DORA-Prüfung im Rahmen der Abschlussprüfung – IDW-Entwurf für neuen Prüfungsstandard

29. September 2025
Symbolbild: Mit einer Lupe wird ein Farn detailliert betrachtet, um dessen Resilienz zu prüfen. Das symbolisiert Prüfungen nach dem Digital Operational Resilience Act (DORA).

Das Institut der Wirtschaftsprüfer (IDW) hat am 7. August 2025 den Entwurf des Prüfungsstandards IDW EPS 528 (08.2025) veröffentlicht. Er regelt die aufsichtliche Prüfung der Einhaltung der Anforderungen der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz (DORA) im Rahmen der Abschlussprüfung.

Hintergrund

Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) wurde für Finanzunternehmen die Prüfung der Einhaltung bestimmter Anforderungen des Digital Operational Resilience Act (DORA) durch den Abschlussprüfer als Erweiterung der Jahresabschlussprüfung eingeführt. DORA gilt ab dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten und ersetzt nationale Vorgaben wie BAIT, KAIT und ZAIT (wir berichteten).

Betroffen sind:

  • Kredit- und Finanzdienstleistungsinstitute,
  • Versicherungsunternehmen,
  • externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen.

Aufbau und Grundprinzipien

Der Entwurf baut auf den Anforderungen aus IDW PS 526 auf und folgt einem prinzipienorientierten Ansatz. Besonderes Gewicht liegt auf dem Proportionalitätsgrundsatz: Die Prüfungshandlungen sind an Größe, Geschäftsmodell und Risikoprofil des geprüften Unternehmens auszurichten.

Prüfungsgegenstände

Zu den Kernbereichen der Prüfung zählen u. a.:

  • IKT-Risikomanagement und Governance
  • Incident-Management einschließlich Meldepflichten
  • Resilienztests zur Wiederherstellungsfähigkeit
  • Drittparteienmanagement bei Auslagerungen und IT-Dienstleistern

Der Standard beschreibt, wie Abschlussprüfer Angemessenheit und Wirksamkeit dieser Vorkehrungen beurteilen und dokumentieren sollen.

Besondere Regelungen im Entwurf

  • Nutzung von Vorarbeiten: Ergebnisse anderer Prüfungen (z. B. Sonderprüfungen) können herangezogen werden.
  • Angemessenheitsprüfung vor Wirksamkeitsprüfung: Werden gravierende Mängel festgestellt, ist keine Wirksamkeitsprüfung erforderlich.
  • Rückgriff auf Vorjahresprüfungen: In Teilbereichen darf auf Ergebnisse zurückliegender Prüfungen Bezug genommen werden, wenn diese nicht länger als zwei Jahre zurückliegen und keine wesentlichen Beanstandungen enthalten.

Erleichterungen für das Jahr 2025

Die BaFin hat einer Erleichterung für die erstmalige Anwendung zugestimmt: Mängel, die innerhalb des Berichtszeitraums vollständig behoben wurden, müssen nicht im Detailbericht aufgeführt werden, sondern können in der Zusammenfassung erwähnt werden. Feststellungen bleiben jedoch in den Arbeitspapieren dokumentiert und sind bei Bedarf in der Kommunikation mit dem geprüften Unternehmen oder der Aufsicht bereitzuhalten.

Stellungnahmefrist

Zum Entwurf können bis zum 31. Oktober 2025 Stellungnahmen beim IDW eingereicht werden.

Veröffentlicht in Allgemein, WirtschaftsprüfungVerschlagwortet mit , , , , , ,

Verwandte Beiträge