Sonderprüfung
Bereit für alle Fälle
Unterstützung, wenn es darauf ankommt
Wir sind für SIE da.
Unsere Leistungen:
- Unterstützung bei der Vorbereitung und Durchführung der verschiedenen Sonderprüfung (incl. Berichterstattung) nach den entsprechenden Standards
Ihr Nutzen:
- Einhaltung der aktuellen Vorgaben des IDWs
- Unterstützung durch erfahrene Spezialisten (IT-Auditor IDW, CISA, CIA, Prüfer für Interne Revisionssysteme DIIR)
- Schonung eigener Personalressourcen bei hoher Auslastung in der „Busy Season“
Ihr Ansprechpartner
Heiko Maas
Geschäftsführer
“Die Prüfungsstandards des IDW sehen im Zusammenhang mit IT-Systemen verschiedene Sonderprüfungen vor. Den Überblick über die unterschiedlichen Prüfungsstandards, Prüfungshinweise sowie über entsprechende Anforderungen zu behalten ist dabei nicht immer ganz einfach. Unsere Experten unterstützen sowohl bei der Vorbereitung als auch bei der Durchführung der für Sie relevanten Prüfungshandlungen.”
Arbeitsbeispiele
So arbeiten wir
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
CASE
Deutsche Bank AG
Die Herausforderung
- Your content goes here.
- Edit or remove this text inline or in the module Content settings.
- You can also style every aspect of this content in the module Design settings
- and even apply custom CSS to this text in the module Advanced settings.
CASE
Deutsche Bank AG
Die Herausforderung
- Your content goes here.
- Edit or remove this text inline or in the module Content settings.
- You can also style every aspect of this content in the module Design settings
- and even apply custom CSS to this text in the module Advanced settings.
Praxiserprobt und risikoorientiert
IT-Systemprüfung bei GM-CO
Gehrke Maas Consulting führt für Sie spezialisierte IT-Prüfungen im Rahmen des Jahresabschlusses durch. Dabei orientieren wir uns an den aktuellen nationalen und internationalen Standards (IDW PS 330 und ISA 315). Wir prüfen im Rahmen der Aufbau- und Funktionsprüfung die generellen IT-Kontrollen (GITC) auf ihre Ordnungsmäßigkeit und Sicherheit. Bei einem positiven Prüfungsurteil erfolgt zusätzlich eine Prüfung der mit Ihnen im Vorfeld abgestimmten wesentlichen automatischen Geschäftsprozesse (z.B. „Bestellprozess – Order to Cash“ oder „Absatzprozess – Purchase to Pay“).
Die Ergebnisse fassen wir in einem aussagefähigen Management-Letter zusammen, in dem wir auch angemessene Verbesserungsvorschläge unterbreiten. Bevor wir die Ergebnisse Ihrem Mandanten im Rahmen einer Schlussbesprechung vorstellen, sprechen wir diesen Management-Letter mit Ihnen ab. Bei Bedarf verfassen wir auch gerne einen ausführlichen Prüfungsbericht.
Kontakt
Kommen Sie mit uns ins Gespräch:
Fachliche Anforderungen
DIE RELEVANTEN PRÜFUNGSSTANDARDS DES IDWs IM DETAIL.
IDW PS 850 – „Projektbegleitende Prüfung bei Einsatz von Informationstechnologie”
Bei der Einführung neuer IT-Systeme verbergen sich besondere Risiken für ein Unternehmen. Diese können vor allem in der Funktion von IT-Anwendungen, in der Nachvollziehbarkeit der Datenübernahme (Migration) oder in der Zeit- oder Budgetüberschreitung liegen.
Ziel der projektbegleitenden Prüfung ist es diese Risiken rechtzeitig zu erkennen, um finanzielle, organisatorische oder reputative Schäden von Ihren Mandanten abzuwenden.
Bei einer projektbegleitenden Prüfung werden wir als zusätzliche Qualitätssicherung tätig und berücksichtigen die Einhaltung der relevanten Ordnungsmäßigkeits- und Sicherheitsanforderungen.
IDW PS 860 – IT-Prüfung außerhalb der Abschlussprüfung
Für IT-Prüfungen außerhalb der Jahresabschlussprüfung gab es bis 2018 keinen eigenen Standard. Der IDW PS 860 schließt diese Lücke mit einem eigenen Vorgehensmodell, der hinsichtlich der Beurteilungskriterien eine breite Anwendungsbasis für alle Sonderprüfungen in diesem Bereich bietet.
Zur Ergänzung dieses Prüfungsstandard wurden bereits zu den folgenden Themen weitere Prüfungshinweise veröffentlicht:
- Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1)
- Die Prüfung der von Betreibern kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen (IDW PH 9.860.2)
Der IDW PS 860 kann aber auch für Prüfungen im regulatorischen Umfeld für branchenspezifische Regeln oder anderen Standards herangezogen werden. Folgende Möglichkeiten sind an dieser Stelle zu nennen:
- Prüfung nach steuerlichen Vorgaben der AO oder der GoBD
- Prüfungen entsprechend den MaRisk in Verbindung mit den BAIT / KAIT / VAIT
- Prüfungen nach COBIT, ITIL oder sonstigen Rahmenwerken
- Prüfungen entsprechend der ISO 27001 oder anderen ISO-Normen oder
- Prüfungen nach sonstigen Industriestandards
IDW PS 880 – Die Prüfung von Softwareprodukten
Der PS 880 ist heute ein Qualitätsmerkmal für Softwareprodukte, welches immer mehr von den Nutzern der Applikationen gefordert wird. Die Softwarebescheinigung wird somit für die Vermarktung einer Software immer wichtiger.
Folgende Punkte sind gemäß dem IDW PS 880 Prüfungsgegenstand:
- Entwicklungsumgebung mit Test und Freigabeverfahren
- Notwendige Programmfunktionen (Beleg‑, Journal- und Kontenfunktion)
- Softwaresicherheit
- Funktionsfähigkeit der Programmfunktionen
Gemäß dem IDW PS 880 sind die Kriterien für die Prüfung im Vorfeld der Prüfung zwischen dem Auftraggeber und dem Prüfer abzustimmen. Dabei müssen die Kriterien für die Beurteilung des Softwareproduktes geeignet sein. Geeignete Kriterien im Sinne des IDW PS 880 weisen in der Regel folgende Eigenschaften aus:
- Relevanz: Kriterien müssen für die Beurteilung des Softwareprodukts und für die Entscheidungsfindung maßgebend sein.
- Vollständigkeit: Kriterien sind vollständig, wenn keine für die Beurteilung des Softwareprodukts und für die Entscheidungsfindung wesentlichen Gesichtspunkte ausgeklammert wurden.
- Verlässlichkeit: Verlässlichkeit bedeutet, dass die Kriterien eine konsistente und nachvollziehbare Beurteilung des Softwareprodukts zulassen.
- Neutralität: Kriterien sind neutral, wenn sie eine objektive Beurteilung des Softwareprodukts sicherstellen.
- Verständlichkeit: Kriterien sind verständlich, soweit sie klare Schlussfolgerungen ermöglichen und dadurch Fehlinterpretationen vermieden werden.
IDW PS 951 (ISAE 3402) – Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen
Das Outsourcing von IT-Systemen sowie Cloud Computing wird heute von vielen Unternehmen genutzt. Die Verantwortung für diese Prozesse verbleibt dabei in den Unternehmen. Im Rahmen der Jahresabschlussprüfung muss sich der Wirtschaftsprüfer von der Ordnungsmäßigkeit und Sicherheit dieser Prozesse überzeugen. Hierzu kann der Wirtschaftsprüfer eigene Prüfungshandlungen durchführen oder auf einen Prüfungsbericht nach IDW PS 951 (ISAE 3402) – „Prüfung des Internen Kontrollsystems bei Dienstleistungsunternehmen” zurückgreifen.
Eine Prüfung nach dem IDW PS 951 bzw. ISAE 3402 schafft somit die Möglichkeit, dass das Dienstleistungsunternehmen nur einmalig für eine bestimmte Periode geprüft werden muss. Der entstehende Prüfungsbericht kann allen Kunden und deren Wirtschaftsprüfern zur Verfügung gestellt werden.
Neben dem Zeit- und Kostenverteilen für das Dienstleistungsunternehmen ergeben sich weiterhin Qualitätsvorteile gegenüber den Konkurrenten.
IDW PS 981 und / oder IIR Standard 2 „Prüfung des Risikomanagementsystems durch die interne Revision“
Im Rahmen des Deutschen Corporate Governance Kodex (DCGK) und des § 107 Abs.3 sind Unternehmen, bzw. der Aufsichtsrat, verpflichtet, sich unter anderem von der Wirksamkeit des Risikomanagementsystems (RMS) zu überzeugen.
Gemäß dem Revisionsstandard NR. 2 werden die folgenden Grundelemente des RMS im Rahmen einer Prüfung untersucht und beurteilt.
- Risikokultur: Basis für ein effektives Risikomanagementsystem ist eine Risikokultur, die einen offenen Umgang mit Risiken unterstützt. Damit wird nicht nur das Management bereits bekannter Risiken, sondern auch die schnelle Reaktion auf Änderungen im Risikoprofil unterstützt. Die Risikokultur umfasst als Teil der Unternehmenskultur die grundsätzliche Einstellung und das Verhalten beim Umgang mit Chancen und Risiken. Sie beeinflusst das Risikobewusstsein und bildet die Grundlage für ein wirksames Risikomanagementsystem im Unternehmen.
- Ziele des RMS: Hier ist die Berücksichtigung der Unternehmensziele im RMS gemeint. Die Unternehmensziele sollen unter Berücksichtigung der Risikostrategie erreicht werden. Unternehmenspolitische Zielsetzungen und die Unternehmensstrategie bilden die Grundlage für die Ableitung der Risikostrategie. Diese legt fest, in welchem Ausmaß unter Berücksichtigung der „Risikotragfähigkeit“ Risiken eingegangen werden sollen.
- Organisation des RMS: Im Rahmen der Organisationprüfung werden sowohl Aufbau als auch Ablauforganisation des RMS untersucht.
- Risikoidentifikation: Risikoidentifikation und ‑erfassung bezieht sich auf die umfassende Ermittlung aller für die Aufgaben und Ziele der Organisation relevanten Risiken. Sie orientiert sich an den von der Geschäftsleitung vorgegebenen Zielen und den Voraussetzungen für die Existenzfähigkeit der Organisation.
- Risikobewertung: Es erfolgt eine systematische Beurteilung der Risiken in Hinblick auf die Eintrittswahrscheinlichkeiten und mögliche Auswirkungen. Verfahren und Kriterien müssen dabei genau definiert werden. Die verwendete Systematik muss zur Beurteilung der Effektivität von Risikosteuerungsmaßnahmen geeignet sein. Dabei werden Einzelbewertungen aggregiert und Interdependenzen analysiert und entsprechend berücksichtigt.
- Risikosteuerung: Im Rahmen der Prüfung wird die Wirksamkeit der Risikosteuerung untersucht. Insbesondere der Einsatz der Instrumente zur Risikosteuerung (Vermeidung, Reduktion, Akzeptanz, Teilung bzw. Transfer) und die durch ihren Einsatz erzielte Anpassung der Risiken an die Risikotoleranz und ‑tragfähigkeit des Unternehmens wird beurteilt.
- Risikokommunikation: Erfolgt im Rahmen eines regelmäßigen Risikoberichtes an die Geschäftsführung und das Aufsichtsgremium. Außerdem muss eine Ad-hock Kommunikation für plötzlich in Erscheinung tretende Risiken vorhanden sein. Die Ad-hoc Kommunikation basiert auf Schwellwerten und ggf. weiteren Bedingungen.
- Überprüfung und Verbesserung des RMS: Das RMS unterliegt einer ständigen Weiterentwicklung und sollte regelmäßig an sich ändernde Rahmenbedingungen angepasst werden. Für die Anpassungen des RMS liegt eine entsprechende Dokumentation vor.
IDW PS 983 (IIR Standard 3) „Grundsätze ordnungsmäßiger Prüfung von internen Revisionssystemen“
Heutzutage ist die Qualitätsprüfung der internen Revisionsfunktion wichtiger denn je. Das Deutsche Institut für Interne Revision e.V. (DIIR) und das Institut für Wirtschaftsprüfer in Deutschland e.V. (IDW) haben deshalb einen gemeinschaftlichen Standard zur Prüfung der Internen Revision erarbeitet. Dieser DIIR Standard Nr.3 ist die Grundlage für unsere Prüfungen.
Im Rahmen einer solchen Prüfung werden 82 Aspekte der internen Revisionsfunktion aus elf Funktionsbereichen entsprechend dem Standard geprüft. Außerdem wird im Anschluss an die Prüfungsleistung ein umfassender Bericht erstellt und Vorschläge zur Weiterentwicklung der geprüften Funktion unterbreitet.
Da wir besonderen Wert auf die Qualität unserer Arbeit legen, sind die Mitarbeiter, die die interne Revision prüfen, vom DIIR zertifizierte und akkreditierte Prüfer für interne Revisionssysteme (DIIR).
Weitere Leistungen
Wir können noch viel mehr.
Wirtschaftsprüfung
Wirtschaftsprüfung
- IT-Systemprüfungen im Rahmen der Jahresabschlussprüfung
- Prüfung des IKS und der zugrunde liegenden Unternehmensprozesse
- Datenanalysen im Rahmen der Jahresabschlussprüfung (Journal Entry Testing)
- Unterstützung bei verschiedenen Sonderprüfungen
- Vorbereitung auf Aufsichtsprüfungen (z.B. BaFin, EZB …)
- Prüfungsbegleitung bei Migrationsprojekten (z.B. nach SAP)
Interne Revision
Interne Revision
- Durchführung einzelner und projektbegleitender Prüfungen
- Übernahme der Internen Revision im Rahmen eines Outsourcingvertrages
- Dokumenten- und Verfahrensdokumentationsprüfung (GoBD)
- Vor- und Nachbereitung von externen und aufsichtsrechtlichen Prüfungen
- Prüfungsunterstützung
- IT-Risikomanagement und IT-Compliance
- Analyse und Optimierung von Geschäftsprozessen
- Analyse des SAP-Berechtigungskonzepts
- Revisionierung zur Vorbereitung von Audits (bspw. ISO27001 oder ISO9001)
Risikomanagement
Risikomanagement
- Unterstützung bei Analyse & Einrichtung einer Compliance-Organisation
- Einrichtung eines ISMS entsprechend der ISO 27001
- Auditierung der vorhandenen Compliance-Vorgaben
- Erstellung von Risikomatrix und Richtlinien für das Risikomanagement
- Design von Prozessen & Unterstützung bei deren Einführung
- Unterstützung bei der Dokumentation zum Nachweis eines IKS
- Prüfung der Risikomanagement- / Compliance-Organisation
Projektmanagement
Projektmanagement
- Projekt- / Teilprojektleitung / Unterstützung / PMO zu folgenden Themen:
- Office ‑Projektcontrolling
- Budget‑, Kosten‑, Zeit‑, Termin‑, und Ressourcenplanung
- Begleitung von Projekten von der Initialisierung bis zum Abschluss
- Besetzung eines PMO (Project Management Office)
- Einführung und Begleitung von klassischen, hybriden & agilen Projektmanagementmethoden (z.B. Scrum, Kanban, PRINCE2, PMI, Wasserfallmodell)
- Erstellung von projektbezogenen Dokumentationen
Interimsmanagement
Interimsmanagement
- Aufgaben und Projekte im Bereich Vertrieb und Logistik
- Leitung der Abteilungen:
- Interne Revision (Chief Internal Audit, CIA)
- Informationstechnik (Chief Information Officer, CIO)
- IT-Risikomanagement (Chief Information Security Officer, CISO)
- Risikomanagement und Governance (Chief Risk Manager, CRM)
- Compliance (Chief Compliance Officer, CCO)
- Lizenzmanagement
Datenschutz
Datenschutz
- Wahrnehmung der Aufgaben eines externen Datenschutzbeauftragten
- Schulung Ihrer Mitarbeiter
- Ansprechpartner für das Management und Ihre Mitarbeiter zu allen datenschutzrechtlichen Fragestellungen
- Erstellung eines Verfahrensverzeichnisses
- Unterstützung bei der Ausarbeitung von Betriebsvereinbarungen zu den Themen betriebliche Internet- und E‑Mail-Nutzung
- Umsetzung der EU Datenschutz-Grundverordnung 2018