top of page
Suche

IT-Audit im Mittelstand – worauf Wirtschaftsprüfer in der IT-Prüfung besonders achten

  • timiglauer
  • 30. Mai
  • 4 Min. Lesezeit

Aktualisiert: vor 2 Tagen

Sobald Unternehmen an zwei aufeinanderfolgenden Bilanzstichtagen mindestens zwei dieser Schwellen überschreiten – 6 Mio. € Bilanzsumme, 12 Mio. € Umsatz oder 50 Mitarbeitende im Jahresdurchschnitt – wird’s ernst: Die Jahresabschlussprüfung durch eine Wirtschaftsprüfungsgesellschaft ist gesetzlich vorgeschrieben. Davon betroffen sind vor allem wachstumsstarke mittelständische Unternehmen.

Neu ist: Seit dem 1. Januar 2023 greift der überarbeitete Prüfungsstandard IDW PS 330 n.F.. Damit steht die IT verstärkt im Fokus. Wirtschaftsprüfer prüfen seither systematisch, ob IT-Systeme ordnungsgemäß eingerichtet, dokumentiert und kontrolliert sind – denn: Nur wenn die IT verlässlich arbeitet, kann auch der Jahresabschluss stimmen. Fehlerhafte Prozesse oder fehlende Dokumentation können die Prüfungsfeststellung gefährden.

In dieser Beitragsreihe zeigen wir, worauf es beim IT-Audit wirklich ankommt, welche Anforderungen Sie kennen müssen – und wie Sie sich gezielt und pragmatisch vorbereiten.

 

 

IT als Fundament der Buchführung – warum Ordnungsmäßigkeit digital beginnt

Die Buchführung erfolgt heute fast ausschließlich digital. Ob Belegerfassung, Buchung, Auswertung oder Archivierung – ohne IT-Systeme läuft nichts mehr. Damit sind diese Systeme nicht nur Hilfsmittel, sondern das operative Rückgrat der gesamten Rechnungslegung.

In den meisten Unternehmen kommt dabei eine Vielzahl von Anwendungen und Schnittstellen zum Einsatz – von der Finanzbuchhaltung über das ERP bis hin zu digitalen Archivierungslösungen. Die Komplexität der IT-Systemlandschaft variiert stark, doch eines gilt immer: Die Ordnungsmäßigkeit nach HGB muss durchgängig gewährleistet sein.

Gerade digitale Prozesse stellen hierbei besondere Anforderungen. Denn: Fehlerhafte Systeme, unklare Verantwortlichkeiten oder fehlende Protokolle gefährden nicht nur die Datenintegrität – sie können den gesamten Jahresabschluss infrage stellen.

Deshalb sind Wirtschaftsprüfer seit dem 1. Januar 2023 verpflichtet, im Rahmen des IDW PS 330 n.F. die IT-Systeme systematisch zu prüfen. Im Fokus stehen dabei unter anderem:

  • Zugriffskontrollen und Berechtigungsmanagement

  • Änderungsprotokolle

  • Datensicherung und Notfallmanagement

  • Verfügbarkeit und IT-Dokumentation

Mängel in diesen Bereichen können zu Beanstandungen führen – mit Folgen für das Testat, die Haftung der Geschäftsführung und letztlich auch für die Reputation des Unternehmens. Wer hier proaktiv handelt, sorgt nicht nur für Rechtssicherheit, sondern zeigt auch Führungsstärke in einem zunehmend digitalen Prüfungsumfeld

 

Warum mittelständische Unternehmen im Fokus stehen

Mittelständische Kapitalgesellschaften – insbesondere GmbHs – rücken zunehmend in den Fokus von IT-Audits im Rahmen der Jahresabschlussprüfung. Dafür gibt es mehrere Gründe:

1. Dynamisches Wachstum führt schneller zur Prüfungspflicht Viele mittelständische Betriebe wachsen stetig – und überschreiten dadurch zunehmend die gesetzlichen Schwellenwerte:– Bilanzsumme über 6 Mio. €– Umsatzerlöse über 12 Mio. €– Mehr als 50 Mitarbeitende im Jahresdurchschnitt

Sobald zwei dieser drei Kriterien zwei Jahre in Folge erfüllt sind, greift die Prüfungspflicht – inklusive IT-Audit.

2. Komplexe IT-Landschaften durch Digitalisierung Ob ERP-System, Finanzbuchhaltung, Dokumentenmanagement oder Transportsoftware – in vielen mittelständischen Unternehmen sind zentrale Geschäftsprozesse IT-gestützt. Damit wird die IT zur strukturellen Grundlage der Buchführung – mit allen Chancen, aber auch Risiken.

3. Der Weg in die Cloud bringt neue Prüfungsfragen mit sich Immer mehr Unternehmen verlagern ihre IT-Systeme in die Cloud. Das sorgt für neue Abhängigkeiten und stellt besondere Anforderungen an Datenschutz, Zugriffskontrolle und Systemverfügbarkeit – auch aus Sicht der Wirtschaftsprüfung.

4. Regulatorische Verschärfung seit 2023 Seit dem 01.01.2023 sind Wirtschaftsprüfer verpflichtet, die IT-Systemlandschaft explizit nach dem Prüfungsstandard IDW PS 330 n.F. zu bewerten – unabhängig davon, ob die Systeme lokal oder in der Cloud betrieben werden.

5. Interne IT-Ressourcen reichen oft nicht aus Viele mittelständische Unternehmen verfügen nicht über eigene IT-Abteilungen oder nur über begrenzte Kapazitäten. Externe IT-Dienstleister übernehmen zentrale Aufgaben – was die Nachvollziehbarkeit für Wirtschaftsprüfer erschwert, wenn Zuständigkeiten und Dokumentation nicht klar geregelt sind.


Praxisbeispiel: Fehlende Verfahrensdokumentation

Ein mittelständisches Handelsunternehmen nutzte seit Jahren ein ERP-System zur digitalen Buchführung – inklusive Archivierung der Eingangs- und Ausgangsrechnungen. Was fehlte: eine formelle Verfahrensdokumentation über Abläufe, Zuständigkeiten und technische Details der IT-gestützten Prozesse. Auch ein strukturiertes Nachweiskonzept für Zugriffsbeschränkungen, Änderungsprotokolle oder Löschkonzepte war nicht vorhanden.

Im Rahmen einer Betriebsprüfung stellte das Finanzamt fest, dass die Archivierung zwar technisch funktionierte, aber nicht GoBD-konform dokumentiert war. Diese Lücke wurde nicht isoliert betrachtet – sondern in Kombination mit weiteren kleineren Mängeln.

Das Ergebnis:

  • Das Unternehmen musste kurzfristig umfangreiche Nachweise erbringen.

  • Rückstellungen für mögliche Steuernachzahlungen wurden fällig.

  • Die Verfahrensdokumentation musste mit externer Hilfe nachträglich aufgebaut werden.

Zwar gilt eine fehlende Dokumentation nicht automatisch als Grund für eine Hinzuschätzung – aber sie kann in Kombination mit anderen Auffälligkeiten das Risiko deutlich erhöhen. Vor allem, wenn die Beziehung zum Finanzamt bereits durch frühere Prüfungen belastet ist oder einzelne Prüfer besonders gründlich vorgehen, kann genau das der entscheidende Schwachpunkt sein.


Fazit: Wer sich nicht frühzeitig um IT-Dokumentation, Archivierung und klare Zuständigkeiten kümmert, riskiert Beanstandungen im IT-Audit – mit Folgen für das Testat, die Haftung der Geschäftsführung und die Außenwirkung gegenüber Banken, Investoren oder Behörden.


Umso wichtiger ist eine strukturierte Vorbereitung:

  • Klare Verantwortlichkeiten und Schnittstellen, auch bei IT-Dienstleistern

  • Lückenlose Verfahrensdokumentation und Nachvollziehbarkeit

  • Sichere, GoBD-konforme Archivierung und geprüftes Backup-Management  

So wird das IT-Audit nicht zur Hürde, sondern zur Chance, die IT-Strukturen zu professionalisieren und das Unternehmen zukunftssicher aufzustellen.

 

 

 

Ausblick auf kommende Beiträge

Dieser Beitrag bildet den Auftakt einer mehrteiligen Artikelreihe zum Thema IT-Audit im Rahmen der Jahresabschlussprüfung. In den folgenden Beiträgen zeigen wir praxisnah, wie Sie typische Schwachstellen identifizieren, Ihre IT-Dokumentation revisionssicher gestalten und welche Anforderungen an ERP- und Buchhaltungssysteme besonders kritisch geprüft werden.

Kommende Themen unter anderem:

  • Was genau prüft der IT-Prüfer in Ihrem ERP-System?

  • Wie dokumentieren Sie externe IT-Dienstleister prüfungssicher?

  • Cloud im Fokus: Welche Fragen Sie als Geschäftsführer beantworten müssen

Bleiben Sie informiert – und stärken Sie Ihre digitale Prüfungsfähigkeit mit jedem Beitrag.



Über den Autor

Tim Iglauer ist unabhängiger IT-Berater mit Fokus auf prüfungsrelevante IT-Systeme im Mittelstand. Als externer Partner begleitet er eine Wirtschaftsprüfungsgesellschaft bei IT-Audits im Rahmen der Jahresabschlussprüfung – insbesondere nach IDW PS 330 n.F.

Sein Schwerpunkt: die strukturierte Analyse komplexer IT-Landschaften, die prüfungssichere Dokumentation digitaler Prozesse und pragmatische Lösungen an der Schnittstelle zwischen IT, Buchhaltung und Compliance.

Mittelständische Unternehmen schätzen seine Fähigkeit, regulatorische Anforderungen greifbar zu machen – und sie in klare, umsetzbare Maßnahmen zu übersetzen.


Sie stehen vor einem IT-Audit oder möchten Schwachstellen nach der Prüfung beheben? Ich unterstütze mittelständische Unternehmen mit gezielter Audit-Vorbereitung, prüfungssicherer IT-Dokumentation und klarer Dienstleistersteuerung.

„Lassen Sie es uns gemeinsam in den Austausch kommen – vereinbaren Sie ein unverbindliches Erstgespräch.“

Aktuelle Beiträge

Alle ansehen

Comments

Commenting on this post isn't available anymore. Contact the site owner for more info.
bottom of page