Prüfung des internen Kontrollsystems (IKS): Kontrollnachweise anonymisieren – DSGVO-konform anonymisieren
Bei der Beurteilung des internen Kontrollsystems werten Prüfer Prozessbeschreibungen, Kontrollmatrizen und Walkthrough-Nachweise aus, die Namen von Kontrollverantwortlichen und Beschäftigten nennen. anonym.legal pseudonymisiert diese Personendaten, damit IKS-Nachweise im Prüfungsdatenraum geteilt werden können, ohne einzelne Kontrollträger offenzulegen.
When this applies
Bei der Beurteilung des internen Kontrollsystems im Rahmen der Abschlussprüfung dokumentieren Prüfer Prozesse, Kontrollen und deren Wirksamkeit; dies erfolgt in Anlehnung an die einschlägigen IDW-Prüfungsstandards. In dieser Phase werden Prozessbeschreibungen, Kontrollmatrizen, Walkthroughs und Stichproben zu Kontrollnachweisen ausgewertet. Weil diese Unterlagen Namen von Kontrollverantwortlichen, Freigebenden und Beschäftigten enthalten, entsteht der Bedarf, die Personen zu schützen, während Kontrollbeschreibung und Wirksamkeitsnachweis erhalten bleiben.
How anonym.legal handles it
- Prozessbeschreibungen, Kontrollmatrizen und Walkthrough-Nachweise werden im Originalformat in anonym.legal eingelesen.
- Die Engine durchsucht die Unterlagen und erkennt Namen von Kontrollverantwortlichen, Freigebenden und Beschäftigten aus über 285 unterstützten Entitätstypen.
- Die genannten Personen werden konsistent pseudonymisiert, sodass derselbe Kontrollträger über Matrix, Walkthrough und Stichproben hinweg eindeutig zugeordnet bleibt.
- Kontrollbeschreibungen, Kontrollziele und Wirksamkeitsnachweise ohne Personenbezug bleiben im Klartext erhalten, damit die Kontrollbeurteilung nachvollziehbar bleibt.
- Die Zuordnung von Pseudonym zu Klarname wird in einer verschlüsselten Mapping-Tabelle mit EU-Datenresidenz festgehalten.
- Die anonymisierten Nachweise werden im Prüfungsdatenraum bereitgestellt und nur bei berechtigter Anforderung re-identifiziert.
What you provide
- Prozessbeschreibungen und Kontrollmatrizen
- Walkthrough- und Stichprobennachweise zu Kontrollen
- Angaben zu Kontrollverantwortlichen und Freigabewegen
Limitations & cautions
- anonym.legal trifft keine Prüfungsaussage; die Beurteilung der Wirksamkeit des Kontrollsystems verantwortet allein der Wirtschaftsprüfer.
- Die zugrunde liegenden IDW-Prüfungsstandards sind fachliche Standards, keine gesetzlichen Paragraphen; ihre Anwendung obliegt dem Prüfungsteam.
- Die Re-Identifikation setzt die sichere Verwahrung des zugehörigen Schlüssels voraus.
FAQ
Bleibt die Funktionstrennung in der Kontrollmatrix erkennbar?
Ja, weil jeder Kontrollträger ein konsistentes Pseudonym erhält, bleiben Funktionstrennung und Freigabewege nachvollziehbar. Die Kontrollbeschreibung selbst bleibt im Klartext erhalten. So lässt sich die Wirksamkeit weiterhin beurteilen.
Nennt anonym.legal einen IDW-Standard als gesetzliche Grundlage?
Nein, IDW-Prüfungsstandards sind fachliche Standards des Berufsstands, keine gesetzlichen Paragraphen. anonym.legal erstellt keine Prüfungsstandards und gibt keine Standard-Konformität vor. Die Anwendung der Standards bleibt Aufgabe des Prüfungsteams.
Werden Freigebende in den Walkthroughs geschützt?
Ja, Namen von Freigebenden und Kontrollverantwortlichen werden als PII erkannt und konsistent pseudonymisiert. Sie zählen zu den über 285 unterstützten Entitätstypen. Nicht automatisch erkannte Angaben können Sie zusätzlich manuell als schützenswert markieren.