In der vorigen Ausgabe des Navigators haben wir über die Relevanz und Ausgestaltung eines wirksamen Informationssicherheits-Managements berichtet. Mit der zunehmenden Digitalisierung werden auch an das IT-Systemumfeld ständig neue regulatorische Anforderungen gestellt. Die Angemessenheit und Wirksamkeit von IT-Systemen sollte daher regelmäßig überprüft werden, um den rasanten technologischen Fortschritt bewältigen und die betrieblichen Prozesse an volatile Rahmenbedingungen anpassen zu können.
Heute möchten wir Ihnen den Themenkomplex der sogenannten IT Assurance anhand der projektbegleitenden Prüfung für IT-Systemeinführungen und -migrationen vorstellen.
Buchhaltung ohne den Einsatz von IT-gestützten Rechnungslegungssystemen ist heute nicht mehr vorstellbar. Moderne ERP-Systeme wie SAP, Microsoft D365 Finance, Sage etc. bieten Unternehmen über die Prozesse der Rechnungslegung hinaus vermehrt Steuerungs- und Überwachungsinstrumente. Dieser zusätzliche Nutzen führt zu einer immer tiefer gehenden technischen Integration von IT-Systemen in die Unternehmensprozesse und erhöht damit die Komplexität der IT-Systemumgebung. Häufig bilden Informationen aus diesen Systemen die Grundlage für unternehmerische Entscheidungen. Das bedeutet: Die entsprechenden Daten müssen verlässlich sein und sicher zur Verfügung stehen, wodurch die Systeme zunehmend zu einer kritischen Größe für den Unternehmenserfolg werden.
Die Softwareanbieter der ERP-Systeme befinden sich im stetigen Wandel, um konkurrenzfähig zu bleiben und ihren Kunden stets den neusten Stand der digitalen Werkzeuge bieten zu können. Die Softwareanbieter müssen dabei häufig komplexe Veränderungen, sogenannte Major Releases in den Systemen vornehmen, die mit einfachen Software-Updates nicht implementierbar sind. Dazu zählen unter anderem die Major Releases der Marktführer SAP und Microsoft mit den Wechseln von SAP ERP 6.0 auf SAP S/4HANA oder Dynamics Navision 2018 auf Microsoft Dynamics 365 Business Central. Die Herausforderung für Unternehmen bei solchen Transformationen besteht darin, dass der gesamte Datenbestand und alle implementierten Prozesse und Reports in die neue Version des Anbieters übertragen werden müssen. Diese Übertragungen sind so komplex, dass Unternehmen die Wechsel im Rahmen von großen Projekten aufsetzen. Diese binden zum einen Ressourcen und verursachen hohe Kosten. Zum anderen stellen sie ein hohes Risiko dar, da bei der Übertragung der Daten und Konfiguration der neuen Systeme Informationen verloren gehen oder beschädigt werden können.
Weitere Gründe, die ein Unternehmen zu einem Wechsel zwingen, können interne Änderungen der Prozesse sein, die im bestehenden System nicht abgebildet werden können oder ein strategisches Wachstum durch M&A. Häufig kommt es vor, dass das im Rahmen von M&A-Aktivitäten erworbene Unternehmen mit dem Mutterkonzern auch auf technischer Ebene des ERP-Systems verschmelzen soll.
Um bei einer IT-Systemeinführung oder -migration alle Anforderungen an Ordnungsmäßigkeit und Sicherheit frühzeitig zu berücksichtigen, empfiehlt sich die projektbegleitende IT-Systemprüfung. Im Rahmen dieser Prüfung und in Anlehnung an den IDW Standard PS 850 begleiten wir unsere Mandanten durch den komplexen Prozess der IT-Systemumstellung. Wir behalten dabei den Überblick und kontrollieren alle zentralen Projektschritte, insbesondere die Implementierung eines durchgängigen Risikomanagements. Mittels moderner Datenanalysen stellen wir zusätzlich sicher, dass alle Daten unversehrt und vollständig in das neue System übertragen werden.
Unsere Mandanten erhalten somit Sicherheit in allen wesentlichen Phasen des Projektverlaufs und wir sorgen dafür, das Projekt reibungslos in den produktiven Einsatz zu überführen. Maßgeblich ist dabei die Einhaltung der Anforderungen des Standards IDW PS 330 und die Einhaltung der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff nach den GoBD.
Die in den migrierten Systemen geführten Daten bilden die Basis für den Jahresabschluss. Sie müssen verlässlich, verfügbar, vollständig und richtig sein, um Entscheidungen treffen und Unternehmen führen zu können. Durch die projektbegleitende Prüfung für IT-Systemeinführungen und -migrationen werden unerwünschte Effekte bei der Jahresabschlusserstellung vermieden.
