iAP GRC

Geprüfte IT-Sicherheit & Compliance:
ISAE 3402, SOC 2, ISO 27001,
TISAX, BSI C5 & weitere Standards

Geprüfte IT-Sicherheit & Compliance:
ISAE 3402, SOC 2, ISO 27001,
TISAX, BSI C5 & weitere Standards

Aufgrund der stetigen Weiterentwicklung von IT-Technologien und Anwendungen sowie organisatorischer Änderungen unterliegen die IT-Systeme von Unternehmen und Behörden einem permanenten Wandel. Nach jeder Änderung der IT-Umgebung muss hinterfragt werden, welche Auswirkungen diese auf die Geschäftsprozesse und die Schutzziele der Informationssicherheit haben. Zusätzliche Herausforderungen entstehen durch die Vielzahl an Bedrohungsszenarien, die immer ausgefeilter werden.

Aktuelle und potenzielle Kunden, Lieferanten, Wirtschaftsprüfer, Behörden und andere Stakeholder haben ein grundlegendes Interesse an der umfassenden Informationssicherheit Ihres Unternehmens und der korrekten Funktion Ihrer Geschäftsprozesse sowie rechnungslegungsrelevanten Prozesse. Konkrete Nachweispflichten entstehen zudem aufgrund von regulatorischen und gesetzlichen Anforderungen an die Unternehmens-IT.

Zur Bestätigung der korrekten Funktion der IT-Umgebung, der Einhaltung der Informationssicherheit sowie der Erfüllung gesetzlicher Vorgaben ist häufig die prüferische Unterstützung durch externe Spezialisten erforderlich.

Unser Angebot

Unsere Experten unterstützen Sie bei der Prüfung Ihrer IT-Umgebung auf Basis der gesetzlichen Vorgaben, entlang der aktuell gültigen internationalen und nationalen Prüfungsstandards, sowie unter Nutzung von Best Practices und unserer langjährigen Erfahrung.

Unser Dienstleistungs-Portfolio umfasst insbesondere folgende Prüfungen, Zertifizierungen und Bescheinigungen:

  • IT-Prüfung im Rahmen der Jahresabschlussprüfung von Wirtschaftsprüfern
  • Prüfung und Zertifizierung der Informationssicherheit auf Basis der einschlägigen Standards
  • Compliance-Prüfungen im Hinblick auf gesetzliche/regulative Vorgaben
  • Prüfung und Zertifizierung zur Cloud-Security
  • Prüfung und Zertifizierung von Rechenzentren
  • Software-Prüfung und Bescheinigung
  • Prüfung und Zertifizierung der Internen Kontrollsysteme von Dienstleistern

Unsere Vorgehensweise

Unser Vorgehen ist darauf ausgerichtet, ausgehend von Ihrer konkreten Problemstellung oder Zielsetzung und des aktuellen Ist-Zustands, gemeinsam mit Ihnen den Prüfungsprozess sowie den Weg zur jeweiligen Zertifizierung abzustimmen.

Unsere Experten verfügen über langjährige Erfahrung in der Herstellung der Prüf- und Zertifizierungsfähigkeit sowie der effizienten Durchführung von IT-Prüfungen parallel zum laufenden Tagesgeschäft Ihrer IT-Abteilung.

Wir arbeiten eng mit Ihnen zusammen und bieten Ihnen jederzeit Transparenz und Klarheit über den Status unserer Prüfungen und der angestrebten Zertifizierung.

iAP | Prüfung und Zertifizierung
Mit dem Outsourcing von Dienstleistungen stellt sich für Unternehmen immer die Frage, ob die Kundendaten bei der Verarbeitung durch den Outsourcing-Dienstleister sicher erfolgt und die Kundendaten angemessen geschützt sind.
Über eine Zertifizierung ihres Internen Kontrollsystems (IKS) nach einem anerkannten Standard können Outsourcing-Dienstleister ihren Kunden nachweisen, dass ein Internes Kontrollsystem mit angemessen ausgestalteten Kontrollen existiert (Typ I-Bericht) und dieses im Zeitverlauf auch wirksam ist (Typ II-Bericht).
Wir unterstützen Sie als Outsourcing-Dienstleister bei Prüfung Ihres Internen Kontrollsystems nach ISAE 3000, SOC 2 oder IDW PS 951​ und der Zertifizierung durch einen unserer Wirtschaftsprüfer.
Mehr erfahren über
Ob SaaS, PaaS oder IaaS – um auf dem Markt für Clouddienstleistungen zu bestehen und neue Kunden zu gewinnen, müssen Cloudanbieter nicht nur gute Cloudlösungen umsetzen, sondern insbesondere ihren aktuellen und potenziellen Kunden nachweisen, dass die Verarbeitung der Kundendaten in der Cloud sicher ist. Zur Vermeidung von Kunden-individuellen Audits können Cloudanbieter dies über eine entsprechende Zertifizierung des internen Kontrollsystems ihrer Cloudlösung durch einen Wirtschaftsprüfer auf Basis eines international anerkannten Standards nachweisen. Zur Umsetzung von Cloud-Security stehen mehrere Standards zur Verfügung, die gleichzeitig auch als Basis für die Prüfung und Zertifizierung von Cloud-Lösungen dienen können (BSI C5, CSA CCM, ISO27017/18​ und andere).
Wir führen Sie durch die Implementierung und Prüfung des Kontrollsystems für ihre Cloudlösung und unterstützen Sie bei der Herstellung von Cloud-Security nach den Vorgaben der einschlägigen Cloud Security Standards und der Zertifizierung durch einen unserer Wirtschaftsprüfer.
Mehr erfahren über
Im Rahmen der Prüfung des Jahresabschlusses durch Wirtschaftsprüfer ist nach ISA 315 (revised 2019) bei komplexen IT-Systemen  eine risiko-orientierte IT-Prüfung erforderlich, um Risiken für wesentliche Falschdarstellungen beim Jahresabschluss auszuschließen.
Die IT-Prüfung nach ISA 315 umfasst dabei i.d.R. mindestens eine Prüfung der Kontrollen auf Angemessenheit (Aufbauprüfung) sowie auf Wirksamkeit der wesentlichen Kontrollen. Darüber hinaus kann die Prüfung aber auch Datenanalysen zum vom Mandanten genutzten ERP-Systems umfassen, um die Integrität der Datenverarbeitung durch das ERP-System zu verifizieren.
Wir unterstützen unsere Kunden und Berufskollegen bei der Durchführung von IT-Prüfungen nach dem Prüfungsstandard ISA 315 (revised).
Für IT-Prüfungen außerhalb der Jahresabschlussprüfung und mit Fokus auf bestimmte Themen steht der Prüfungsstandard IDW PS 860 zur Verfügung. Eine Prüfung auf Basis dieses Standards kann sich dabei sowohl auf ein komplettes IT-System bzw. eine IT-Umgebung oder aber auf bestimmte Themenstellungen beziehen, wie z.B. auf Implementierungen unter Anwendung neuer Technologien und Trends:
  • Industrie 4.0
  • Big Data
  • Internet of Things (IoT)
  • Web 3.0
  • Blockchain
Da diese Themen zunehmend auch den Mittelstand betreffen, kann eine Prüfung und Auditierung der dafür erforderlichen IT-Umgebung einen maßgeblichen Beitrag zur Informationssicherheit und Prozesssicherheit für KMU leisten. Der genaue Prüfumfang richtet sich dabei aber immer nach den jeweils von Ihnen verfolgten Zielsetzung für die IT-Prüfung.
Wir unterstützen Sie bei der Absicherung Ihrer Risiken durch unsere Prüfungen auf Basis von IDW PS 860.
Externe Projektaudits bzw. projektbegleitende Prüfungen sind geeignet, durch den neutralen Blickwinkel eines externen Auditors Fehlentwicklungen zu vermeiden, Risiken zu minimieren und damit den Projekterfolg maßgeblich zu unterstützen. Der IDW hat dafür den Prüfstandard IDW PS 850 entwickelt, der die Eckpunkte für eine projektbegleitende Prüfung vorgibt.
Ob Migrationsprojekte, die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexerer Themen wie Blockchain-Technologie oder Künstliche Intelligenz – ein externes Risikomonitoring oder eine projektbegleitende Prüfung sichert den Erfolg Ihres Vorhabens.
Wir unterstützen Sie durch die Auditierung ihres Projekts vor und während der Umsetzung, haben die Informationssicherheit sowie die Umsetzungs-Risiken für Sie im Blick und übernehmen die Abnahme von Projektmeilensteinen oder des Gesamtprojekts.
Die Überprüfung der GoBD obliegt dem verantwortlichen Finanzamt und deren Prüferinnen und Prüfern. Im Steuerrecht gilt grundsätzlich zunächst die Annahme, dass die digitale Buchhaltung korrekt ist. Um bei der Prüfung durch das Finanzamt jedoch keine Überraschungen zu erleben, sollte das gesamte digitale Verfahren der Belegführung und Verarbeitung sowie die dabei eingesetzte Software auf Ordnungsmäßigkeit hin geprüft werden.
Wir unterstützen Sie bei der Prüfung ihrer Verfahren und Lösungen zur Belegführung und Verarbeitung und bescheinigen die GOBD-Konformität.
Mit einer Software-Prüfung und Bescheinigung nach IDW PS 880 wird nachgewiesen, ob die von Ihnen entwickelte oder eingesetzte Software bei sachgerechter Anwendung und Einrichtung den Kriterien der Ordnungsmäßigkeit entspricht. Mit dem Software-Testat kann die ordnungsmäßige Datenverarbeitung durch die Software nachgewiesen werden, die z.B. im Rahmen von Jahresabschlussprüfungen von Abschlussprüfern und Mandanten verifiziert werden muss. Darüber hinaus ist eine Software-Bescheinigung eine grundlegende Voraussetzung für den Erfolg der Vertriebsaktivitäten für Ihre Software.
Wir unterstützen Sie mit der Prüfung und Zertifizierung ihrer Software nach IDW PS 880.

Unternehmen müssen ausgelagerte Dienstleistungen genauso wirksam kontrollieren wie eigens durchgeführte interne Prozesse. Cloudbasierte Softwarelösungen können für deutsche Kunden nach IDW PS 880 geprüft und eine entsprechende Softwarebescheinigung ausgestellt werden.

Für internationale Kunden bietet sich hierfür eher eine Softwareprüfung nach den Standards SOC 1 in Verbindung mit ISAE 3402 an. Hierbei wird geprüft, ob die Kontrollen des Dienstleisters sowie der Software insgesamt angemessen ausgestaltet (Typ I-Bericht) sowie im Zeitverlauf auch wirksam sind (Typ II-Bericht), um Risiken für die Rechnungslegung und Finanzberichterstattung der Kunden zu minimieren, welche die cloudbasierte Softwarelösung für ihre Geschäftsprozesse nutzen.

Wir unterstützen Sie bei der Prüfung Ihrer cloudbasierten Softwarelösung sowie des umgebenden internen Kontrollsystems nach SOC 1 / ISAE 3402 und der Zertifizierung durch einen unserer Wirtschaftsprüfer.
Mehr erfahren über
Unabhängig von Unternehmensgröße, Anzahl der Standorte oder Branchenzugehörigkeit – immer wenn Daten verarbeitet werden, gilt es, Risiken für die Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) zu minimieren. Mit einer Zertifizierung nach DIN ISO/IEC 27001:2022 können Unternehmen durch eine unabhängige Prüfung nachweisen, dass ein dem Standard entsprechendes Informationssicherheits-Managementsystem (ISMS) etabliert ist und gelebt wird.
Wir bereiten Sie auf die Zertifizierung des ISMS Ihres Unternehmens auf Basis des aktuellen Standards DIN ISO/IEC 27001:2022 vor und zertifizieren das ISMS für den vorab definierten Geltungsbereich.
Mehr erfahren über
Manche deutsche Auftraggeber verlangen Zertifizierungsnachweise für das ISMS ihrer Kunden nach DIN ISO 27001 auf Basis BSI-Grundschutz. Mit der nach BSI-Vorgabe durchgeführten Prüfung und dem vom BSI ausgestellten Zertifikat kann nachgewiesen werden, dass ein dem BSI-Grundschutz entsprechendes ISMS betrieben wird und von einem unabhängigen Auditor geprüft wurde:
  • Definition des Informationsverbunds
  • Durchführung einer Strukturanalyse
  • Durchführung einer Schutzbedarfsfeststellung
  • Modellierung
  • Durchführung des IT-Grundschutz-Checks
  • Risikoanalyse
  • Konsolidierung der Maßnahmen
  • Umsetzung der IT-Grundschutzmaßnahmen
Wir bereiten Sie auf die Zertifizierung des ISMS Ihres Unternehmens nach DIN ISO/IEC 27001 auf Basis von BSI Grundschutz vor und zertifizieren zusammen mit unseren Partnern ihr ISMS für den vorab definierten Geltungsbereich in der Kern- oder Standardabsicherung.
Betreiber kritischer Infrastrukturen (KRITIS) sind gem. § 8a Abs. 3 BSIG verpflichtet, alle zwei Jahre prüfen zu lassen, ob ihre IT-Sicherheit dem Stand der Technik entspricht. Dies betriff Organisationen und Einrichtungen aus folgenden Sektoren:
  • Energie mit Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
  • Verkehr mit Straßenverkehr, Schienenverkehr, Luftverkehr, Schifffahrt
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung IKT-Dienste
  • Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
  • Weltraum: Betreiber von Bodeninfrastrukturen
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Medizinprodukten, Diagnostika, Datenverarbeitungsgeräten, elektronische und optische Erzeugnisse, elektrischen Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste
  • Forschung
Wir prüfen die IT-Sicherheit Ihres Unternehmens in Zusammenarbeit mit unseren Partnern nach den Anforderungen des IT-Sicherheitsgesetzes und verifizieren, ob Ihre IT-Systeme, -Prozesse und -Komponenten dem Stand der Technik entsprechen.
Mehr erfahren über
Die Richtlinie für Tabakerzeugnisse (2014/40/EU) trat am 19. Mai 2014 in Kraft und wurde am 20. Mai 2016 in den EU-Mitgliedstaaten geltendes Recht. Sie enthält Vorschriften über die Herstellung, die Aufmachung und den Verkauf von Tabakerzeugnissen. Darin ist ebenfalls die Einführung für ein EU-weites System zur Überwachung und Rückverfolgung von Tabakprodukten zwecks Eindämmung des illegalen Handels mit Tabakerzeugnissen festgeschrieben.
Wir sind bei der EU gemeinsam mit unserem Partner als Prüfer gelistet und prüfen Ihr Unternehmen nach den Vorgaben aus 2014/40/EU sowie der weiterführenden Ausführungsbestimmungen.
Mit der Norm DIN EN 50600 wurde die erste europaweit geltende Norm verabschiedet, die umfassende Vorgaben für die Planung, den Neubau und den Betrieb eines Rechenzentrums definiert. Wesentliche Inhalte der Norm sind dabei folgenden Themen:
  • Allgemeine Konzeption
  • Gebäudekonstruktion
  • Stromversorgung
  • Regelung der Umgebungsbedingungen
  • Infrastruktur der Telekommunikationsverkabelung
  • Sicherungssysteme
  • Informationen für das Management und den Betrieb
  • Anforderungen an Leistungskennzahlen und Energie-bezogene Kennzahlen
RZ-Anbieter auf dem europäischen Markt werden von ihren Kunden zunehmend nicht nur nach der ISO 27001 Zertifizierung oder zusätzlich nach einem ISAE- oder SOC-Bericht gefragt, sondern auch nach der Zertifizierung der Konformität ihres Rechenzentrums nach DIN EN 50600.
Wir unterstützen Sie bei der Herstellung der Zertifizierungs-Readiness sowie bei der Zertifizierung ihres Rechenzentrums nach DIN EN 50600 oder dem darauf basierenden TSI-Standards.
Der Einsatz von Informationstechnik in Unternehmen des Finanzsektors hat eine zentrale Bedeutung und wird weiter an Bedeutung gewinnen. In mehreren fokussierten Verwaltungsanweisungen in Form von Rundschreiben hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jeweils konkrete Anforderungen definiert, die für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und der Unternehmens-Governance einzuhalten bzw. umzusetzen sind (BAIT, VAIT, KAIT, xAIT).
Wirtschaftsprüfer verifizieren im Rahmen ihrer Prüfungstätigkeiten die Einhaltung der Anforderungen, die sich aus den regulatorischen und gesetzlichen Vorgaben, z.B. Leitlinen EBA, ESMA, EIOPA, MaRiks, KaMaRisk, etc. sowie aus weiteren Konkretisierungen im Rahmen der xAIT ergeben.
Wir unterstützen unsere Berufskollegen bei risikobasierten IT-Prüfungen von Instituten und Unternehmen des Finanzsektors entlang der regulatorischen und gesetzlichen Vorgaben und unter Berücksichtigung des Proportionalitätsprinzips.

Sie betreiben ein Rechenzentrum
oder bieten Cloudlösungen an?
Eine Rechenzentrums-Zertifizierung ist der Schlüssel zur Sicherheit und Qualität Ihrer Dienstleistungen.

Hier erfahren Sie alles über die Zertifizierung von Rechenzentren und Cloud-Dienstleistern
AAELogo

AAE – Audit Advisory Evolution

Manuelle Prüfung war gestern!

AAE – Audit Advisory Evolution analysiert Ihre ERP-Systemdaten bedarfsgerecht nach Ihren individuellen Vorgaben ohne eine Begrenzung der Anzahl von Datensätzen.

Aus den Analyseergebnissen werden Erkenntnisse gewonnen, um

  • Fragen von Wirtschaftsprüfern im Rahmen von Jahresabschlussprüfungen zu beantworten
  • Managementbewertungen durchzuführen
  • Prozesse schnittstellenübergreifend zum Zweck der Optimierung zu visualisieren
  • Anomalien zu identifizieren
  • u.v.m.

AAE vereint eine vollständige und automatisierte digitale ERP-Datenprüfung mit einem zuverlässigen IT-Audit.
Manuelle Stichproben entfallen und das Prüfungsrisiko und die Prüfdauer werden signifikant reduziert. Die Analysedaten werden ansprechend in Dashboards visualisiert.

Höchste Sicherheitsstandards bei der Datenverarbeitung sind bei uns obligatorisch. Eigene Infrastruktur und Personal von Ihrer Seite sind nicht notwendig.

AAE beruht auf einer Business Intelligence kombiniert mit einem umfangreichen Testfragenkatalog, welcher gemeinsam mit Wirtschaftsprüfern entwickelt wurde.

Mit diesem Service von Securance-iAP wird Ihre Prüfung AAEinfach!

  • Slide: Was ist AAE?
  • Slide: Was ist das besondere an AAE?
  • Slide: Wie funktioniert AAE?
  • Slide: AAE Report (1)
  • Slide: AAE Report (2)
ZurückWeiter
12345
Link zu:IT-Sicherheit & Cyber Security

ITSecurityResilienz Leuchtturm gruen und weissIT-Sicherheit & Cyber Security

Link zu:Beratung

ITBeratungUndDataGovernance Gluehbirne gruenBeratung

Link zu:Beratung

Nachhaltigkeit Hand gruen web 250px

Nachhaltigkeit & ESG

Link zu:Beratung

DatenschutzLogo iAP Datenschutz

Sie haben Fragen? Wir haben Antworten!

Jetzt Kontakt aufnehmen