IT-Compliance
Handels- und steuerrechtliche Anforderungen
Die handels- und steuerrechtlichen Anforderungen das IT –Management, IT- Service Prozesse sowie Anwendungen und Systeme sind haben ihren Ursprung in den einschlägigen Gesetzen, wie beispielsweise Handelsgesetzbuch (HGB) und Aktiengesetz (AktG) sowie Abgabenordnung (AO), und Umsatzsteuergesetz (UstG), und werden durch Verordnungen sowie Stellungsnahmen etc. konkretisiert.
Vorrangig sind für die IT die Anforderungen des Fachausschusses für Informationstechnik (FAIT) sowie Prüfungsstandard des Instituts für Wirtschaftsprüfer (IDW) , wie die Prüfungsstandards PS 330,PS 850, PS 880 und PS 951 sowie die Rundschreiben des Bundesministeriums für Finanzen (BMF- Schreiben), hier insbesondere GoBS sowie GDPdU dargestellt. Nennenswert sind an dieser Stelle ebenfalls das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)“ sowie die Umsetzung der 8. EU Richtlinie durch das „Bilanzmodernisierungsgesetz (BilMog)“.
Darüber hinaus gibt es weitergehende oder bedarfsweise zu berücksichtigende handels- und steuerrechtliche Anforderungen, die im Rahmen von IT-Compliance Projekten erhoben und auf Ihre Relevanz und Anwendbarkeit beurteilt werden.
Durch unsere interdisziplinäre Zusammenarbeit mit unseren Wirtschaftsprüfer*innen und Steuerberater*innen unterstützen wir unsere Mandant*innen regelmäßig in besonderen Fragestellungen und Neuerungen im Feld der handels- und steuerrechtlichen Anforderungen, beispielsweis als Folge der Jahressteuergesetze.
In vielfältigen Projekten sind wir unseren Mandant*innen behilflich:
- in der Vorbereitung zur digitalen Betriebsprüfung (GDPdU), u.a. indem wir die Ist-Aufnahmen zur Datenhaltung ausführen und sie in der Entwicklung von Konzepten zur Bestimmung der steuerlichen Relevanz von Daten und deren Vorhaltung begleiten. Darüber hinaus testen wir die Bereitstellung von digitalen Daten und deren Qualität mit der Software IDEA.
- bei der Einrichtung und Verbesserung einer ordnungsmäßigen Archivierung von Dokumenten und Einführung von Archivierungssystemen und Dokumenten Management System (DMS).
- bedarfsweise haben wir für unserer Mandant*innen Ist-Aufnahmen und Stellungnahmen mit Verbesserungsmöglichkeiten ausgeführt, beispielhaft seien nachfolgende Themen genannt:
- E-Mail- Archivierung,
- Aufbewahrung digitaler Unterlagen bei Bargeschäften,
- qualifizierten elektronischen Signatur,
- elektronischen Rechnungen sowie
- Electronic Data Interchange (EDI).
Aktuell stehen wir unseren Mandant*innen zu Fragestellungen und Umsetzung der Anforderungen zur sogenannten E-Bilanz zur Seite.
Projektbegleitende Prüfungen IDW PS 850
Die projektbegleitende Prüfung hat sich in unseren Jahresabschlussprüfungen und in den direkten Beauftragungen durch die Geschäftsführung oder die Interne Revision unserer Mandant*innen als geeignetes Mittel bewährt, um
- einerseits im Sinne des IDW Prüfungsstandards 850 frühzeitig die gesetzlichen und regulativen als auch die unternehmensinternen Anforderungen in der Projektorganisation und -durchführung sowie im Gegenstand des Projektes, z.B. Einführungen einer ERP-Software, einzubringen,
- andererseits die Projektleitung, den Lenkungsausschuss sowie andere berechtigte Adressaten (Stakeholder) über Entwicklungen, Risiken und Ereignisse in der Projektdurchführung oder den Projektgegenstand betreffend zu informieren und Empfehlungen zur Verbesserung aufzuzeigen.
Die projektbegleitende Prüfung wird als unabhängige Institution dem geprüften Projekt zu Seite gestellt und ist nicht der Projektleitung unterstellt, sodass eine neutrale Sicht und Berichterstattung gewährleistet ist.
Mindestanforderungen an das Risikomanagement (MaRisk)
Unseren Mandant*innen aus der Finanzdienstleistungsbranche sind wir behilflich bei und der Umsetzung der seitens der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) aufgestellten Mindestanforderungen an das Risikomanagement (MaRisk) und hiermit verbundener Fragestellungen, hier insbesondere hinsichtlich der Anforderungen der Themenschwerpunkte
- Technisch- organisatorische Ausstattung (MaRisk 7.2.),
- Notfallkonzept (MaRisk 7.3.) und
- Outsourcing (MaRisk 9).
Seitens der BaFin wird hier besonders auf das IT-Risikomanagement und die IT-Sicherheit hingewiesen, als mögliche Norm wird die ISO 27001 als Orientierung angeführt.
Interne Kontrollsysteme
Interne Kontrollsysteme sind maßgeblich, um den Willen der Geschäftsführung im Rahmen der Vorgangsbearbeitung umzusetzen und das Risiko von Vermögensschäden zu mindern. Wir stehen unseren Mandant*innen beim Aufbau eines internen Kontrollsystems im Umfeld der IT-Prozesse, der Systeme und der Anwendung der Software in den Geschäftsprozessen zur Seite, damit die Geschäftsführung Ihre Verantwortung besser wahrnehmen kann.
Neben der Umsetzung der eigenen Anforderungen und Leitbildern der Geschäftsführung sowie den einschlägigen nationalen Anforderungen im Unternehmen unterstützen wir unsere an der New Yorker Börse (SEC) notierten Mandant*innen in den speziellen Fragestellungen und Anforderungen des Sarbanes-Oxley-Act SOX-404.
Sarbanes-Oxley-Act SOX-404
Bei der SOX-konformen Einführung, Prüfung und Verbesserung der allgemeinen IT-Kontrollen (IT General Controls) und der Anwendungskontrollen (Application Controls) und bedarfsweise Geschäftsprozesse sind wir unseren Mandant*innen bedarfsweise in den verschiedenen vorgesehen Rollen behilflich als Berater im Aufbau, als Unterstützung des Management Testing oder in der Rolle der internen Revision. Die Rolle des bei der SEC registrierten Abschlussprüfers nehmen als renommierte Wirtschaftsprüfungsgesellschaft natürlich ebenfalls wahr.
Durch unsere enge europäische und internationale Zusammenarbeit in der Forvis Mazars Gruppe stehen wir unseren Mandant*innen lokal und auch in weltweiten SOX-Projekten zur Seite.
Zertifizierungen nach ISAE 3402, SSAE 16 und PS 951
In einem Markt für IT-Dienstleistungen, der durch hohen Wettbewerb geprägt ist, mit Mandant*innen bzw. Kund*innen, deren Geschäftstätigkeit immer stärker regulatorischen Anforderungen unterliegt und Schlagworte wie IT-Compliance die Beurteilungen beeinflussen, ist eine Zertifizierung durch einen Wirtschaftsprüfer ein Entscheidendes Kriterium für Bestands- und Neukunden unserer Mandant*innen sein.
Die Zertifizierung von Dienstleistungen nach gesetzlichen Normen und branchenüblichen Standards dokumentiert glaubhaft die Qualität der Dienstleistung.
Lesen Sie hier mehr zum Thema Zertifizierungen von Dienstleistungen!
Softwarebescheinigung nach IDW PS 880
Lesen Sie hier mehr zum Thema Softwarebescheinigung nach IDW PS 880!
Datenschutz
Auf der Grundlage der aktuellen gesetzlichen und regulativen Regelungen zum Datenschutz unterstützen wir unsere Mandant*innen in der Wahrnehmung Ihrer Pflichten durch prüferische oder beratende Aufgabenstellungen, wie
- der Unterstützung bei der Erhebung der Verfahren mit Speicherung und/oder Verarbeitung von personenbezogenen Daten gemäß BDSG in Form von Interviews und gemeinsamen Systemeinsichten und dem Aufbau eines Verfahrensverzeichnisses. Im Ergebnis wird ein erstes Verfahrensverzeichnis gemäß BDSG gemeinsam erarbeitet und den Mandant*innen bzw. den Datenschutzbeauftragten als Arbeitsversion zur Verfügung gestellt.
- Der Durchsicht der für die Verfahren getroffenen technischen und organisatorischen Maßnahmen auf Schwachstellen hinsichtlich der Anforderungen gemäß BDSG respektive der Best Practice Vorgaben. Im Ergebnis wird eine kurze Notiz sowie eine tabellarische Darstellung der festgestellten Schwachstellen, Regelungsbedarfe und Verbesserungspotentiale mit einer mit unseren Mandant*innen und den Datenschutzbeauftragten abgestimmten Priorisierung erstellt.
- Unterstützung bei der Verbesserung der technischen und organisatorischen Maßnahmen hinsichtlich einer abgestimmten Auswahl festgestellter Schwachstellen gemäß BDSG respektive der Best Practice. Im Ergebnis werden beispielsweise IT-Richtlinien und Policies gemeinsam erstellt bzw. überarbeitet und unserem Mandant*innen zur weiteren Verwendung überlassen.
Ferner stehen wir unseren Mandant*innen zur Beurteilung für spezielle Fragestellungen zum Datenschutz, die wir Bedarfsweise in Form von Stellungsnahmen beantworten, sowie für Datenschutzaudits zur Seite.
Zur Umsetzung der Anforderungen nutzen wir bedarfsweise Hinweise aus Best Pratice Modellen wie dem IT- Grundschutzhandbuch des Bundesamtes zur Sicherheit in der Informationstechnik (BSI) sowie ISO 27001 und ISO 27002 zum Management von Informationssicherheit.
Ferner stellen wir für unsere Mandant*innen einen nachweislich fachlich geeigneten Berater als externen betrieblichen Datenschutzbeauftragten (ebDSB) im Sinne des BDSG §4f (Stand: August 2009) zur Bestellung durch das Unternehmen. Die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten sind hierzu im Bundesdatenschutzgesetz ausgehend von BDSG §4g verpflichtend dargestellt.