Grundlegendes zum IT-Audit

Die IT-Prüfung bzw. IT-Audit im Rahmen der Jahres-/ Konzernabschlussprüfung sowie der Internen Revision unter HGB/IFRS/US-GAAP, SOX und J-SOX sowie gemäß den Anforderungen im Versicherungs- und Finanzdienstleistungssektor sowie in speziellen Branchensektoren dient sowohl zur Bewertung der Ordnungsmäßigkeit als auch zur Identifikation und Bewertung von Risiken für den Jahresabschluss bzw. die Geschäftstätigkeit innerhalb rechnungslegungsrelevanter IT-Systemlandschaften und IT-gestützter Geschäftsprozesse. Hierbei finden u.a. die Anforderungen sowohl der PCAOB als auch des Instituts der Wirtschaftsprüfer (IDW), wie z.B. ISA 315 oder FAIT 1 bis 5, IDW PS 951-, SOC– oder ISAE 3402-Berichtserstattungen entsprechende Berücksichtigung.

Anfrage zu IT-Adudit

Weitere Infos oder Fragen zu diesem Thema?

Anfrage zu IT-Audit

Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen. 

Vorname
Nachname
Firma
Position
E-Mail
Nachricht
Datenschutz

Vielen Dank für Ihre Anfrage.
Beim Absenden des Formulars ist ein Fehler aufgetreten. Bitte überprüfen Sie noch einmal alle Formularfelder.

Zu den speziellen Anforderungen im Versicherungs- und Finanzdienstleistungssektor zählen neben den grundsätzlichen gesetzlichen Anforderungen (z.B. AktG, BGB, DSGVO, GmbHG, Informationssicherheitsgesetze, KonTraG, KWG, VVG, WpHG, ZAG) bspw. die Versicherungs– und Bankaufsichtlichen Anforderungen an die IT (BAIT, KAIT, VAIT, ZAIT), Mindestanforderungen an das Risikomanagement (MaRisk) sowie DORA (Digital Operational Resilience Act). In anderen Branchen gelten entsprechend branchenspezifische Standards wie z.B. TISAX, GxP etc. Weitere Anforderungen wie NIS2 sind in der Umsetzung.

Das IT-Audit sieht immer einen mehrstufigen Prozess vor, der dazu beiträgt, dass unsere IT-Audits, neben der Einhaltung der gesetzlichen, aufsichtsrechtlichen und regulatorischen Anforderungen auch das Geschäftsmodell des jeweiligen Mandanten in angemessener Art und Weise berücksichtigt. Skizzieren lässt sich dies wie folgt:

Analyse der Geschäftstätigkeit des jeweiligen Mandanten, von der Branche über die Geschäftsprozesse bis hin zu den Standorten und damit Festlegung aller zu berücksichtigenden oder auszuschließenden Anforderungen.
Aufnahme von allgemeinen IT-Kontrollen (GITC bzw. ITCG) sowie von automatisierten Anwendungskontrollen (ITAC) im Rahmen von Walkthroughs bei dem jeweiligen Unternehmen. Zu den allgemeinen IT-Kontrollen zählen u.a. die übergreifenden Themen wie das Berechtigungsmanagement (engl. „Access-Management“), das Änderungsmanagement (engl. „Change-Management“) sowie der allgemeine IT-Betrieb (engl. „IT Operations“) wie bspw. Systemkonfigurationen und Administration zur Protokollierung und Archivierung von Vorgängen. Darüber hinaus bildet, nicht nur auf Grundlage der gesetzlichen und aufsichtsrechtlichen Vorgaben, die Aufnahme und Bewertung zu Maßnahmen in Bezug auf die IT- und Cyber-Sicherheit einen wesentlichen Baustein.
Im Anschluss wird die Implementierung im Sinne von Guidelines, Richtlinien, Arbeitsanweisungen sowie anderer dokumentierter Prozess-Workflows sowie die entsprechende Nachweisführung beurteilt. Diese beinhaltet auch die Betrachtung und Bewertung des Prozesses zur Berichtserstellung und Maßnahmenverfolgung des Managements.
Im Rahmen des Tests der operativen Effektivität wird schließlich die konsequente Durchführung der beim Unternehmen implementierten Kontrollen über längere Zeiträume hinweg, typischerweise ein Jahr, geprüft.

Die während den verschiedenen Prüfungsphasen identifizierten Risiken werden hinsichtlich des Einflusses auf den Jahres-/ Konzernabschluss bzw. die Geschäftstätigkeit bewertet und ggf. über zusätzliche Prüfungshandlungen mitigiert bzw. einer Bewertung zugeführt.

Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen.