IT AUDIT Entwicklung Pr.fungsanforderungen V1.0 2005 -01-20

Anjo - Hjacob

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

2 pages

Deutsch

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

?????????Aktuelle Entwicklung der Prüfungsanforderungen IT-gestützte Rechnungslegungssysteme Version 1.0 ordnungsmäßiger Buchführung beim Einsatz elektro-Aktuelle Entwicklung der nischer Archivierungsverfahren" derzeit keine weite-ren Informationen. Prüfungsanforderungen bzgl. IDW-Prüfungsstandard "Grundsätze ordnungs-IT-gestützter Rechnungs-mäßiger Durchführung von Datenschutz-audits" legungssysteme [4] Gegenstand des Datenschutzaudits gem. § 9a BDSG ist die Beurteilung der Datenschutzerklärung Derzeit werden durch den Fachaus-der datenverarbeitenden Stelle (als Selbsterklärung) schuss für Informationstechnologie durch einen unabhängigen (externen) Sachverstän-(FAIT) beim Institut der Wirtschafts- digen. prüfer in Deutschland e.V. (IDW) [5] Die Datenschutzerklärung stellt das Ergebnis der verschiedene Verlautbarungen vorbe-in periodischen Abständen durch das Unternehmen reitet, die IT-gestützte Rechnungs- (selbst) durchgeführten "Datenschutzbetriebsprüfun-legungssysteme betreffen. gen" dar. Diese vom Unternehmen verfasste selbst Datenschutzerklärung ist Gegenstand der Prüfung [1] Nach Durchsicht der letzten (verfügbaren) Sit-und Zertifizierung durch einen unabhängigen (exter-zungsprotokolle des FAIT und des Hauptfachaus- nen) Datenschutzgutachter gem. § 9a BDSG. Bei die-schusses (HFA) soll nachfolgend ein kurzer Überblick ser Zertifizierung gem. § 9a BDSG handelt es sich über die aktuelle Entwicklung der IDW- nicht um eine Systemprüfung i.S ...

Informations

Publié par	Anjo
Nombre de lectures	155
Langue	Deutsch

Extrait

Aktuelle Entwicklung der Prüfungsanforderungen IT-gestützte Rechnungslegungssysteme Version 1.0 ordnungsmäßiger Buchführung beim Einsatz elektro-Aktuelle Entwicklung dernischer Archivierungsverfahren" derzeit keine weite-ren Informationen. Prüfungsanforderungen bzgl. IDW-Prüfungsstandard "Grundsätze ordnungs-IT-gestützter Rechnungs-mäßiger Durchführung von Datenschutz-legungssysteme audits" [4]Gegenstand des Datenschutzaudits gem. §9a BDSG ist die Beurteilung der Datenschutzerklärung Derzeit werden durch den Fachaus-der datenverarbeitenden Stelle (als Selbsterklärung) schuss für Informationstechnologie durch einen unabhängigen (externen) Sachverstän-(FAIT) beim Institut der Wirtschafts-digen. prüfer in Deutschland e.V. (IDW) [5]Die Datenschutzerklärung stellt das Ergebnis der verschiedene Verlautbarungen vorbe-in periodischen Abständen durch das Unternehmen reitet, die IT-gestützte Rechnungs-(selbst) durchgeführten "Datenschutzbetriebsprüfun-legungssysteme betreffen. gen" dar. Diese vom Unternehmen verfasste selbst Datenschutzerklärung ist Gegenstand der Prüfung [1]Nach Durchsicht der letzten (verfügbaren) Sit-und Zertifizierung durch einen unabhängigen (exter-zungsprotokolle des FAIT und des Hauptfachaus-nen) Datenschutzgutachter gem. § 9a BDSG. Bei die-schusses (HFA) soll nachfolgend ein kurzer Überblick ser Zertifizierung gem. §9a BDSG handelt es sich über die aktuelle Entwicklung der IDW-nicht um eine Systemprüfung i.S.d. IDW-Verlautbarungen bzgl. IT-gestützter Rechnungsle-Prüfungsstandards "Prüfungsnachweise im Rahmen gungssysteme gegeben werden. der Abschlussprüfung" (IDWPS 300)bzw. IDW PS 330,sondern um dieDurchführung einer [2]Zur Zeit werden folgende Verlautbarungen erar-prüferischen Durchsicht analogIDW-beitet bzw. diskutiert: Prüfungsstandard "Grundsätze für die prüferische IDW-Stellungnahme zur Rechnungslegung Durchsicht von Abschlüssen" (IDW PS 900). "Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren"[6]Bei der prüferischen Durchsicht erfolgt eine kriti-(IDW RS FAIT x),sche Würdigung der Sachverhalte auf Grundlage von Plausibilitätsbeurteilungen. Die Durchsicht ist so zu IDW-Prüfungsstandard "Grundsätze ordnungsmä-planen und durchzuführen, dass mit einergewissen ßiger Durchführung von Datenschutzaudits gem. Sicherheiteinenegativ formulierte Aussagege-§ 9aBundesdatenschutzgesetz (BDSG)" [IDW troffen werden kann. PS 870], [7]Die "Datenschutzbetriebsprüfung" als interne pe-IDW-Prüfungshinweis "Die Prüfung von IT-riodische Datenschutzprüfung wird von §9a BDSG gestützten Geschäftsprozessen" (IDW PH 9.330.x) nicht näher erläutert. Die Vorgehensweise bei dieser in Ergänzung zum IDW-Prüfungsstandard "Ab-Prüfung ähnelt der einer gem. IDW-Prüfungsstandard schlussprüfung bei Einsatz von Informationstech-"Das interne Kontrollsystem im Rahmen der Ab-nologie" ( IDW PS 330), schlussprüfung" (IDWPS 260)bzw. IDWPS 330 Überarbeitung der HFA-Stellungnahme 4/1997 durchzuführendenSystemprüfung. "Projektbegleitende Prüfung EDV-gestützter Sys-teme",[8]Gegenstand dieser "Datenschutzbetriebsprüfung" ist Diskussionspapier "IT-Risikomanagement". das Datenschutzkonzept, IDW-Stellungnahme zur Rechnungslegung die Datenschutzpolitik sowie "Grundsätze ordnungsmäßiger Buchführung das Datenschutzprogramm und beim Einsatz elektronischer Archivierungsver-fahren" das Datenschutzmanagementsystem. [3]Wir haben über den Inhalt, den Stand und den [9]DasDatenschutzkonzept legtaus Sicht der möglichen Erscheinungstermin der IDW-gesetzlichen Vertreter den zu erreichenden Grad an Stellungnahme zur Rechnungslegung "Grundsätze Datenschutzsicherheit (Schutzbedarf) fest. Darüber

IT AUDIT GmbH Wirtschaftsprüfungsgesellschaft●Schlossforum Bensberg●Schlossstraße 20●D-51429 Bergisch Gladbach Telefon +49 2204 95 08-600●Fax +49 2204 95 08-699●E-Mail kontakt@itaudit-wpg.de - 1 / 2 -

Aktuelle Entwicklung der Prüfungsanforderungen IT-gestützte Rechnungslegungssysteme Version 1.0 hinaus werden die daraus abzuleitenden Anforderun-Prüfungshinweis in Ergänzung zum IDW PS 330 erar-gen an die Datenschutzpolitik und an den Prozess zurbeitet. kontinuierlichen Verbesserung des Datenschutzes [16]Ziel des neuen Prüfungshinweises ist es, anhand festgelegt. beispielhafter Kerngeschäftsprozesse, die Prüfungs-[10]und die daraus abzulei-PS 330methodik des IDWAuf Grundlage der Bestandsaufnahme der daten-schutzrelevanten Prozesse und geltenden daten-tende Vorgehensweise bei der Prüfung IT-gestützter schutzrechtlichen Vorschriften ist eine schriftlich zuGeschäftsprozesse zu verdeutlichen. fixierendeDatenschutzpolitik(Strategie) zu entwi-ckeln. Basierend auf der Datenschutzpolitik ist das HFA-Stellungnahme 4/1997 "Projektbeglei-Datenschutzprogramm umzusetzen und das Daten-tende Prüfung EDV-gestützter Systeme" schutzmanagementsystem einzurichten. [17]Grundlegendes Ziel projektbegleitender Prüfun-[11]DasDatenschutzprogramm konkretisiertdie genist, sicherzustellen, dass neu entwickelte, geän-Datenschutzziele und umfasst den Katalog konkreterderte oder erweiterte IT-gestützte Rechungslegungs-Maßnahmen und den Fristenplan zur Umsetzung dersysteme den Grundsätzen ordnungsgemäßer Buch-Datenschutzpolitik. führung(GoB) entsprechen und somit die Vorausset-zungen für die Ordnungsmäßigkeit der Buchführung [12]DasDatenschutzmanagementsystem (inter-als Grundlage für die Abschlusserstellung gegeben nes Kontrollsystem; IKS) legt die Regeln, Richtlinien, ist. Maßnahmen, Ressourcen (Hard- und Software, Per-sonal etc.), Verfahren, Zuständigkeiten, Abläufe und[18]Die derzeit vorliegende HFA-Stellungnahme Organisationsstrukturen zur Umsetzung und Überwa-4/1997 "Projektbegleitende Prüfung EDV-gestützter chung des Datenschutzprogramms fest.Systeme" basiert noch auf der FAMA-Stellungnahme 1/1987 i.d.F 1993, die bereits seit 2002 durch IDW-[13]Zur Zeit nicht abschließend geregelt sind wesent-Rechnungslegungsstandard "Grundsätze ordnungs-liche Aspekte der Datenschutzprüfung gem. §9a mäßiger Buchführung bei Einsatz von Informations-BDSG, nämlich: technologie" (IDWRS FAIT 1)und den IDWPS 330 ersetzt wurde. DasSollobjekt der "Datenschutzbetriebs-prüfung". Die vom Gesetzgeber avisierte Prü-[19]Eine Überarbeitung ist notwendig, da komplexe fungsverordnung ist bisher (auf Bundesebene) IT-gestützte Rechnungslegungssysteme nahezu voll-noch nicht erlassen worden. ständig in die betrieblichen lnformationssysteme in-DieRegistrierung von Datenschutzprüfern. tegriertsind und es daher sachgerecht erscheint, die Derzeit ist keine staatliche Stelle vorhanden, dieim IDWPS 330dargestellteprozessorientierte eine Akkreditierung als Datenschutzprüfer möglichPrüfungsmethodikanzuwenden. entsprechend macht. Zudemwird die Stellungnahme modernisiert und an die Änderungen im IDWRS FAIT 1angepasst (insb. DerProzess der Datenschutz-Siegelvergabe. Begriffsdefinitionen). Die notwendigen Voraussetzungen für eine Sie-gelvergabe sind ebenfalls (zur Zeit) nicht vorhan-Diskussionspapier "IT-Risikomanagement" den. [20]Das Diskussionspapier ist derzeit noch in Bear-[14]Die offenen Punkte sind derzeit Gegenstand von beitung. Gesprächen zwischen dem IDW / FAIT und dem Bun-desdatenschutzbeauftragten, in denen auch der [21]Nach unserem Kenntnisstand wird seitens des Stand der Überlegungen seitens des IDW/ FAITder IDW derzeit überlegt, ob das Diskussionspapier als Bundesregierung erörtert werden soll. Über die Er-Beitrag im WP-Handbuch aufgenommen werden soll. gebnisse der durchgeführten Gespräche liegen uns Damit eröffnete sich die Möglichkeit, das Thema brei-derzeit keine weiteren Informationen vor. ter darzustellen und anhand von Beispielen zu ver-deutlichen. IDW-Prüfungshinweis "Die Prüfung von IT-Quelle: verschiedeneProtokolle des FAIT und des HFA gestützten Geschäftsprozessen" Stand: 20.01.2005 [15]Zur Veranschaulichung der Prüfung von IT-gestützten Geschäftsprozessen wird derzeit ein IDW-