Übersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren.



Ähnliche Dokumente
Öffentlichen Versicherung Bremen, Bremen Landschaftlichen Brandkasse Hannover, Hannover Provinzial Lebensversicherung Hannover, Hannover

Verantwortung der gesetzlichen Vertreter

Jahresrechnung zum 31. Dezember 2014

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

Carl Schenck Aktiengesellschaft Darmstadt. Testatsexemplar Jahresabschluss 31. Dezember Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

Jahresabschluss für das Geschäftsjahr Bestätigungsvermerk des Abschlussprüfers. Tom Tailor GmbH. Hamburg

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Verantwortung der gesetzlichen Vertreter

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Prüfungsbericht über die Prüfung des Jahresabschlusses 2013

Wichtiges Thema: Ihre private Rente und der viel zu wenig beachtete - Rentenfaktor

AGENDA BUNDESWEHR IN FÜHRUNG AKTIV. ATTRAKTIV. ANDERS.

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

Support für den Gruppenplaner NVS Calender - New-Vision-Soft Terminplaner, Gruppenkalender, Webkale

Ordentliche Prüfung nach OR Art. 727

Breitband im ländlichen l

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Unsere neue Dienstleistung - ISAE 3402 / SSAE 16 Typ II Berichterstattung. Marco Pellizzari, Mai 2012

Beherrschungs- und Gewinnabführungsvertrag

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfung bei ausgelagerten Funktionen

Synchronisations- Assistent

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

Anhang V zur Weiterbildungsordnung SSO

IBM SPSS Statistics Version 23. Einführung in Installation und Lizenzierung

Fragebogen zu den Möglichkeiten der Integration von Kindern mit Behinderungen in Schulen im [(Land-)kreis oder Stadt]

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Entscheidung der Kommission vom zur Feststellung, daß die Einfuhrabgaben in einem bestimmten Fall nachzuerheben sind

KWG Kommunale Wohnen AG, Berlin

Vorblatt. Ziel(e) Inhalt. Wesentliche Auswirkungen. Verhältnis zu den Rechtsvorschriften der Europäischen Union:

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Ihr IT-Administrator oder unser Support wird Ihnen im Zweifelsfall gerne weiterhelfen.

PrivateCloud. für Ihre acriba-lösung

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Reglement. über die Mitgliedschaft für PR-Agenturen (Aufnahmereglement)

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

AGENDA BUNDESWEHR IN FÜHRUNG AKTIV. ATTRAKTIV. ANDERS.

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Sanitär. Heizung. Flaschnerei.

Testatsexemplar Jahresabschluss zum 31. Dezember 2014

Stornierungsbedingungen und weitere Voraussetzungen

Ambulant betreutes Wohnen eine Chance!

L ösunge n. Mit Siche rheit. ABACUS Systemberatung OHG. Das kompetente IT-Center in Ihrer Nähe

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Fall 8: IKS-Prüfung nicht dokumentiert

Installation OMNIKEY 3121 USB

Datenübernahme und Datensicherheit

Einführung in das Urheberrecht Referent: RA Patrick Imgrund (Fachanwalt für Urheber- und Medienrecht, Fachanwalt für gewerblichen


(Text von Bedeutung für den EWR)

1 Geltungsbereich, Begriffsbestimmungen

Test zur Bereitschaft für die Cloud

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Fragen und Antworten zur Prüfmöglichkeit für ausländische Investitionen (Änderung des Außenwirtschaftsgesetzes und der Außenwirtschaftsverordnung)

OPTI. Effizienz und Zufriedenheit von Teams steigern. Entwicklung begleiten

Ihre Lizenz ändern. Stand 01/2015

Anleitung. Lesezugriff auf die App CHARLY Termine unter Android Stand:

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Unternehmensname Straße PLZ/Ort Branche Mitarbeiterzahl in Deutschland Projektverantwortlicher Funktion/Bereich * Telefon

Bedienungsanleitung C300 Sprachinfoserver der PH Freiburg

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Arbeitshilfe für die Kassenprüfung

IBM License Information document

Hinweise zur Anmeldung und Bedienung des. Support Forums

Amtsblatt der Westfälischen Hochschule

Wir freuen uns, dass Sie mit der VR-NetWorld Software Ihren Zahlungsverkehr zukünftig einfach und sicher elektronisch abwickeln möchten.

Firmenpräsentation. Hirtenweg Fichtenau-Wäldershub Tel. +49 (0) Fax +49 (0) info@zmt-oesterlein.

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

100 Mikrokredite und Abschluss der Pilotphase. Ruedi Winkler, Präsident Verein GO! Ziel selbstständig

Itworks. N e t z w e r k e We know how.

MS "Arkona" GmbH & Co. KG i. L. Rostock. Jahresabschluss 31. Dezember Testatsexemplar -

Lorenz & Partners Legal, Tax and Business Consultants

Bericht für Menschen mit Gehbehinderung und Rollstuhlfahrer

Fragebogen zur Kooperation und Hilfeplanung

DOAG Konferenz 2009 Oracle E-Business Suite R12 - Ordnungsmäßigkeit. Oracle E-Business Suite R12 - November 2009

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Technische Regeln für Betriebssicherheit TRBS 1111 Gefährdungsbeurteilung und sicherheitstechnische Bewertung

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Bedienerhandbuch Toleranztabellen Version 1.2.x. Copyright Hexagon Metrology

Mean Time Between Failures (MTBF)

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Testatsexemplar. Bertrandt Ingenieurbüro GmbH Hamburg. Jahresabschluss zum 30. September Bestätigungsvermerk des Abschlussprüfers

Ergebnisse zur Umfrage GC MARKT-BLITZLICHT No. 6 Mitarbeiter gewinnen. 08. August 2014

Kapazitäten an vollzeitschulischen beruflichen Schulen

Arbeitspapieren des Abschlussprüfers

ABCD. Bestätigungsvermerk. Jahresabschluss zum 31. Dezember Isabell Finance Vermögensverwaltungs GmbH & Co. KG Berlin

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

Rechnungslegungshandbuch

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

Lernaufgabe Industriekauffrau/Industriekaufmann Angebot und Auftrag: Arbeitsblatt I Auftragsbeschreibung

Jahreswechsel 2015 to 2016 V1.0

Gebührensatzung zur Satzung der Gemeinde Brechen über die Benutzung der Kindertageseinrichtungen

Transkript:

SAS 70 Type II Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren DATEVasp Für den Zeitraum: 1. Januar 2010 bis 30. September 2010

Inhaltsverzeichnis SEKTION I... 3 BERICHT DES UNABHÄNGIGEN PRÜFERS... 3 SEKTION II... 6 BESCHREIBUNGEN VON KONTROLLEN ERSTELLT DURCH DATEV... 6 2.1 ZWECK DES INDEPENDENT AUDITOR S REPORT... 7 2.2 KONTROLLUMGEBUNG... 7 2.2.1 DATEV: DAS UNTERNEHMEN... 7 2.2.2 DIE ORGANE DER DATEV... 8 2.2.3 PORTFOLIO DER DATEV... 8 2.2.4 IT-OUTSOURCING LÖSUNG DATEVASP... 10 2.2.4.1 LEISTUNGSSPEKTRUM... 10 2.2.4.2 INFRASTRUKTUR... 11 2.2.4.2.1 INFRASTRUKTUR DER ANWENDERORGANISATION... 11 2.2.4.2.2 ZUGANG ZU DEN SYSTEMEN... 12 2.2.4.2.3 INTERNE INFRASTRUKTUR... 12 2.2.4.2.4 ANWENDUNGSBEREITSTELLUNG... 13 2.2.4.2.5 DATENHOSTING... 14 2.2.4.2.6 DATENSICHERUNG UND RÜCKSICHERUNG... 14 2.2.4.2.7 VIRENSCHUTZ... 14 2.2.4.2.8 WARTUNG... 15 2.2.4.2.9 LIZENZMANAGEMENT... 15 2.3 WESENTLICHE ASPEKTE DES INTERNEN KONTROLLSYSTEMS... 15 2.3.1 MANAGEMENT VON ÄNDERUNGEN... 15 2.3.1.1 UPDATE DATEV-SOFTWARE... 16 2.3.1.2 PDATE SYSTEMSOFTWARE / SYSTEMNAHE SOFTWARE... 17 2.3.1.3 SECURITY HOTFIXE... 17 2.3.1.4 VIRENSIGNATUR-UPDATE... 17 2.3.1.5 UPDATE VON NICHT-STANDARDSOFTWARE (ANWENDUNGEN VON DRITTANBIETERN)... 17 2.3.1.6 INBETRIEBNAHME VON NEUEN ANWENDERORGANISATIONEN UND KOMPONENTEN... 18 2.3.1.7 NEUINSTALLATION VON SYSTEMEN... 18 2.3.1.8 AUßERBETRIEBNAHME VON DATEVASP BASIS- UND ZUSATZKOMPONENTEN... 19 2.3.1.9 DEINSTALLATION VON SYSTEMEN... 19 2.3.2 SERVICE SUPPORT MANAGEMENT... 19 2.3.3 SECURITY MANAGEMENT... 19 2.3.4 BACKUP UND RESTORE MANAGEMENT... 22 2.3.5 SYSTEM MANAGEMENT... 22 2.3.6 INFRASTRUKTUR MANAGEMENT... 23 2.3.7 PHYSISCHE SICHERHEIT... 24 2.4 KONTROLLVERANTWORTLICHKEITEN DER ANWENDERORGANISATION... 25 2.4.1 GEOGRAFISCHE ABGRENZUNG... 25 2.4.2 USER LOGICAL ACCESS MANAGEMENT... 26 2.4.3 BEISTELLUNGEN FÜR INFRASTRUKTUR... 26 2.4.4 BEISTELLUNG FÜR NICHT-STANDARD-SOFTWARE... 27 2.4.5 LEGALES VERHALTEN... 27 DATEVasp - SAS 70 Type II 2010 Seite 1

SEKTION III... 28 INFORMATIONEN BEREITGESTELLT VON ERNST & YOUNG... 28 3.1 ÜBERBLICK... 29 3.2 KONTROLLBEREICHE, KONTROLLBESCHREIBUNGEN, KONTROLLHANDLUNGEN DES INDEPENDENT AUDITORS UND TESTERGEBNISSE... 32 SEKTION IV... 49 WEITERE INFORMATIONEN ERSTELLT DURCH DATEV... 49 4.1 IT-SERVICE CONTINUITY MANAGEMENT... 50 4.1.1 WIEDERANLAUFPLANUNG... 50 4.1.2 NOTFALLKONZEPT... 50 4.2 UNTERSTÜTZUNG CONTINUITY MANAGEMENTS DER ANWENDERORGANISATION... 50 4.3 ENERGIEEFFIZIENZ IM DATEV-RECHENZENTRUM (GREEN IT)... 51 4.4 EINHALTUNG GESETZLICHER REGELUNGEN UND NORMEN... 51 4.5 AUSBLICK AUF 2011... 52 ANHANG Allgemeine Auftragsbedingungen DATEVasp - SAS 70 Type II 2010 Seite 2

Sektion I Bericht des unabhängigen Prüfers DATEVasp - SAS 70 Type II 2010 Seite 3

Bericht des unabhängigen Prüfers An den Vorstand der DATEV eg, Nürnberg: Wir haben die nachfolgenden Beschreibungen der DATEV eg (im Folgenden: DATEV ) hinsichtlich Datenverarbeitungskontrollen für die Dienstleistung DATEVasp und damit im Zusammenhang stehende Dienstleistungen an DATEV Standorten in Nürnberg untersucht. Wir haben unsere Prüfung so durchgeführt, dass wir mit hinreichender Sicherheit ein Urteil darüber abgeben können, ob (1) die in der vorliegenden Beschreibung dargestellten Kontrollen und organisatorischen Sicherungsmaßnahmen der DATEV, die für das interne Kontrollsystem von auslagernden Unternehmen im Rahmen der Abschlussprüfung maßgeblich sein können, in allen wesentlichen Belangen zutreffend darstellt sind, (2) die in der Beschreibung dargestellten Kontrollen angemessen sind, die dargestellten Kontrollziele unter der Voraussetzung zu erfüllen, dass die Kontrollen durch das Dienstleistungsunternehmen DATEV hinreichend beachtet werden und die vom Dienstleistungsunternehmen unterstellten korrespondierenden Kontrollen bei den auslagernden Unternehmen tatsächlich durchgeführt werden sowie (3) die in der Beschreibung dargestellten Kontrollen zum 30. September 2010 eingerichtet waren. Die Kontrollziele wurden von den gesetzlichen Vertretern der DATEV festgelegt. Wir haben unsere Prüfung unter Beachtung der Grundsätze des American Institute of Certified Public Accountants durchgeführt. Unsere Prüfung umfasste diejenigen Prüfungshandlungen, die wir für notwendig erachteten, um auf einer hinreichend sicheren Grundlage unsere Beurteilungen abgeben zu können. Die vorliegende Beschreibung der oben genannten Kontrollen stellt nach unserer Überzeugung die relevanten Aspekte der DATEV Kontrollen, die im Zeitraum vom 1. Januar 2010 bis 30. September 2010 im Einsatz waren, in allen wesentlichen Belangen dar. Außerdem sind die beschriebenen Kontrollen unseres Erachtens geeignet, um hinreichende Sicherheit zu bieten, dass die festgelegten Kontrollziele erreicht werden können, wenn die beschriebenen Kontrollen in ausreichendem Maße eingehalten werden, und diese in der Konzeption der Kontrollen der DATEV vorgesehenen Kontrollen von den auslagernden Unternehmen durchgeführt werden. Ergänzend zu den Prüfungshandlungen, die wir für notwendig erachten, um unsere im vorigen Absatz dargestellte Beurteilung abgeben zu können, haben wir für den Zeitraum vom 1. Januar 2010 bis 30. September 2010 einzelne in Sektion III aufgeführte Kontrollen geprüft. Zweck dieser Prüfungshandlungen war es, Prüfungsnachweise darüber zu erlangen, ob die Kontrollen in Bezug auf die in Sektion III dargestellten Kontrollziele wirksam waren. Die einzelnen Kontrollen sowie Art, Zeitpunkt, Umfang und Ergebnisse unserer Prüfung sind in Sektion III dargestellt. Die in Sektion III enthaltenen Ausführungen wurden den auslagernden Unternehmen der DATEV sowie ihren Abschlussprüfern zur Verfügung gestellt, um zusammen mit den Informationen über das interne Kontrollsystem der auslagernden Unternehmen zur Beurteilung des Kontrollrisikos bei den auslagernden Unternehmen im Rahmen der Abschlussprüfung berücksichtigt werden zu können. Nach unserer Überzeugung sind die von uns geprüften Kontrollen, wie in Sektion III dargestellt, ausreichend wirksam, um mit einer hinreichenden, jedoch nicht absoluten Sicherheit dazu beizutragen, dass die in DATEVasp - SAS 70 Type II 2010 Seite 4

Sektion III aufgeführten Kontrollziele im Zeitraum vom 1. Januar 2010 bis 30. September 2010 erfüllt wurden. Die Auswirkungen der Wirksamkeit und die relative Bedeutung einzelner Kontrollen der DATEV für die Beurteilung des Kontrollrisikos bei den auslagernden Unternehmen sind abhängig von dem Zusammenwirken dieser Kontrollen mit den Kontrollen bei den auslagernden Unternehmen sowie weiteren individuellen Gegebenheiten. Wir haben keine Prüfungshandlungen durchgeführt, um die Wirksamkeit des internen Kontrollsystems bei den einzelnen auslagernden Unternehmen zu beurteilen. Stand der Kontrollbeschreibungen bei DATEV ist der 30. September 2010; die Informationen über die Prüfung der Wirksamkeit der spezifischen Kontrollen decken den Zeitraum vom 1. Januar 2010 bis 30. September 2010 ab. Jegliche Übertragung dieser Informationen auf einen zukünftigen Zeitpunkt unterliegt der Gefahr, dass die beschriebenen Kontrolleigenschaften bedingt durch Änderungen nicht dem aktuellen Stand entsprechen. Die Wirksamkeit einzelner Kontrollen der DATEV unterliegt immanenten Grenzen, so dass möglicherweise Unrichtigkeiten oder Verstöße auftreten können, ohne systemseitig aufgedeckt zu werden. Ferner bergen Schlussfolgerungen für die Zukunft auf Grundlage unserer Feststellungen das Risiko, dass aufgrund von Änderungen des internen Kontrollsystems die Zulässigkeit dieser Schlussfolgerungen beeinträchtigt werden kann. Der Inhalt von Sektion IV wurde von DATEV bereitgestellt und dient der zusätzlichen Information des auslagernden Unternehmens und ist nicht Bestandteil des etablierten Kontrollumfelds der DATEV. Die Inhalte von Sektion IV waren nicht Bestandteil der durchgeführten Prüfung der Wirksamkeit und Signifikanz spezifischer Kontrollen. Folglich ist keine Wertung der bereitgestellten Informationen erfolgt. Diese Bescheinigung ist ausschließlich zur Nutzung durch die gesetzlichen Vertreter der DATEV sowie ihrer Anwender und deren Abschlussprüfer bestimmt. Wir erteilen diese Bescheinigung auf Grundlage des mit der DATEV geschlossenen Vertrags, dem, auch mit Wirkung gegenüber Dritten, die beiliegenden Allgemeinen Auftragsbedingungen für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften vom 1. Januar 2002 zugrunde liegen, die auch eine Haftungsvereinbarung vorsieht. München, 16. November 2010 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft [-unterschrieben-] Olaf Riedel Partner Wirtschaftsprüfer [-unterschrieben-] Armin Häßler Partner DATEVasp - SAS 70 Type II 2010 Seite 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback