IT-Auditor IDW – Bestanden!

Markus Olbring hat jetzt mit bestandener Prüfung beim Institut der Wirtschaftsprüfer (IDW) die Zertifizierung zum IT-Auditor (IDW) erhalten.

Eine Zertifizierung wie viele andere bzw. was zeichnet den IT-Auditor (IDW) aus? Den IT-Auditor (IDW) kann man nicht ausschließlich durch Lehrgangsteilnahme und Bestehen der Prüfung erwerben. Vielmehr sind für die Anerkennung umfangreiche Tätigkeitsnachweise, also Praxiserfahrung, nachzuweisen. Das macht den IT-Auditor (IDW) dann doch zu etwas Besonderem, nämlich dem Nachweis umfangreicher Praxiserfahrungen im Bereich der IT-Prüfung.

Wir freuen uns und gratulieren zur bestanden Prüfung!

 

Revisionssicher mit Softwarebescheinigung und GoBD-Verfahrensdokumentation

Für viele Softwareuser ist ein Softwaretestat z.B. nach IDW PS 880 irreführend. Häufig wird angenommen, dass das Testat die Revisionssicherheit sichergestellt und die Verfahrensdokumentation nach GoBD ersetzt.

Wir möchten hier die „Mythen“ aus der Welt schaffen. Doch zunächst gehen wir auf die Begrifflichkeiten ein, mit denen sich Unternehmen konfrontiert fühlen:

Wichtige Begriffe und Abkürzungen, wenn wir über Revisionssicherheit sprechen möchten, sind die folgenden:
IDW = Institut der Wirtschaftsprüfer
PS = Prüfungsstandard
GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
GoB = Grundsätze ordnungsmäßiger Buchführung
FAIT = Fachausschuss Informationstechnologie
HGB = Handelsgesetzbuch
AO = Abgabenordnung
BDSG = Bundesdatenschutzgesetz
DSGVO = Datenschutz-Grundverordnung

Das Institut der Wirtschaftsprüfer (IDW) publiziert „IDW-Verlautbarungen“. Nach diesen Grundsätzen können Wirtschaftsprüfer unbeschadet ihrer Eigenverantwortlichkeit ihrer Prüfungstätigkeit nachgehen. Zu den IDW-Verlautbarungen zählen unter anderem „IDW Prüfungsstandards (IDW PS)“, „IDW Stellungsnahmen zur Rechnungslegung (IDW RS)“, „IDW Standards (IDW S)“, „IDW Prüfungshinweise (IDW PH)“, „IDW Rechnungslegungshinweise (IDW RH)“ .

Wir gehen hier konkreter auf den IDW PS 880 („Erteilung von Softwarebescheinigungen“) ein. Die Prüfung orientiert sich an den Anforderungen an Systemprüfungen bei Einsatz von IT (IDW PS 330) sowie den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1). Neben den genannten Verlautbarungen sind ebenfalls rechtliche Aspekte bei der Prüfung zu beachten:
– HGB
– AO
– GoB
– GoBD (bzw. Vorgänger: GDPdU und GoBS)

Nach der Prüfung erhält der Softwarehersteller einen Abschlussbericht sowie die Softwarebescheinigung. Dabei wird die Software dahingehend geprüft, dass der korrekte Einsatz der Software den rechtlichen Aspekten entspreche kann. Typische Prüfungsbereiche sind:
– Softwareentwicklungsprozess
– Dokumentationsprüfung
– Softwaresicherheit
– Programmfunktionen

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

In den GoBD ist ganz klar beschrieben, was zu tun ist, damit Unternehmen ordnungsgemäß arbeiten. In Kapitel 10.1 ist dargestellt, dass für jedes steuerrelevante DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten (Prüfer) in angemessener Zeit nachvollziehbar sein. In einer Verfahrensdokumentation für die digitale Belegarchivierung wird der organisatorisch und technisch gewollte Prozess beschrieben, dabei wird der gesamte Lebenszyklus der Dokumente und weiterer Daten von der Entstehung der Information über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion beschrieben. Aus Sicht des Datenschutzes sollte auch auf das Löschen nach Ende der Aufbewahrungspflicht eingegangen werden.

Eine ordnungsgemäße digitale Archivierung im Sinne einer Revisionssicherheit gem. GoBD entsteht also auf Basis eines Softwaretestats und der nachvollziehbaren Beschreibung der Implementierung und abgebildeten Geschäftsprozesse in der Verfahrensdokumentation, die selbstverständlich mit der tatsächlichen Implementierung übereinstimmt.

Digitalisierung & Softwarebescheinigung: Aussagekraft, Nutzen und Internationalität

Was ist eine Softwarebescheinigung nach IDW PS 880?

Der Prüfungsstandard (PS) 880 von „Institut der Wirtschaftsprüfer“ (IDW) bezieht sich auf „Die Prüfung von Softwareprodukten“. Der Standard wurde zuletzt im März 2010 überarbeitet und berücksichtigt die Anforderungen des internationalen Prüfungsstanrds ISAE 3000 („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“).

Gegenstand von Softwareprüfungen sind Softwareprodukte unabhängig von deren Implementierung und Produktivsetzung beim Softwareanwender.

Neben den Funktionen des Softwareproduktes einschl. der Softwaresicherheit erfolgt auch eine Prüfung des Softwareentwicklungsverfahrens sowie der relevanten Funktionen. Die Prüfungen können sich ganzheitlich auf die Software beziehen oder auch nur einzelne Module berücksichtigen.

Was ist eine Bescheinigung nach ISAE 3000?

Der Prüfungsstandard ISAE 3000 ist ein internationaler Prüfungsstandard zur Abdeckung von Prüfaufträgen, die keine Prüfungen oder prüferische Durchsichten von historischen Finanzinformationen sind („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“). Die Prüfungen werden bei internationaler Aktivität von Softwareherstellern bedeutsamer.

Herausgegeben wurde der Prüfungsstandard von der „International Federation of Accountants“ (IFAC), dem globalen Dachverband der Wirtschaftsprüfer. Die IFAC veröffentlicht die internationalen Prüfungsstandards „International Standards on Assurance Engagement“ (ISAE).

In der IFAC sind Mitgliedsorganisationen aus mehr als 130 Ländern vertreten. Eine Übersicht der Länder kann über folgenden Link aufgerufen werden:

http://www.ifac.org/about-ifac/membership/member-organizations-and-country-profiles

Welche Aussagekraft können die Bescheinigungen entfalten?

Der Mehrwert einer Softwarebescheinigung gem. IDW PS 880 und/oder ISAE 3000 besteht darin, dass eine Aussage einer unabhängigen Prüfinstanz zur grundsätzlichen Ordnungsmäßigkeit des Softwareproduktes im geprüften Einsatzgebiet gegeben ist. In Unternehmen, die gem. der genannten Standards geprüfte Softwareprodukte einsetzen, besteht die Möglichkeit der Verwertbarkeit der Prüfungsergebnisse durch deren Wirtschaftsprüfer auf Basis des Testats und des Berichtes. Softwarebescheinigungen sind somit ein ideales Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes.

Um auch die fiskalischen Anforderungen zu erfüllen, ist gem. Tz 151 der GoBD eine Verfahrensdokumentation der Geschäftsprozesse (=Verfahren) zu erstellen, die unter Einsatz der Software IT-gestützt und steuerrelevant umgesetzt sind. Bei Vorliegen einer positiven Softwarebescheinigung kann sich die Verfahrensdokumentation auf die spezifische Implementierung der Lösung beschränken, z.B.:

  • Die grundsätzliche Ordnungsmäßigkeit eines Berechtigungskonzepts ist über die Softwarebescheinigung gegeben, wie z.B. die Einschränkung von Löschrechten aufbewahrungspflichtiger Dokumente
  • Die spezifische Verfahrensdokumentation enthält den Nachweis, das tatsächlich niemand über Löschrechte aufbewahrungspflichtiger Dokumente verfügt.

Gegenüber der Finanzverwaltung muss eine Softwarebescheinigung gem. PS 880 und/oder ISAE 3000 keine bindende Wirkung haben (vgl. Tz 181 GoBD). Diese Aussage führt dazu, dass es ein GoBD-Testat gar nicht geben kann. Lediglich eine Konformitätsbescheinigung zu den GoBD ist denkbar.

Der IDW PS 880 ist ein nationaler Prüfungsstandard. Er findet häufig Akzeptanz im deutschsprachigen Raum. Die GoBD sind eine Anforderung des Bundesministeriums der Finanzen (BMF) und damit ausschließlich national anwendbar.

Der ISAE 3000 eröffnet die Möglichkeit der internationalen Verwertbarkeit. Eine Verwertbarkeit durch Wirtschaftsprüfer ist in den Ländern anzunehmen, deren Berufsverbände in der IFAC organisiert sind. Eine Auflistung kann über den Link in Nr. 2 aufgerufen werden.

Da Wirtschaftsprüfer stets unabhängig und unbefangen vorgehen müssen, kann es keine Garantie für eine Verwertbarkeit geben. Die Entscheidung über den Umfang der Verwertbarkeit liegt im eigenen Ermessen beim verantwortlichen Wirtschaftsprüfer in den Unternehmen.

Gibt es Informationen zur Vernichtung buchhalterischer Dokumente nach der Digitalisierung bei internationalem Fokus?

Die Möglichkeit zur Vernichtung von buchhalterisch und steuerrelevanter Dokumente nach der Digitalisierung ist in den einzelnen Ländern unterschiedlich gestaltet. Eine pauschale Antwort auf die Frage ist unmöglich, da neben den Gesetzgebungen und Verlautbarungen ggf. auch gerichtliche Urteile Berücksichtigung finden müssen.

Es gibt jedoch einige Informationen, die zumindest als Leitfaden verwendet werden können. Nachfolgende Informationen können unterstützen:

Was bieten die Softwarehersteller zur Einhaltung der Anforderungen?

Verschiedene Softwarelösungen werden regelmäßig durch unabhängige Wirtschaftsprüfungsgesellschaften oder andere Sachverständige bei den Softwareherstellern geprüft. Softwarebescheinigungen zur Erfüllung der Anforderungen des IDW PS 880 und teilweise des ISAE 3000 werden durch Wirtschaftsprüfer ausgestellt. Softwarebescheinigungen sind ein Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes und des Entstehungsprozesses des geprüften Releases.

Diese Ausarbeitung gibt die persönliche Meinung der Autoren wieder und enthält lediglich einen groben Überblick über die komplexen Themen und ersetzt im Einzelfall keine Beratung/Prüfung zu den angesprochenen Themen.

Die comdatis bietet Beratungs- und Prüfungslösungen zum Thema Verfahrensdokumentation und digitale Archivierung. Prüfungslösungen der comdatis werden häufig in Zusammenarbeit mit unabhängigen Wirtschaftsprüfungsgesellschaften erbracht.

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig.

Social Engineering

Der Begriff stammt ursprünglich aus den Sozialwissenschaften und meint die Beeinflussung von Einstellungen und Verhalten mit sozialen Mitteln für soziale Zwecke. Dahinter steht die Annahme, Mensch und die sozialen Strukturen, in denen sie sich bewegen funktionieren ähnlich wie Maschinen nach vorhersehbaren Regeln.

Beim Social Engineering – auch Soziale Manipulation – genannt, richten sich Angriffe nicht auf technische Systeme, sondern auf ihre Benutzer.

Also richtet sich der Angriff im Gegensatz zum normalen (technischen) Hacking nicht auf die Schwachstelle eines Computersystems, um an geheime Informationen zu gelangen, sondern auf die Schwachstelle des Menschen.

Hier wird auch sehr häufig von „Social Hacking“ gesprochen. Das Ziel ist Informationsgewinnung. Dabei führt ein Benutzer (aus dem System) die vom Angreifer gewünschten Aktionen aus. Die Wahl der Person, die ausspioniert werden soll, kann zufällig (z.B. im Bus oder Bahn) oder durch eine gezielte Suche über die Sozialen Netzwerke erfolgen. Diese bieten eine gute Basis für das Social Engineering. Über die jeweiligen Plattformen können viele Informationen über Personen gefunden werden. Diese unerschöpfliche Informationsquelle dient als Grundlage für die weitere Informationsbeschaffung. Zudem ist es unter den Nutzern Sozialer Netzwerke weitverbreitet, dass der Nutzer viele seiner „Freunde“ nicht kennt. Auch dadurch können Social Engineers direkt mit ihren Opfern in Kontakt treten. Wichtig ist die Konfiguration sicherer Datenschutzeinstellungen in sozialen Netzwerken, auch wenn diese vornehmlich oder in vollem Umfang privat genutzt werden. Letztlich führt dies auch im betrieblichen Umfeld zu einer Risikoreduzierung bezogen auf „Social Engineering“.

Dringt ein Angreifer durch, können dem Unternehmen große Schäden entstehen, sei es durch Industriespionage, Identitätsdiebstahl, Image- oder Rufschädigung, Erpressung oder der einfache Zugriff auf firmeninterne Datensysteme.

Bei IT-Sicherheit wird oft zuerst oder ausschließlich an die Technik gedacht und zu wenig an den Faktor Mensch. Dieser sollte mehr beachtet werden, denn diese Gefahr gibt es immer, sei es bei Freunden, Verwandten, dem Partner oder dem Sitznachbarn im Bus oder Bahn. Dabei kann jede menschliche Schwäche ausgenutzt werden.

Hilfsbereitschaft, Vertrauen, Angst, Stolz, Neid oder Schuldgefühle können ausgenutzt werden, um an Information zu kommen. Die Angreifer bleiben meist im Hintergrund und werden nicht wahrgenommen. Das Opfer erfährt meist nicht, dass er ausspioniert worden ist.

Das Telefon spielt beim Social Engineering eine wichtige Rolle. Angreifer greifen für die erste persönliche Kontaktaufnahme gerne zum Telefon. Dieses Medium ermöglicht es ihnen Distanz zu wahren und ihre wahre Identität zu verschleiern, aber dennoch flexibel auf die Reaktion des Opfers einzugehen. Sie bauen eine persönliche Beziehung zum Opfer auf und wollen so das Vertrauen gewinnen, um an vertrauliche Informationen zu kommen.

Wie kann es verhindert werden?

Eine Verhinderung des Social Engineering gibt es nicht, jedoch können die Unternehmen Ihre Mitarbeiter sensibilisieren. Die Sensibilisierung lässt sich mit Schulungen und anderen Maßnahmen realisieren. Neben Schulungen spielen auch die Geschäftsführung und die Arbeitskollegen eine wichtige Rolle. Fühlt sich ein Mitarbeiter im Unternehmen nicht wohl und vermisst er die Anerkennung durch die Geschäftsführung oder den Kollegen, dann ist er wesentlich empfänglicher für Lob und Schmeicheleien von außen. Eine weitere Herausforderung für Unternehmen ist es die Loyalität der Mitarbeiter zu stärken und zu fördern. Täter können auch aus der eigenen Firma kommen. Der Verkauf von Daten kann teilweise sehr lukrativ für Innentäter sein.

Besprechung von firmeninternen Angelegenheiten sollten nie an öffentlichen Orten durchgeführt werden. Vermeiden Sie Shoulder-Surfing durch Hilfsmittel. Lassen Sie sich nicht auf den Bildschirm schauen, wenn Sie mit Ihren mobilen Geräten an öffentlichen Stellen arbeiten.

Benutzen Sie keine unsicheren Downloadkanäle (z.B. Apps aus nicht offiziellen Quellen).

E-Mails müssen kritisch hinterfragt werden. Geben Sie niemals firmeninternes oder Passwörter per Mail weiter. E-Mails können gefälscht werden. Der Absender mag Ihnen bekannt vorkommen, es kann sich jedoch um eine Fälschung handeln. Öffnen Sie niemals ausführbare Dateien, die per Mail ankommen.

Geben Sie keine Informationen, wie bspw. Passwörter oder Transaktionsnummern am Telefon oder per Mail weiter, auch wenn Sie der Meinung sind, dass derjenige gegenüber nur helfen möchte. Seien Sie besonders skeptisch gegenüber unerwarteten Anrufen und überprüfen sie die Identität des Anrufers. Holen Sie sich stets eine zweite Meinung ein, wenn Sie sich über ein technisches Thema im Unklaren sind oder wenn Sie nicht wissen, wie vertraulich eine Information wirklich ist.

Verzichten Sein auf USB-Sticks, wenn Sie Ihnen als Geschenk angeboten werden. Stecken Sie gefundene USB-Sticks niemals an Ihren Computer an.

Sensibilisieren Sie Ihre Mitarbeiter darauf, dass sie auffälliges Verhalten an die Geschäftsführung oder eine Vertrauensperson (z.B. dem Datenschutzbeauftragten) melden.

Nehmen Sie die Angst – auch wenn ein Mitarbeiter Opfer eines Angriffs geworden ist und dies erst im Nachhinein bemerkt, sollte er keine Angst vor Abmahnungen oder der fristlosen Kündigung haben. Diese Mitarbeiter sollten als Opfer und nicht als Mittäter angesehen werden. Erfährt ein Unternehmen zeitnah von den Sicherheitsvorfällen, können vielleicht noch größere Schäden vermieden werden und weitere Angriffe verhindert werden. Auch das stärkt das Loyalitätsbewusstsein bei den Mitarbeitern.

 

Über den Autoren:

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

ISO 27001 Auditor – Glückwunsch zur bestandenen Prüfung!

Wieder eine bestandene Prüfung bei unseren Mitarbeitern. Wir gratulieren unserem Mitarbeiter Faraz Afscharian zur bestandenen Prüfung zum „ISO/IEC 27001 Lead Auditor“.

Die ISO 27001 ist eine internationale Norm im Bereich der Informationssicherheit, nach der sich Unternehmen zertifizieren lassen können.

Erfahren Sie hier mehr über unsere Beratungs- und Prüfungslösungen zur Informationssicherheit.

VOI Certified Auditor – TR-RESISCAN und PK-DML

Mit Datum vom 25.08.2016 wurde Markus Olbring zum „VOI Certified Auditor“ ernannt. Für folgende Bereiche dürfen wir für die Zertifizierungsstelle VOI Service GmbH Audits durchführen:

  • PK-DML ready: Zertifizierung auf Basis der vom VOI und TÜV-IT entwickelten „Prüfkriterien für Dokumentenmanagement- und Dokumentenprozesslösungen“ (PK-DML)
  • TR-RESISCAN ready: Prüfung auf konforme Verfahrensdokumentation und Durchführung des Scannens entsprechend den Anforderungen der technischen Richtlinie „Ersetzendes Scannen“ (TR-RESISCAN) des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Die Zertifizierungen sind für Unternehmen und Einrichtungen bedeutsam, die ein unabhängiges Zertifikat für Prozesse der digitalen Archivierung benötigen bzw. die Konformität mit den Standards TR-RESISCAN oder PK-DML nachgewiesen haben möchten. Nach unserer Auffassung ist eine Zertifizierung insbesondere interessant für diejenigen Unternehmen und Einrichtungen, bei denen eine digitale Archivierung oder ein ersetzendes Scannen über buchhalterische Dokumente und Belege hinausgeht.

Weitere Informationen zu VOI-CERT finden Sie auf der Homepage des VOI.

CSP – Glückwunsch zur bestandenen Prüfung!

Wir gratulieren unserem Kollegen Faraz Afscharian zur bestandenen Prüfung zum „Cyber Security Practitioner“ (CSP)! Die Qualifikation zum CSP ist entstanden aus der „Allianz für Cybersicherheit“ als Initiative  vom „Bundesamt für Sicherheit in der Informationstechnologie“ (BSI) und des ISACA Germany. Ziel ist der Nachweis einer Qualifikation für die Durchführung von Cyber-Sicherheits-Checks in Unternehmen und Behörden.

Herr Afscharian ist nun schon der zweite Mitarbeiter der comdatis mit der Qualifikation zum CSP.

Weitere Informationen zur Cyber-Sicherheit finden Sie auf folgender Seite (öffnet in neuem Tab):

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/CyberSicherheitsCheck/csc.html