Notfallmanagement aus Sicht des Wirtschaftsprüfers Frankfurt, 16. Oktober 2014
Agenda Einleitung Wie Prüfer die Welt sehen Compliance Handelsrecht Grundsätze ordnungsmäßiger Buchführung Internes IT-Kontrollsystem und Notfallmanagement Fazit 2
Unser Unternehmen auf einen Blick bundesweit Unternehmen Nummer sieben der großen unabhängigen Prüfungs- und Beratungsgesellschaften in Deutschland Leistungsspektrum Wirtschaftsprüfung, Steuerberatung, Rechtsberatung und Unternehmensberatung aus einer Hand mit klarem Fokus auf mittelständische Unternehmen Arbeitsweise kompetent, persönlich engagiert, verantwortungsvoll und effizient, nah vor Ort Umsatz 2013 EUR 150 Mio. Organisation mandantenorientiert, flache Hierarchien, Leistungs- und Verantwortungskultur 100 Partner, 1.100 Mitarbeiter, 14 Standorte Internationales Netzwerk NEXIA International (mehr als 570 Partnerfirmen in über 100 Ländern) 3
Leistungspakete Geschäftsbereich IT-Revision Überblick IT-Revision (JAP) ERP-Prüfung Zertifizierung Prüfung JAP (PS 330) IKS-Prüfung (Autom. Kontrollen) SAP-Prüfung Square-Ansatz Software (PS 880) Service/RZ (PS 951) Unternehmensberatung Datenanalyse (JET) IT-Governance CheckAud (Berechtigungen) NAVISION etc. Compliance (PS 980) IT-Steuer Datenanalyse Projektbegleitung E-Bilanz Massendaten-Analyse Projektmanagement Steuer E-Invoice GDPdU IDEA/ACL Doppelzahlungen Design IKS Migration Excel-Prüfungen Redaktionelle Betreuung Internat. Audit Innenrevision Datenschutz Support globaler Teams Prozessprüfung Datenschutz-Prüfung/-Check Nexia SOx Quality Assessment (QA) Fraud/Computerforensik Risikomanagement, Compliance Stellung ext. Datenschutzbeauftragten Datenschutz-Coaching IT-Valuation Lizenzprüfungen IT-Sicherheit IT-Due-Diligence SAP-Systemvermessung Beurteilung Sicherheitskonzepte Corporate Finance Softwarebewertung Softwareauswahl Microsoft IT-Sicherheitsmanagement IT-Sicherheit QuickCheck 4
Einleitung Wie Prüfer die Welt sehen
GRUNDPRÄMISSE Die nachhaltigste und effektivste Methode ein Unternehmen zu Grunde zu richten, kann der Einsatz von Informationstechnologie sein. Prüferweisheit 6
Einführung Die Veränderung der Welt 1980er Insellösungen mit Schnittstellen 1990er Integration der Prozesse in einem Unternehmen 2000er Prozessintegration über Unternehmensgrenzen 2010er Vernetzung und Cloud Computing Grundbuch Anwendung 1 Hauptbuch Anwendung 2 Anlagen Anwendung 3 offene Posten Anwendung 4 Integrierte Software vernetzte Unternehmen 107 Billionen E-Mails in 2010 davon ca. 90% Spam (Quelle: Internet) 7
Dislozierung*: Globalisierung schreitet fort Geschäftsprozesse gehen über Länder und Systemgrenzen Plattform ist zunehmend das Internet Es gibt bisher KEINE Konzepte für die Prüfung einer globalen, dislozierten, internetbasierten Anwendungs- und Datenlandschaft * Eine Dislozierung oder Dislokation (lat. disloc re, von dis auseinander und locus Ort ) beschreibt die von einer militärischen Führung vorgenommene räumliche Verteilung von Einheiten und Dienststellen auf die verfügbaren Unterkünfte oder beim Einsatz im Gelände unter Berücksichtigung der jeweiligen Aufgabe. 8
Klassische Sicht vs. Cloud Sicht Zunehmend ausgelagerte Funktionen in den Unternehmen Rechenzentrum, Prozesse.(z.B. in die Cloud) Sicht WP Sicht Cloud IT-System Typisierter Aufbau ohne Einsatz von Cloud Computing IT-System Typisierter Aufbau bei Einsatz von Cloud Computing Cloud Computing Servicemodelle IT-Kontrollsystem (IT-Organisation/-Umfeld) IT-gestützte Geschäftsprozess IT-Anwendungen IT-Infrastruktur Betriebssysteme Netzwerke Hardware Rechenzentrum IT-gestützte Geschäftsprozess Service Orchestrierung IT-Anwendungen Multi-Tenancy IT-Infrastruktur Elastische Provisionierung (Virtualisierung) Betriebssysteme Netzwerke Hardware Internet Daten-Lokation Rechenzentren Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) 9
Dislozierung:* Outsourcing Sicht Geschäftsprozesse Unternehmen IKS IKS IKS Bücher einlagern Bestellung annehmen Bücher kommissionieren Bücher versenden Rechnung stellen Debitoren OP buchen IKS IKS IKS Unternehmen (Buchführungspflichtiger) Dienstleister IKS IKS IKS Bücher einlagern Bestellung annehmen Bücher kommissionieren Bücher versenden Rechnung stellen Debitoren OP buchen IKS IKS IKS 10
IT-Compliance
Compliance Compliance ist die Einhaltung von Gesetzen und Regeln Erstes Gesetz Codex Hammurapi ca. 1600 v. Chr. Verbot von Zauberei aber auch schon Rolle von Kaufleuten, Erbrecht, Schuldenerlasse. und schwere Strafen bei Einschenken von zu wenig Bier also Alter Wein in neuen Schläuchen 12
IT-Compliance Unter IT-Compliance versteht man Regeln/Vorgaben/Gesetze, die sich auf den Einsatz von Informationstechnologie beziehen die sich auf die Organisation von IT beziehen IT-Compliance ist heute sehr eng verknüpft mit den Geschäftsprozessen im Unternehmen Kernaufgabe des IT-Prüfers (Wirtschaftsprüfung) ist die Prüfung auf Compliance 13
Elektronische / Virtuelle Geschäftsvorfälle Immanente Bedeutung der IT für die Betriebswirtschaft Elektronische Impulse sind beliebig änderbar und für das menschliche Auge nicht lesbar Elektronische Geschäftsvorfälle und deren Probleme Abhängigkeit von Infrastruktur Nachvollziehbarkeit / Nachweis Radierverbot Vielzahl von Compliance Anforderungen hohe Anforderungen an das Notfallmanagement 14
Infrastruktur eines typischen Web-Portals IT-Infrastruktur Bank Content CMS SAP ERP FIBU Meldungen Bericht Finanzamt Payment Provider Web-Shop Mediadaten Urheberrecht NetWeaver Portal HGB UStG/ AO PCI-DSS GwG GwG Leistung Zahlung ID Sign on Identifizierung Bestellung Zahlung BDSG GDPDU Archiv ISP Kunde 15
Komponenten ISP Internet Service Provider Portal / Anmeldeserver ggf. NetWeaver Webshop CMS Content Management System Payment Provider SAP-ERP-System ggf. E-Mail-Systeme Archivsystem IP-Adresse / Routing Nutzer ID / Session ID Kundennr / Mediadaten Marketing Produkte / Mediadaten Zahlungsdaten Kaufmännische Daten E-Mail Alle Daten Technische Infrastruktur (Rechenzentrum) alle diese Komponenten unterliegen Ordnungsmäßigkeitsanforderungen 16
Zu Grunde liegende Anforderungen (Auswahl) Handelsrecht Steuerrecht Datenschutz Vertragsrecht HGB GoB Schutz der kaufmännischen Daten (Bilanz/GuV) UStG! AO (GDPdU) GoBS/GoBD Ein- und Ausgangsrechnungen BDSG Bewegungsprofile Käuferdaten Kreditkartenregelungen PCI-DSS N N N N Honorarverträge Autoren Lizenzverträge Geldwäsche GwG, GwBekErG Ordnungsmäßigkeit Sicherheit Nachvollziehbarkeit und Verfahrensdokumentation Internes Kontrollsystem/Internes Kontrollverfahren/Internes Steuerungssystem 17
Handelsrecht Grundsätze ordnungsmäßiger Buchführung
Basisgesetz Handelsgesetzbuch (HGB) Wurde am 10. Mai 1897 erlassen, und trat gemeinsam mit dem BGB am 1. Januar 1900 in Kraft Enthält die zentralen Vorschriften zum Führen von Handelsbüchern Vollständigkeit Richtigkeit Zeitgerechtigkeit Ordnung Nachvollziehbarkeit Unveränderlichkeit IT-Sicherheit sorgt für Gewährleistung dieser Grundsätze Ohne Sicherheit der IT keine Ordnungsmäßigkeit der Buchführung 19
20 Revisionssicherheit 4 Lochkarten
Unternehmen, Wirtschaftsprüfung und Informationstechnologie IKS Grundlagen Überblick IT-Ordnungsmäßigkeitsanforderungen Vollständigkeit 239 II HGB = Richtigkeit 239 II HGB = Zeitgrechtheit 239 II HGB Ordnung 239 II HGB zeitlich + sachlich Nachvollziehbarkeit 239 I 2 HGB Verfahrensdokumentation Unveränderlichkeit 239 III HGB Verfahrensdokumentation 21
Unternehmen, Wirtschaftsprüfung und Informationstechnologie IKS-Grundlagen Überblick IT-Sicherheitsanforderungen Vertraulichkeit Integrität! Verfügbarkeit Autorisierung Authentizität Verbindlichkeit 22
Unternehmen, Wirtschaftsprüfung und Informationstechnologie IKS Grundlagen Überblick Standards des IDW IDW RS FAIT 1 Prüfungsstandards Bescheinigungen GoB bei Einsatz von Informationstechnologie IDW RS FAIT 2 IKS IDW PS 261 Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken IKS IDW PS 951 Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen GoB bei Einsatz von Electronic Commerce IDW RS FAIT 3 GoB beim Einsatz elektronischer Archivierungsverfahren IKS-IT! IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologie Anwendung IDW PS 880 nf Die Prüfung von Softwareprodukten IDW RS FAIT 4 Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse PH.9.330.1 Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie PH.9.330.2 Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung PH.9.330.3 Einsatz von Datenanalysen im Rahmen der Abschlussprüfung 23
Berichterstattung im Lagebericht These: Bei fehlender oder unwirksamer Notfallplanung besteht, bei hoher IT-Abhängigkeit ein bestandsgefährdendes Risiko, das im Lagebericht der AG zu würdigen ist! und natürlich zu prüfen. 24
Compliance-Nachweis & Enthaftung durch Prüfung Organe des Unternehmens Compliance Nachweis Enthaftung Pflicht WP PCI Auditor DS Audit or ISO Audit or HGB PCI DSS BDSG ISO 27001 Lösung: Multi-Audits auf Basis IDW PS 951 unter Einbeziehung von ggf. akkreditierten Spezialisten 25
Internes IT-Kontrollsystem
IT und Kontrolle Internes Kontrollsystem 1 Zaubermittel für die Minimierung von Risiken ist ein internes Kontrollsystem (IKS). Falle: Übersetzung von "Internal Control" ist NICHT "Interne Kontrolle" "Interne Kontrollen" sind alle Maßnahmen, die ein Unternehmen ergreift, um seine Unternehmensziele zu erreichen. Bestehen aus einem Kontrollziel "Was soll sichergestellt werden?" und Kontrollen Richtlinien und Verfahren Kontrollaktivitäten Ein Kontrollziel ist immer das Unternehmen ist "compliant" d. h. in Übereinstimmung mit Gesetzen und internen/externen Regelungen. Der Prüfer beurteilt die Maßnahmen des Unternehmens, um mit Notfällen umzugehen auf Angemessenheit Wirksamkeit 27
IT und Kontrolle Internes Kontrollsystem 2 Notfall- und Wiederanlaufplan Testdokumentationen Aufnahme Wartungs- und Wiederbeschaffungsverträge Aufbauprüfung Berücksichtigung unternehmensspezifischer Risiken Berücksichtigung der Abhängigkeit des Unternehmens von der IT Prüfung der Plausibilität der Schadenszenarien Funktionsprüfung Prüfung der Testprotokolle Prüfung der eingetretenen Notfälle hinsichtlich - Dokumentation - Vorgehen gemäß Notfallplan 28
IT und Kontrolle Internes Kontrollsystem 3 Beispielfragen Notfallpläne Testprotokolle der Notfallpläne? aktuell? Umgang mit nicht dokumentierten Plänen? Versicherungen Welche Risiken sind abgedeckt? Hardware und Softwareausfälle? Hackerangriffe, Virenbefall? Wenn Daten zerstört sind, hilft keine Versicherung! Verträge mit externen Anbietern ausreichend? 29
IT und Kontrolle Internes Kontrollsystem 4 PH 9.330.1 Existiert ein Notfallkonzept zur Wiederherstellung des IT-Betriebs? Stehen die Maßnahmen in Einklang mit der Risikobeurteilung? Sind alle rechnungslegungsrelevanten Geschäftsprozesse abgedeckt? Stehen Maßnahmen zur Sicherung der Betriebsbereitschaft in Einklang mit der Risikobeurteilung? 30
IT und Kontrolle Noch ein Aspekt - Krisenstab Es macht Sinn den WP zum Mitglied des Krisenstabes zu machen Beurteilung der Auswirkungen auf die Einhaltung der GoB Absegnen von Notfall-Changes Unabhängige vertrauenswürdige Kommunikation Enthaftung bei Bestandsgefährdung durch den Nachweis alles menschenmögliche getan zu haben 31
Fazit
Fazit Die Forderung nach einem angemessenen Notfallmanagement resultiert (neben dem gesunden Menschenverstand) aus verschiedenen gesetzlichen Anforderungen (IT-Compliance ) Aufgabe des Prüfers (WP) ist das Notfall-IKS zu beurteilen Dazu muss es nachvollziehbar und dokumentiert sein Zertifizierung empfehlenswert Prüfer gehören in den Krisenstab 33
Vielen Dank für Ihre Aufmerksamkeit! Holger Klindtworth Partner CISA/CIA/CISM Ludwig-Erhard-Straße 1 20459 Hamburg Tel. +49 40 37097-220 holger.klindtworth@ebnerstolz.de www.ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft 34
Disclaimer Die vorliegende Präsentation wurde von der Ebner Stolz GmbH & Co. KG erstellt. Die Übergabe der Präsentation erfolgt mit der ausdrücklichen Maßgabe, die darin enthaltenen Darstellungen, auch mit Abweichungen, nur mit ausdrücklicher schriftlicher Genehmigung der Ebner Stolz in einem anderen Zusammenhang und für andere Adressaten als den Empfänger dieser Präsentation zu verwenden oder an Dritte weiterzuleiten. Mit der Entgegennahme der Präsentation erklärt sich der Empfänger mit den vorstehenden Bedingungen einverstanden. Die dargestellten Berechnungen, Rahmenbedingungen und die daraus abgeleiteten Empfehlungen beruhen auf dem Informationsstand zum Zeitpunkt der Erstellung dieser Präsentation. Die zugrundeliegenden Rahmenbedingungen und darauf basierenden Einschätzungen und Empfehlungen können daher zukünftigen Veränderungen unterliegen. Ebner Stolz übernimmt keinerlei Gewährleistungen für die Richtigkeit der in dieser Präsentation dargestellten Informationen oder Einschätzungen. 35