Der „GTAG 1: „Information Technology – Risk and Controls“ (Informationstechnologie – Risiko und Kontrollen) gehört zur Gruppe der GTAG (Global Technology Audit Guides) der Praktischen Leitfäden, die in einer klaren Geschäftssprache verfasst sind, um aktuelle Themen mit Bezug zur Informationstechnologie (IT), Management, Steuerung und Kontrolle sowie Sicherheit zu adressieren. Die Praktischen Leitfäden wiederum sind Teil der dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.
Die Informationstechnologie (IT) bietet diverse Wachstums- und Entwicklungschancen. Dennoch birgt die IT auch bedeutende Risiken, wie z.B. Störungen, Täuschung, Diebstahl und Betrug, denen es entgegenzuwirken gilt. Aus diesem Grund sollten bei der Entwicklung von Gegenmaßnahmen folgende Fragen von den verantwortlichen Führungskräften berücksichtigt werden:
Die hierzu notwendigen IT-Kontrollen setzten sich nach dem Praktischen Leitfaden aus zwei zentralen Elementen zusammen: Automatische Kontrollen und Kontrollen, die sich mit dem IT-Umfeld und den IT-Prozessen befassen.
Die internationalen Standards des Institute of Internal Auditors (IIA) betonen, dass Interne Revisoren alle im Unternehmen wirkenden Risiken und Kontrollen von in der Organisation eingesetzten Informationssystemen beurteilen müssen. Die Beurteilung sollte an den Zielen und dem Umfeld der Organisation ausgerichtet werden. Das IIA hat mit dem GTAG 4: Steuerung der IT-Prüfung (Management of IT Auditing) und dem GTAG 11: Entwicklung der IT-Prüfungsplanung (Developing the IT Audit Plan) sowie dem GTAG 8: Prüfung von Anwendungskontrollen (Auditing Application Control) weitere Empfehlungen zu diesem Thema veröffentlicht.
Die Führung und Überwachung der IT hat sicherzustellen, dass die IT an den Bedürfnissen des Unternehmens ausgerichtet ist. Unter IT-Führung und -Überwachung werden u.a. die Führung, die Unternehmensstrukturen und die Prozesse verstanden, welche sicherstellen, dass die IT die Strategien und Ziele der Organisation aufrechterhält und unterstützt. Festgehalten wird dies im Standard 2110.A2 (vgl. „Standard 2100 – Art der Arbeiten“).
Damit die IT-Führung und -Überwachung angemessen agieren kann, sollten folgende Prinzipien eingehalten werden:
Die Beurteilung einer effektiven Führung und Überwachung der IT durch die Interne Revision kann anhand z.B. folgender Schlüsselkomponenten vorgenommen werden:
Eine effektive IT-Führung und -Überwachung ist notwendig, um die Ziele der Organisation zu erreichen und Ressourcen optimal zu steuern. Abhängig von ihrer Effektivität können Chancen genutzt oder verpasst werden. Der Praktische Leitfaden GTAG 1: Informationstechnologie – Risiko und Kontrollen gibt einen Überblick über die genauen Funktionen und Verantwortlichkeiten von Geschäftsführung/Überwachungsorgan, Führungskräften, Interner Revision sowie aus Sicht der IT-Führung und -Überwachung. Zusätzlich zu den internen Stakeholdern sind auch externe Parteien wie z.B. Abschlussprüfer, Staat, Öffentlichkeit und internationale Standardisierungsgremien zu berücksichtigen.
Da sich Organisationen stark voneinander unterscheiden, ist es nicht möglich, standardisierte Schemata an Kontrollen zu implementieren. Jede Organisation sollte Kontrollen anhand des individuellen Risikograds ausrichten.
Der Leiter der Internen Revision sollte in Betracht ziehen, ob
Die Geschäftsleitung sollte etablierte Prozesse und die folgenden Komponenten genauer betrachten, um IT-Kontrollen der Organisation hinsichtlich ihrer Angemessenheit beurteilen zu können:
Zur Analyse und Beurteilung von Risiken sollten zum einen das IT-Umfeld und zum anderen IT-Risiken sowie Risikoappetit und Risikotoleranz der Organisation beurteilt werden.
Ein typischer Prozess des unternehmensweiten Risikomanagement zur Identifikation und Steuerung von Risiken kann wie folgt verlaufen:
Der Risikobeurteilungsprozess sollte zudem folgende Fragen berücksichtigen:
Grundsätzliche gibt es im Risikomanagement vier unterschiedliche Wege, Risiken zu steuern:
Eine fundamentale Basis an IT-Kontrollen sollte gewährleisten sein. Daher bedarf es der Implementierung eines Basisschemas an IT-Kontrollen.
Die folgende Tabelle aus dem Praktischen Ratschlag zeigt ein Beispiel für eine formale Struktur des Prozesses zur Beurteilung von IT-Kontrollen durch die Interne Revision:
IT-Kontrollen lassen sich in generelle und anwendungsbezogene Kontrollen klassifizieren. Generelle Kontrollen bilden die Basis des IT-Kontrollumfelds und umfassen alle Systemkomponenten, Prozesse und Daten eines vorgegebenen Unternehmens oder Systemumfelds. Anwendungskontrollen umfassen hingegen individuelle Unternehmensprozesse oder Systemanwendungen und enthalten Kontrollen innerhalb der Anwendung hinsichtlich Eingabe, Verarbeitung und Ausgabe. Außerdem können Kontrollen im Hinblick auf ihre Wirkung unterschieden werden (d.h. präventiv, aufdeckend oder korrigierend).
Die nach dem Praktischen Ratschlag in folgender Abbildung zusammengefasste Hierarchie von IT-Kontrollen stellt einen logischen „Top-Down“ Ansatz dar, um einerseits Kontrollen zu implementieren und andererseits die Interne Revision bei der sinnvollen Zuordnung der Ressourcen bei der Beurteilung des IT-Umfelds zu unterstützen:
Ohne klar definierte Richtlinien und Standards agieren Unternehmen desorientiert und ineffektiv, weswegen IT-Richtlinien grundsätzlich folgende Komponenten beinhalten sollten:
Die Organisation sollte IT-Standards haben, welche alle Organisationsstrategien unterstützen, wobei z.B. folgende Aspekte zur berücksichtigen sind:
Organisation und Management sind von wesentlicher Bedeutung im IT-Kontrollsystem. Wichtige Kontrollen im Bereich Organisation und Management umfassen z.B. die Trennung nicht vereinbarer Funktionen, finanzielle Kontrollen und das Änderungsmanagement.
Die IT-Ausstattung eines Unternehmens stellt meist ein großes Investment dar und muss geschützt werden. Die gesamte IT-Ausstattung (inkl. Server und Arbeitsplätze als Zugang zu den Anwendungen) muss durch physische und umfeldbezogene Kontrollen geschützt werden, z.B.:
Zusätzlich sollte die Systemsoftware kontrolliert werden, wofür folgende Kontrollen implementiert werden könnten:
Im Bereich der Systementwicklung und Systembeschaffung sollte es z.B. folgende Kontrollen geben:
Die Kontrolle des Anwendungssystems sollte sicherstellen, dass:
In einer Anwendung sind unterschiedliche Typen generischer Kontrollen vorhanden, z.B.:
Die IT-Sicherheit ist integraler Bestandteil der IT-Kontrollen und bezieht sich sowohl auf die Informationsstruktur als auch auf die Daten. Somit ist die IT-Sicherheit die Basis für die Verlässlichkeit der meisten IT-Kontrollen. Die drei generell akzeptierten Elemente der IT-Sicherheit sind Vertraulichkeit, Integrität und Verlässlichkeit.
Nach dem beruflichen Rahmenwerk für die Interne Revision müssen Interne Revisoren vier Prinzipien einhalten: Integrität, Objektivität, Verlässlichkeit und Kompetenz. Der Standard „1210 – Fachkompetenz“ (vgl. 1200 Fachkompetenz und berufliche Sorgfaltspflicht) präzisiert die benötigten Fähigkeiten eines Internen Revisors. Zusätzlich liefert das IIA ein integriertes Rahmenwerk, um die notwendige Kompetenzen der Internen Revisoren zu identifizieren.
Existierende Kontrollrahmenwerke unterstützen die Interne Revision bei der Planung und Ausführung der internen Prüfungshandlungen. Hierzu sollte das Rahmenwerk gewählt werden, das die Bedürfnisse der Organisation am besten erfüllt. Zudem sollten computergestützte Prüfungsprogramme (Computer Aided Audit Techniques – CAAT) und Techniken der Datenanalyse genutzt werden, um eine Echtzeitperspektive der Risikolandschaft zu erhalten und potentielle Anomalien zu identifizieren.
Die teilweise Automatisierung soll die Risikobeurteilung verbessern. Hierzu können unterschiedliche Instrumente genutzt werden, die z.B. in der Lage sein sollten, Risiken auszuwerten, Auswirkungen von Ereignissen einzuschätzen und Eintrittswahrscheinlichkeiten zu beurteilen.
Letztendlich müssen die Ergebnisse der Prüfungshandlungen an die wichtigsten Interessengruppen des Unternehmens berichtet werden (z.B. Prüfungsausschuss, Führungskräfte, Abschlussprüfer und/oder Geschläftsleitung/Überwachungsorgan).
Der Anhang des Praktischen Leitfadens enthält eine Checkliste zur Analyse des IT-Kontrollrahmenwerks als Hilfestellung für die Interne Revision.
Für den vollständigen Text des Praktischen Leitfadens „GTAG 1: Informationstechnologie - Risiko und Kontrollen“ vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de)."
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: