Prüfung & Zertifizierung

Aufgrund der stetigen Weiterentwicklung von IT-Technologien und Anwendungen als auch bedingt durch organisatorische Änderungen unterliegen die IT-Systeme von Unternehmen und Behörden einem permanenten Wandel. Das führt dazu, dass nach jeder Änderung bzw. Anpassung der IT-Umgebung zu hinterfragen ist, welche Auswirkungen diese auf die zugrunde liegenden Geschäftsprozesse sowie die Schutzziele der Informationssicherheit haben. Zusätzliche Unsicherheiten entstehen aus der Vielzahl an Bedrohungsszenarien sowie deren Weiterentwicklung hin zu immer ausgefeilteren Varianten.

Aktuelle und potenzielle Kunden, Lieferanten, Wirtschaftsprüfer, Behörden und andere Stakeholder haben ein grundlegendes Interesse an der umfassenden Informationssicherheit des betreffenden Unternehmens und der korrekten Funktion der Geschäftsprozesse sowie der rechnungslegungsrelevanten Prozesse. Konkrete Nachweispflichten entstehen zudem aufgrund von regulatorischen und gesetzlichen Anforderungen an die Unternehmens-IT.

Zur Verifikation und Bestätigung der korrekten Funktion der IT-Umgebung, der Einhaltung der Informationssicherheit sowie der Erfüllung der gesetzlichen Vorgaben ist oftmals die prüferische Unterstützung sowie Expertise durch externe Spezialisten erforderlich.

Unsere Experten und Spezialisten unterstützen Sie bei der Prüfung Ihrer IT-Umgebung auf Basis der gesetzlichen Vorgaben, entlang der aktuell gültigen internationalen und nationalen Prüfungsstandards, sowie unter Nutzung von Best Practice und unserer langjährigen Erfahrungen.

Unser Dienstleistungs-Portfolio umfasst insbesondere folgende Prüfungen, Zertifizierungen und Bescheinigungen:

IT-Prüfung im Rahmen der Jahresabschlussprüfung von Wirtschaftsprüfern
Prüfung und Zertifizierung der Informationssicherheit auf Basis der einschlägigen Standards
Compliance-Prüfungen im Hinblick auf gesetzlichen/regulativen Vorgaben

Prüfung und Zertifizierung zur Cloud-Security
Prüfung und Zertifizierung von Rechenzentren
Software-Prüfung und Bescheinigung
Prüfung und Zertifizierung der Internen Kontrollsystemen von Dienstleistern

Das Vorgehen ist darauf ausgerichtet, ausgehend von Ihrer konkreten Problemstellung oder Zielsetzung und des aktuellen Ist-Zustands gemeinsam mit Ihnen das Vorgehen im Rahmen der Prüfung sowie zur Erlangung der jeweiligen Zertifizierung abzustimmen.

Unsere Experten haben langjährige Erfahrungen in der Herstellung der Prüf- und Zertifizierungsfähigkeit sowie der effizienten Durchführung von IT-Prüfungen parallel zum laufenden Tagesgeschäft der IT-Abteilung.

Wir arbeiten eng mit Ihnen zusammen und bieten Ihnen jederzeit Transparenz und Klarheit über den Status unserer Prüfungen und der avisierten Zertifizierung.

IT Prüfung in der Jahresabschlussprüfung nach ISA 315 (revised)

Im Rahmen der Prüfung des Jahresabschlusses durch Wirtschaftsprüfer ist nach ISA 315 (revised 2019) bei komplexen IT-Systemen eine risiko-orientierte IT-Prüfung erforderlich, um Risiken für wesentliche Falschdarstellungen beim Jahresabschluss auszuschließen.

Die IT-Prüfung nach ISA 315 umfasst dabei i.d.R. mindestens eine Prüfung der Kontrollen auf Angemessenheit (Aufbauprüfung) sowie auf Wirksamkeit der wesentlichen Kontrollen. Darüber hinaus kann die Prüfung aber auch Datenanalysen zum vom Mandanten genutzten ERP-Systems umfassen, um die Integrität der Datenverarbeitung durch das ERP-System zu verifizieren.

Wir unterstützen unsere Kunden und Berufskollegen bei der Durchführung von IT-Prüfungen nach dem Prüfungsstandard ISA 315 (revised).

IT-Prüfung außerhalb der Jahresabschlussprüfung / Themenbezogene IT Prüfung (IDW PS 860)

Für IT-Prüfungen außerhalb der Jahresabschlussprüfung und mit Fokus auf bestimmte Themen steht der Prüfungsstandard IDW PS 860 zur Verfügung. Eine Prüfung auf Basis dieses Standards kann sich dabei sowohl auf ein komplettes IT-System bzw. eine IT-Umgebung oder aber auf bestimmte Themenstellungen beziehen, wie z.B. auf Implementierungen unter Anwendung neuer Technologien und Trends:

Industrie 4.0
Big Data
Internet of Things (IoT)
Web 3.0
Blockchain

Da diese Themen zunehmend auch den Mittelstand betreffen, kann eine Prüfung und Auditierung der dafür erforderlichen IT-Umgebung einen maßgeblichen Beitrag zur Informationssicherheit und Prozesssicherheit für KMU leisten. Der genaue Prüfumfang richtet sich dabei aber immer nach den jeweils von Ihnen verfolgten Zielsetzung für die IT-Prüfung.

Wir unterstützen Sie bei der Absicherung Ihrer Risiken durch unsere Prüfungen auf Basis von IDW PS 860.

Projektbegleitende IT Prüfung (IDW PS 850)

Externe Projektaudits bzw. projektbegleitende Prüfungen sind geeignet, durch den neutralen Blickwinkel eines externen Auditors Fehlentwicklungen zu vermeiden, Risiken zu minimieren und damit den Projekterfolg maßgeblich zu unterstützen. Der IDW hat dafür den Prüfstandard IDW PS 850 entwickelt, der die Eckpunkte für eine projektbegleitende Prüfung vorgibt.

Ob Migrationsprojekte, die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexerer Themen wie Blockchain-Technologie oder Künstliche Intelligenz – ein externes Risikomonitoring oder eine projektbegleitende Prüfung sichert den Erfolg Ihres Vorhabens.

Wir unterstützen Sie durch die Auditierung ihres Projekts vor und während der Umsetzung, haben die Informationssicherheit sowie die Umsetzungs-Risiken für Sie im Blick und übernehmen die Abnahme von Projektmeilensteinen oder des Gesamtprojekts.

Prüfung GOBD-Konformität

Die Überprüfung der GoBD obliegt dem verantwortlichen Finanzamt und deren Prüferinnen und Prüfern. Im Steuerrecht gilt grundsätzlich zunächst die Annahme, dass die digitale Buchhaltung korrekt ist. Um bei der Prüfung durch das Finanzamt jedoch keine Überraschungen zu erleben, sollte das gesamte digitale Verfahren der Belegführung und Verarbeitung sowie die dabei eingesetzte Software auf Ordnungsmäßigkeit hin geprüft werden.

Wir unterstützen Sie bei der Prüfung ihrer Verfahren und Lösungen zur Belegführung und Verarbeitung und bescheinigen die GOBD-Konformität.

Softwarebescheinigung (IDW PS 880)

Mit einer Software-Prüfung und Bescheinigung nach IDW PS 880 wird nachgewiesen, ob die von Ihnen entwickelte oder eingesetzte Software bei sachgerechter Anwendung und Einrichtung den Kriterien der Ordnungsmäßigkeit entspricht. Mit dem Software-Testat kann die ordnungsmäßige Datenverarbeitung durch die Software nachgewiesen werden, die z.B. im Rahmen von Jahresabschlussprüfungen von Abschlussprüfern und Mandanten verifiziert werden muss. Darüber hinaus ist eine Software-Bescheinigung eine grundlegende Voraussetzung für den Erfolg der Vertriebsaktivitäten für Ihre Software.

Wir unterstützen Sie mit der Prüfung und Zertifizierung ihrer Software nach IDW PS 880.

Cloud-Softwareprüfungen nach SOC 1 / ISAE3000

Unternehmen müssen ausgelagerte Dienstleistungen genauso wirksam kontrollieren, wie eigens durchgeführte interne Prozesse. Cloudbasierte Softwarelösungen können für deutsche Kunden nach IDW PS 880 geprüft und eine entsprechend Softwarebescheinigung ausgestellt werden.

Für internationale Kunden bietet sich hierfür eher eine Softwareprüfung nach den Standards SOC 1 in Verbindung mit ISAE 3000 an. Hierbei wird geprüft, ob die Kontrollen des Dienstleister sowie der Software insgesamt angemessen ausgestaltet (Typ 1-Bericht) sowie im Zeitverlauf auch wirksam sind (Typ 2-Bericht), um Risiken für die Rechnungslegung und Finanzberichterstattung der Kunden auszuschließen, welche die Cloudbasierte Softtwarelösung für ihre Geschäftsprozesse nutzen.

Wir unterstützen Sie bei der Prüfung Ihrer Cloudbasierten Softwarelösung sowie des umgebenden Internen Kontrollsystems nach SOC 1 / ISAE 3000 und der Zertifizierung durch einen unserer Wirtschaftsprüfer.

Prüfung von Dienstleistern nach ISAE 3000/3402, SOC 2 oder IDW PS 951

Mit dem Outsourcing von Dienstleistungen stellt sich für Unternehmen immer die Frage, ob die Kundendaten bei der Verarbeitung durch den Outsourcing-Dienstleister sicher erfolgt und die Kundendaten angemessen geschützt sind.

Über eine Zertifizierung ihres Internen Kontrollsystems (IKS) nach einem anerkannten Standard können Outsourcing-Dienstleister ihren Kunden nachweisen, dass ein Internes Kontrollsystem mit angemessen ausgestalteten Kontrollen existiert (Typ 1-Bericht) und dieses im Zeitverlauf auch wirksam ist (Typ 2-Bericht).

Wir unterstützen Sie als Outsourcing-Dienstleister bei Prüfung Ihres Internen Kontrollsystems nach ISAE 3000/3402, SOC 2 oder IDW PS 951 und der Zertifizierung durch einen unserer Wirtschaftsprüfer.

Prüfung Cloudsicherheit nach BSI C5, CSA CCM, ISO 27017/ 27018

Ob SaaS, PaaS oder IaaS – um auf dem Markt für Clouddienstleistungen zu bestehen und neue Kunden zu gewinnen, müssen Cloudanbieter nicht nur gute Cloudlösungen umsetzen, sondern insbesondere ihren aktuellen und potenziellen Kunden nachweisen, dass die Verarbeitung der Kundendaten in der Cloud sicher ist. Zur Vermeidung von Kunden-individuellen Audits können Cloudanbieter dies über eine entsprechende Zertifizierung des internen Kontrollsystems ihrer Cloudlösung durch einen Wirtschaftsprüfer auf Basis eines international anerkannten Standards nachweisen. Zur Umsetzung von Cloud-Security stehen mehrere Standards zur Verfügung, die gleichzeitig auch als Basis für die Prüfung und Zertifizierung von Cloud-Lösungen dienen können (BSI C5, CSA CCM, ISO27017/18 und andere).

Wir führen Sie durch die Implementierung und Prüfung des Kontrollsystems für ihre Cloudlösung und unterstützen Sie bei der Herstellung von Cloud-Security nach den Vorgaben der einschlägigen Cloud Security Standards und der Zertifizierung durch einen unserer Wirtschaftsprüfer.

ISMS-Zertifizierung nach ISO 27001

Unabhängig von Unternehmensgröße, Anzahl der Standorte oder Branchenzugehörigkeit – immer wenn Daten verarbeitet werden, gilt es, Risiken für die Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) zu minimieren. Mit einer Zertifizierung nach DIN ISO/IEC 27001:2022 können Unternehmen durch eine unabhängige Prüfung nachweisen, dass ein dem Standard entsprechendes Informationssicherheits-Managementsystem (ISMS) etabliert ist und gelebt wird.

Wir bereiten Sie auf die Zertifizierung des ISMS Ihres Unternehmens auf Basis des aktuellen Standards DIN ISO/IEC 27001:2022 vor und zertifizieren das ISMS für den vorab definierten Geltungsbereich.

ISMS-Prüfung nach BSI-Grundschutz

Manche deutsche Auftraggeber verlangen Zertifizierungsnachweise für das ISMS ihrer Kunden nach DIN ISO 27001 auf Basis BSI-Grundschutz. Mit der nach BSI-Vorgabe durchgeführten Prüfung und dem vom BSI ausgestellten Zertifikat kann nachgewiesen werden, dass ein dem BSI-Grundschutz entsprechendes ISMS betrieben wird und von einem unabhängigen Auditor geprüft wurde:

Definition des Informationsverbunds
Durchführung einer Strukturanalyse
Durchführung einer Schutzbedarfsfeststellung
Modellierung
Durchführung des IT-Grundschutz-Checks
Risikoanalyse
Konsolidierung der Maßnahmen
Umsetzung der IT-Grundschutzmaßnahmen

Wir bereiten Sie auf die Zertifizierung des ISMS Ihres Unternehmens nach DIN ISO/IEC 27001 auf Basis von BSI Grundschutz vor und zertifizieren zusammen mit unseren Partnern ihr ISMS für den vorab definierten Geltungsbereich in der Kern- oder Standardabsicherung.

Zertifizierung nach IT-Sicherheitsgesetz (EU NIS1/NIS2); KRITIS §8a BSIG)

Betreiber kritischer Infrastrukturen (KRITIS) sind gem. § 8a Abs. 3 BSIG verpflichtet, alle zwei Jahre prüfen zu lassen, ob ihre IT-Sicherheit dem Stand der Technik entspricht. Dies betriff Organisationen und Einrichtungen aus folgenden Sektoren:

Energie mit Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
Verkehr mit Straßenverkehr, Schienenverkehr, Luftverkehr, Schifffahrt
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
Verwaltung IKT-Dienste
Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
Weltraum: Betreiber von Bodeninfrastrukturen
Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Medizinprodukten, Diagnostika, Datenverarbeitungsgeräten, elektronische und optische Erzeugnisse, elektrischen Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
Anbieter digitaler Dienste
Forschung

Wir prüfen die IT-Sicherheit Ihres Unternehmens in Zusammenarbeit mit unseren Partnern nach den Anforderungen des IT-Sicherheitsgesetzes und verifizieren, ob Ihre IT-Systeme, -Prozesse und -Komponenten dem Stand der Technik entsprechen.

Zertifizierung IT- Sicherheit für die Tabakindustrie nach 2014/40/EU (TPD 2 /Track & Trace)

Die Richtlinie für Tabakerzeugnisse (2014/40/EU) trat am 19. Mai 2014 in Kraft und wurde am 20. Mai 2016 in den EU-Mitgliedstaaten geltendes Recht. Sie enthält Vorschriften über die Herstellung, die Aufmachung und den Verkauf von Tabakerzeugnissen. Darin ist ebenfalls die Einführung für ein EU-weites System zur Überwachung und Rückverfolgung von Tabakprodukten zwecks Eindämmung des illegalen Handels mit Tabakerzeugnissen festgeschrieben.

Wir sind bei der EU gemeinsam mit unserem Partner als Prüfer gelistet und prüfen Ihr Unternehmen nach den Vorgaben aus 2014/40/EU sowie der weiterführenden Ausführungsbestimmungen.

Zertifizierung nach DIN EN50600 mit TSI.EN5060 V2.0

Mit der Norm DIN EN 50600 wurde die erste europaweit geltende Norm verabschiedet, die umfassende Vorgaben für die Planung, den Neubau und den Betrieb eines Rechenzentrums definiert. Wesentliche Inhalte der Norm sind dabei folgenden Themen:

Allgemeine Konzeption
Gebäudekonstruktion
Stromversorgung
Regelung der Umgebungsbedingungen
Infrastruktur der Telekommunikationsverkabelung
Sicherungssysteme
Informationen für das Management und den Betrieb
Anforderungen an Leistungskennzahlen und Energie-bezogene Kennzahlen

RZ-Anbieter auf dem europäischen Markt werden von ihren Kunden zunehmend nicht nur nach der ISO 27001 Zertifizierung oder zusätzlich nach einem ISAE- oder SOC-Bericht gefragt, sondern auch nach der Zertifizierung der Konformität ihres Rechenzentrums nach DIN EN 50600.

Wir unterstützen Sie bei der Herstellung der Zertifizierungs-Readiness sowie bei der Zertifizierung ihres Rechenzentrums nach DIN EN 50600 oder dem darauf basierenden TSI-Standards.

Prüfung IT-Compliance für Finanzwirtschaft und Versicherungen nach BAIT/ KAIT/ VAIT/ PCI DSS

Der Einsatz von Informationstechnik in Unternehmen des Finanzsektors hat eine zentrale Bedeutung und wird weiter an Bedeutung gewinnen. In mehreren fokussierten Verwaltungsanweisungen in Form von Rundschreiben hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jeweils konkrete Anforderungen definiert, die für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und der Unternehmens-Governance einzuhalten bzw. umzusetzen sind (BAIT, VAIT, KAIT, xAIT).

Wirtschaftsprüfer verifizieren im Rahmen ihrer Prüfungstätigkeiten die Einhaltung der Anforderungen, die sich aus den regulatorischen und gesetzlichen Vorgaben, z.B. Leitlinen EBA, ESMA, EIOPA, MaRiks, KaMaRisk, etc. sowie aus weiteren Konkretisierungen im Rahmen der xAIT ergeben.

Wir unterstützen unsere Berufskollegen bei risikobasierten IT-Prüfungen von Instituten und Unternehmen des Finanzsektors entlang der regulatorischen und gesetzlichen Vorgaben und unter Berücksichtigung des Proportionalitätsprinzips.

Sie betreiben ein Rechenzentrum
oder bieten Cloudlösungen an?
Eine Rechenzentrums-Zertifizierung ist der Schlüssel zur Sicherheit und Qualität Ihrer Dienstleistungen.

Hier erfahren Sie alles über die Zertifizierung von Rechenzentren und Cloud-Dienstleistern

AAE – Audit Advisory Evolution

Manuelle Prüfung war gestern!

AAE – Audit Advisory Evolution analysiert Ihre ERP-Systemdaten bedarfsgerecht nach Ihren individuellen Vorgaben ohne eine Begrenzung der Anzahl von Datensätzen.

Aus den Analyseergebnissen werden Erkenntnisse gewonnen, um

Fragen von Wirtschaftsprüfern im Rahmen von Jahresabschlussprüfungen zu beantworten
Managementbewertungen durchzuführen
Prozesse schnittstellenübergreifend zum Zweck der Optimierung zu visualisieren
Anomalien zu identifizieren
u.v.m.

AAE vereint eine vollständige und automatisierte digitale ERP-Datenprüfung mit einem zuverlässigen IT-Audit.
Manuelle Stichproben entfallen und das Prüfungsrisiko und die Prüfdauer werden signifikant reduziert. Die Analysedaten werden ansprechend in Dashboards visualisiert.

Höchste Sicherheitsstandards bei der Datenverarbeitung sind bei uns obligatorisch. Eigene Infrastruktur und Personal von Ihrer Seite sind nicht notwendig.

AAE beruht auf einer Business Intelligence kombiniert mit einem umfangreichen Testfragenkatalog, welcher gemeinsam mit Wirtschaftsprüfern entwickelt wurde.