Der IDW Prüfungshinweis: Die Prüfung von Cloud-Diensten (IDW PH 9.860.3) konkretisiert die Anwendung der Grundsätze des IDW PS 860 in Bezug auf die Prüfung von Cloud-Diensten und soll dabei unterstützen, durch Prüfungen Vertrauen zwischen den Marktteilnehmern zu schaffen.
Cloud Computing ist durch ein hohes Maß an Standardisierung der erbrachten Dienstleistung und der zugrunde liegenden IT-Systeme charakterisiert und erfordert daher ein hohes Maß an Vertrauen durch den Cloud-Kunden in den Cloud-Anbieter. Der IDW Prüfungshinweis: Die Prüfung von Cloud-Diensten (IDW PH 9.860.3) konkretisiert die Anwendung der Grundsätze des IDW PS 860 in Bezug auf die Prüfung von Cloud-Diensten. Er soll den Berufsstand der Wirtschaftsprüfer dabei unterstützen, durch diese Prüfungen Vertrauen zwischen den Marktteilnehmern zu schaffen.
„Anforderungskatalog Cloud Computing (C5)“
Für das Servicemodell Infrastructure as a Service (IaaS) referenziert der IDW PH 9.860.3 auf den „Anforderungskatalog Cloud Computing (C5)“ (Stand: September 2017) des BSI. Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing. Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden.
Für die Servicemodelle Platform as a Service (PaaS) und Software as a Service (SaaS) enthält der IDW PH 9.860.3 ergänzende Anforderungen.
Durch das BSI wurde zwischenzeitlich eine überarbeitete Version des C5 veröffentlicht. Diese finden Sie hier. Die neue Version C5:2020 ist für Prüfungszeiträume anzuwenden, die am oder nach dem 15.02.2021 enden. Eine Anpassung des IDW PH 9.860.3 an den C5:2020 ist bis 2021 geplant.
(IDW vom 02.06.2020 / Viola C. Didier, RES JURA Redaktionsbüro)