close
Share with your friends

Eine fundierte Prüfung und Beurteilung der IT-Risiken eines Unternehmens durch die Interne Revision ist nur möglich, wenn selbige über entsprechendes IT-Expertenwissen verfügt. Diese Kompetenzen innerhalb der Internen Revision zu bündeln und bei steigenden Anforderungen laufend auszubauen, ist mit Blick auf den Arbeitsmarkt herausfordernd. In bestimmten Fällen ist es ökonomisch nicht sinnvoll.

Aufsichtsräte, Topmanagement und die Aufsicht beschäftigen sich häufig und gezielt mit der Frage: Sind im Unternehmen wirkungsvolle Strukturen und Verfahren zur Identifizierung, Steuerung und Überwachung der IT-Risiken implementiert? Dabei spielt das interne IT-Audit als Teil der Internen Revision eine wesentliche Rolle. Dieses hat als unabhängige Kontrollfunktion zur Aufgabe, die vorhandenen Organisationsstrukturen zur Governance der IT-Risiken regelmäßig auf ihre Eignung und Angemessenheit zu beurteilen.

Ein breites Spektrum

Es gibt diverse IT-Risiken – je nach Art und Komplexität des Geschäftsmodells, der Unternehmensstrukturen und individuellen Gegebenheiten: Nicht-Verfügbarkeit von IT-Systemen, mangelnde Datenintegrität, Datenverlust, fehlerhafte Verarbeitung oder interne und externe Angriffe auf IT-Systeme mit weitreichenden Folgen etc.

Das Spektrum diesbezüglicher Tätigkeiten des Internen IT-Audits ist vielseitig und setzt umfangreiches Fachwissen voraus. Es reicht von strategischen bis zu sehr technischen, systemspezifischen Fragestellungen, wie etwa:

  • Sind Maßnahmen und Prozeduren zur Sicherstellung, dass die IT-Strategie mit der Unternehmensstrategie und dem Geschäftsmodell ausreichend abgestimmt ist, angemessen implementiert?
  • Durch welche Prozesse und Gremien wird eine geeignete IT-Zielarchitektur entwickelt und abgestimmt?
  • Wie wird sichergestellt, dass das unternehmensweite Interne Kontrollsystem (IKS) relevante automatische Kontrollen, die in IT-Systemen wirksam umgesetzt sind, beinhaltet?
  • Sind interne Kontrollen im Änderungswesen implementiert, die unautorisierte Manipulationen oder fehlerhafte/nicht ausreichend getestete Änderungen verhindert oder aufdeckt?
  • Durch welche Verfahren und Maßnahmen werden notwendige Funktionstrennungsaspekte angemessen identifiziert und über systemtechnische Berechtigungskonzepte umgesetzt?
  • Wurden ausreichend Maßnahmen zur Schaffung und Überwachung einer angemessenen Informationssicherheit – prozessual, organisatorisch und technisch – gesetzt? Werden hierbei relevante Ebenen wie Betriebssystem, Datenbank oder Netzwerk miteinbezogen?
  • Mit welchen internen Maßnahmen werden im Fall von IT-Outsourcing relevante Aspekte wie zB potenzielle Abhängigkeiten, Informationssicherheit oder Prüfrechte identifiziert und behandelt?

Rat von Extern

Es stellt sich auch die Frage: Kann das interne IT-Audit die Ergebnisse der Tätigkeiten kompetent und unternehmensrelevant kommunizieren, so dass diese auch akzeptiert und umgesetzt werden?

Oftmals verfügt die Interne Revision über keine expliziten IT-Auditors. Oder sie sieht sich mit der Herausforderung konfrontiert, diese laufend auszubilden, um mit den Anforderungen der rasanten technologischen Entwicklungen mitzuhalten. Daher kommt es in der Praxis im Bereich des IT-Audits oftmals zu einer Unterstützung durch externe IT-Auditors. Dies gilt auch für Spezialthemen, die durch die vorhandenen Ressourcen der Interne Revision nicht ange-messen abdeckt werden können. Der Vorteil: Es kann gezielt und nur bei Bedarf auf deren tiefgehendes Fachwissen zurückgegriffen werden.  

Autor

Kerstin Heyn-Schaller

Weitere Artikel der Ausgabe "IT ist alles"

Verwandte Themen