SAS 70 Type II Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren DATEVasp Für den Zeitraum: 1. Januar 2010 bis 30. September 2010
Inhaltsverzeichnis SEKTION I... 3 BERICHT DES UNABHÄNGIGEN PRÜFERS... 3 SEKTION II... 6 BESCHREIBUNGEN VON KONTROLLEN ERSTELLT DURCH DATEV... 6 2.1 ZWECK DES INDEPENDENT AUDITOR S REPORT... 7 2.2 KONTROLLUMGEBUNG... 7 2.2.1 DATEV: DAS UNTERNEHMEN... 7 2.2.2 DIE ORGANE DER DATEV... 8 2.2.3 PORTFOLIO DER DATEV... 8 2.2.4 IT-OUTSOURCING LÖSUNG DATEVASP... 10 2.2.4.1 LEISTUNGSSPEKTRUM... 10 2.2.4.2 INFRASTRUKTUR... 11 2.2.4.2.1 INFRASTRUKTUR DER ANWENDERORGANISATION... 11 2.2.4.2.2 ZUGANG ZU DEN SYSTEMEN... 12 2.2.4.2.3 INTERNE INFRASTRUKTUR... 12 2.2.4.2.4 ANWENDUNGSBEREITSTELLUNG... 13 2.2.4.2.5 DATENHOSTING... 14 2.2.4.2.6 DATENSICHERUNG UND RÜCKSICHERUNG... 14 2.2.4.2.7 VIRENSCHUTZ... 14 2.2.4.2.8 WARTUNG... 15 2.2.4.2.9 LIZENZMANAGEMENT... 15 2.3 WESENTLICHE ASPEKTE DES INTERNEN KONTROLLSYSTEMS... 15 2.3.1 MANAGEMENT VON ÄNDERUNGEN... 15 2.3.1.1 UPDATE DATEV-SOFTWARE... 16 2.3.1.2 PDATE SYSTEMSOFTWARE / SYSTEMNAHE SOFTWARE... 17 2.3.1.3 SECURITY HOTFIXE... 17 2.3.1.4 VIRENSIGNATUR-UPDATE... 17 2.3.1.5 UPDATE VON NICHT-STANDARDSOFTWARE (ANWENDUNGEN VON DRITTANBIETERN)... 17 2.3.1.6 INBETRIEBNAHME VON NEUEN ANWENDERORGANISATIONEN UND KOMPONENTEN... 18 2.3.1.7 NEUINSTALLATION VON SYSTEMEN... 18 2.3.1.8 AUßERBETRIEBNAHME VON DATEVASP BASIS- UND ZUSATZKOMPONENTEN... 19 2.3.1.9 DEINSTALLATION VON SYSTEMEN... 19 2.3.2 SERVICE SUPPORT MANAGEMENT... 19 2.3.3 SECURITY MANAGEMENT... 19 2.3.4 BACKUP UND RESTORE MANAGEMENT... 22 2.3.5 SYSTEM MANAGEMENT... 22 2.3.6 INFRASTRUKTUR MANAGEMENT... 23 2.3.7 PHYSISCHE SICHERHEIT... 24 2.4 KONTROLLVERANTWORTLICHKEITEN DER ANWENDERORGANISATION... 25 2.4.1 GEOGRAFISCHE ABGRENZUNG... 25 2.4.2 USER LOGICAL ACCESS MANAGEMENT... 26 2.4.3 BEISTELLUNGEN FÜR INFRASTRUKTUR... 26 2.4.4 BEISTELLUNG FÜR NICHT-STANDARD-SOFTWARE... 27 2.4.5 LEGALES VERHALTEN... 27 DATEVasp - SAS 70 Type II 2010 Seite 1
SEKTION III... 28 INFORMATIONEN BEREITGESTELLT VON ERNST & YOUNG... 28 3.1 ÜBERBLICK... 29 3.2 KONTROLLBEREICHE, KONTROLLBESCHREIBUNGEN, KONTROLLHANDLUNGEN DES INDEPENDENT AUDITORS UND TESTERGEBNISSE... 32 SEKTION IV... 49 WEITERE INFORMATIONEN ERSTELLT DURCH DATEV... 49 4.1 IT-SERVICE CONTINUITY MANAGEMENT... 50 4.1.1 WIEDERANLAUFPLANUNG... 50 4.1.2 NOTFALLKONZEPT... 50 4.2 UNTERSTÜTZUNG CONTINUITY MANAGEMENTS DER ANWENDERORGANISATION... 50 4.3 ENERGIEEFFIZIENZ IM DATEV-RECHENZENTRUM (GREEN IT)... 51 4.4 EINHALTUNG GESETZLICHER REGELUNGEN UND NORMEN... 51 4.5 AUSBLICK AUF 2011... 52 ANHANG Allgemeine Auftragsbedingungen DATEVasp - SAS 70 Type II 2010 Seite 2
Sektion I Bericht des unabhängigen Prüfers DATEVasp - SAS 70 Type II 2010 Seite 3
Bericht des unabhängigen Prüfers An den Vorstand der DATEV eg, Nürnberg: Wir haben die nachfolgenden Beschreibungen der DATEV eg (im Folgenden: DATEV ) hinsichtlich Datenverarbeitungskontrollen für die Dienstleistung DATEVasp und damit im Zusammenhang stehende Dienstleistungen an DATEV Standorten in Nürnberg untersucht. Wir haben unsere Prüfung so durchgeführt, dass wir mit hinreichender Sicherheit ein Urteil darüber abgeben können, ob (1) die in der vorliegenden Beschreibung dargestellten Kontrollen und organisatorischen Sicherungsmaßnahmen der DATEV, die für das interne Kontrollsystem von auslagernden Unternehmen im Rahmen der Abschlussprüfung maßgeblich sein können, in allen wesentlichen Belangen zutreffend darstellt sind, (2) die in der Beschreibung dargestellten Kontrollen angemessen sind, die dargestellten Kontrollziele unter der Voraussetzung zu erfüllen, dass die Kontrollen durch das Dienstleistungsunternehmen DATEV hinreichend beachtet werden und die vom Dienstleistungsunternehmen unterstellten korrespondierenden Kontrollen bei den auslagernden Unternehmen tatsächlich durchgeführt werden sowie (3) die in der Beschreibung dargestellten Kontrollen zum 30. September 2010 eingerichtet waren. Die Kontrollziele wurden von den gesetzlichen Vertretern der DATEV festgelegt. Wir haben unsere Prüfung unter Beachtung der Grundsätze des American Institute of Certified Public Accountants durchgeführt. Unsere Prüfung umfasste diejenigen Prüfungshandlungen, die wir für notwendig erachteten, um auf einer hinreichend sicheren Grundlage unsere Beurteilungen abgeben zu können. Die vorliegende Beschreibung der oben genannten Kontrollen stellt nach unserer Überzeugung die relevanten Aspekte der DATEV Kontrollen, die im Zeitraum vom 1. Januar 2010 bis 30. September 2010 im Einsatz waren, in allen wesentlichen Belangen dar. Außerdem sind die beschriebenen Kontrollen unseres Erachtens geeignet, um hinreichende Sicherheit zu bieten, dass die festgelegten Kontrollziele erreicht werden können, wenn die beschriebenen Kontrollen in ausreichendem Maße eingehalten werden, und diese in der Konzeption der Kontrollen der DATEV vorgesehenen Kontrollen von den auslagernden Unternehmen durchgeführt werden. Ergänzend zu den Prüfungshandlungen, die wir für notwendig erachten, um unsere im vorigen Absatz dargestellte Beurteilung abgeben zu können, haben wir für den Zeitraum vom 1. Januar 2010 bis 30. September 2010 einzelne in Sektion III aufgeführte Kontrollen geprüft. Zweck dieser Prüfungshandlungen war es, Prüfungsnachweise darüber zu erlangen, ob die Kontrollen in Bezug auf die in Sektion III dargestellten Kontrollziele wirksam waren. Die einzelnen Kontrollen sowie Art, Zeitpunkt, Umfang und Ergebnisse unserer Prüfung sind in Sektion III dargestellt. Die in Sektion III enthaltenen Ausführungen wurden den auslagernden Unternehmen der DATEV sowie ihren Abschlussprüfern zur Verfügung gestellt, um zusammen mit den Informationen über das interne Kontrollsystem der auslagernden Unternehmen zur Beurteilung des Kontrollrisikos bei den auslagernden Unternehmen im Rahmen der Abschlussprüfung berücksichtigt werden zu können. Nach unserer Überzeugung sind die von uns geprüften Kontrollen, wie in Sektion III dargestellt, ausreichend wirksam, um mit einer hinreichenden, jedoch nicht absoluten Sicherheit dazu beizutragen, dass die in DATEVasp - SAS 70 Type II 2010 Seite 4
Sektion III aufgeführten Kontrollziele im Zeitraum vom 1. Januar 2010 bis 30. September 2010 erfüllt wurden. Die Auswirkungen der Wirksamkeit und die relative Bedeutung einzelner Kontrollen der DATEV für die Beurteilung des Kontrollrisikos bei den auslagernden Unternehmen sind abhängig von dem Zusammenwirken dieser Kontrollen mit den Kontrollen bei den auslagernden Unternehmen sowie weiteren individuellen Gegebenheiten. Wir haben keine Prüfungshandlungen durchgeführt, um die Wirksamkeit des internen Kontrollsystems bei den einzelnen auslagernden Unternehmen zu beurteilen. Stand der Kontrollbeschreibungen bei DATEV ist der 30. September 2010; die Informationen über die Prüfung der Wirksamkeit der spezifischen Kontrollen decken den Zeitraum vom 1. Januar 2010 bis 30. September 2010 ab. Jegliche Übertragung dieser Informationen auf einen zukünftigen Zeitpunkt unterliegt der Gefahr, dass die beschriebenen Kontrolleigenschaften bedingt durch Änderungen nicht dem aktuellen Stand entsprechen. Die Wirksamkeit einzelner Kontrollen der DATEV unterliegt immanenten Grenzen, so dass möglicherweise Unrichtigkeiten oder Verstöße auftreten können, ohne systemseitig aufgedeckt zu werden. Ferner bergen Schlussfolgerungen für die Zukunft auf Grundlage unserer Feststellungen das Risiko, dass aufgrund von Änderungen des internen Kontrollsystems die Zulässigkeit dieser Schlussfolgerungen beeinträchtigt werden kann. Der Inhalt von Sektion IV wurde von DATEV bereitgestellt und dient der zusätzlichen Information des auslagernden Unternehmens und ist nicht Bestandteil des etablierten Kontrollumfelds der DATEV. Die Inhalte von Sektion IV waren nicht Bestandteil der durchgeführten Prüfung der Wirksamkeit und Signifikanz spezifischer Kontrollen. Folglich ist keine Wertung der bereitgestellten Informationen erfolgt. Diese Bescheinigung ist ausschließlich zur Nutzung durch die gesetzlichen Vertreter der DATEV sowie ihrer Anwender und deren Abschlussprüfer bestimmt. Wir erteilen diese Bescheinigung auf Grundlage des mit der DATEV geschlossenen Vertrags, dem, auch mit Wirkung gegenüber Dritten, die beiliegenden Allgemeinen Auftragsbedingungen für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften vom 1. Januar 2002 zugrunde liegen, die auch eine Haftungsvereinbarung vorsieht. München, 16. November 2010 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft [-unterschrieben-] Olaf Riedel Partner Wirtschaftsprüfer [-unterschrieben-] Armin Häßler Partner DATEVasp - SAS 70 Type II 2010 Seite 5