Daniela Eichinger-Rainer, Senior Manager bei PwC, gibt uns Einblicke in den Prüfungsalltag – speziell hinsichtlich etwaiger Unterschiede von Cloud- vs. On-premises-ERP-Systemen. Wieso es auf die Art der Bereitstellung ankommt, und was der Unterschied zwischen SOC1 und SOC2 ist, erfahren Sie in diesem Interview.
Welche projektbegleitenden Prüfungen müssen bei der Einführung eines ERP-Systems durchgeführt werden?
Daten- und Systemmigrationen stellen ein Unternehmen vor große Herausforderungen. Damit bei einer Systemumstellung oder Datenmigration möglichst wenige Überraschungen auftreten, ist es wichtig, sich rechtzeitig mit rechtlichen Anforderungen und spezifischen Besonderheiten der Umstellung auseinanderzusetzen. Im Zuge der Umstellung ergeben sich neben den technischen Herausforderungen weitere Betrachtungsfelder. Sofern bei der Einführung oder bei einer wesentlichen Änderung eines IT-Buchführungssystems Daten aus dem abgelösten IT-System (Altdaten in Form von Stamm-, Bewegungs- und Steuerungsdaten) in ein neues IT-System übernommen werden, sind die Vollständigkeit, Richtigkeit und Nachvollziehbarkeit im Zuge der Jahresabschlussprüfung zu evaluieren. Meistens wird eine solche Evaluierung mit einem kontrollbasierten Ansatz durchgeführt. Das heißt, dass sich der Wirtschaftsprüfer in erster Linie auf die durch die Gesellschaft vorgenommenen Abstimmungshandlungen und der entsprechend erstellten Dokumentation verlässt und zusätzlich ausgewählte unabhängige Abstimmhandlungen durchführt. Wichtig ist dabei nicht nur eine nachvollziehbare Dokumentation der Datenmigration selbst, sondern auch eine umfassende Projektdokumentation wie z.B. Projektfreigabe, Projekthandbuch, Meilenstein- und Zeitplanung, Fachkonzepte, Cut-Over-Planung, Testkonzepte und -dokumentation, Fehlertracking-Prozess, Go-Live Freigabe und schlussendlich einer finalen Projektabnahme. Zu berücksichtigen ist jedenfalls auch, dass der Wirtschaftsprüfer möglichst frühzeitig ins Projekt eingebunden wird. Dadurch kann das Risiko minimiert werden, dass bei der anschließenden Prüfung und Abnahme des Systems Probleme auftreten.
Inwiefern unterscheidet sich der Prüfungsaufwand (bei der Einführung sowie im laufenden Betrieb) zwischen Cloud-ERP und Non-Cloud-ERP-Systemen?
Bei den Prüfungsinhalten gibt es grundsätzlich keine Unterschiede zwischen Cloud-ERP und Non-Cloud-ERP Systemen, die entsprechenden Risiken müssen systemunabhängig adressiert werden. Es gibt allerdings Unterschiede wie man die einzelnen Prüfungsthemen abarbeitet bzw. die Kontrollen prüft. Bei Cloud-Systemen werden viele Kontrollen nicht durch das zu prüfende Unternehmen selbst, sondern durch den Dienstleister durchgeführt. Sofern der Dienstleister einen ISAE 3402 oder SOC 1 Typ 2 Bericht anbietet, kann man diesen Bericht zur Beurteilung der bestehenden Kontrollen heranziehen. Während ISAE 3402 Berichte schon recht weit verbreitet sind, bekommen SOC 1 Berichte erst langsam einen größeren Bekanntheitsgrad. Bei SOC 1 handelt es sich um ein übergreifendes Rahmenwerk, die das amerikanische Institut für Wirtschaftsprüfer (AICPA) als Standard zur Verfügung stellt, um Dienstleister bzw. Serviceorganisationen nach festgesetzten Regeln zu prüfen. Durch diesen Berichtstyp werden die relevanten Kontrollen beim beauftragten Dienstleister in Bezug auf die „Internen Kontrollen im Rahmen der Finanzberichtserstattung“ (ICFR) betrachtet. Der SOC 1 Bericht ist vollständig äquivalent zu den standardisierten Prüfungsgrundlagen des SSAE 16 (ehemals SAS 70 von der AICPA). Weiters gibt es noch SOC 2 und SOC 3 Berichte, die allerdings andere Schwerpunkte haben.
Sollte ein ISAE 3402 oder SOC 1 Typ 2 Bericht für das Cloud-System nicht vorliegen, ändert sich zur herkömmlichen Non-Cloud-ERP Systemprüfung nicht viel. Der Wirtschaftsprüfer muss in diesem Fall die Kontrollen selbst prüfen.
Ein weiterer Aspekt, den es in der Prüfung von Cloud-Systemen zu berücksichtigen gilt, ist, dass manche Systeme auch als „Off-the-Shelf“ klassifiziert werden können und somit einzelne Prüfungspunkte entfallen (z.B. im Bereich Change-Management).
Zusammenfassend kann man daher sagen, dass bei Cloud-Systemen eine Reduktion des Prüfungsaufwandes möglich ist.
Gibt es spezielle Vorgehensweisen bei reinem SaaS (Public Cloud)?
Eine Public Cloud SaaS Lösung kann prüfungstechnisch meistens als „Off-the-shelf“-System deklariert werden und somit fallen einzelne Prüfungsgebiete geringer aus. Bestes Beispiel dafür ist der Bereich Change-Management. Der Kunde kann selbst keine Änderungen am Programmcode bzw. nur sehr eingeschränkt im Customizing vornehmen. Vom Hersteller werden in regelmäßigen Abständen Releases eingespielt bzw. zur Verfügung gestellt, um das System upzudaten. Abhängig davon, wer für die Einspielung der Releases dann tatsächlich verantwortlich ist, werden hier nur mehr die Release-Einspielungen geprüft. Ein kompletter klassischer Change-Management-Prozess ist in diesen Fällen meistens nicht mehr notwendig und wird dann auch nicht mehr geprüft. Ein weiteres Beispiel ist der Bereich Operations mit Backuperstellung oder Systemüberwachung. Auch diese Tätigkeiten liegen meistens in der Verantwortung des Service Providers und der Kunde hat hier keine Aufgaben mehr. Generell wird bei SaaS Lösungen prüfungstechnisch auf ISAE3402 oder SOC 1 Berichte zurückgegriffen, da damit ein großer Teil der Risiken adressiert und somit ein Großteil der Prüfung abgedeckt werden kann.
Gibt es aus ihrer Sicht Unterschiede (Vor-/Nachteile) zwischen SAP- und Non-SAP-ERP-Systemen aus Sicht der Wirtschaftsprüfung?
Grundsätzlich muss man sagen, dass SAP-Systeme in Österreich sehr weit verbreitet sind und wir deshalb in der Prüfung viele Tools für SAP-Prüfungen entwickelt haben. Beispielsweise haben wir ein eigenes Berechtigungsprüftool, mit dem wir äußerst effizient SAP-Berechtigungen auf Rollen- oder Benutzerebene sowie die SAP-Konfigurationseinstellungen prüfen können. In der Abschlussprüfung setzen wir verschiedene Tools zur Analyse der Buchungen und zur prozessübergreifenden Analyse von Geschäftsaktivitäten und Werteflüssen ein. Ziel ist es hierbei Transparenz über Prozessabweichungen und die Effektivität der Systemkonfiguration zu bekommen. Wir setzen auch ein Tool zur gezielten Umsatzkontenanalyse ein. Wir arbeiten auch mit Künstlicher Intelligenz in den Tools. Beispielsweise haben wir ein Tool, das Anhangsangaben mit modernsten Algorithmen der Künstlichen Intelligenz wie z.B. deep neural networks kontrolliert. Auch für die Prüfung von Datenmigrationen gibt es Tools, die eine automatisierte Durchführung von Abstimmungshandlungen zwischen Quell- und Zielsystem ermöglichen. Ziel hierbei ist das Aufdecken von unvollständigen oder fehlerhaften Datenmigrationen. Hier erreichen wir eine sehr hohe Effizienz in der Durchführung von Abstimmhandlungen und einen hohen Automatisierungsgrad. Um die Tools zu nutzen werden uns die Daten entweder vom Kunden zur Verfügung gestellt oder wir können über eine RFC Verbindung auf das System des Kunden zugreifen und die notwendigen Daten dann in unsere Tools laden. Durch die diversen Toolunterstützungen können SAP-Prüfungen standardisiert und effizient durchgeführt werden. Weiters bietet SAP von Haus aus auch sehr gute Auswertungsmöglichkeiten für die Prüfung.
Bei Non-SAP-ERP-Systemen hängt der Prüfungsaufwand immer damit zusammen, wie gut bestimmte Auswertungen und Nachweise aus dem System geladen werden können. Manche ERP Systeme sind hier noch nicht auf einem Level mit SAP und somit ergeben sich schon Nachteile in der Prüfung. Für Non-SAP-ERP-Systeme setzen wir allerdings auch Tools zur Prüfungsunterstützung ein (z.B. Alteryx, UIPath, PowerBI), der Fokus liegt aber sicherlich im SAP-Bereich.
Für die Abschlussprüfung spielt die Automatisierung eine immer größere Rolle. Daher fokussieren wir uns sehr darauf immer hochmoderne digitale Anwendungen in der Prüfung einzusetzen. Eine weitere Herausforderung: Unternehmen halten zunehmend Richtlinien für Corporate Social Responsibility ein, erstellen klima- und umweltbezogene Berichte sowie zukunftsorientierte „Fitness-Checks“. Das bedeutet: Die vormals reinen Finanzdaten werden um sozioökonomische Aspekte ergänzt, die die Berichterstattung ebenfalls berücksichtigen muss. In der Folge müssen Prüfsysteme und Einschätzungen individueller und komplexer werden – auch um Berichte so zu strukturieren, dass sie den Interessen bestimmter Stakeholder (z.B. Investoren) besser gerecht werden und etwa anlassbezogen bei Zukäufen oder Carve-outs erfolgen können. Dies impliziert für die Zukunft ein Real-Time-Audit: eine ständig mitlaufende, weitgehend automatisierte Prüfung, deren Stand sich jederzeit abfragen lässt. Insgesamt lassen sich so Qualität und Transparenz der Prüfungsergebnisse signifikant erhöhen.
Welche Erfahrungen haben Sie mit SAP Advanced Compliance Reporting („ACR“) für die Bereitstellung der relevanten Informationen und Daten in elektronischer Form?
Die sich schnell entwickelnden regulatorischen Compliance-Anforderungen und auch die wachsende Forderung der Steuerbehörden nach Echtzeit-Berichten haben dazu geführt, dass Unternehmen eine bessere Kontrolle ihrer Daten benötigen. Um sowohl die Ermittlung der Umsatzsteuer als auch die Erstellung der umsatzsteuerlichen Meldungen automatisiert und gesetzlich konform abwickeln zu können, existieren verschiedene Lösungen. In SAP kann sowohl die Standardlösung verwendet werden als auch Erweiterungen, Add-Ons oder Tax Engines. Das SAP Advanced Compliance Reporting ist derzeit noch nicht sehr verbreitet im Einsatz.
SAP stellt im „Trust Center“ eine Reihe an compliance-relevanten Dokumenten und Berichten zur Verfügung. Wie beurteilen Sie diese Informationen?
Das ist ein sehr guter Service von SAP, um schnell an die notwendigen Berichte zu kommen. Beispielsweise werden dort ISAE 3402 oder SOC 1 Berichte zu diversen SAP-Systemen zum Download zur Verfügung gestellt. Oft haben wir in der Prüfung das Problem, dass ISAE 3402 oder SOC Berichte vom Kunden erst beim Service Provider angefordert werden müssen. Das dauert meistens und manche Service Provider stellen diese Berichte auch nicht kostenlos zur Verfügung. Das führt manchmal schon zu Diskussionen, da ohne einen Bericht die Kontrollen dann selbst nochmals geprüft werden müssten oder für das System kein Comfort gegeben werden kann, das wiederum den Prüfungsaufwand drastisch erhöht.
Beurteilen Sie auch potenzielle Sicherheitslücken und Attacken (z.B. Phishing, Ransomware, DDoS) von ERP-Systemen? Falls ja, gibt es hier Unterschiede zw. On-Premise und Cloud-Systemen (SaaS vs. IaaS)?
Das Thema Cyber Security ist auch bei Wirtschaftsprüfern in den letzten Jahren immer relevanter geworden. Mittlerweile gibt es spezielle Kontrollen, die dieses Thema adressieren – unabhängig ob es sich um On-Premise oder Cloud-Systeme handelt. Das ist einerseits die Prüfersicht. Viele Unternehmen wenden sich aber auch an uns, um Unterstützung bei der Verbesserung der Cyber-Sicherheit zu bekommen. Unabhängige Security Umfragen zeigen, dass ein Mangel an Cyber-Hygiene auf Kundenseite nach wie vor die häufigste Ursache für Cloud-Sicherheitsvorfälle sowie Cloud-spezifische Schwachstellen ist. Dies deckt sich auch mit unseren eigenen Erfahrungen aus der Praxis. In vielen Fällen wird ohne entsprechende Vorbereitung, mit fehlerhaften Prozessen und unzureichender Risikosteuerung gehandelt. Eine unzureichende Betrachtung der Cloud-Security kann für Unternehmen existenzbedrohend sein. Wir können Unternehmen beispielsweise in der Entwicklung und Umsetzung einer Sicherheitsstrategie für die Cloud-Nutzung und der Berücksichtigung aller Cyber-Security-Aspekte innerhalb des jeweiligen Cloud-Lebenszyklus unterstützen. Dabei kann unser Cloud Security Governance Framework (CSGF), welches auf etablierten Cloud Security Standards und Industrie Best Practices basiert, eine Hilfestellung für den detaillierten Implementierungsansatz geben. Weiters begleiten wir Unternehmen bei der Konzeption und der Ausgestaltung einer sicheren Cloud-Architektur und stehen bei der Erstellung eines Sicherheitskonzepts für die Cloud-Nutzung zur Seite. Unsere Services sind dabei vielfältig und reichen unter anderem von Referenzarchitekturen und Security Blueprint Reviews bis hin zur Definition von technischen Policies, der Auswahl von Cloud-Native Security Solutions und der Rationalisierung des Cloud-Portfolios. Ein weiterer Punkt ist noch die Unterstützung beim sicheren Betrieb der Cloud, bei der Sicherheitsüberwachung und dem Management von Vorfällen. Dabei stehen insbesondere Themen wie SecDevOps, Schutz von Cloud-Workloads, aber auch kontinuierliches Compliance-Monitoring und Cloud Security Posture Management, im Fokus.
Und zuletzt der Brief ans Christkind: Was würden Sie sich aus Prüfungssicht von einem perfekten ERP-System wünschen?
Aus Prüfersicht wäre eine zwingende Änderungsprotokollierung wünschenswert, die vom Kunden nicht über das Customizing deaktiviert werden kann. Weiters ist es für uns sehr wichtig effizient an vollständige Listen zu System- und Benutzeränderungen zu kommen. Manche ERP Systeme haben hier noch Aufholbedarf. Ein wichtiger Punkt sind noch die Super-User in den Systemen. Hier würde ich mir wünschen, dass die damit verbundenen Risiken von den Unternehmen ernster genommen werden und Rechte entsprechend eingeschränkt werden.
Über die Autorin
Daniela Eichinger-Rainer, PwC
Daniela ist Senior Manager beim Wirtschaftsprüfungsunternehmen PwC.