Kontakt
Kontakt

Kategorie: Uncategorized

Der ISA [DE] 315 (2019 revised) ist für den Prüfungszeitraum 2023 anzuwenden – was ändert sich?

Die Finanzberichterstattungsrahmen und die Governance-Strukturen werden immer komplexer, und die Technologie spielt eine zunehmend wichtige Rolle in der Kontrollumgebung von Unternehmen. Diese Veränderungen erfordern einen umfassenderen und konsequenten Prozess zur Identifikation und Bewertung von Risiken.

Wirtschaftsprüfer/innen spielen bei der Sicherstellung von Qualität und Vertrauen in die Finanzberichterstattung von Unternehmen eine entscheidende Rolle. Ein zentraler Aspekt der Jahresabschlussprüfung besteht darin, ausreichende Prüfungshandlungen durchzuführen, um geeignete Prüfnachweise und Prüfungssicherheit zu erhalten und die Risiken wesentlicher Fehlern und Falschdarstellungen in der Rechnungslegung einschätzen bzw. ausschließen zu können.

Das International Auditing and Assurance Standards Board („IAASB“) hat eine überarbeitete, internationale Version des Prüfungsstandards ISA 315 im Dezember 2019 herausgegeben. Der deutsche Standard ISA [DE] 315 (2019 revised) wurde durch das Institut der Wirtschaftsprüfer (IDW) überarbeitet und in Heft 6/2022 der IDW Life veröffentlicht.

Was ist das Ziel des neuen Standards?

Die Überarbeitung der ISA 315 zielte darauf ab, einen systematischeren Prozess der Identifikation und Bewertung von Risiken zu fördern, was wiederum zu besseren Reaktionen auf die identifizierten Risiken führt und die Prüfungshandlungen des Wirtschaftsprüfers auf die Behandlung und Bewertung dieser Risiken fokussiert. Der bisherige Standard berücksichtigte zudem nicht den Einsatz von automatisierten Tools und Techniken und führt spezifische Leitlinien zur Verwendung automatisierter Tools und Techniken durch Wirtschaftsprüfer ein.

Der neue Standard zielt darauf ab:

  • Die Herangehensweise der Wirtschaftsprüfer an das Verständnis des Unternehmens, des Geschäftsmodells, der Branche und des Umfeld sowie der Aktivitäten zum internen Risikomanagement und Überwachung des IKS zu schärfen und bei der Risikoidentifikation und -bewertung zu berücksichtigen.
  • Den Standard flexibler zu gestalten, indem prinzipienbasierte Anforderungen überarbeitet und spezifische Überlegungen sowie Beispiele in den Anwendungshinweisen für weniger komplexe und komplexere Unternehmen aufgenommen werden und diesen auch für KMUs anwendbar zu machen.
  • Die Anwendung des Standards durch Wirtschaftsprüfer zu unterstützen, indem die Anwendungshinweise verbessert werden.

Der überarbeitete Standard gilt für Perioden, die am oder nach dem 15. Dezember 2021 beginnen.

Hauptänderungen

  • Zahlreiche Begriff werden neu eingeführt bzw. im Vergleich zum IDW PS 330 synonym neu definiert. Dazu gehören beispielsweise „bedeutende Arten von Geschäftsvorfällen, Kontensalden sowie Abschlussangaben (EN: „SCOTABD – Significant classes of transactions, account balances or disclosures“), „Risiken, die aus dem Einsatz von IT resultieren“ (EN: „RAIT – Risks arising from the use of IT“) oder auch „Kontrollaktivitäten über Journalbuchungen“ (EN: „JEC – Journal Entry Controls“), um nur einige zu nennen.
  • Eine verstärkte Betonung der professionellen Skepsis. Insbesondere wird verlangt, alle aus den Risikobewertungsverfahren gewonnenen Beweise, ob bestätigend oder widersprüchlich, zu berücksichtigen und zu bewerten, ob diese eine angemessene Grundlage für die Risikobewertung bieten. Die Dokumentation kann dabei auch die Art und Weise enthalten, wie der Wirtschaftsprüfer die Beweise bewertet hat.
  • Einführung eines neuen Spektrums von Risiken, bei denen sich am oberen Ende erhebliche Risiken befinden. Dies soll dazu führen, dass gezielter auf identifizierte Risiken reagiert wird.
  • Die separate Bewertung des inhärenten Risikos und des Kontrollrisikos sowie die Einführung von fünf neuen Faktoren des inhärenten Risikos zur Unterstützung der Risikobewertung: Subjektivität, Komplexität, Unsicherheit, Veränderung und Anfälligkeit für Fehler aufgrund von Management-Bias oder Betrug.
  • Die Erweiterung des Standards um Überlegungen der Wirtschaftsprüfer in Bezug auf IT, einschließlich neuer und aktualisierter Anhänge zur Verständnis der IT und der IT-allgemeinen Kontrollen. Wirtschaftsprüfer müssen ein Verständnis für Informationsverarbeitungsaktivitäten gewinnen und Risiken identifizieren, die aus der Nutzung von IT resultieren. Der Standard ermöglicht es Wirtschaftsprüfern, automatisierte Tools zur direkten Informationsbeschaffung oder zum digitalen Download aus den Informationssystemen des Unternehmens zu verwenden.
  • Es wird konkretisiert, welche IT-Systeme (neu: Informationssysteme) und allgemeinen IT-Kontrollen (GITC) und indirekte Kontrollen zu prüfen sind, um die Wirksamkeit von direkten Kontrollen, die auf ein Prüfungsrisiko wirken, zu bewerten.
  • Die Überarbeitung des Begriffs „Interne Kontrolle“ zu „System der internen Kontrollen des Unternehmens“. Darunter fallen Kontrollen, die ein erhebliches Risiko ansprechen, Kontrollen über Buchungssätze, Kontrollen, die der Wirtschaftsprüfer auf Wirksamkeit testen möchte sowie andere Kontrollen, die der Wirtschaftsprüfer für angemessen hält. Eine wichtige Aufgabe des Managements besteht darin, ein System der internen Kontrollen zu etablieren und aufrechtzuerhalten. Der Wirtschaftsprüfer muss das Design jeder für die Prüfung relevanten Kontrolle prüfen und sicherstellen, dass sie ordnungsgemäß umgesetzt wurde.

Dieser Standard wird damit zu einer Erhöhung der Qualität der Prüfung durch die Prüfungsteams führen, erhöht jedoch den Anspruch an das Verständnis des Unternehmensumfelds und der Informationsverarbeitungsprozesse und deren Abbildung in den IT-Systemen und des eingerichteten Kontrollsystems.

Kleinere und mittelgroße Kanzleien müssen ihr Vorgehen, insbesondere zu Risikoerfassung, der Reaktion auf diese und die Dokumentation der Prüfungsstrategie anpassen und ihre Prüfungsteams auf die Anwendung der Vorgehensweise nach dem ISA [DE] 315 (2019 revised) schulen.

Interne Revision: Leitfaden zu Grundlagen der IT-Revision ist in der 2. Auflage verfügbar

Sechs Jahre sind vergangen seit unsere Fachgruppe IT-Revision der ISACA den Leitfaden zu den Grundlagen der IT-Revision herausgegeben hat.

Geänderte Vorgaben, neue Themen wie Blockchain und Kryptowährungen, die fortschreitende Digitalisierung und nicht zuletzt die Corona-Pandemie haben für die Revision viele neue Fragen aufgeworfen. Der Anspruch des Autorenteams der ISACA-Fachgruppe IT-Revision war es daher, den vorliegenden Leitfaden hinsichtlich der Änderungen bei wichtigen Vorgaben, aber auch bei Veränderungen in den Grundlagen zu aktualisieren und anzupassen.

Der aktualisierte Leitfaden kann hier heruntergeladen werden.

Der Leitfaden wurde in Zusammenarbeit von internen Revisoren, erfahrene Berater und Kollegen aus Wissenschaft und Lehre erstellt bzw. aktualisiert.

Autorenteam (alphabetisch):

  • Dr. Karlheinz Ahlers, CISA, 1. und 2. Auflage
  • Markus Bank, CISA, 1. und 2. Auflage
  • Axel Dors, CISA, 1. und 2. Auflage
  • Torsten Enk, CISA, CDPSE, 1. und 2. Auflage
  • Sebastian Grüneberg, CISA, CISM, 2. Auflage
  • Jochen Hartmann, CISA, CISM, 1. Auflage
  • Ralf Herter, 1. und 2. Auflage
  • Ingrid Dubois, 1. Auflage
  • Prof. Matthias Knoll, CISA, 1. und 2. Auflage
  • Christian Lossos, 2. Auflage
  • Wolf-Rüdiger Mertens, CIA, CISA, CISSP,
  • Torsten Meyer, CISA, 1. und 2. Auflage
  • Patrick Schwieder, 2. Auflage
  • Stefanie Schmidt, CIA, CISA, 2. Auflage
  • Simon Scribelka, CISA, 2. Auflage
  • Dr. Dirk Silkenbäumer, CISA, 2. Auflage

Vielen Dank auf diesem Weg an unser engagiertes Team der Fachgruppe IT-Revision.

Gesetze und Verordnungen: DORA – Digital Operational Resilience Act

Die Europäische Kommission hat im September 2020 einen Vorschlag für eine Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors vorgelegt, der gemeinhin als Digital Operational Resilience Act (DORA) bezeichnet wird.

Das Gesetz über die digitale operationelle Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) fördert ein gemeinsames Paket von Regeln und Standards, um die Risiken der Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen zu mindern. Eines der Ziele von DORA ist es, eine zunehmende Fragmentierung der für das IKT-Risikomanagement geltenden Vorschriften zu verhindern.

Darüber hinaus ist die Europäische Kommission der Ansicht, dass die Finanzunternehmen, die in den Anwendungsbereich von DORA fallen, nicht alle gleichermaßen IKT-Risiken ausgesetzt sind. Vielmehr können verschiedene Faktoren wie die Größe eines Unternehmens, seine Funktionen oder sein Geschäftsprofil seine Gefährdung durch IKT-Risiken beeinflussen.

Über DORA – Digital Operational Resilience Act

Der Digital Operational Resilience Act wird in der gesamten Europäischen Union (EU) direkt gelten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Damit wird zum ersten Mal eine einheitliche Anwendung von Grundsätzen und Regeln für das IKT-Risikomanagement im Finanzsektor erreicht.

Die Verordnung wird voraussichtlich Ende 2024 in Kraft treten, vorbehaltlich der Annahme von Stufe-2-Maßnahmen. Das Stufe-2-Mandat ist im Zusammenhang mit DORA wichtig, da bestimmte kritische Elemente abgedeckt werden sollen (z. B. RTS zu IKT-Vorfällen und zur Klassifizierung von Cyber-Bedrohungen, RTS zur Meldung größerer IKT- und Cyber-Vorfälle an die Behörden, RTS zu wichtigen Vertragsbestimmungen).

Die fünf Säulen von DORA

1. DORA und IKT-Risikomanagement

Die Finanzunternehmen müssen über interne Verwaltungs- und Kontrollrahmen verfügen, die ein wirksames und umsichtiges Management aller IKT-Risiken[1] gewährleisten, um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen.

Die Finanzunternehmen müssen darauf vorbereitet sein, Risiken zu managen, die insbesondere von der Entscheidung über die Erbringung von Dienstleistungen bis hin zur Mitteilung eines potenziellen größeren IKT-bezogenen Vorfalls reichen. Die Einhaltung aller IKT-Risikomanagementverpflichtungen wird jedoch vom Profil des Unternehmens abhängen. DORA ermöglicht es kleinen und nicht miteinander vernetzten Akteuren, einen vereinfachten IKT-Risikomanagement-Rahmen einzuhalten.

2. Prävention von IKT-Risiken im Rahmen von DORA

Als Teil ihres Rahmens für die Steuerung und Kontrolle von IKT-Risiken müssen die Finanzunternehmen aktualisierte Systeme, Protokolle und Instrumente verwenden und pflegen. Außerdem müssen sie alle IKT-bezogenen Geschäftsfunktionen, Risiken, Systemkonten sowie alle Prozesse, die von IKT-Drittanbietern abhängig sind, identifizieren, klassifizieren und angemessen dokumentieren.

Die Umsetzung von Sicherheitsstrategien, -richtlinien und -protokollen mit dem Ziel, die Widerstandsfähigkeit und Kontinuität von IKT-Systemen zu gewährleisten, ist ebenfalls von zentraler Bedeutung für den Schutz und die Prävention von IKT-Risiken. Die DORA verlangt daher von den Finanzunternehmen, dass sie geeignete Sicherheitsstrategien und -maßnahmen entwickeln, beschaffen und umsetzen und in der Lage sind, anomale Aktivitäten zu erkennen.

3. Kontinuität und effiziente Wiederherstellung unter DORA

Das Digital Operational Resilience Act enthält die Verpflichtung, eine spezielle und umfassende IKT-Business-Continuity-Strategie einzuführen, die ein integraler Bestandteil der operativen Business-Continuity-Strategie der Finanzunternehmen ist. Eine solche Politik sollte insbesondere darauf abzielen, Schäden durch Zwischenfälle zu begrenzen und die Kontinuität der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen.

Um eine effiziente Wiederherstellung der IKT-Systeme und eine Begrenzung der Auswirkungen von Störungen zu gewährleisten, müssen die Finanzunternehmen auch Backup-Strategien und Wiederherstellungsmethoden entwickeln.

Im Falle erheblicher IKT-Störungen müssen die Finanzunternehmen Vorfallprüfungen durchführen, um die Ursachen zu analysieren und Verbesserungen zu ermitteln.

4. Meldung von IKT-bezogenen Vorfällen gemäß DORA

Als Teil ihres Prozesses zum Management von IKT-bezogenen Vorfällen müssen Finanzunternehmen einen Managementprozess zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen definieren, einrichten und umsetzen.

IKT-bezogene Vorfälle werden klassifiziert, und die Finanzinstitute müssen die Auswirkungen eines jeden Vorfalls bestimmen. Zu diesem Zweck müssen die Finanzinstitute Folgendes berücksichtigen

  • Die Anzahl der von einem Vorfall betroffenen Nutzer/Finanzkontrahenten
    • Die Dauer des Vorfalls
    • Die geografische Ausbreitung
    • die Datenverluste, die der Vorfall mit sich bringt
    • die Kritikalität der betroffenen Dienste
    • die wirtschaftlichen Auswirkungen

Größere IKT-bezogene Vorfälle müssen der zuständigen Behörde unter Verwendung standardisierter Meldeformulare zeitnah gemeldet werden.

5. Prüfung der digitalen operativen Belastbarkeit

Als Teil des Rahmens für das IKT-Risikomanagement müssen die Finanzinstitute ein solides und umfassendes Testprogramm für die digitale operationelle Belastbarkeit einrichten, aufrechterhalten und regelmäßig überprüfen. Ziel ist es, Schwachstellen, Mängel oder Lücken in ihrer digitalen operativen Belastbarkeit zu bewerten und zu ermitteln und in der Lage zu sein, umgehend Korrekturmaßnahmen zu ergreifen.

Die IKT-Systeme und -Werkzeuge werden regelmäßigen Tests und erweiterten Tests unterzogen, die von unabhängigen Parteien (intern oder extern) durchgeführt werden. Die Häufigkeit dieser Tests kann je nach Risikoprofil und Umständen des betreffenden Finanzinstituts variieren.

Management von IKT-Drittrisiken

Das Management von IKT-Drittrisiken ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

DORA definiert eine Reihe von Schlüsselprinzipien für Finanzunternehmen, um ein solides Management von IKT-Drittrisiken zu erreichen und eine solide Vertragsbeziehung mit IKT-Drittdienstleistern einzugehen.

Das Digital Operational Resilience Act enthält Elemente, die sich auf die Auswahl von IKT-Drittdienstleistern (mit vorheriger Due Diligence), wichtige Vertragsbestimmungen, die in Vereinbarungen mit IKT-Drittdienstleistern enthalten sein müssen (einschließlich Kündigungsereignisse und Ausstiegsstrategien), sowie laufende Kontrollen und die Aufsicht über kritische IKT-Drittdienstleister beziehen.

Informationsaustausch im Rahmen von DORA

DORA fördert Vereinbarungen zum Informationsaustausch zwischen Finanzunternehmen, um die digitale operative Widerstandsfähigkeit zu verbessern, insbesondere durch die Sensibilisierung für Informationen und Erkenntnisse über Cyber-Bedrohungen, einschließlich Indikatoren für eine Kompromittierung, Taktiken und Cybersicherheitswarnungen.

Vereinbarungen über den Informationsaustausch müssen zwischen vertrauenswürdigen Gemeinschaften von Finanzunternehmen geschlossen werden und die Sensibilität der ausgetauschten Informationen schützen, wobei die geltenden Vertraulichkeitsregeln und die Grundsätze des Schutzes personenbezogener Daten einzuhalten sind.

Auswirkungen von DORA auf die Branche

DORA ist ein integraler Bestandteil des digitalen Finanzpakets. Die Finanzunternehmen müssen die Bestimmungen und Anforderungen der DORA innerhalb von 24 Monaten nach Inkrafttreten der Verordnung erfüllen. Das Management von Cybersicherheitsrisiken wird sich mit der harmonisierten und allgemeinen Anwendung der DORA-Anforderungen und des Verhaltenskodexes zweifelsohne verbessern und an Reife gewinnen.  

Um alle in der Verordnung festgelegten Anforderungen zu erfüllen, müssen die Finanzunternehmen ihre bestehenden Verfahren, Instrumente und Standardpraktiken in Bezug auf das IKT-Risikomanagement und die Einbeziehung von IKT-Drittdienstleistern umfassend bewerten.

Welche Firmen sind von DORA betroffen?

Zu den Firmen, die in den Geltungsbereich von DORA fallen, gehören:

  • Kreditinstitute, Zahlungsinstitute, E-Geld-Institute,
  • Wertpapierfirmen und Wertpapierverwahrer
  • Anbieter von Krypto-Asset-Dienstleistungen
  • Handelsplattformen
  • Verwalter von alternativen Investmentfonds und Verwaltungsgesellschaften
  • Anbieter von Datenübermittlungsdiensten
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungs-, Rückversicherungs- und Versicherungsnebenkostenvermittler
  • Einrichtungen der betrieblichen Altersversorgung
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter kritischer Benchmarks
  • Anbieter von Crowdfunding-Dienstleistungen

Standpunkt der Wertpapierdienste

DORA ist ein wichtiger Baustein in der Entwicklung der Finanzmärkte hin zur Digitalisierung. Die europäischen Finanzmärkte für das digitale Zeitalter fit zu machen, bedeutet, dass angemessene Schutzvorkehrungen getroffen werden sollten, um einen soliden Markt zu fördern und allen Teilnehmern, die an der digitalen Revolution teilhaben wollen, Sicherheit und Vertrauen zu geben.

Daher werden die in der DORA enthaltenen Regeln wahrscheinlich ein Gleichgewicht zwischen der ständig zunehmenden Gefährdung durch IKT-Risiken und Cyber-Bedrohungen schaffen, die sich aus der wachsenden Abhängigkeit von der Technologie ergeben.  

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.