Zeitgemäße interne wie externe Rechnungslegung verstehen wir als ein umfassendes Steuerungs- und Überwachungsinstrument, das untrennbar mit dem operativen Geschäft verbunden ist. Ihre IT-Systeme bilden dafür die Basis.

 

Die Einführung, der laufende Geschäftsbetrieb oder die Modifikationen einer unternehmensspezifischen IT-Landschaft bergen neben den sich dadurch bietenden Chancen auch regelmäßig Risiken. Wir unterstützen Sie bei der risiko- und prozessorientierten Analyse, Konzeption, Optimierung, Implementierung und der laufenden Überwachung Ihrer Informationstechnologie und -verarbeitung, um durch geeignete Lösungen die Ordnungsmäßigkeit und Sicherheit zu gewährleisten.

Was können wir für Sie tun?

Durch eine Analyse der Kontrollrisiken stellen wir die Abhängigkeit Ihrer Geschäftsprozesse von den IT-Systemen dar. Mit Ihnen zusammen erkennen wir Risikofaktoren, welche die Verfügbarkeit, Integrität, Autorisierung, Authentizität, Verbindlichkeit und Vertraulichkeit Ihrer Daten gefährden. Bei der Einführung von ERP-Systemen unterstützen wir Sie in allen Projektphasen, von der Konzeption bis zur Implementierung.

Als unabhängiger Dritter testieren wir innerhalb einer projektbegleitenden Implementierungsprüfung oder Qualitätssicherung die Ordnungsmäßigkeit und Sicherheit Ihrer implementierten Systeme sowie der damit verbundenen Geschäftsprozesse.

Zudem bieten wir Ihnen Prozesssicherheit innerhalb Ihrer spezifischen E-Business-Lösungen.

Softwareherstellern gibt unsere Softwareprüfung mit abschließender Softwarebescheinigung die Bestätigung, dass die entwickelte Anwendungssoftware die gesetzlichen Anforderungen erfüllt. Zudem gewähren Sie sich und Ihren Kunden durch eine Prüfung und Testierung Ihrer Dienstleistungen als Provider handels- und steuerrechtliche Sicherheit im Hinblick auf die Ordnungsmäßigkeit der Verarbeitung.

 

Unsere Services im Bereich IT- & Controls-Assurance

  • Unterstützung zu IT-spezifischen Fragestellungen im Rahmen von Jahresabschlussprüfungen
  • IT-Systemprüfungen (als ex post- oder projektbegleitende Prüfung) nach IDW PS 330/IDW PS 850 mit Fokus auf ERP-Systeme, Dokumentenmanagementsysteme, Systemwechsel etc.
  • IT-Revision
  • ERP RiskCheck (Kurzanalyse ausgewählter Risikofelder bei Standardsoftwaresystemen, insb. SAP und Microsoft Navision/Dynamics NAV, Axapta/Dynamics AX, Diamant etc.)
  • Durchführung von Datenanalysen, wie bspw. Journal Entry Testing
  • Unterstützung bei Fragestellungen zur digitalen Betriebsprüfung (GDPdU)
  • Zertifizierung von
    • Softwaresystemen (Erteilung von Softwarebescheinigungen nach IDW PS 880)
    • IT-Dienstleistern/Service Providern (nach IDW PS 951, ISAE 3402/SSAE 16, IWP-PE 14 etc.)
  • Prüfung und Beratung zu elektronischen Abrechnungsprozessen und zu Themen der elektronischen Rechnung (in Zusammenarbeit mit dem Bereich VAT)
  • Unterstützung bei der Auswahl von Standardsoftware
  • Erstellung von Prozess- und Verfahrensdokumentationen
  • Unterstützung bei besonderen Fragestellungen
    • zum IT-Risikomanagement
    • zur IT-Compliance (jeweils in Zusammenarbeit mit dem Competence Center Fraud • Risk • Compliance)
    • zur IT-Organisation und IT-Strategie
    • zu IT-Serviceverträgen und IT-Outsourcing
    • zu IT-Notfallkonzepten/Business Continuity Management (BCM)
    • zum Thema "Verlagerung der EDV-Buchführung ins Ausland"

Davon profitieren unsere Kunden:

  • Kompetente Mitarbeiter und Teams mit langjähriger Expertise in der Prüfung und Beratung in Bezug auf IT-Systeme sowie IT-gestützten Geschäftsprozesse
  • Engagierte und motivierte Mitarbeiter
  • Tragfähige und praxistaugliche Lösungskonzepte
  • Flache Hierarchien, kurze Entscheidungswege und klar definierte Ansprechpartner erleichtern Ihnen die Kommunikation
  • Termintreue und Verlässlichkeit
  • Herstellerunabhängige Beratung

Baker Tilly analysiert die Anforderungen Ihres Unternehmens sowie die regulatorischen Vorgaben und gleicht das Risikoumfeld mit den aktuellen Sicherheitsvorkehrungen in Ihrem Unternehmen ab. Auf dieser Basis entwickeln unsere Experten ein maßgeschneidertes IT-Governance- und Sicherheitskonzept mit folgenden Schwerpunkten:

  • Analyse der organisatorischen Ausgestaltung der IT-Sicherheitsrichtlinien und Standards in Ihrem Unternehmen.
  • Sicherheitsüberprüfungen einzelner IT-Systeme, Applikationen oder eines Verbundes von IT-Systemen auf Anwendungs-, Betriebssystem- und Datenbankebene.
  • Untersuchung der Netzstruktur, der Netzsegmentierung sowie die Analyse der Konfiguration von aktiven Netzkomponenten.
  • Beurteilung der vertraglichen Situation mit externen Dienstleistern und gesetzlichen Aspekten sowie deren Risiken. Dies gilt für Wartungsverträge mit Hard- und Software-Herstellern ebenso wie für Vereinbarungen mit internen oder externen Dienstleistungserbringern von Service Level Agreements (SLA).
  • Beratung bei der Planung und Überwachung der IT-Sicherheitsvorhaben und projektbegleitende und qualitätssichernde Maßnahmen.

Unser Ansatz zur Gestaltung einer effizienten und zuverlässigen Kontrolllandschaft berücksichtigt drei wesentliche Ebenen: die Kontrollen zur Anwendungssicherheit, die Datenbanken- und Infrastrukturkontrollen sowie die Geschäftsprozesskontrollen. Das Zusammenspiel dieser Kontrollen wird durch ein grundlegendes Kontrollrahmenwerk abgestimmt und gesteuert, da die Komplexität und die Abhängigkeiten der SAP Kontrollkomponenten untereinander häufig unterschätzt werden und die Fokussierung auf lediglich einen einzelnen Kontrollbereich nicht zu einer umfassenden Kontrollsicherheit führen kann.

Neben den bekannten Risiken bei ERP-Systemen bestehen auch neue Risiken durch die Verwendung von SAP HANA: die nächste Stufe eines ERP-Systems. HANA-Systeme bestehen im Gegensatz zu einem SAP ERP-System in erster Linie aus Webanwendungen, die in den vorherigen Versionen eher als optional betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im Internet aufgefunden und so von Hackern "angegriffen" werden. Das Thema Berechtigungen wird bei vielen SAP-Einführungen oder Umstellungen lediglich als Nebensächlichkeit gesehen. Dabei ist es ein wichtiges Thema und sollte mit der nötigen Sorgfalt bedacht werden.

Aus unserer Erfahrung erschweren im Wesentlichen die folgenden sechs Hürden das Erreichen einer ausgewogenen Balance der SAP-Berechtigungen zwischen ihren Risiken und Kontrollen:

  • Unkenntnis des Status quo: Durch die Komplexität der SAP-Systeme und den Mangel an Standard-Reports zur Beleuchtung der Risikosituation, sind viele Unternehmen möglicherweise unbewusst einer Anzahl von Risiken ausgesetzt.
  • Lücken im Kontrollsystem: Auditoren konstatieren wiederholt Mängel, jedoch ohne praktische Handlungsempfehlungen anbieten zu können.
  • Funktionstrennung immer noch eine große Herausforderung: Durch eine Ansammlung von sensitiven Rechten bei einer Person, können erforderliche Geschäftsprozesskontrollen einfach ausgehebelt werden.
  • Nutzung des Potenzials automatisierter Kontrollen: Viele Unternehmen haben vorwiegend manuelle Kontrollen eingeführt, da der erste Aufwand für das Design und die Umsetzung relativ gering ist. Der spätere Personalaufwand sowie die Fehleranfälligkeit manueller Kontrollen im laufenden Betrieb werden jedoch häufig unterschätzt. Durch die Einführung automatisierter Kontrollen wäre bei vielen Unternehmen ein hohes Potenzial  zu Effizienz- und Qualitätssteigerungen vorhanden.
  • Management von Super Usern: Die Kontrolle und Verwaltung von "Super Usern" für die Anwendungs- und Systembetreuung sowie Zugriffsrechte vom externen Dienstleistern, stellen für Unternehmen immer noch eine Herausforderung dar.
  • Datenbank- und Infrastrukturkontrollen: Bei der Betrachtung von SAP-Komponenten werden häufig die Kontrollen zur Datenbank- und Infrastruktursicherheit vernachlässigt.
Martin Uebelmann

Martin Uebelmann
Partner
Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA)

manager magazin: Baker Tilly gehört zu "Deutschlands besten Wirtschaftsprüfern 2024/25"

Baker Tilly hat seine Top-10-Platzierung in der Riege der sogenannten „Wirtschaftsprüfer-Champions“ gefestigt und gehört auch in diesem Jahr wiederum zu Deutschlands besten MDPs. In der neu eingeführten Kategorie „ESG & Nachhaltigkeit“ lässt Baker Tilly die Big Four hinter sich und landet hier auf Platz zwei.

In der Kategorie „Steuerberatung“ konnte Baker Tilly im Ranking zulegen. Zudem bestätigt eine Vielzahl von Nennungen in verschiedenen Kategorien, darunter in den Bereichen „Abschlussprüfung“ sowie „Digitale Transformation“, „Rechtsberatung“, „Sanierungs-/Restrukturierungsberatung“, „Sonstige Prüfleistungen“ und „Transaktionsberatung“ die starke Marktposition.
 

Zum Newsbeitrag

 

Eine Übersicht aller Baker Tilly Services rund um das Thema Compliance finden Sie hier >>

Was Sie ansonsten noch über die Baker Tilly Wirtschaftsprüfer wissen sollten...