (insbes. 316 ff. HGB) Sonstige z.b. IDW-Stellungnahmen zur Rechnungslegung FAIT 1-3 Sonstige z.b. IDW Prüfungsstandards/ Prüfungshinweise IDW PS 261 IDW PS 330 / PH IDW PS 331 / 951 IDW EPS 850 International Standards on Auditing ISA 315 / 330 ISA 402 / SAS 70 Seite 8

9 Maßgebende Standards Rechnungslegungs- und Prüfungsgrundsätze Prüfungsgegenstand gem. 316, 317 HGB Rechnungslegung Buchführung Jahresabschluss (Bilanz, Gewinn- und Verlustrechnung, Anhang) Lagebericht Risikofrüherkennungssystem gem. 317 Abs. 4 HGB (Pflicht bei börsennotierten Aktiengesellschaften) Seite 9

10 Maßgebende Standards IDW RS FAIT 1: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie Anforderungen an die Erfassung, Verarbeitung und Ausgabe der rechnungslegungsrelevanten Daten Vollständigkeit ( 239 Abs. 2 HGB) Richtigkeit ( 239 Abs. 2 HGB) Zeitgerechtheit ( 239 Abs. 2 HGB) Ordnung ( 239 Abs. 2 HGB) Nachvollziehbarkeit ( 238 Abs. 1 HGB) Unveränderlichkeit ( 239 Abs. 3 HGB) - lückenlose Erfassung aller Geschäftsvorfälle - keine Mehrfachbuchung ein und desselben Geschäftsvorfalles - inhaltlich zutreffende Abbildung der Geschäftsvorfälle - Zuordnung der Geschäftsvorfälle zur richtigen Buchungsperiode - zeitnahe Erfassung der Geschäftsvorfälle (möglichst unmittelbar nach Entstehung) - Journalfunktion = Darstellung der Buchungen in zeitlicher Ordnung - Kontenfunktion = Darstellung der Buchungen in sachlicher Ordnung - vom Urbeleg zum Abschluss / vom Abschluss zum Urbeleg - nach Buchungszeitpunkt keine Veränderung von Eintragungen oder Aufzeichnungen so, dass der ursprüngliche Inhalt nicht mehr feststellbar Seite 10

11 Maßgebende Standards IDW RS FAIT 1: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie Anforderungen an die Aufbewahrung der rechnungslegungsrelevanten Daten ( 257, 261 i.v.m. 239 Abs. 4 S. 2 HGB) 10-jährige Aufbewahrungspflicht für Journale, Konten, Belege, Abschlüsse sowie der zum Verständnis der Buchführung erforderlichen Unterlagen Anforderungen an die Art der Aufbewahrungsmedien (Original, Datenträger) Gewährleistung der jederzeitigen Lesbarmachung Seite 11

12 Maßgebende Standards IDW RS FAIT 1: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie Sicherheitsanforderungen an rechnungslegungsrelevante Daten Vertraulichkeit Integrität der IT-Systeme - Keine unberechtigte Weitergabe oder Veröffentlichung von Dritten erlangter Daten - Daten, IT-Infrastruktur, IT-Anwendungen stehen vollständig und richtig zur Verfügung - Schutz vor Manipulationen und ungewollten oder fehlerhaften Änderungen Verfügbarkeit, Notfallversorgung Autorisierung - physische und logische Zugriffsrechte, Zugriffsschutz Authentizität - Geschäftsvorfall muss einem Verursacher eindeutig zuordenbar sein Seite 12

13 Maßgebende Standards IDW PS 330: Abschlussprüfung bei Einsatz von Informationstechnologie Abschlussprüfer hat das IT-gestützte Rechnungslegungssystem daraufhin zu beurteilen, ob es den gesetzlichen Anforderungen entspricht (insbes. Ordnungsmäßigkeits- und Sicherheitsanforderungen gem. IDW FAIT 1) Ziel: Abschlussprüfer muss die geforderten Prüfungsaussagen zur Ordnungsmäßigkeit der Buchführung treffen können Grundlage: IT-Systemprüfung Seite 13

14 Rahmenwerke 3. Rahmenwerke/Governance/Compliance ISO 2700x COBIT 4 ITIL 3 BSI 2006 COSO ERM - Enterprise Risk Management Framework Seite 14

15 Rahmenwerke ISO 2700x Dauerhafte Steuerung und Kontrolle der Informationssicherheit insbes. Vertraulichkeit, Integrität, Verfügbarkeit von Informationen ISO bis 27005: ISO Zertifizierung der Informationssicherheit Seite 15

16 Rahmenwerke COBIT 4 COBIT - Control Objectives for Information and related Technology Übergeordnetes Framework Charakteristiken: Fokussierung auf das Business, Ausrichtung auf Unternehmenserfordernisse Orientierung an den Prozessen "Plan and Organise" (plane und organisiere) "Acquire and Implement" (beschaffe und implementiere) "Deliver and Support" (erbringe und unterstütze) "Monitor and Evaluate" (überwache und beurteile) basierend auf Controls/Richtlinien/Verfahren/Praktiken zur Erreichung der Unternehmensziele und Verhinderung, Erkennung und Korrektur von unerwünschten Ereignissen Seite 16

17 Rahmenwerke ITIL 3 ITIL - Information Technology Infrastructure Library Standard für das IT-Servicemanagement in Unternehmen Richtschnur, wie IT-Service-Organisationen ihre wichtigsten Prozesse implementieren sollten Dazu zählen klassische IT-Service-Management-Prozesse Controlling Personalmanagement Strategie und Planung Seite 17

18 Rahmenwerke BSI 2006 Grundschutzhandbuch des Bundesamt für Sicherheit in der Informationstechnik (BSI) Behandlung aller Aspekte der Informationstechnik Maßnahmelisten, wie auf technischer Ebene die Sicherheit erhöht werden kann drei BSI-Standards 100-1: Managementsysteme für Informationssicherheit (ISMS) 100-2: IT-Grundschutz-Vorgehensweise 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Seite 18

19 Rahmenwerke COSO ERM - Enterprise Risk Management Framework COSO (Committe of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern COSO hilft, im Rahmen des Internen Überwachungssystems die internen Kontrollen eines Unternehmens bestmöglich auszurichten und ihren Zielerreichungsgrad zu überwachen Im COSO-Modell werden acht Komponenten auf jeweils vier Aktionsebenen betrachtet Seite 19

20 Rahmenwerke COSO ERM - Enterprise Risk Management Framework Komponenten internes Kontrollumfeld (internal Environment) Zielsetzung (objektive Setting) Ereignisidentifikation (Event Identification) Risikobeurteilung (Risk Assessment) Risikoreaktion (Risk Response) Kontrollaktivitäten (Control Activities) Information & Kommunikation (Information & Communication) Überwachung des IKS (Monitoring) Aktionsebenen Operative Abwicklung, Prozess Management (Operations) Rechnungswesen (Financial Reporting) Einhaltung aufsichtsrechtlicher & regulatorischer Aspekte (Compliance) Strategie (Strategic) Seite 20

21 Risiken aus Geschäftsprozessen 4. Risiken aus Geschäftsprozessen Aktuelle Themenbereiche Business Warehouse (BW)/Business Intelligence (BI)/Business Intelligence Accelerate (BIA) - FAIT 1 ecommerce-'web-edi' (GAV) -FAIT 2 Archivierung / ECM / RM (>MSAR) - FAIT 3 Architektur-Ebenen neuzeitlicher Anwendungsumgebungen Seite 21

22 Risiken aus Geschäftsprozessen Architektur-Ebenen neuzeitlicher Anwendungsumgebungen SAP-GUI >>> SAP-Reports >>> EXCEL >>> Downloads Informations-Aufbereitung REPOSITORY MEGA DATEN > OLTP < > OLAP > DATA > MINING OPERATIV > INFORMATIV BUSINESS INTELLIGENCE (BI) Export REPORTING DATA / INFORMATION WAREHOUSE / MARTS EIS / SEM KONSOLIDIERUNGSSYSTEME Import / Replikation (revisionssicher zu organisieren!) FACHBEREICHS-INFORMATIONSSYSTEME LOG FIN CON HCM CRM SCM PLM E-PROC Financials OPERATIVE SYSTEME / SERVICE / DATEN SD MM PP FI AM CO HCM A U D I T S Y S T E M Seite 22

23 IT-Systemprüfungen 5. IT-Systemprüfungen Umfang der IT-Systemprüfung Gegenstand und Ziele der IT-Systemprüfung Risikoindikatoren Vorbereitung der IT-Systemprüfung Seite 23

24 IT-Systemprüfungen Umfang der IT-Systemprüfung IT-Systemprüfung Aufnahme des IT-Systems Aufbauprüfung Funktionsprüfung IT-Umfeld IT-Organisation Beurteilung der Angemessenheit Prüfung der Wirksamkeit IT-Infrastruktur Vorläufige Beurteilung der Wirksamkeit Beurteilung der Wirksamkeit IT-Anwendungen IT-Geschäftsprozesse Seite 24

25 IT-Systemprüfungen Gegenstand und Ziele der IT-Systemprüfung IT-Systemprüfungen erfordern spezielle, auf das IT-System bezogene Prüfungsmethoden Prüfungsgegenstand sind die Prüfungsgebiete IT-Infrastruktur IT-Anwendungen IT-gestützte Geschäftsprozesse IT-Umfeld IT-Organisation Art und Umfang von Systemprüfungen bestimmen sich aus der Wesentlichkeit des IT-Systems für die Rechnungslegung der Komplexität des IT-Systems (abhängig insbesondere vom Grad der Integration) Seite 25

26 IT-Systemprüfungen Gegenstand und Ziele der IT-Systemprüfung Prüfungsgegenstand Prüfungsziel IT-Kontrollsystem (IT-Organisation/ IT-Umfeld) IT-System IT-Geschäftsprozesse Feststellung der IT-Fehlerrisiken: IT-Geschäftsprozessrisiken IT-Anwendungen IT-Anwendungsrisiken IT-Infrastruktur IT-Infrastrukturrisiken Anforderungen Ordnungsmäßigkeit der Rechnungslegung Sicherheit Seite 26

27 IT-Systemprüfungen Gegenstand und Ziele der IT-Systemprüfung Ordnungsmäßigkeit der Rechnungslegung Vollständigkeit Richtigkeit Zeitgerechtheit Ordnung Nachvollziehbarkeit Unveränderlichkeit Sicherheit Authentizität Autorisierung Vertraulichkeit Verbindlichkeit Integrität Verfügbarkeit Seite 27

28 IT-Systemprüfungen Risikoindikatoren Abhängigkeit Änderungen Know-how/ Ressourcen Geschäftliche Ausrichtung IT-Umfeld Starke Dominanz der IT-Abteilung Barrieren, Festhalten an bewährten Verfahren, ungenügende Unterstützung Ungenügendes Bewusstsein für IT/Org-Themen Unzureichende IT-Strategien und -Planungen, unzureichendes Sicherheitskonzept Unzureichendes Projektmanagement, Zeit- und Kostenüberschreitungen IT- Organisation Unzureichende Organisation gefährdet Betrieb und Verfügbarkeit Fehlerhafte Aufgabenabwicklung Ungenügende Anpassung der Richtlinien und Verfahren, Aufgaben und Kompetenzen IT-Geschäftsprozesse Abläufe sind weitgehend automatisiert bzw. komplex und damit fehleranfällig Hohe Komplexität neuer Prozesse, fehlende Akzeptanz der Anwender Unzureichende Unterstützung der Anwender Langsame, ineffiziente und fehleranfällige Aufgabenabwicklung Seite 28

29 IT-Systemprüfungen Risikoindikatoren Abhängigkeit Änderungen Know-how/ Ressourcen Geschäftliche Ausrichtung Neue Funktionalität, Eingabe- und Bearbeitungsfehler IT- Anwendungen Ausfälle gefährden Kernprozesse und Geschäftsabwicklung Fehlerhafte Anwendungsentwicklung/ -betreuung Geringe Unterstützung der Markt- und Benutzeranforderungen Veraltete Strukturen, unzureichende Pflege, Sicherheitslücken IT- Infrastruktur Unzureichende Gestaltung des Outsourcings erhöht Abhängigkeit von Dritten Komplexe neue Technologien, Sicherheitslücken Inhomogene IT- Plattform mit Insellösungen, unzureichende Sicherheit der Daten Daten Umfang, Inhalt, Aktualität Migration, Archivierung Auswertungen, Analysen Entscheidungsrelevanz Seite 29

30 IT-Systemprüfungen Vorbereitung der IT-Systemprüfung Geschäftsprozesse/Internes Kontrollsystem (IKS/GRC/MIC) Übersicht der Geschäftsprozesse mit IT-Unterstützung (evtl. aus ISO 900x-Dokumentation) Beschreibungen der integrierten IKS-Funktionen (periodische Reports, Kontrollen, Abstimmungen/Prozess-Überwachung) Kritische Berechtigungsketten GDPdU-Status Reorganisations-/Archivierungs-Konzept GDPdU-Konzept (Z1, Z2 und Z3 inkl. Konsistenz-Checks) Seite 30

31 IT-Systemprüfungen Vorbereitung der IT-Systemprüfung IT-Status IT-Risiken IT-Risikoanalyse, IT-Notfallkonzept (inkl. Erprobung, Subsysteme) IT-Einbindung Externe Integration (SCM, EDI usw.) IT-Prozesse Übersicht der LOG-Daten/Ereignisse, Sicherheits-/Sicherungskonzept inkl. Subsysteme IT-Organisation Organigramm gesamt für IT-Bereich IT-Systeme Aktuelle Konfigurationen, Server-Tabelle, Netzstrukturen Übersicht der Subsysteme (z.b. DMS) IT-Anwendungen Übersicht Software-Module, Releases Schnittstellen-Übersicht IT-Outsourcing Outsourcing-, ASP-Verträge Seite 31

32 Anwendungs-Systemprüfungen 6. Anwendungs-Systemprüfungen IKS-Strukturen (MIC-Content) Konsistenzprüfungen Reorganisation/Archivierung/GDPdU Seite 32

33 IKS-Strukturen 7. IKS-Strukturen Werkzeuge GRC/MIC (VIRSA/ACS, AIS) Reporting/Protokollierung interner Kontrollen Ereignis Management Root Cause Analysis Seite 33

34 AIS - Audit Information System 8. AIS - Audit Information System System Audits Anwendungs Audits Prozess Audits Seite 34

35 Referenten Steffen Nowocien Jahrgang 1968 (seit 2002 bei BSB&P) Partner, Niederlassung Dresden Ausbildung Studium der Betriebswirtschaftslehre an den Universitäten Erlangen-Nürnberg und Mannheim, Dipl.-Kaufmann Berufsexamen Wirtschaftsprüfer, Steuerberater Tätigkeitsschwerpunkte Beratung namhafter international tätiger mittelständischer Unternehmensgruppen sowie von Städten und Kommunen Branchenschwerpunkte: Maschinen- und Anlagenbau, Kfz-Zulieferindustrie, Versicherungen Seite 35

36 Referenten Klaus-Peter Grosser Jahrgang 1947 (seit 1992 bei BSB&P) Ausbildung Betriebswirt BWA Berufsexamen CISA Certified Information Systems Auditor (ISACA) Mitwirkung in berufsständischen Gremien Mitglied im Lenkungsausschuss des SAP-Arbeitskreises Revision Tätigkeitsschwerpunkte IT-Revisionen IT-Systemprüfungen Seite 36

37 Dankeschön Vielen Dank für Ihre Aufmerksamkeit 2005 BANSBACH SCHÜBEL BRÖSZTL & PARTNER GMBH Seite 37