Es ist zwar unwahrscheinlich, dass die Sicherheit für die Entscheidungsträger in den Prüfungsgesellschaften bei der Einführung neuer technologischer Hilfsmittel an erster Stelle steht, doch ist sie eines der wichtigsten Elemente, die bei der Prüfung, welche Anbieterhilfsmittel in die Prüfungen einbezogen werden sollen, zu berücksichtigen sind.
Das Vertrauen in die Integrität der Daten bei Prüfungen ist von entscheidender Bedeutung, so dass die Prüfer die Gewissheit haben müssen, dass die Transaktionsdaten korrekt und vollständig sind und nicht manipuliert wurden. Letztlich liegt die Verantwortung bei dem Partner, der den Auftrag nach Abschluss abzeichnet.
Weltweit gibt es verschiedene Sicherheitszertifizierungsstandards, die im Großen und Ganzen ähnlichen Grundsätzen folgen, mit nur wenigen Nuancen.
Es lohnt sich, sich die Zeit zu nehmen, um zu verstehen, warum Sicherheit wichtig ist und worauf man bei den Anbietern achten sollte, denn dies verringert das Risiko von Prüfungen und ist entscheidend bei der Abwägung, mit welchen Anbietern von Prüfungssoftware man zusammenarbeiten sollte.
Was ist Sicherheit?
Die Datensicherheit umfasst drei wichtige Grundsätze: Vertraulichkeit, Integrität und Verfügbarkeit.
1. Vertraulichkeit
Unternehmenssoftware muss die von ihr verarbeiteten Daten vertraulich behandeln, um zu verhindern, dass sie in falsche Hände geraten, und um den Käufern die Gewissheit zu geben, dass die Daten nicht missbraucht werden.
Andernfalls sind die Unternehmen dem Risiko von Rechtsstreitigkeiten und einer Schädigung des Markenrufs ausgesetzt. Börsennotierte Unternehmen können davon besonders betroffen sein, da sich ihr Aktienkurs nachteilig entwickelt.
Innerhalb der EU sollte die Vertraulichkeit von Daten, die von Softwareanbietern gespeichert und verarbeitet werden, durch die GDPR geschützt werden. Die Nichteinhaltung kann zu Geldstrafen in Höhe von 4 % des weltweiten Jahresumsatzes des Unternehmens oder 20 Millionen Dollar führen, je nachdem, welcher Betrag höher ist.
2. Integrität
Integrität im Kontext der Datensicherheit bedeutet, dass sich die Benutzer auf die Richtigkeit und Gültigkeit der von der Unternehmenssoftware verarbeiteten Daten verlassen können müssen.
Die Daten müssen über ihren gesamten Lebenszyklus hinweg korrekt und konsistent sein, da sich die Unternehmen sonst nicht auf sie verlassen können.
In der Praxis bedeutet dies, dass Systeme vorhanden sein müssen, um die Daten auf Fehler zu überprüfen und nachzuweisen, dass keine Kompromisse eingegangen wurden. Darüber hinaus müssen für die Daten Validierungsverfahren angewandt werden, um sicherzustellen, dass sie bei der Übertragung in und aus den Systemen nicht verändert wurden.
3. Verfügbarkeit
Die Verfügbarkeit ist für die Datensicherheit von entscheidender Bedeutung, da die Systeme und Anwendungen die Daten immer dann zur Verfügung stellen müssen, wenn die Benutzer sie benötigen.
Die Software muss ausreichend robust sein, um Denial-of-Service-Angriffe abzuwehren, damit die Nutzer jederzeit ununterbrochen auf die Daten zugreifen können.
Eine Dienstverweigerung kann dazu führen, dass Anwendungen nicht mehr funktionieren, oder in schwerwiegenden Fällen können Systeme in einen unsicheren Zustand versetzt werden.
Wie diese Sicherheitsgrundsätze den Bedürfnissen der Prüfer entsprechen
Die Sicherheit sollte bei der Auswahl von Anbietern für Rechnungsprüfer eine wichtige Rolle spielen. Diese Grundsätze sind grundlegende Elemente für Software-Sicherheitskontrollen, die die internen Kontrollen für die Prüfung von Jahresabschlüssen unterstützen.
Die Prüfer müssen sich auf diese Sicherheitskontrollen verlassen können, um ihre Aufgaben mit dem entsprechenden Maß an Sicherheit zu erledigen.
So müssen sie sich beispielsweise vollständig auf die Integrität der Bestätigungen der Banksalden am Jahresende verlassen, um nachzuweisen, dass die Salden korrekt abgestimmt wurden.
Wenn Bankgeschäfte nach dem Jahresende zu Nachbilanzierungszwecken angefordert werden, müssen die Prüfer außerdem sicherstellen, dass die gelieferten Daten dem Umfang entsprechen und dass die Daten von einer autorisierten Partei stammen und nicht verfälscht wurden.
Fehlendes Vertrauen in die Sicherheit der in diesen Prozessen verwendeten Daten beeinträchtigt die Fähigkeit der Partner, Prüfungen abzuzeichnen.
Ein weiterer Grund, warum sich Prüfer auf Sicherheitstechnologien verlassen müssen, sind Effizienzgewinne bei der Personalbeschaffung und die Rationalisierung von Prozessen. Zu den Vorteilen der neuen Prüfungstechnologien gehören Automatisierungsfunktionen, die Zeit bei zentralen Prüfungsabläufen sparen und ein Maß an Sicherheit bieten, das über die Fähigkeiten menschlicher Prüfer hinausgeht. Dies kann zum Beispiel die Analyse von 100 % der Transaktionen umfassen, um nach Anomalien zu suchen.
Für Prüfungsgesellschaften ist es außerdem wichtig, dass sie sich auf die Sicherheit ihrer Software-Anbieter verlassen können, um die Arbeit der Mitarbeiter durch Automatisierung zu unterstützen und zu ergänzen. Wenn sich die Prüfungspartner nicht auf die Sicherheit der verwendeten Tools verlassen können, müssen sie mehr manuelle und menschliche Arbeit leisten, was zusätzliche Personalressourcen bindet. Außerdem dauert die Durchführung länger, was die Gewinnspannen schmälert.
Die Goldstandards, auf die Sie achten sollten
Um die Sicherheitsanforderungen zu erfüllen, sollten Prüfungsgesellschaften zumindest Anbieter mit einem Informationssicherheits-Managementsystem (ISMS) wählen, das in seinem Umfang umfassend und vollständig ist. Dieses muss alle Risiken und Bedrohungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit abdecken.
Ähnlich wie bei den Zuverlässigkeitsstandards für Jahresabschlüsse gibt es auch für die Sicherheit internationale Zertifizierungen. Die Annahme von Anbietern, die über diese Zertifizierungen verfügen, sollte den Prüfern die Gewissheit geben, dass sie sich an die höchsten Sicherheitsstandards halten.
Die am weitesten verbreiteten Standards sind SOC2 (eher in den USA verbreitet) und ISO 27001 (eher in Europa).
Beide Zertifizierungen gewährleisten, dass die höchsten Sicherheitsstandards erfüllt werden. Es gibt zwar Überschneidungen zwischen beiden, aber auch einige Unterschiede. Dazu gehört die Art und Weise, wie sie verwaltet werden (das American Institute of Certified Public Accountants für SOC2 und das ANSI-ASQ National Accreditation Board für ISO 27001), und ISO 27001 gilt als eine Zertifizierung, die für Anbieter schwieriger zu erreichen ist.
Letztlich werden die Prüfer wahrscheinlich Anbieter wählen, die Zertifizierungen an den geografischen Standorten ihrer Kunden anwenden.
Überprüfen Sie noch heute die Sicherheit Ihrer bestehenden Anbieter
Wenn Sie bereits mit Anbietern von Audittechnologien zusammenarbeiten, sollten Sie deren Sicherheitskonzept überprüfen, um sicherzustellen, dass es den Anforderungen gerecht wird. Wenn es keine formale Akkreditierung gibt, sollten Sie sich bei den Anbietern vergewissern, dass sie über ein ISMS verfügen.
Bei Circit erfüllt unsere Sicherheit die höchsten Standards für uns und unsere Kunden. Die Plattform ist nicht nur formal nach ISO 27001 zertifiziert, sondern auch vollständig GDPR-konform, und alle unsere Inhalte sind verschlüsselt. Wir unterziehen uns derzeit der SOC2-Akkreditierung.
Die Sicherheit der Daten wird durch die Erstellung eines umfassenden und unveränderlichen Prüfpfads zwischen allen Parteien, einschließlich der Wirtschaftsprüfungsgesellschaften und ihrer Kunden, erhöht, der IP-Adressen und Endbenutzerinformationen mit Zeitstempeln versieht.
Erfahren Siehier mehr über unseren Ansatz.
