Zum Hauptinhalt springen

"Wir unterstützen Unternehmen bei der risiko- und prozessorientierten Analyse, Konzeption, Optimierung, Implementierung und der laufenden Überwachung ihrer Informationstechnologie."

Stephanie, Managerin im IT & Specialized Assurance Team innerhalb von Risk Advisory, berichtet, wie IT-Prüfungen ablaufen.

Hallo, mein Name ist Stephanie, ich bin Teil des IT & Specialized Assurance Teams und dort aktuell als Managerin tätig. Unser Team gehört zum Bereich Accounting & Internal Controls innerhalb von Risk Advisory.
Bei Deloitte kann ich meinen betriebswirtschaftlichen Hintergrund, meine bisherige Berufserfahrung im IT-Bereich einer Bank und meine generelle IT-Affinität hervorragend miteinander verbinden. Welche Aufgaben ich in der IT-Prüfung ausführe und wie mein Arbeitsalltag aussieht, erzähle ich hier.

Du bist direkt nach deinem Master-Studium bei Deloitte eingestiegen und hast zuvor noch eine Ausbildung absolviert: Erzähl uns gerne, welche Ausbildung du zuvor gemacht hast und wie du zu Deloitte kamst?
Nach meinem Abitur habe ich zunächst eine Ausbildung zur Bankkauffrau gemacht. Parallel habe ich im Fernstudium ein Bachelor-Studium in Finance absolviert. Nachdem ich einige Jahre bei einer Bank gearbeitet habe, wollte ich noch einmal studieren und habe mich für den Masterstudiengang Finance & Accounting entschieden – dieses Mal als Vollzeit- und Präsenzstudium. Danach wollte ich eigentlich wieder in den Bankenbereich zurückgehen. Während des Studiums bin ich aber zum ersten Mal mit Wirtschaftsprüfungsthemen in Kontakt gekommen, da wir an der Hochschule auch Dozent:innen von Wirtschaftsprüfungsgesellschaften wie Deloitte hatten. Das hat mich sehr interessiert, sodass ich von meinem ursprünglichen Plan abgekommen bin und mich direkt bei Deloitte beworben habe. Seitdem bin ich bei Deloitte in der IT-Prüfung tätig. Dabei kann ich alles vereinen: meinen betriebswirtschaftlichen Hintergrund, meine Berufserfahrung im IT-Bereich der Bank und meine generelle IT-Affinität.

Was können wir uns unter dem Bereich IT & Specialized Assurance ganz konkret vorstellen? Mit welchen Themen beschäftigt sich euer Team?
Wir unterstützen Unternehmen bei der risiko- und prozessorientierten Analyse, Konzeption, Optimierung, Implementierung und der laufenden Überwachung ihrer Informationstechnologie. Wir stellen dabei vor allem sicher, dass die finanzwirtschaftlichen Daten vollständig und korrekt sind. Mein Team beschäftigt sich insbesondere mit IT-Prüfungen im Rahmen von Jahresabschlussprüfungen nach HGB- und SOX-Anforderungen. Dabei geht es vorwiegend um die sogenannten „General IT Controls (GITC)“ – die Prüfung von ERP-Systemen, Datenbanken und Betriebssystemen in Bezug auf Compliance und Sicherheit innerhalb der Kontrollbereiche Zugriffssicherheit, Systemänderungen und Rechenzentrums- sowie Netzwerkbetrieb. Darauf aufbauend kommen auch sogenannte „IT Application Controls (ITAC)“ zum Einsatz, also die Prüfung von automatischen Kontrollen in für die Jahresabschlussprüfung wesentlichen Prozessen wie Purchase-to-Pay (P2P), Order-to-Cash (O2C) und Record-to-Report (R2R). Wir führen aber auch Prüfungen nach Standards wie IDW PS 330, IDW PS 951 oder nach individuellen Vorgaben des Kunden durch. Allgemein lässt sich sagen, dass wir die unterschiedlichsten Arten von Prüfungen mit IT-Schwerpunkt durchführen.

Dein Schwerpunkt liegt im Bereich der IT- und Prozessprüfung im Rahmen von Jahresabschluss- und Sonderprüfungen sowie internen Revisionen. Was genau sind deine Aufgaben?
Meine Aufgaben umfassen alles von der Planung über die Prüfungsdurchführung bis hin zum Abschlussgespräch mit den Kunden. Die Planung erfolgt dabei meist im Team und in Abstimmung mit den jeweiligen Auftraggeber:innen. Wir legen dabei den genauen Inhalt und Zeitraum der Prüfung fest. Bei der Prüfung führe ich Interviews mit den Kunden und analysiere Unterlagen wie Prozessbeschreibungen, um ein Verständnis von den Prozessen und Kontrollen im Unternehmen zu erhalten. Um beurteilen zu können, ob die Kontrollen auch wirklich wirksam sind, ziehe ich Stichproben und überprüfe die Dokumentationen. Für die Funktionsprüfung verwende ich auch oft toolbasierte Auswertungen. Dabei werden bestimmte Informationen wie Parametereinstellungen oder Änderungsbelege von dem zu prüfenden System mithilfe eines Tools abgezogen, aufbereitet und analysiert. Die Prüfungsdurchführung kann sehr variieren und ist immer vom Prüfungsauftrag, dem Prüfungsverlauf und den Kunden selbst abhängig. Die Prüfung und insbesondere die Ergebnisse werden von mir dokumentiert und abschließend mit den Kunden diskutiert. Neben den mandatsspezifischen Aufgaben bin ich auch für die Einplanung und Einarbeitung von Consultants, Praktikant:innen und Werkstudent:innen zuständig.

Wir unterstützen Unternehmen bei der risiko- und prozessorientierten Analyse, Konzeption, Optimierung, Implementierung und der laufenden Überwachung ihrer Informationstechnologie.

Wie können wir uns eine beispielhafte IT-Prüfung vorstellen?
Als Beispiel nehme ich eine GITC-Prüfung, auf der unser Schwerpunkt liegt. Die GITC-Prüfung erfolgt im Rahmen der Jahresabschlussprüfung und ist zeitlich vom Bilanzstichtag der Kunden abhängig. Da die meisten Unternehmen ihr Geschäftsjahr zum 31.12. abschließen, müssen wir bereits Mitte des Jahres mit der Planung anfangen. Wir sprechen uns dabei mit den zuständigen Wirtschaftsprüfer:innen der jeweiligen Mandate ab. Bei größeren Unternehmen oder umfangreicheren Prüfungen beginnen wir bereits im Sommer mit der Prüfung. Zu Beginn führen wir ein Kick-off-Meeting mit den IT-Verantwortlichen der Kunden durch und stimmen die Prüfung inhaltlich sowie zeitlich ab. Inhaltlich liegt der Schwerpunkt auf den rechnungslegungsrelevanten ERP-Systemen, den dazugehörigen Betriebssystemen und Datenbanken sowie dem Netzwerk und dem Rechenzentrum. Viele unserer Kunden nutzen vor allem SAP als ERP-System. Durch Interviews, Einsicht in Unterlagen und Systeme, toolbasierte Auswertungen, Stichproben und sonstige Prüfungshandlungen prüfen wir risikoorientiert verschiedene Kontrollen insbesondere in Bezug auf Access Security und Change Management. Ziel ist es, am Ende eine Aussage treffen zu können, ob sich die Wirtschaftsprüfer:innen auf das rechnungslegungsrelevante ERP-System verlassen können und ihre Prüfungsstrategie bei der Jahresabschlussprüfung dahingehend ausrichten können. So eine GITC-Prüfung kann abhängig von der Unternehmensgröße und dem Prüfungsumfang mehrere Wochen, Monate oder fast ein gesamtes Jahr dauern. Auch die Größe des Prüfungsteams variiert. Kleinere GITC-Prüfungen führen wir meist alleine durch, bei größeren GITC-Prüfungen arbeiten wir in Teams.

Hast du einen typischen Arbeitsalltag und wenn ja, wie sieht dieser genau aus?
Mein Arbeitsalltag hängt grundsätzlich vom aktuellen Projekt ab. Da ich aber meist mehrere Prüfungen parallel durchführe, habe ich täglich Termine mit Kunden oder auch mit Kolleg:innen, um mich abzustimmen. Ansonsten muss ich vor allem die Termine vor- und nachbereiten, Unterlagen prüfen und die Prüfung dokumentieren. Seit Beginn der COVID-19-Pandemie arbeite ich vorwiegend von zu Hause aus, deswegen finden die Termine remote über Microsoft Teams, Skype oder Webex statt. Davor war ich entweder bei den Kunden vor Ort oder im Büro. Da viele meiner Kunden in der Region ansässig sind, hatte ich meist eine kurze Anreise und musste nur selten in Hotels übernachten. Wenn sich die coronabedingte Situation wieder etwas entspannt, wird es zukünftig vermutlich ein Mix aus Remote Working, Büro und Vor-Ort-Terminen bei Kunden werden.

An welchem Projekt arbeitest du aktuell und wie unterstützt du dabei die Kunden?
Aktuell arbeite ich an zwei Projekten. Zum einen eine IT-Prüfung im Rahmen einer Jahresabschlussprüfung und zum anderen eine Prüfung nach IDW PS 951. Bei der IT-Prüfung kontrollieren wir, ob in dem betreffenden Unternehmen die Sicherheit, Integrität und Zuverlässigkeit von Finanzinformationen durch die IT gewährleistet ist. Dadurch liefern wir wesentliche Erkenntnisse darüber, ob IT-Prozesse und relevante gesetzliche oder sonstige Vorgaben im Unternehmen angemessen eingehalten werden. Wenn wir Prozess- und Kontrollschwächen aufdecken, geben wir unseren Kunden auch Empfehlungen zur Verbesserung. Bei der Prüfung nach IDW PS 951 geht es um die Prüfung des internen Kontrollsystems von einem IT-Dienstleistungsunternehmen. Zum einen zeigen wir eventuelle Schwachstellen im internen Kontrollsystem auf. Zum anderen berichten wir über die Ausgestaltung und Wirksamkeit des internen Kontrollsystems innerhalb eines bestimmten Zeitraums. Sofern das interne Kontrollsystem in diesem Zeitraum angemessen ausgestaltet und wirksam war, stellen wir eine Bescheinigung darüber aus. Den Bericht mit der Bescheinigung kann der Dienstleister an seine Kunden weitergeben. Das bedeutet, dass nur einmal zentral durch uns geprüft wird. Das kann dem Dienstleister erheblichen Arbeitsaufwand ersparen.

Was war dein bisher interessantestes Projekt und wo siehst du dich beruflich in 10 Jahren?
Besonders in Erinnerung ist mir ein Projekt aus meiner Anfangszeit bei Deloitte geblieben. Ich habe bei einem Unternehmen eine interne Revision zu IT-Themen durchgeführt und die Schwerpunkte der Prüfung konnten wir in diesem Fall frei in Absprache mit dem Unternehmen festlegen. Dadurch hatten wir sowohl bei der Prüfung als auch bei der Berichterstellung viel Gestaltungsspielraum und konnten das Unternehmen unterstützen, seine IT-Prozesse nicht nur effektiver, sondern auch effizienter zu gestalten. Beruflich sehe ich mich in 10 Jahren weiterhin schwerpunktmäßig in der Prüfung. Das strukturierte Vorgehen beim Aufnehmen, Bewerten und Verbessern von Prozessen und Kontrollen ist eine meiner Stärken und macht mir Spaß. Da das IT-Umfeld sehr volatil ist und immer größere Bedeutung erlangt, kann ich mir gut vorstellen, mich weiter in diesem Bereich zu spezialisieren. Neben der fachlichen Weiterentwicklung möchte ich in den nächsten Jahren auch gerne mehr Managementaufgaben und Verantwortung in der Personalführung übernehmen. Deloitte bietet dafür viele Möglichkeiten.

Was ist das Besondere am Team IT & Specialized Assurance und welche Interessen, Erfahrungen oder Eigenschaften sollten Interessierte mitbringen?
Ganz besonders an unserem Team sind das kollegiale Miteinander und die flachen Hierarchien. Unsere Aufgaben sind sehr vielseitig, abwechslungsreich und ermöglichen insbesondere Neueinsteiger:innen eine steile Lernkurve. Fachlich sollten Interessierte ein Studium idealerweise im Bereich der Wirtschaftswissenschaften oder Informatik absolviert haben. Berufserfahrung in einem dieser Bereiche ist natürlich auch von Vorteil. Ein IT-Schwerpunkt im Studium oder Berufserfahrung sind aber nicht essenziell. In erster Linie ist es wichtig, dass die Person Affinität für IT und Spaß am Prüfen besitzt. Alles Weitere lernt man während der Arbeit. Auf persönlicher Ebene sollten Interessierte vor allem selbstständig und verantwortungsbewusst sein, um eigenverantwortlich Prüfungen übernehmen zu können. Da wir viel Kontakt mit Kunden haben, sollten Interessierte kommunikativ sein. Es ist uns auch sehr wichtig, dass die Person insgesamt gut ins Team passt.