Blog

Warum sich Auditoren um Sicherheit kümmern sollten und was der Goldstandard ist?

Brian Costello

November 14, 2022

Auch wenn Sicherheit bei der Einführung neuer Technologietools für Entscheidungsträger in Wirtschaftsprüfungsgesellschaften wahrscheinlich nicht im Vordergrund steht, ist sie doch eines der wichtigsten Elemente, die bei der Prüfung, welche Anbieter-Tools in Audits integriert werden sollen, berücksichtigt werden müssen.

Vertrauen in die Datenintegrität bei Audits ist entscheidend, daher müssen Praktiker die volle Gewissheit haben, dass Transaktionsdaten korrekt und vollständig sind und nicht manipuliert wurden. Letztendlich liegt die Verantwortung beim Partner, der die Arbeit nach Abschluss abzeichnet.

Es gibt weltweit verschiedene Sicherheitszertifizierungsstandards, die weitgehend ähnlichen Prinzipien folgen, mit nur wenigen Nuancen.

Es lohnt sich, sich die Zeit zu nehmen, um zu verstehen, warum Sicherheit wichtig ist und worauf man bei Anbietern achten sollte, da dies Audits entschärft und entscheidend ist, wenn man abwägt, mit welchen Audit-Software-Anbietern man zusammenarbeiten möchte.

‍

Was ist Sicherheit?

Datensicherheit umfasst drei entscheidende Säulen: Vertraulichkeit, Integrität und Verfügbarkeit.

1. Vertraulichkeit

Unternehmenssoftware muss die von ihr verarbeiteten Daten vertraulich behandeln, um zu verhindern, dass sie in die falschen Hände geraten, und um Käufern die Gewissheit zu geben, dass Daten nicht missbraucht werden.

Andernfalls sind Geschäftsanwender Klagerisiken ausgesetzt und es droht ein Schaden für den Markenruf. Börsennotierte Unternehmen können davon besonders betroffen sein, aufgrund ungünstiger Kursbewegungen ihrer Aktien.

Innerhalb der EU sollte die Vertraulichkeit der von Softwareanbietern gespeicherten und verarbeiteten Daten durch die DSGVO geschützt sein. Die Nichteinhaltung kann zu Bußgeldern in Höhe von 4 % des jährlichen weltweiten Umsatzes des Unternehmens oder 20 Millionen US-Dollar führen, je nachdem, welcher Betrag höher ist.

2. Integrität

Integrität im Kontext der Datensicherheit bedeutet, dass Benutzer sich auf die Richtigkeit und Gültigkeit der von Unternehmenssoftware verarbeiteten Daten verlassen können müssen.

Daten müssen über ihren gesamten Lebenszyklus hinweg korrekt und konsistent sein, da Unternehmen sich andernfalls nicht auf sie verlassen können.

Praktisch bedeutet dies, dass Systeme vorhanden sein müssen, um Daten auf Fehler zu prüfen und zu beweisen, dass keine Kompromittierungen stattgefunden haben. Zusätzlich müssen Validierungsverfahren auf Daten angewendet werden, um sicherzustellen, dass sie bei Übertragungen in und aus Systemen nicht verändert wurden.

3. Verfügbarkeit

Verfügbarkeit ist entscheidend für die Datensicherheit, da Systeme und Anwendungen Daten jederzeit verfügbar machen müssen, wenn Benutzer sie benötigen.

Software muss ausreichend robust sein, um Denial-of-Service-Angriffen standzuhalten, damit Benutzer jederzeit ununterbrochen auf Daten zugreifen können.

Ein Denial of Service kann dazu führen, dass Anwendungen nicht betriebsbereit sind oder unter schweren Umständen Systeme in einen unsicheren Zustand versetzen.

‍

How these security principles meet the requirements of auditors

Security should be a crucial criterion for auditors when selecting providers. These principles are fundamental elements for software security controls that support internal controls in the audit of financial statements.

Auditors must be able to rely on these security controls to fulfill their duties with the necessary level of assurance.

For example, they must be able to fully rely on the integrity of year-end bank balance confirmations to prove that the balances have been correctly reconciled.

Furthermore, when bank transactions after year-end are requested for post-balance sheet purposes, auditors must ensure that the data provided matches the scope, originates from an authorized party, and has not been tampered with.

Lack of confidence in the security of the data used in these processes impairs the ability of partners to complete audits.

Another reason why auditors must rely on the security of audit technologies is the increase in efficiency in staffing and process optimization. Benefits of new audit technology tools include automation features that save time in key audit processes and provide a level of assurance that goes beyond the capabilities of human auditors. This can include, for example, the analysis of 100% of transactions to search for anomalies.

It is also essential for audit firms to be able to rely on the security of their software providers to deploy automation to support and complement employee performance. If audit partners are not convinced of the underlying security of the tools used, engagements will have to be completed with more manual effort and human labor and will require additional staffing resources. They will also take longer, which reduces profit margins.

‍

The gold standards to look out for

To meet security requirements, audit firms should at least choose providers with an Information Security Management System (ISMS) that has a comprehensive and complete scope. This must cover all risks and threats related to confidentiality, integrity, and availability.

Similar to audit standards for financial statements, there are international certifications for security. Working with providers who can demonstrate these certifications should give auditors additional assurance that they adhere to the highest security standards.

The most widely adopted standards are SOC2 (more common in the USA) and ISO 27001 (more frequently used in Europe).

Both certifications ensure that the highest security standards are met. There are overlaps between the two, but also some differences. These include differences in governance (the American Institute of Certified Public Accountants for SOC2 and the ANSI-ASQ National Accreditation Board for ISO 27001), and ISO 27001 is considered a more difficult certification for providers to obtain.

Ultimately, auditors will likely choose providers who hold certifications applicable in their clients' geographical regions.

‍

Review the security of your existing providers today

If you are already working with audit technology providers, review their security approach to ensure it meets the requirements. If no formal accreditations are in place, contact the suppliers and ensure that they have implemented an ISMS.

At Circit, our security meets the highest standards for ourselves and our clients. In addition to formal ISO 27001 certification, the platform is fully GDPR compliant, and all our content is encrypted. We are currently undergoing SOC2 accreditation.

Data security is strengthened by creating a comprehensive and immutable audit trail between all parties, including audit firms and their clients, which embeds timestamps, IP addresses, and end-user information.

‍Erfahren Sie hier mehr über unseren Ansatz.

‍

Teile diesen Beitrag

Verwandt

Abonnieren Sie unseren Newsletter

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenea faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Warum sich Auditoren um Sicherheit kümmern sollten und was der Goldstandard ist?

Was ist Sicherheit?

‍

How these security principles meet the requirements of auditors

The gold standards to look out for

‍

Review the security of your existing providers today

Verwandte Beiträge

Eine praktische Anwendung von KI für Wirtschaftsprüfer: Aufbau eines Technischen Direktors GPT

Die 5 wichtigsten Prüfungstrends für 2025

Prüfungs-Ausblick 2026: Die drei R: Regulierung, Ressourcen und Re-Engineering

Abonnieren Sie unseren Newsletter