Viele mittelständische Unternehmen setzen auf externe IT-Dienstleister – ein sinnvoller Schritt, um die interne IT zu entlasten, Know-how zu erweitern oder neue Technologien schneller zu integrieren. Doch sobald ein IT-Audit im Rahmen der Jahresabschlussprüfung ansteht, zeigt sich, ob die Verantwortlichkeiten ausreichend geklärt sind.
Denn auch wenn externe Dienstleister operative Aufgaben übernehmen, bleibt die Verantwortung für prüfungsrelevante IT-Systeme beim Unternehmen – konkret: bei der Geschäftsführung. Insbesondere seit dem IDW PS 330 n.F. gilt: Ein Standard-Dienstleistervertrag reicht nicht mehr aus. Ordnungsmäßigkeit, Sicherheit und Nachvollziehbarkeit müssen nachweislich gewährleistet sein – andernfalls drohen Beanstandungen im Prüfbericht.
Um das zu vermeiden, sollten zentrale technische und organisatorische Fragen frühzeitig mit dem IT-Dienstleister geklärt und dokumentiert werden.
Zugriffsrechte und Nachvollziehbarkeit – wer darf was, wann und warum?
Gerade in Systemen mit buchhalterischer Relevanz (z. B. ERP, DMS, Zeiterfassung) ist es entscheidend, dass:
- Zugriffsrechte auf das Nötigste beschränkt sind („Need-to-know“-Prinzip)
- alle Änderungen systematisch protokolliert werden (z. B. durch Audit-Trails)
- auch externe Dienstleister nur dokumentierte, nachvollziehbare Eingriffe vornehmen
Ein häufiges Risiko: Dienstleister erhalten bei Projektbeginn weitreichende Admin-Rechte – ohne festgelegten Rahmen. Empfehlenswert ist daher, ein abgestuftes Berechtigungskonzept zu definieren, das mitwächst und im Idealfall regelmäßig geprüft wird.
Schrittweise zum IT-Sicherheitskonzept – gemeinsam mit dem Dienstleister
Insbesondere wenn zu Beginn der Zusammenarbeit noch kein umfassendes Sicherheitskonzept existiert, bietet sich ein pragmatischer Ansatz an: Die Maßnahmen und Konfigurationen des Dienstleisters sollten systematisch dokumentiert werden, sodass daraus über die Zeit ein strukturiertes IT-Sicherheitskonzept entsteht – z. B. in folgenden Schritten:
- Übersicht aller betreuten Systeme
- verwendete Software und Schnittstellen
- getroffene Sicherheitsmaßnahmen
- dokumentierte Zugriffs- und Änderungsprozesse
So entsteht mit vertretbarem Aufwand eine belastbare Grundlage – auch im Hinblick auf die gesetzlich geforderte Verfahrensdokumentation (GoBD).
Backups sind kein Nice-to-have – sie sind das Rückgrat des Notfallmanagements
Das Thema Datensicherung wird oft unterschätzt – oder delegiert, ohne klare Kontrolle. Dabei ist das Backup das Herzstück der IT-Resilienz. Deshalb gilt:
- Sicherstellung, dass alle rechnungsrelevanten Systeme gesichert werden
- Nachweis über regelmäßige Restore-Tests
- Angemessene Aufbewahrungsfristen
- Schutz vor Manipulation oder Überschreiben
- Dokumentation der Backup-Strategie durch den Dienstleister sowie regelmäßiges Reporting
Denn ohne nachvollziehbare Datensicherungen ist kein wirksames Notfall-management möglich – ein klarer Kritikpunkt in jedem IT-Audit.
Auch wenn der IT-Dienstleister das Backup technisch umsetzt und ein Monitoring betreibt, bleibt die Verantwortung beim Unternehmen selbst – konkret bei der Geschäftsführung bzw. dem Inhaber. Daher ist es unverzichtbar, dass eine interne Kontrolle des Dienstleisters erfolgt.
Das bedeutet:
- Es sollte eine verantwortliche Person im Unternehmen benannt werden, die regelmäßig prüft, ob das Backup ordnungsgemäß läuft.
- Dazu gehören z. B. wöchentliche oder monatliche Berichte, Prüfprotokolle oder Monitoring-Aktivitäten, die mit dem Dienstleister abgestimmt werden.
- Zusätzlich wird empfohlen, mindestens einmal jährlich einen Wiederherstellungstest durchzuführen – idealerweise auch nach Systemumstellungen oder Softwareänderungen.
Denn ohne solche Nachweise kann es im Ernstfall zum bösen Erwachen kommen – etwa wenn kritische Daten nie in die Sicherung eingebunden waren oder fehlerhafte Backups über Monate unbemerkt blieben. Und genau das wird im IT-Audit zunehmend hinterfragt.
Cloud-Dienste: Transparenz, Zuständigkeit und SLAs sichern
In vielen mittelständischen Unternehmen kommen heute mehrere externe Anbieter parallel zum Einsatz – etwa bei Cloud-ERP, E-Mail, DMS oder Hosting. Das erhöht die Flexibilität, aber auch das Risiko. Denn:
- Wer ist für Verfügbarkeit und Wiederherstellung verantwortlich?
- Welche Garantien sichern SLAs und wo sind die Grenzen der Zuständigkeit?
- Wie sind Datenzugriff, -schutz und -speicherung geregelt?
Damit der „schwarze Peter“ im Problemfall nicht zwischen den Dienstleistern wandert, sind klare Verträge, Zuständigkeitsmatrizen und ein zentrales IT-Controlling unerlässlich.
Verfahrensdokumentation – der oft unterschätzte Prüfstein
Die GoBD verlangen eine Verfahrensdokumentation, in der die Abläufe rechnungsrelevanter IT-Systeme nachvollziehbar beschrieben sind. Die Realität: In vielen Unternehmen liegt diese nicht oder nur bruchstückhaft vor.
Die gute Nachricht: Die Dokumentationen der IT-Dienstleister können eine wertvolle Grundlage bilden. Wenn Änderungen, Customizings oder Konfigurationen nachvollziehbar dokumentiert werden, kann daraus Schritt für Schritt eine vollständige Verfahrensdokumentation entstehen.
Fazit: Prüfsicherheit entsteht nicht von selbst – sondern durch strukturierte Zusammenarbeit
Externe Dienstleister sind wertvolle Partner – wenn klare Standards, Zuständigkeiten und Dokumentationspflichten definiert sind. Wer frühzeitig die richtigen Fragen stellt und Verantwortlichkeiten schriftlich regelt, schafft nicht nur Sicherheit im IT-Audit, sondern auch eine belastbare IT-Struktur, die mit dem Unternehmen wachsen kann.
Nächster Schritt:
Lassen Sie Ihre bestehenden IT-Dienstleisterverträge prüfen – und klären Sie, welche Dokumentationen bereits vorliegen. Gerne unterstütze ich Sie bei der Erstellung eines auditfähigen IT-Sicherheitskonzepts und bei der Vorbereitung auf das nächste IT-Audit.
Jetzt unverbindliches Gespräch vereinbaren. Ich freue mich auf den Austausch.
