IT-Auditing und IT-Governance GI-Fachgruppe ITC (IT-Controlling) 53. Sitzung Essen 19. Juni 2009 Mustafa Topal
BDO Deutsche Warentreuhand AG auf einen Blick 1920 gegründet in Hamburg Umsatz 2008: 176 Mio. 27 Standorte Ca. 2.000 Mitarbeiter Mehr als 230 Wirtschaftsprüfer Mehr als 280 Steuerberater Mehr als 70 Rechtsanwälte Gründungsmitglied von BDO International 5. größte Prüfungsgesellschaft Deutschlands Meinungsbildner in den berufsständischen Gremien und Fachausschüssen Kiel Dortmund Essen Düsseldorf Elmshorn Flensburg Lübeck Hamburg Bremerhaven Bremen Bielefeld Hannover Kassel Köln Bonn Koblenz Frankfurt Wiesbaden Freiburg Stuttgart/Leonbergtt t/l Rostock Magdeburg Erfurt München Berlin Leipzig Dresden 2 BDO Deutsche Warentreuhand AG
Die Organisationsstruktur der BDO Unte er- nehme ens- che bereic Wirtschaftsprüfung und prüfungsnahe Dienstleistungen Steuern und wirtschaftsrechtliche Beratung Advisory Services Fachbereich he IT-Audit Forensic und Internal Audit Betriebliche Altersversorgung und Versicherungsmathematik Gesundheits- wesen und Sozialwirtschaft Internationales Steuerrecht Lohnsteuer Umwandlungs- und Transaktionsberatung Mittelstands- Consulting Restrukturierung, Sanierung und Insolvenz Umsatzsteuer Vermögens- und Unternehmens- nachfolge Investmentsteuerrecht Zölle, Verbrauchsteuern u. Außen- wirtschaftsrecht Valuation Due Diligence Mergers & Acquisitions Real Estate Services Business Value Management Corporate Recovery Technik- und Umweltconsulting Branchen und Länder Automobilwirtschaft Banken und Finanzdienstleister Energiever- und Entsorgung Gesundheit und Soziales Handel und Konsumgüter Maschinen- und Anlagenbau Medien und Telekommunikation Öffentliche Verwaltung und Kommunen Real Estate Technologie Transport und Logistik Versicherungen China Russland USA etc.
BDO Fachbereich IT Audit vertreten an 10 BDO Standorten derzeit ca. 40 IT Spezialisten
Leistungen IT-Audit im Überblick IT-Sicherheit Entwicklung und Umsetzung von IT-Sicherheitskonzepten und Strategie Durchführung von Audit nach BSI-Grundschutz Durchführung von Audit nach ISO 27001 Durchführung von IT-Security Scans IT-Governance Einrichtung /Prüfung von compliancegemäßen IT-Systemen Einrichtung / Prüfung des IT-Kontrollsystems in Prozessen EInrichtung / Prüfung des IT-Kontrollsystems nach Sarbanes- Oxley Einrichtung/Prüfung des integrierten Risikomanagementsystems Prüfung nach COBIT g y g g g g y Softwarezertifizierungen Zertifizierung von Softwareprodukten nach PS 880 z.b. -Navision -Sage/KHK -Marzipan -IFRS-Solution -IFlex (Gesamtbanksystem) Durchführung von IT-Prüfungen Daten-/Hauptbuchanalysen System- / Prozessprüfungen im Rahmen des Jahresabschlusses Projektbegleitende Prüfungen Durchführung von RZ-Prüfungen sonstige Prüfungen/Beratungen im IT-Umfeld Datenschutz/GDPdU/Forensik Datenschutzrechtliche Prüfungen Stellung des Datenschutzbeauftragten t t Datenzugriff der Finanzverwaltung Datenanalysen Forensische Untersuchungen des IT-Systems Outsourcing Prüfung des Outsourcing nach IDW PS 951 Prüfung des Outsourcing nach SAS 70 Prüfung bei Mehr-Mandanten-Dienstleistern 5 BDO Deutsche Warentreuhand AG
IT-Prüfungsstandards Das Wirrwar der Standards mit Vorgaben zur IT AktG BDSG GoB MaIR MaH MaK GDPdU ISO 17799 ISO/TR 13569 HGB IDW RS FAIT 1 Unternehmen AO GoBS Basel II KonTraG IDW RS FAIT 2 IDW PS 330 IAS BilMoG BSI... 6 BDO Deutsche Warentreuhand AG IDW RS FAIT 3 IDW PS 951
Ein Interne Kontrollsystem (IKS) in der IT ist essentiell Geschäftsprozesse werden immer stärker durch IT unterstützt, hierdurch steigt die Abhängigkeit des Unternehmens von der IT Kontrollen aus den Geschäftsprozessen wandern in die IT Bessere Strukturierung der IT-Prozesse notwendig Steigender Kontrollbedarf in der IT Neuere Gesetze und Standards verstärken die Kontrollanforderungen immer mehr Die Forderung nach IKS in der IT sind nicht neu, werden in Zukunft aber noch weiter an Bedeutung hinzugewinnen 7 BDO Deutsche Warentreuhand AG
IT-Prüfung erfordert ganzheitliche Betrachtung. Neue Anforderungen: Unternehmen sind mit immer komplexeren IT-Systemen Systemen, elektronischen Kundenbeziehungen und Anforderungen an die Verfügbarkeit konfrontiert. IT-Strategie und IT-Sicherheit Geschäfts- prozessebene Cycles B A C D E 8 IT-Orga anisation/u Umfeld/IKS Applikations-/ Systemebene IT-Anwendungen (Application) Technische Systemebene IT-Infrastruktur Systems Int. ReLe Ext. ReLe Hardware Netze Oper. Sys. beeinflusst beeinflusst
Prüfungsrisiko und risikorientierter Prüfungsansatz PS 261 Prüfungsrisiko Fehlerrisiko Entdeckungsrisiko Inhärentes Risiko Kontrollrisiko eine Abschlussprüfung ist darauf auszurichten, dass die Prüfungsaussagen mit hinreichender Sicherheit getroffen werden können 9 BDO Deutsche Warentreuhand AG Musterfirma
Überblick über Vorgehensweise bei der IT-Systemprüfung IT-Systemprüfung Aufnahme des IT - Systems Aufbauprüfung Funktionsprüfung IT-Strategie IT- Umfeld IT- Organisation IT-Infrastruktur Infrastruktur IT-Anwendungen IT-Geschäftsprozesse Beurteilung der Angemessenheit Vorläufige Beurteilung der Wirksamkeit Prüfung der Wirksamkeit Beurteilung der Wirksamkeit Grundlagen: - IDW-Standard PS 330 - Checkliste zu IDW PS 330 (IDW PH 9.330.1 ) - Checklisten Funktionsprüfungen Checklisten IT- Überwachungssystem IT- Outsourching Internetnutzung Beurteilung Phase I Phase II Phase III Verbesserungspotenziale Maßnahmen 10 BDO Deutsche Warentreuhand AG
und wie sieht es bezüglich IKS in der Praxis aus? Ausgangssituation in vielen Unternehmen: wenige bis garkeine Kontrollen in der IT wenige bis garkeine Nachweise über durchgeführte Kontrollen Umgehen der Kontrollen teilweise unstrukturierte, nicht abgestimmte und nicht dokumentierte IT-Prozesse Insbesondere beim Berchtigungskonzept; g Changemanagement g und Notfallkonzept Womit viele Mandanten zu kämpfen haben: Klare Strukturierung der IT-Prozesse Etablierung einer angemessenen Risikosteuerung in der IT Schaffung von Transparenz in der IT Einrichtung von IKS an wenigen aber entscheidenden Schlüsselstellen Einhaltung der zahlreichen Compliance Anforderungen Geringe Sensibilität gegenüber dem Kontrollbedarf 11 BDO Deutsche Warentreuhand AG
Lösung: Schaffung einer geordneten Prozess- und Kontrollbasis durch bspw. ITIL, COBIT, ISO 2700X, etc. Prozesse klare Strukturen klare Zuständigkeiten klare Abläufe IKS an wenigen aber entscheidenden Stellen effiziente Prüfung klare Dokumentation Prozesse mit IKS Aufbau der IKS unter zu Hilfenahme des internationalen Prüfungsstandard wie COBIT 12 BDO Deutsche Warentreuhand AG
Fragen? Ihre Fragen beantwortet gern BDO Deutsche Warentreuhand Aktiengesellschaft Wirtschaftsprüfungsgesellschaft Berliner Allee 59 40212 Düsseldorf Tel.: +49 211 1371-146 146 Fax: +49 211 1371-150150 E-Mail: mustafa.topal@bdo.de Internet: www.bdo.de Mustafa Topal IT-Auditor Weltweit BDO International 13 BDO Deutsche Warentreuhand AG