top of page
Suche

IT-Dienstleister unter der Lupe – warum klare Vereinbarungen für KMU beim IT-Audit entscheidend sind

  • timiglauer
  • vor 6 Tagen
  • 3 Min. Lesezeit

Aktualisiert: vor 2 Tagen

Viele mittelständische Unternehmen setzen auf externe IT-Dienstleister – ein sinnvoller Schritt, um die interne IT zu entlasten, Know-how zu erweitern oder neue Technologien schneller zu integrieren. Doch sobald ein IT-Audit im Rahmen der Jahresabschlussprüfung ansteht, zeigt sich, ob die Verantwortlichkeiten ausreichend geklärt sind.

Denn auch wenn externe Dienstleister operative Aufgaben übernehmen, bleibt die Verantwortung für prüfungsrelevante IT-Systeme beim Unternehmen – konkret: bei der Geschäftsführung. Insbesondere seit dem IDW PS 330 n.F. gilt: Ein Standard-Dienstleistervertrag reicht nicht mehr aus. Ordnungsmäßigkeit, Sicherheit und Nachvollziehbarkeit müssen nachweislich gewährleistet sein – andernfalls drohen Beanstandungen im Prüfbericht.

Um das zu vermeiden, sollten zentrale technische und organisatorische Fragen frühzeitig mit dem IT-Dienstleister geklärt und dokumentiert werden.


Zugriffsrechte und Nachvollziehbarkeit – wer darf was, wann und warum?

Gerade in Systemen mit buchhalterischer Relevanz (z. B. ERP, DMS, Zeiterfassung) ist es entscheidend, dass:

  • Zugriffsrechte auf das Nötigste beschränkt sind („Need-to-know“-Prinzip)

  • alle Änderungen systematisch protokolliert werden (z. B. durch Audit-Trails)

  • auch externe Dienstleister nur dokumentierte, nachvollziehbare Eingriffe vornehmen

Ein häufiges Risiko: Dienstleister erhalten bei Projektbeginn weitreichende Admin-Rechte – ohne festgelegten Rahmen. Empfehlenswert ist daher, ein abgestuftes Berechtigungskonzept zu definieren, das mitwächst und im Idealfall regelmäßig geprüft wird.


Schrittweise zum IT-Sicherheitskonzept – gemeinsam mit dem Dienstleister

Insbesondere wenn zu Beginn der Zusammenarbeit noch kein umfassendes Sicherheitskonzept existiert, bietet sich ein pragmatischer Ansatz an: Die Maßnahmen und Konfigurationen des Dienstleisters sollten systematisch dokumentiert werden, sodass daraus über die Zeit ein strukturiertes IT-Sicherheitskonzept entsteht – z. B. in folgenden Schritten:

  • Übersicht aller betreuten Systeme

  • verwendete Software und Schnittstellen

  • getroffene Sicherheitsmaßnahmen

  • dokumentierte Zugriffs- und Änderungsprozesse

So entsteht mit vertretbarem Aufwand eine belastbare Grundlage – auch im Hinblick auf die gesetzlich geforderte Verfahrensdokumentation (GoBD).


Backups sind kein Nice-to-have – sie sind das Rückgrat des Notfallmanagements

Das Thema Datensicherung wird oft unterschätzt – oder delegiert, ohne klare Kontrolle. Dabei ist das Backup das Herzstück der IT-Resilienz. Deshalb gilt:

  • Sicherstellung, dass alle rechnungsrelevanten Systeme gesichert werden

  • Nachweis über regelmäßige Restore-Tests

  • Angemessene Aufbewahrungsfristen

  • Schutz vor Manipulation oder Überschreiben

  • Dokumentation der Backup-Strategie durch den Dienstleister

Denn ohne nachvollziehbare Datensicherungen ist kein wirksames Notfallmanagement möglich – ein klarer Kritikpunkt in jedem IT-Audit.


Cloud-Dienste: Transparenz, Zuständigkeit und SLAs sichern

In vielen mittelständischen Unternehmen kommen heute mehrere externe Anbieter parallel zum Einsatz – etwa bei Cloud-ERP, E-Mail, DMS oder Hosting. Das erhöht die Flexibilität, aber auch das Risiko. Denn:

  • Wer ist für Verfügbarkeit und Wiederherstellung verantwortlich?

  • Welche Garantien sichern SLAs und wo sind die Grenzen der Zuständigkeit?

  • Wie sind Datenzugriff, -schutz und -speicherung geregelt?

Damit der „schwarze Peter“ im Problemfall nicht zwischen den Dienstleistern wandert, sind klare Verträge, Zuständigkeitsmatrizen und ein zentrales IT-Controlling unerlässlich.


Verfahrensdokumentation – der oft unterschätzte Prüfstein

Die GoBD verlangen eine Verfahrensdokumentation, in der die Abläufe rechnungsrelevanter IT-Systeme nachvollziehbar beschrieben sind. Die Realität: In vielen Unternehmen liegt diese nicht oder nur bruchstückhaft vor.

Die gute Nachricht: Die Dokumentationen der IT-Dienstleister können eine wertvolle Grundlage bilden. Wenn Änderungen, Customizings oder Konfigurationen nachvollziehbar dokumentiert werden, kann daraus Schritt für Schritt eine vollständige Verfahrensdokumentation entstehen.


Fazit: Prüfsicherheit entsteht nicht von selbst – sondern durch strukturierte Zusammenarbeit

Externe Dienstleister sind wertvolle Partner – wenn klare Standards, Zuständigkeiten und Dokumentationspflichten definiert sind. Wer frühzeitig die richtigen Fragen stellt und Verantwortlichkeiten schriftlich regelt, schafft nicht nur Sicherheit im IT-Audit, sondern auch eine belastbare IT-Struktur, die mit dem Unternehmen wachsen kann.


Nächster Schritt:

Lassen Sie Ihre bestehenden IT-Dienstleisterverträge prüfen – und klären Sie, welche Dokumentationen bereits vorliegen. Gerne unterstütze ich Sie bei der Erstellung eines auditfähigen IT-Sicherheitskonzepts und bei der Vorbereitung auf das nächste IT-Audit.

Jetzt unverbindliches Gespräch vereinbaren. Ich freue mich auf den Austausch.

Aktuelle Beiträge

Alle ansehen

Comments

Commenting on this post isn't available anymore. Contact the site owner for more info.
bottom of page