Services

IT Audit

Die Digitalisierung ist ein wichtiger Baustein für den Erfolg und das Wachstum eines Unternehmens. Es braucht Entschlossenheit, Weitsicht und Disziplin, um die traditionellen Abläufe in den Abteilungen aufzubrechen und digital zu verändern. Bei der Einführung neuer digitaler Lösungen – von großen ERP-Systemen bis zu kleinen webbasierten Tools – oder der Verbesserung bestehender Prozesse bedarf es eines starken Partners, der Sie bei diesem Vorhaben begleitet. Wir von Kleeberg unterstützen Sie bei Ihren digitalen Projekten und sichern passioniert die offenen Flanken zum Risiko, zur Compliance und zur IT-Sicherheit ab.

Beratungs- und Prüfungsansatz

Wir sind Gestalter, wir sind Prüfer. Wir bringen unser Wissen und unsere Erfahrung tatkräftig und ganzheitlich in Ihr Unternehmen und Ihr Projekt ein. Dabei verlieren wir einerseits das große Ganze nie aus den Augen, andererseits kümmern uns aber auch um die kleinen, wichtigen Details, um Ihr IT-System oder Ihren Geschäftsprozess auf stabile Füße zu stellen. Wir sind systemunabhängig und agieren mit größter Kompatibilität zur Aufgabenstellung. Ob Blockchain oder Belegverarbeitung, ob Robotic Process Automation (RPA) oder Verfahrensdokumentation, ob Tax Compliance oder User Management: Bei der Umsetzung Ihrer innovativen Digitalstrategie ist es unser oberstes Ziel, Ihnen die nötige prozessuale und rechtliche Sicherheit zu vermitteln. Wenn wir nicht bereits wissen, wo die Risiken liegen, finden wir sie und implementieren ein internes Kontrollsystem, um sie in den Griff zu kriegen.

Qualitätssicherung

Es ist unser eigener Anspruch, Ihnen gegenüber Bestleistung zu erbringen. Wir erreichen das, weil wir uns mit unseren Kolleginnen und Kollegen aus den anderen Fachbereichen Tax, Audit, Legal und Advisory in ständigem Austausch befinden und durch viele gemeinsame Projekte in unterschiedlichen Branchen einen großen Erfahrungsschatz aufbauen konnten. Wir verstehen Sie und ihr Business und können die Anforderungen, die Sie haben, in die IT-Welt transferieren. Die transparente Kommunikation ist eine unserer Schlüsselkompetenzen. Wir arbeiten agil und flexibel und lassen uns von den modernsten digitalen Tools genauso begeistern wie Sie.

Leistungsspektrum

Die Verarbeitung von Belegen wie z.B. Eingangsrechnungen muss stets den handels- und steuerrechtlichen Vorgaben entsprechen. Ein großer Vorteil ist, dass die Vorgaben technologieneutral gehalten sind. Der Einsatz bestimmter Systeme oder Techniken ist für Ihr Unternehmen also nicht vorgeschrieben.

Für eine gesetzeskonforme Ausgestaltung digitaler Belegverarbeitung geben die sog. GoBD den Takt vor. Die “Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff” beinhalten essentielle Vorgaben, an denen sich jeder Prozess auszurichten hat. Aber auch das Umsatzsteuergesetz enthält wichtige Vorgaben im Umgang mit (elektronischen) Rechnungen.

Hier finden Sie → weiterführende Informationen.

Die digitale Reisekostenabrechnung beschleunigt den trägen und papierlastigen Prozess im Unternehmen und erleichtert die Arbeit aller Beteiligten. Da die Erfassung und Verarbeitung der Reisekosten handels- und steuerrechtlich relevant ist, sind vor der Einrichtung und dem Betrieb wichtige Voraussetzungen zu klären.

Wir unterstützen Sie in Ihrem Projekt zur Digitalisierung der Reisekosten. Es geht um die Auswahl einer passenden Lösung und darum, wie die Belege in digitaler Form einzureichen sind und ob z.B. eine Aufbewahrung im Ausland möglich ist. Es gibt auch einiges zu beachten, wenn Reisekostenabrechnungen auf Dienstleister bzw. Portallösungen ausgelagert werden.

Hier finden Sie → weiterführende Informationen.

Unternehmen müssen heutzutage flexibel agieren. Aus diesem Grund lagern sie wichtige Funktionen und Geschäftsprozesse auf Dienstleister aus, die sich spezialisiert haben und ihre Leistungen kostensparend und effizient anbieten (Outsourcing). Neben klassischen Dienstleistungen wie Lohnbuchhaltung oder Logistik gewinnen IT- und digitale Dienstleistungen über die Cloud wie z.B. Hosting/Housing, Betrieb des ERP-Systems oder Reisekostenplattformen an Bedeutung.

Dem Dienstleister kommt eine hohe Bedeutung zu. Denn die Unternehmen können zwar (Teil-)Prozesse auslagern, nicht jedoch die Verantwortung für die Ordnungsmäßigkeit und die Sicherheit der ausgelagerten Abläufe abgeben. Der Dienstleister muss daher vertrauenswürdig gegenüber den auslagernden Unternehmen sein. Und Vertrauen kann man nur mit einem hohen Maß an Transparenz gewinnen und erhalten. Für diesen Zweck gibt es die Audits nach ISAE 3402 und IDW PS 951.

Wir verfügen über eine langjährige Expertise bei Prüfungen nach ISAE 3402 und IDW PS 951. Interne Kontrollsysteme sind unsere Steckenpferde. Wir beraten Sie kompetent beim Aufbau und der Implementierung Ihres internen Kontrollsystems. Unsere Prüfungen führen wir mit modernen digitalen Tools zeit- und ressourcenschonend und auf Wunsch selbstverständlich auch per Videokonferenz durch.

Hier finden Sie → weiterführende Informationen.

Die Verfahrensdokumentation wird mittlerweile in jeder Betriebsprüfung angefordert. Aufgrund komplexer steuerrelevanter Prozesse wie der Anbindung von Webshops, Kassensystemen oder der Verarbeitung elektronischer Rechnungen ist dies ein nachvollziehbarer Schritt. Schließlich muss sich der Betriebsprüfer in angemessener Zeit einen Überblick über die verwendeten Systeme bilden, um zielgerichtet prüfen zu können. Kann keine Verfahrensdokumentation vorgelegt werden, wirkt sich dies negativ auf die Prüfungsatmosphäre und die Ergebnisse aus. Im schlimmsten Fall drohen das Verwerfen der Buchführung und Hinzuschätzungen. Wir machen Sie fit für die Betriebsprüfung, damit Sie das Thema Verfahrensdokumentation beruhigt abhaken können.

Dabei verfügen die Unternehmen meist über Dokumentationen wie Arbeitsanweisungen, Benutzerhandbücher, technische Handbücher oder Prozessbeschreibungen ihrer wesentlichen Abläufe. Diese sind nur noch nicht unter dem einheitlichen Begriff einer Verfahrensdokumentation zusammengefasst. Mit der professionellen Unterstützung unserer IT-Experten erfolgt der Aufbau einer Verfahrensdokumentation in fünf standardisierten Schritten.

Hier finden Sie → weiterführende Informationen.

Unternehmen haben die Chance, einen möglichen Vorwurf des Vorsatzes oder der Leichtfertigkeit bei der Verletzung ihrer steuerlichen Pflichten zu entkräften, wenn sie ein sogenanntes innerbetriebliches Kontrollsystem (internes Kontrollsystem) eingerichtet haben – man verwendet in diesem Zusammenhang auch den Begriff Tax Compliance Management System (Tax CMS). Dazu sind steuerliche Risiken zu identifizieren und geeignete, bei Bedarf auch IT-gestützte Maßnahmen zur Steuerung zu implementieren.

Ziel ist dabei stets die Einreichung fristgerechter und richtiger Steuererklärungen und die Erfüllung der übrigen steuerlichen Pflichten, ohne dabei den rechtlich zulässigen Gestaltungsspielraum aus den Augen zu verlieren.

Für die Unternehmen ist ein Tax CMS ist ein unabdingbares Instrument, um steuerliche Risiken zu steuern. Ein Tax Compliance Management-Projekt darf aber nicht nur aus dem Blickwinkel der Finanzverwaltung gesehen werden. Schließlich soll es auch einen Mehrwert für das Unternehmen bringen.

Ein großer Treiber für ein funktionierendes Tax CMS ist deshalb auch die Steueroptimierung aus Sicht des Unternehmens und das Erreichen dieses Ziels durch einen hohen Standardisierungs- und Automatisierungsgrad.

  • Wir unterstützen Sie und Ihr Unternehmen ein funktionierendes Tax Compliance Management System zu implementieren.
  • Damit wir Ihnen unsere Leistungen in bester und effektiver Qualität anbieten können, arbeiten wir Hand in Hand mit unseren Experten von unserer IT-Audit.
  • Sofern Sie bereits ein Tax Compliance Management System vorweisen können, unterstützen wir Sie durch ein Audit. Dies gibt Ihnen die Sicherheit, dass die eingerichteten Prozesse angemessen und wirksam sind und Sie sich weiterhin darauf verlassen können.

Hier finden Sie → weiterführende Informationen.

Eine funktionierende IT ist für Ihr Unternehmen essentiell. Ausfälle oder Fehler in Abläufen können Sie sich nicht erlauben. Die IT hat nicht nur unterstützende Funktion! Der Anspruch: “Die IT muss einfach laufen!” genügt nicht mehr. Die IT ist die treibende Kraft im Unternehmen. Genau wie in den anderen Abteilungen Ihres Unternehmens gilt es, Risiken zu erkennen und zu beherrschen.

Es handelt sich meist um komplexe Themen wie Berechtigungen, Datensicherungen oder Schnittstellen. Die Erkenntnisse aus einem Audit helfen nicht nur dem → Abschlussprüfer im Rahmen seiner Abschlussprüfung, vielmehr dient es Ihrem Unternehmen als Gradmesser und zeigt Stärken und Schwächen auf.

Unser IT Audit orientiert sich am Prüfungsstandard 330 des Instituts der Wirtschaftsprüfer (IDW PS 330) und umfasst grundsätzlich die Bereiche

  • IT-Strategie und IT-Organisation
  • IT-Umfeld
  • IT-Infrastruktur mit den Teilbereichen “Physischer Schutz”, “Logische Zugriffskontrollen”, “Datensicherungen” und “Notfallkonzept”
  • IT-Anwendungen
  • IT-gestützte Geschäftsprozesse
  • IT-Überwachung und
  • IT-Outsourcing

Wir legen großen Wert darauf, unsere Ergebnisse adressatengerecht zu kommunizieren. Dabei zeigen wir nicht nur Schwachstellen auf, sondern geben Handlungsempfehlungen zur raschen Umsetzung und Verbesserung.

Hier finden Sie → weiterführende Informationen.
Berufskollegen unterstützen wir gerne → hier.

Software-Bescheinigungen richten sich an Softwarehersteller, die von unabhängiger Stelle die Funktionalität ihrer Software bescheinigen lassen möchten, um damit am Markt kompetent aufzutreten. Natürlich stehen hier zunächst Finanzbuchhaltungssysteme im Fokus, die hohen rechtlichen Anforderungen unterliegen.

Interessant sind Software-Audits aber auch für andere Systeme, wie z. B. Dokumentenmanagement- bzw. Archivsysteme, denen die Aufbewahrung rechnungslegungsrelevanter Unterlagen anvertraut wird. Hier gilt es nicht nur, die Dokumente unverändert abzulegen, sondern diesen Zustand auch für eine lange Zeit zu gewährleisten.

Ein weiteres aktuelles Beispiel für Software-Audits sind Kassensysteme. Diese müssen für den ordnungsmäßigen Einsatz mit einem wirksamen technischen Schutz gegen Manipulation ausgerüstet werden. Für solche Zwecke wird die neue Blockchain-Technologie zum Einsatz kommen, die die einzelnen Kassentransaktionen nachweislich unveränderbar macht.

Software-Audits sind an keine bestimmte Branche gebunden. Deshalb kommen auch Apps infrage, die besonderen Wert auf Zuverlässigkeit oder Vertraulichkeit legen, wie z.B. für Messaging oder FinTech-Transaktionen. Gerade Start-Ups können davon profitieren.

Lassen Sie uns gemeinsam überlegen, ob ein Software-Audit für Ihr Produkt sinnvoll ist.

Hier finden Sie → weiterführende Informationen.

Cyber Security erfordert deshalb einen ganzheitlichen Ansatz im Unternehmen. Längst entstehen Bedrohungen nicht nur auf der technischen Ebene. Und sie betreffen nicht nur die IT-Abteilung. Cyber Security ist ein globales Unternehmensrisiko, das in allen Unternehmensbereichen, in allen Abteilungen und zu jeder Zeit präsent ist. Es ist die Aufgabe der Unternehmensführung, den Ton vorzugeben.

Jedes IT-System muss individuell bewertet und geschützt werden. In einem Cyber Security Assessment analysieren wir in Ihrem Unternehmen die aktuelle IT-Situation und zeigen in insgesamt 13 Domains prozessuale Schwachstellen auf. Dabei gehen wir mit höchster Sensibilität und Professionalität vor. Den ermittelten Reifegrad gleichen wir mit unserem Sollkonzept ab und bilden daraus Handlungsempfehlungen für Sie. Mit unserem Assessment können Entscheidungsträger das IT-Sicherheitsmanagement besser an den Geschäftszielen ausrichten. Die IT-Sicherheit wird insgesamt flexibler, skalierbarer und leistungsfähiger. Bedrohungen werden gebannt, bevor etwas passiert.

Hier finden Sie → weiterführende Informationen.

Der Begriff “Due Diligence” wird meist im Zusammenhang mit Unternehmenskäufen verwendet. Dabei werden die rechtlichen und finanziellen Verhältnisse eines Unternehmens mit der “gebotenen Sorgfalt” einer Risikoanalyse unterzogen. Die klassischen Bestandteile einer Due Diligence sind Finanzen, Recht und Steuern. Doch damit würde man nicht alles abdecken: Mit einer “IT Due Diligence” lassen sich die Chancen und Risiken innerhalb der IT des Unternehmens prüfen. Wesentliche Bestandteile sind:

  • Zukunftsfähigkeit der bestehenden IT-Infrastruktur und -Organisation
  • Komplexität der IT-Prozesse
  • Anwendungsentwicklung (Software Development Life Cycle, SDLC)
  • Prozesssicherheit innerhalb der IT-Anwendungen
  • Sicherheit der IT-Systeme
  • Datenschutzkonformität der IT-Systeme
  • Change Management
  • Lizenzmanagement
  • Open Source Management: Gerade, wenn selbstentwickelte Software ein großer Faktor beim Unternehmenskauf ist, spielt der Umgang mit Open Source Software, deren Verwendung oft kostenlos, aber nicht frei von bestimmten Verpflichtungen ist, eine zentrale Rolle im Rahmen einer IT Due Diligence.

Im Rahmen einer IT Due Diligence greifen die Experten der Crowe Kleeberg IT Audit auf einen standardisierten und erprobten Fragenkatalog zurück, mit dem eine rasche Ermittlung von Red Flags erfolgen kann.

Hier finden Sie → weiterführende Informationen.

Wir analysieren Ihre bestehenden IT-Geschäftsprozesse und decken Ineffizienzen und Schwachstellen auf. Im Hinblick auf eine fortschreitende Digitalisierung in Ihrem Unternehmen zeigen wir Ihnen, wie sich verborgene Potentiale heben und Prozesse verbessern lassen.

Natürlich haben wir auch die rechtliche Seite im Blick. Bei unseren Audits messen wir Ihre Prozesse an den geltenden Rechnungslegungsvorschriften und steuerlichen Vorgaben. Aber auch die Erfüllung der Anforderungen des IT-Sicherheitsgesetzes oder der EU-Datenschutzgrundverordnung wird bei unserem Audit analysiert. Aufgrund wachsender branchenspezifischer Anforderungen gewinnt auch die Konformität Ihrer Prozesse oder IT-Systeme mit Industrie-Standards, ISO-Normen oder allgemein anerkannten  Frameworks wie COSO oder COBIT zusehends an Bedeutung.

Hier finden Sie → weiterführende Informationen.

Was wäre Digitalisierung ohne Daten? Die Daten sind das Gold unserer Zeit. Dabei sind es nicht mehr nur Suchmaschinen, die mit ihrem Big Data-Vorrat einen Blick in die Zukunft werfen. Selbst die ERP-Systeme im Unternehmen wickeln die Prozesse heutzutage nicht mehr ab, ohne Unmengen an Daten für jeden Vorgang, jeden Prozessschritt zu produzieren. Diese Daten dokumentieren Geschehenes und lassen damit umfangreiche Analysen zu, um Schwächen im internen Kontrollsystem, fehlerhafte Abläufe im Prozess/bei Schnittstellen, betrügerische Handlungen im Unternehmen und zukünftige Entwicklungen (Predictive Analysis) aufzudecken.

Mit unseren Datenanalyse- und Process Mining-Tools unterstützen wir die Unternehmen bei der Auswertung und Optimierung ihrer Kernprozesse wie Einkauf oder Verkauf oder ihren Berechtigungskonzepten. Wir unterstützen auch unsere → Berufskollegen mit Datenanalysen im Rahmen einer Jahresabschlussprüfung oder einer internen Revision und werten Prozessflüsse, kritische Berechtigungen oder Funktionstrennungskonflikte aus.

Hier finden Sie → weiterführende Informationen.

Datenanalyse eignet sich zur Aufdeckung und zum Nachvollziehen betrügerischer Handlungen im Unternehmen. Schwächen im internen Kontrollsystem, eingeschliffene Abläufe und eine langjährige Vertrauensstellung eröffnen oftmals eine Gelegenheit, die zusammen mit einem Motiv und einer persönlichen Rechtfertigung dem Unternehmen finanziellen Schaden zufügt oder die Reputation zerstört. Doch in den allermeisten Fällen hinterlassen solche Vorgänge digitale Spuren in den Systemen, die wir mittels Datenanalysen auf Auffälligkeiten hin untersuchen.

Hier finden Sie → weiterführende Informationen.

Eine gut funktionierende Benutzerverwaltung (User Management) ist der Grundstein für den Zugang zu einem IT-System. Im Unternehmen sollte daher ein standardisierter Prozess zur Anlage und zum Löschen von Benutzern (Usern) eingerichtet sein, bei dem die Personalabteilung involviert ist. Die Anmeldung am System sollte hohen Sicherheitsanforderungen wie z. B. einem starken Passwort oder einer Zwei-Faktor-Authentifizierung genügen.

Berechtigungen steuern den Zugriff auf die Daten in einem System. Dem Schutz dieser Daten kommt zentrale Bedeutung zu. Deshalb sind auch hier ein geregelter Prozess zur Ausgestaltung von Rollen und Rechten sowie ein dokumentiertes Berechtigungskonzept sinnvoll (Access Management).

Die Experten der Crowe Kleeberg IT Audit durchleuchten das User Management und das Access Management in Ihrem Unternehmen. Wir zeigen Schwachstellen im Prozess auf und untersuchen die einzelnen Rechte mittels Datenanalyse. Dabei prüfen wir auch die Einhaltung einer Funktionstrennung und damit die Vereinbarkeit von Funktionen im Unternehmen. Insbesondere achten wir darauf, dass operative Funktionen nicht mit kontrollierenden Funktionen kombiniert sind. Beispielsweise sollte die Bestellung (operativ) und der dazugehörige Wareneingang (kontrollierend) nicht von der selben Person erfasst werden.

Hier finden Sie → weiterführende Informationen.

Seit dem 25. Mai 2018 gelten die Regelungen der EU-Datenschutzgrundverordnung (EU-DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu). Obwohl die Regelungen hierzu grundsätzlich nichts Neues sind, bringt insbesondere der deutlich angehobene Strafenkatalog bei Missachtung die Unternehmen dazu, ihre datenschutzrechtliche Situation auf einen aktuellen Stand zu bringen.

Beim heiklen Thema Datenschutz will man alles richtig machen. Kleeberg ist Ihr kompetenter Partner. Gemeinsam mit unseren IT- und Rechtsexperten bilden wir ein unschlagbares Team, um die (IT-)Prozesse in Ihrem Unternehmen zu verstehen und richtig beurteilen zu können.

Hier finden Sie → weiterführende Informationen.

Themen

Ihre Ansprechpartner für IT Audit