2 Min. Lesezeit

IT-Sicherheit in der Wirtschaftsprüfung

Picture of Volker Bentz Volker Bentz : 17.10.2024 14:27:45

IT Sicherheit
IT-Sicherheit in der Wirtschaftsprüfung

IT-Prüfungen gehören heute zu jedem Jahresabschluss dazu – denn fehlerhafte oder unsichere IT-Systeme können die Bilanz, den Lagebericht und alle rechnungslegungsrelevanten Prozesse direkt beeinflussen. Wirtschaftsprüfer prüfen deshalb nicht nur Zahlen, sondern zunehmend auch IT-Sicherheit, IT-Prozesse und interne Kontrollsysteme. In diesem Artikel erfahren Sie, was in einer IT-Prüfung untersucht wird, welche Fragen gestellt werden und wie Sie sich optimal vorbereiten.

 

Was prüfen Wirtschaftsprüfer im Bereich IT-Sicherheit?

Wirtschaftsprüfer orientieren sich bei der IT-Prüfung häufig an folgenden Rahmenwerken: IDW PS 330, ISA 315, COBIT, GoBD und den ITGC (Information Technology General Controls). Ziel ist es sicherzustellen, dass die IT-Systeme eines Unternehmens korrekt, sicher und zuverlässig arbeiten.

Typische Prüfungsschwerpunkte sind:

  • IT-Governance und Verantwortlichkeiten
  • IT-Risikomanagement und Notfallkonzepte
  • Datensicherheit und Datensicherung
  • Zugriffsrechte und Berechtigungskonzepte
  • Change- und Patch-Management
  • Systembetrieb, Monitoring und Protokollierung

Der Hintergrund ist klar: Ohne eine funktionierende IT kann keine ordnungsgemäße Buchführung stattfinden. Mängel in der IT können somit direkt Auswirkungen auf das Prüfungsergebnis haben.

Was Wirtschaftsprüfer über Ihre IT wissen wollen

Im Rahmen einer IT-Prüfung werden zentrale Bereiche analysiert, um Risiken für Fehler, Datenverlust oder Manipulation auszuschließen. Besonders relevant sind die sogenannten ITGC – allgemeine IT-Kontrollen, die jedes Unternehmen nachweisen können sollte.

IT-Strategie und Organisation

Prüfer möchten sehen, dass Rollen, Verantwortlichkeiten und die IT-Ausrichtung klar definiert sind. Sie prüfen, ob Ihre IT-Strategie zur Unternehmensstrategie passt und ob Verantwortlichkeiten dokumentiert sind.

IT-Risikomanagement und Notfallplanung

Hier geht es darum, ob Risiken bekannt sind, bewertet werden und ob Maßnahmen wie Backup-Strategien, Notfallhandbücher oder ein Disaster-Recovery-Plan existieren.

Datensicherheit und Datensicherung

Wirtschaftsprüfer achten besonders auf Backups, Wiederherstellbarkeit und die Einhaltung gesetzlicher Aufbewahrungsfristen.

Zugriffskontrollen und Berechtigungen

Prüfer wollen nachvollziehen, ob nur autorisierte Personen Zugriff auf sensible Daten haben. Ein strukturiertes Berechtigungskonzept ist dafür unverzichtbar.

Änderungsmanagement und Systembetrieb

Unkontrollierte Änderungen an Software oder Systemen stellen ein erhebliches Risiko dar. Deshalb prüfen Wirtschaftsprüfer, ob Änderungen dokumentiert, getestet und freigegeben werden.

Ablauf einer IT-Prüfung – was genau passiert?

Viele Unternehmen sind unsicher, wie eine IT-Prüfung abläuft. Der Prozess ist jedoch klar strukturiert und besteht aus mehreren typischen Phasen.

Der Ablauf einer IT-Prüfung umfasst:

  • Vorgespräch und Risikoanalyse
  • Sichtung der IT-Dokumentation
  • Interviews mit IT-Verantwortlichen
  • Technische Prüfung einzelner Systeme
  • Stichproben, Logfile-Analysen, Berechtigungsprüfungen
  • Bewertung der ITGC (Kontrollen)
  • Bericht mit Feststellungen und Handlungsempfehlungen

Viele Prüfer arbeiten nach dem sogenannten „Top-Down-Ansatz“: Erst werden die Risiken beurteilt, dann gezielt die relevanten IT-Bereiche geprüft.

Wie Sie sich optimal auf eine IT-Prüfung vorbereiten

Eine gute Vorbereitung ist entscheidend, um Rückfragen, Prüfungsverzögerungen oder Feststellungen zu vermeiden. Die Erfahrung zeigt: Wer strukturiert vorgeht, hat deutlich weniger Aufwand.

Empfohlene Schritte vor einer IT-Prüfung:

  • Dokumentation aktualisieren (Netzpläne, Berechtigungskonzept, IT-Strategie, Prozesse)
  • Backup- und Restore-Tests nachweisen
  • Passwort- und Berechtigungskonzept prüfen
  • Notfallhandbuch und Prozesse für Cyber-Vorfälle aktualisieren
  • Patch-Management und Change-Prozesse kontrollieren
  • Interne Vor-Audits durchführen

Ideal ist ein internes oder externes Pre-Audit, das potenzielle Schwachstellen identifiziert, bevor ein Wirtschaftsprüfer sie findet.

Checkliste für Ihre nächste IT-Prüfung

Diese kurze Checkliste können Sie als Vorbereitung nutzen:

  • Gibt es eine aktuelle IT-Strategie?
  • Sind Rollen und Verantwortlichkeiten klar dokumentiert?
  • Existiert ein vollständiges Berechtigungskonzept?
  • Werden Backups regelmäßig getestet?
  • Gibt es einen Notfallplan inkl. Wiederanlaufstrategie?
  • Wie werden Änderungen (Patches, Updates) dokumentiert?
  • Sind die wichtigsten Systeme revisionssicher protokolliert?
  • Wurden alle sicherheitskritischen Systeme gepatcht?

Wirtschaftsprüfer als Treiber für IT-Sicherheit

Wirtschaftsprüfer haben heute eine zunehmend wichtige Rolle als Multiplikatoren für IT-Sicherheit. Ihre Feststellungen fließen direkt in Prüfungsurteile, Kreditratings und die Einschätzung von Investoren ein. Unternehmen, die ihre IT-Strukturen professionell aufstellen, profitieren von mehr Sicherheit, weniger Prüfungsrisiken und einem besseren Standing gegenüber Banken und Geschäftspartnern.

 

Fazit: IT-Sicherheit als Schlüssel für eine erfolgreiche IT-Prüfung

Eine IT-Prüfung ist längst kein reines Technikthema mehr – sie ist ein zentraler Bestandteil einer ordnungsgemäßen Unternehmensführung. Wer seine IT-Prozesse, Risiken und Sicherheitsmaßnahmen im Griff hat, schützt nicht nur seine Daten, sondern erfüllt auch die Anforderungen von Wirtschaftsprüfern. Mit klaren Zuständigkeiten, guter Dokumentation und soliden Sicherheitsmaßnahmen können Sie die nächste IT-Prüfung gelassen angehen.