Son­der­prü­fung

Bereit für alle Fälle

Unter­stüt­zung, wenn es dar­auf ankommt

Wir sind für SIE da.

Unse­re Leistungen:

  • Unter­stüt­zung bei der Vor­be­rei­tung und Durch­füh­rung der ver­schie­de­nen Son­der­prü­fung (incl. Bericht­erstattung) nach den ent­spre­chen­den Standards


Ihr Nut­zen:

  • Ein­hal­tung der aktu­el­len Vor­ga­ben des IDWs
  • Unter­stüt­zung durch erfah­re­ne Spe­zia­lis­ten (IT-Audi­tor IDW, CISA, CIA, Prü­fer für Inter­ne Revi­si­ons­sys­te­me DIIR) 
  • Scho­nung eige­ner Per­so­nal­res­sour­cen bei hoher Aus­las­tung in der „Busy Season“
Heiko Maas Gehrke Maas Consulting Wirtschaftsprüfung Unternehmensberatung

Ihr Ansprech­part­ner

Hei­ko Maas

Geschäfts­füh­rer

“Die Prü­fungs­stan­dards des IDW sehen im Zusam­men­hang mit IT-Sys­te­men ver­schie­de­ne Sonder­prüfungen vor. Den Über­blick über die unter­schied­li­chen Prü­fungs­stan­dards, Prü­fungs­hin­wei­se sowie über ent­spre­chen­de Anfor­de­run­gen zu behal­ten ist dabei nicht immer ganz ein­fach. Unse­re Exper­ten unter­stüt­zen sowohl bei der Vor­be­rei­tung als auch bei der Durch­füh­rung der für Sie rele­van­ten Prüfungshandlungen.”

Arbeits­bei­spie­le

So arbei­ten wir

Your con­tent goes here. Edit or remo­ve this text inli­ne or in the modu­le Con­tent set­tings. You can also style every aspect of this con­tent in the modu­le Design set­tings and even app­ly cus­tom CSS to this text in the modu­le Advan­ced settings.

CASE

Deut­sche Bank AG

Die Her­aus­for­de­rung

  • Your con­tent goes here.
  • Edit or remo­ve this text inli­ne or in the modu­le Con­tent settings.
  • You can also style every aspect of this con­tent in the modu­le Design settings
  • and even app­ly cus­tom CSS to this text in the modu­le Advan­ced settings.

Unse­re Lösung

  • Your con­tent goes here.
  • Edit or remo­ve this text inli­ne or in the modu­le Con­tent settings.
  • You can also style every aspect of this con­tent in the modu­le Design settings
  • and even app­ly cus­tom CSS to this text in the modu­le Advan­ced settings.

 

CASE

Deut­sche Bank AG

Die Her­aus­for­de­rung

  • Your con­tent goes here.
  • Edit or remo­ve this text inli­ne or in the modu­le Con­tent settings.
  • You can also style every aspect of this con­tent in the modu­le Design settings
  • and even app­ly cus­tom CSS to this text in the modu­le Advan­ced settings.

Unse­re Lösung

  • Your con­tent goes here.
  • Edit or remo­ve this text inli­ne or in the modu­le Con­tent settings.
  • You can also style every aspect of this con­tent in the modu­le Design settings
  • and even app­ly cus­tom CSS to this text in the modu­le Advan­ced settings.

 

Sonderpruefung wirtschaftspruefung gehrke maas consulting unternehmensberatung

Pra­xis­er­probt und risikoorientiert

IT-System­prüfung bei GM-CO

Gehr­ke Maas Consulting führt für Sie spe­zia­li­sier­te IT-Prü­fun­gen im Rah­men des Jah­res­ab­schlus­ses durch. Dabei ori­en­tie­ren wir uns an den aktu­el­len natio­na­len und inter­na­tio­na­len Stan­dards (IDW PS 330 und ISA 315). Wir prü­fen im Rah­men der Auf­bau- und Funk­ti­ons­prü­fung die gene­rel­len IT-Kon­trol­len (GITC) auf ihre Ord­nungs­mä­ßig­keit und Sicher­heit. Bei einem posi­ti­ven Prü­fungs­ur­teil erfolgt zusätz­lich eine Prüfung der mit Ihnen im Vor­feld abge­stimm­ten wesent­li­chen auto­ma­ti­schen Geschäfts­pro­zes­se (z.B. „Bestell­pro­zess – Order to Cash“ oder „Absatz­pro­zess – Purcha­se to Pay“). 

Die Ergeb­nis­se fas­sen wir in einem aus­sa­ge­fä­hi­gen Manage­ment-Let­ter zusam­men, in dem wir auch ange­mes­se­ne Ver­bes­se­rungs­vor­schlä­ge unter­brei­ten. Bevor wir die Ergeb­nis­se Ihrem Man­dan­ten im Rah­men einer Schluss­be­spre­chung vor­stel­len, spre­chen wir die­sen Manage­ment-Let­ter mit Ihnen ab. Bei Bedarf ver­fas­sen wir auch ger­ne einen aus­führ­li­chen Prüfungsbericht.

Fach­li­che Anforderungen

DIE RELE­VAN­TEN PRÜ­FUNGS­STAN­DARDS DES IDWs IM DETAIL.

IDW PS 850 – „Pro­jekt­be­glei­ten­de Prüfung bei Ein­satz von Informationstechnologie”

Bei der Ein­füh­rung neu­er IT-Sys­te­me ver­ber­gen sich beson­de­re Risi­ken für ein Unter­neh­men. Die­se kön­nen vor allem in der Funk­ti­on von IT-Anwen­dun­gen, in der Nach­voll­zieh­bar­keit der Daten­über­nah­me (Migra­ti­on) oder in der Zeit- oder Bud­get­über­schrei­tung liegen.

Ziel der pro­jekt­be­glei­ten­den Prüfung ist es die­se Risi­ken recht­zei­tig zu erken­nen, um finan­zi­el­le, orga­ni­sa­to­ri­sche oder repu­ta­ti­ve Schä­den von Ihren Man­dan­ten abzuwenden.

Bei einer pro­jekt­be­glei­ten­den Prüfung wer­den wir als zusätz­li­che Qua­li­täts­si­che­rung tätig und berück­sich­ti­gen die Ein­hal­tung der rele­van­ten Ord­nungs­mä­ßig­keits- und Sicherheitsanforderungen.

IDW PS 860 – IT-Prüfung außer­halb der Abschlussprüfung

Für IT-Prü­fun­gen außer­halb der Jah­res­ab­schluss­prü­fung gab es bis 2018 kei­nen eige­nen Stan­dard. Der IDW PS 860 schließt die­se Lücke mit einem eige­nen Vor­ge­hens­mo­dell, der hin­sicht­lich der Beur­tei­lungs­kri­te­ri­en eine brei­te Anwen­dungs­ba­sis für alle Sonder­prüfungen in die­sem Bereich bietet.

Zur Ergän­zung die­ses Prü­fungs­stan­dard wur­den bereits zu den fol­gen­den The­men wei­te­re Prü­fungs­hin­wei­se veröffentlicht:

  • Prüfung der Grund­sät­ze, Ver­fah­ren und Maß­nah­men nach der EU-Daten­schutz-Grund­ver­ord­nung und dem Bun­des­da­ten­schutz­ge­setz (IDW PH 9.860.1)
  • Die Prüfung der von Betrei­bern kri­ti­scher Infra­struk­tu­ren gemäß § 8a Abs. 1 BSIG umzu­set­zen­den Maß­nah­men (IDW PH 9.860.2)

Der IDW PS 860 kann aber auch für Prü­fun­gen im regu­la­to­ri­schen Umfeld für bran­chen­spe­zi­fi­sche Regeln oder ande­ren Stan­dards her­an­ge­zo­gen wer­den. Fol­gen­de Mög­lich­kei­ten sind an die­ser Stel­le zu nennen:

  • Prüfung nach steu­er­li­chen Vor­ga­ben der AO oder der GoBD
  • Prü­fun­gen ent­spre­chend den MaRisk in Ver­bin­dung mit den BAIT / KAIT / VAIT
  • Prü­fun­gen nach COBIT, ITIL oder sons­ti­gen Rahmenwerken
  • Prü­fun­gen ent­spre­chend der ISO 27001 oder ande­ren ISO-Nor­men oder
  • Prü­fun­gen nach sons­ti­gen Industriestandards
IDW PS 880 – Die Prüfung von Softwareprodukten

Der PS 880 ist heu­te ein Qua­li­täts­merk­mal für Soft­ware­pro­duk­te, wel­ches immer mehr von den Nut­zern der Appli­ka­tio­nen gefor­dert wird. Die Soft­ware­be­schei­ni­gung wird somit für die Ver­mark­tung einer Soft­ware immer wichtiger.

Fol­gen­de Punk­te sind gemäß dem IDW PS 880 Prüfungsgegenstand:

  • Ent­wick­lungs­um­ge­bung mit Test und Freigabeverfahren
  • Not­wen­di­ge Pro­gramm­funk­tio­nen (Beleg‑, Jour­nal- und Kontenfunktion)
  • Soft­ware­si­cher­heit
  • Funk­ti­ons­fä­hig­keit der Programmfunktionen

Gemäß dem IDW PS 880 sind die Kri­te­ri­en für die Prüfung im Vor­feld der Prüfung zwi­schen dem Auf­trag­ge­ber und dem Prü­fer abzu­stim­men. Dabei müs­sen die Kri­te­ri­en für die Beur­tei­lung des Soft­ware­pro­duk­tes geeig­net sein. Geeig­ne­te Kri­te­ri­en im Sin­ne des IDW PS 880 wei­sen in der Regel fol­gen­de Eigen­schaf­ten aus:

  • Rele­vanz: Kri­te­ri­en müs­sen für die Beur­tei­lung des Soft­ware­pro­dukts und für die Ent­schei­dungs­fin­dung maß­ge­bend sein.
  • Voll­stän­dig­keit: Kri­te­ri­en sind voll­stän­dig, wenn kei­ne für die Beur­tei­lung des Soft­ware­pro­dukts und für die Ent­schei­dungs­fin­dung wesent­li­chen Gesichts­punk­te aus­ge­klam­mert wurden.
  • Ver­läss­lich­keit: Ver­läss­lich­keit bedeu­tet, dass die Kri­te­ri­en eine kon­sis­ten­te und nach­voll­zieh­ba­re Beur­tei­lung des Soft­ware­pro­dukts zulassen.
  • Neu­tra­li­tät: Kri­te­ri­en sind neu­tral, wenn sie eine objek­ti­ve Beur­tei­lung des Soft­ware­pro­dukts sicherstellen.
  • Ver­ständ­lich­keit: Kri­te­ri­en sind ver­ständ­lich, soweit sie kla­re Schluss­fol­ge­run­gen ermög­li­chen und dadurch Fehl­in­ter­pre­ta­tio­nen ver­mie­den werden.
IDW PS 951 (ISAE 3402) – Die Prüfung des inter­nen Kon­troll­sys­tems bei Dienstleistungsunternehmen

Das Out­sour­cing von IT-Sys­te­men sowie Cloud Com­pu­ting wird heu­te von vie­len Unter­neh­men genutzt. Die Ver­ant­wor­tung für die­se Pro­zes­se ver­bleibt dabei in den Unter­neh­men. Im Rah­men der Jah­res­ab­schluss­prü­fung muss sich der Wirt­schafts­prü­fer von der Ord­nungs­mä­ßig­keit und Sicher­heit die­ser Pro­zes­se über­zeu­gen. Hier­zu kann der Wirt­schafts­prü­fer eige­ne Prü­fungs­hand­lun­gen durch­füh­ren oder auf einen Prü­fungs­be­richt nach IDW PS 951 (ISAE 3402) – „Prüfung des Inter­nen Kon­troll­sys­tems bei Dienst­leis­tungs­un­ter­neh­men” zurückgreifen.

Eine Prüfung nach dem IDW PS 951 bzw. ISAE 3402 schafft somit die Mög­lich­keit, dass das Dienst­leis­tungs­un­ter­neh­men nur ein­ma­lig für eine bestimm­te Peri­ode geprüft wer­den muss. Der ent­ste­hen­de Prü­fungs­be­richt kann allen Kun­den und deren Wirt­schafts­prü­fern zur Ver­fü­gung gestellt werden.

Neben dem Zeit- und Kos­ten­ver­tei­len für das Dienst­leis­tungs­un­ter­neh­men erge­ben sich wei­ter­hin Qua­li­täts­vor­tei­le gegen­über den Konkurrenten.

IDW PS 981 und / oder IIR Stan­dard 2 „Prüfung des Risi­ko­ma­nage­ment­sys­tems durch die inter­ne Revision“

Im Rah­men des Deut­schen Cor­po­ra­te Gover­nan­ce Kodex (DCGK) und des § 107 Abs.3 sind Unter­neh­men, bzw. der Auf­sichts­rat, ver­pflich­tet, sich unter ande­rem von der Wirk­sam­keit des Risi­ko­ma­nage­ment­sys­tems (RMS) zu überzeugen.

Gemäß dem Revi­si­ons­stan­dard NR. 2 wer­den die fol­gen­den Grund­ele­men­te des RMS im Rah­men einer Prüfung unter­sucht und beurteilt.

  • Risi­ko­kul­tur: Basis für ein effek­ti­ves Risi­ko­ma­nage­ment­sys­tem ist eine Risi­ko­kul­tur, die einen offe­nen Umgang mit Risi­ken unter­stützt. Damit wird nicht nur das Manage­ment bereits bekann­ter Risi­ken, son­dern auch die schnel­le Reak­ti­on auf Ände­run­gen im Risi­ko­pro­fil unter­stützt. Die Risi­ko­kul­tur umfasst als Teil der Unter­neh­mens­kul­tur die grund­sätz­li­che Ein­stel­lung und das Ver­hal­ten beim Umgang mit Chan­cen und Risi­ken. Sie beein­flusst das Risi­ko­be­wusst­sein und bil­det die Grund­la­ge für ein wirk­sa­mes Risi­ko­ma­nage­ment­sys­tem im Unternehmen.
  • Zie­le des RMS: Hier ist die Berück­sich­ti­gung der Unter­neh­mens­zie­le im RMS gemeint. Die Unter­neh­mens­zie­le sol­len unter Berück­sich­ti­gung der Risi­ko­stra­te­gie erreicht wer­den. Unter­neh­mens­po­li­ti­sche Ziel­set­zun­gen und die Unter­neh­mens­stra­te­gie bil­den die Grund­la­ge für die Ablei­tung der Risi­ko­stra­te­gie. Die­se legt fest, in wel­chem Aus­maß unter Berück­sich­ti­gung der „Risi­ko­trag­fä­hig­keit“ Risi­ken ein­ge­gan­gen wer­den sollen.
  • Orga­ni­sa­ti­on des RMS: Im Rah­men der Orga­ni­sa­ti­on­prü­fung wer­den sowohl Auf­bau als auch Ablauf­or­ga­ni­sa­ti­on des RMS untersucht.
  • Risi­ko­iden­ti­fi­ka­ti­on: Risi­ko­iden­ti­fi­ka­ti­on und ‑erfas­sung bezieht sich auf die umfas­sen­de Ermitt­lung aller für die Auf­ga­ben und Zie­le der Orga­ni­sa­ti­on rele­van­ten Risi­ken. Sie orientiert sich an den von der Geschäfts­lei­tung vor­ge­ge­be­nen Zie­len und den Vor­aus­set­zun­gen für die Exis­tenz­fä­hig­keit der Organisation.
  • Risi­ko­be­wer­tung: Es erfolgt eine sys­te­ma­ti­sche Beur­tei­lung der Risi­ken in Hin­blick auf die Ein­tritts­wahr­schein­lich­kei­ten und mög­li­che Aus­wir­kun­gen. Ver­fah­ren und Kri­te­ri­en müs­sen dabei genau defi­niert wer­den. Die ver­wen­de­te Sys­te­ma­tik muss zur Beur­tei­lung der Effek­ti­vi­tät von Risi­ko­steue­rungs­maß­nah­men geeig­net sein. Dabei wer­den Ein­zel­be­wer­tun­gen aggre­giert und Inter­de­pen­den­zen ana­ly­siert und ent­spre­chend berücksichtigt.
  • Risi­ko­steue­rung: Im Rah­men der Prüfung wird die Wirk­sam­keit der Risi­ko­steue­rung unter­sucht. Ins­be­son­de­re der Ein­satz der Instru­men­te zur Risi­ko­steue­rung (Ver­mei­dung, Reduk­ti­on, Akzep­tanz, Tei­lung bzw. Trans­fer) und die durch ihren Ein­satz erziel­te Anpas­sung der Risi­ken an die Risi­ko­to­le­ranz und ‑trag­fä­hig­keit des Unter­neh­mens wird beurteilt.
  • Risi­ko­kom­mu­ni­ka­ti­on: Erfolgt im Rah­men eines regel­mä­ßi­gen Risi­ko­be­rich­tes an die Geschäfts­füh­rung und das Auf­sichts­gre­mi­um. Außer­dem muss eine Ad-hock Kom­mu­ni­ka­ti­on für plötz­lich in Erschei­nung tre­ten­de Risi­ken vor­han­den sein. Die Ad-hoc Kom­mu­ni­ka­ti­on basiert auf Schwell­wer­ten und ggf. wei­te­ren Bedingungen.
  • Über­prü­fung und Ver­bes­se­rung des RMS: Das RMS unter­liegt einer stän­di­gen Wei­ter­ent­wick­lung und soll­te regel­mä­ßig an sich ändern­de Rah­men­be­din­gun­gen ange­passt wer­den. Für die Anpas­sun­gen des RMS liegt eine ent­spre­chen­de Doku­men­ta­ti­on vor.
IDW PS 983 (IIR Stan­dard 3) „Grund­sät­ze ord­nungs­mä­ßi­ger Prüfung von inter­nen Revisionssystemen“

Heut­zu­ta­ge ist die Qua­li­täts­prü­fung der inter­nen Revi­si­ons­funk­ti­on wich­ti­ger denn je. Das Deut­sche Insti­tut für Inter­ne Revi­si­on e.V. (DIIR) und das Insti­tut für Wirt­schafts­prü­fer in Deutsch­land e.V. (IDW) haben des­halb einen gemein­schaft­li­chen Stan­dard zur Prüfung der Inter­nen Revi­si­on erar­bei­tet. Die­ser DIIR Stan­dard Nr.3 ist die Grund­la­ge für unse­re Prüfungen.

Im Rah­men einer sol­chen Prüfung wer­den 82 Aspek­te der inter­nen Revi­si­ons­funk­ti­on aus elf Funk­ti­ons­be­rei­chen ent­spre­chend dem Stan­dard geprüft. Außer­dem wird im Anschluss an die Prü­fungs­leis­tung ein umfas­sen­der Bericht erstellt und Vor­schlä­ge zur Wei­ter­ent­wick­lung der geprüf­ten Funk­ti­on unterbreitet.

Da wir beson­de­ren Wert auf die Qua­li­tät unse­rer Arbeit legen, sind die Mit­ar­bei­ter, die die inter­ne Revi­si­on prü­fen, vom DIIR zer­ti­fi­zier­te und akkre­di­tier­te Prü­fer für inter­ne Revi­si­ons­sys­te­me (DIIR).

Wei­te­re Leistungen

Wir kön­nen noch viel mehr.

Wirtschafts­prüfung

Wirtschafts­prüfung

  • IT-Sys­tem­prü­fun­gen im Rah­men der Jahresabschlussprüfung 
  • Prüfung des IKS und der zugrun­de lie­gen­den Unternehmensprozesse
  • Daten­ana­ly­sen im Rah­men der Jah­res­ab­schluss­prü­fung (Jour­nal Ent­ry Testing) 
  • Unter­stüt­zung bei ver­schie­de­nen Sonderprüfungen 
  • Vor­be­rei­tung auf Auf­sichts­prü­fun­gen (z.B. BaFin, EZB …) 
  • Prü­fungs­be­glei­tung bei Migra­ti­ons­pro­jek­ten (z.B. nach SAP)

Inter­ne Revision

Inter­ne Revision

  • Durch­füh­rung ein­zel­ner und pro­jekt­be­glei­ten­der Prüfungen
  • Über­nah­me der Inter­nen Revi­si­on im Rah­men eines Outsourcingvertrages
  • Doku­men­ten- und Ver­fah­rens­do­ku­men­ta­ti­ons­prü­fung (GoBD)
  • Vor- und Nach­be­rei­tung von exter­nen und auf­sichts­recht­li­chen Prüfungen
  • Prüfungs­unterstützung
    • IT-Risiko­management und IT-Compliance
    • Ana­ly­se und Opti­mie­rung von Geschäftsprozessen
    • Ana­ly­se des SAP-Berechtigungskonzepts

Risiko­management

Risiko­management

  • Unter­stüt­zung bei Ana­ly­se & Ein­rich­tung einer Compliance-Organisation
  • Ein­rich­tung eines ISMS ent­spre­chend der ISO 27001
  • Audi­tie­rung der vor­han­de­nen Compliance-Vorgaben
  • Erstel­lung von Risi­ko­ma­trix und Richt­li­ni­en für das Risikomanagement
  • Design von Pro­zes­sen & Unter­stüt­zung bei deren Einführung
  • Unter­stüt­zung bei der Doku­men­ta­ti­on zum Nach­weis eines IKS
  • Prüfung der Risiko­management- / Compliance-Organisation

Projekt­management

Projekt­management

  • Pro­jekt­lei­tung / Teil­pro­jekt­lei­tung / Unter­stüt­zung zu fol­gen­den Themen: 
    • Imple­men­tie­rung IKS/IT-IKS
    • Aus­wahl und Imple­men­tie­rung von IT-Anwendungen
    • Migra­ti­ons­pro­jek­te, inkl. Outsourcing
    • Out­sour­cing­steue­rung
    • Vor­be­rei­tung, Durch­füh­rung und Nach­be­rei­tung von gesetz­li­chen Prüfungen
    • Manage­ment von Softwareentwicklungsprojekten
    • Office ‑Pro­jekt­con­trol­ling

Interims­management

Interims­management

  • Auf­ga­ben und Pro­jek­te im Bereich Ver­trieb und Logistik
  • Lei­tung der Abteilungen: 
    • Inter­ne Revi­si­on (Chief Inter­nal Audit, CIA)
    • Infor­ma­ti­ons­tech­nik (Chief Infor­ma­ti­on Offi­cer, CIO)
    • IT-Risiko­management (Chief Infor­ma­ti­on Secu­ri­ty Offi­cer, CISO)
    • Risiko­management und Gover­nan­ce (Chief Risk Mana­ger, CRM)
    • Com­pli­an­ce (Chief Com­pli­an­ce Offi­cer, CCO)

Daten­schutz

Daten­schutz

  • Wahr­neh­mung der Auf­ga­ben eines exter­nen Datenschutzbeauftragten
  • Schu­lung Ihrer Mitarbeiter
  • Ansprech­part­ner für das Manage­ment und Ihre Mit­ar­bei­ter zu allen daten­schutz­recht­li­chen Fragestellungen
  • Erstel­lung eines Verfahrensverzeichnisses
  • Unter­stüt­zung bei der Aus­ar­bei­tung von Betriebs­ver­ein­ba­run­gen zu den The­men betrieb­li­che Inter­net- und E‑Mail-Nut­zung
  • Umset­zung der EU Daten­schutz-Grund­ver­ord­nung 2018