INTERNE REVISIONdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

DIIR

Logo DIIR

INTERNE REVISIONdigital Partner

Logo BRL

INTERNE REVISIONdigital Partner

zum Puhnani Podcast

Praktischer Leitfaden – GTAG 1: Informationstechnologie – Risiko und Kontrollen (IPPF Practice Guide (PG))

Der „GTAG 1: „Information Technology – Risk and Controls“ (Informationstechnologie – Risiko und Kontrollen) gehört zur Gruppe der GTAG (Global Technology Audit Guides) der Praktischen Leitfäden, die in einer klaren Geschäftssprache verfasst sind, um aktuelle Themen mit Bezug zur Informationstechnologie (IT), Management, Steuerung und Kontrolle sowie Sicherheit zu adressieren. Die Praktischen Leitfäden wiederum sind Teil der dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.

1. Einleitung

Die Informationstechnologie (IT) bietet diverse Wachstums- und Entwicklungschancen. Dennoch birgt die IT auch bedeutende Risiken, wie z.B. Störungen, Täuschung, Diebstahl und Betrug, denen es entgegenzuwirken gilt. Aus diesem Grund sollten bei der Entwicklung von Gegenmaßnahmen folgende Fragen von den verantwortlichen Führungskräften berücksichtigt werden:

  • Warum sollte man IT-Risiken und -Kontrollen verstehen? – Antwort: Sicherheit und Zuverlässigkeit.
  • Was muss geschützt werden? – Antwort: Vertrauen zur Sicherung der Geschäftstätigkeit und Effizienz.
  • Wo sind Kontrollen relevant? – Antwort: Überall.
  • Wer ist verantwortlich? – Antwort: Jeder.
  • Wann sollten IT-Risiken und -Kontrollen beurteilt werden? – Antwort: Immer.
  • Wann reichen Kontrollen aus? – Antwort: Entscheidung der Geschäftsleitung auf Basis von Risikoappetit, Risikotoleranz und verpflichtenden Regularien.

Die hierzu notwendigen IT-Kontrollen setzten sich nach dem Praktischen Leitfaden aus zwei zentralen Elementen zusammen: Automatische Kontrollen und Kontrollen, die sich mit dem IT-Umfeld und den IT-Prozessen befassen.

2. Einführung in die Grundlagen IT-bezogener Unternehmensrisiken und -kontrollen

Die internationalen Standards des Institute of Internal Auditors (IIA) betonen, dass Interne Revisoren alle im Unternehmen wirkenden Risiken und Kontrollen von in der Organisation eingesetzten Informationssystemen beurteilen müssen. Die Beurteilung sollte an den Zielen und dem Umfeld der Organisation ausgerichtet werden. Das IIA hat mit dem GTAG 4: Steuerung der IT-Prüfung (Management of IT Auditing) und dem GTAG 11: Entwicklung der IT-Prüfungsplanung (Developing the IT Audit Plan) sowie dem GTAG 8: Prüfung von Anwendungskontrollen (Auditing Application Control) weitere Empfehlungen zu diesem Thema veröffentlicht.

Die Führung und Überwachung der IT hat sicherzustellen, dass die IT an den Bedürfnissen des Unternehmens ausgerichtet ist. Unter IT-Führung und -Überwachung werden u.a. die Führung, die Unternehmensstrukturen und die Prozesse verstanden, welche sicherstellen, dass die IT die Strategien und Ziele der Organisation aufrechterhält und unterstützt. Festgehalten wird dies im Standard 2110.A2 (vgl. „Standard 2100 – Art der Arbeiten“).

Damit die IT-Führung und -Überwachung angemessen agieren kann, sollten folgende Prinzipien eingehalten werden:

  • Identifikation und Management von IT-Risiken und Ermöglichung eines besseren IT-Ablaufs
  • Förderung der Beziehung zwischen IT und Organisation
  • Einblicke in die Fähigkeiten des IT-Managements, vorgegebene Ziele zu erreichen
  • Steuerung von Risiken und kontinuierliche Identifikation von Verbesserungsmöglichkeiten zur Optimierung der Ergebnisse der Geschäftstätigkeit und der IT
  • Befähigung der IT, auf Veränderungen von Unternehmen und IT einzugehen

Die Beurteilung einer effektiven Führung und Überwachung der IT durch die Interne Revision kann anhand z.B. folgender Schlüsselkomponenten vorgenommen werden:

3. Interne Stakeholder und IT-Verantwortung

Eine effektive IT-Führung und -Überwachung ist notwendig, um die Ziele der Organisation zu erreichen und Ressourcen optimal zu steuern. Abhängig von ihrer Effektivität können Chancen genutzt oder verpasst werden. Der Praktische Leitfaden GTAG 1: Informationstechnologie – Risiko und Kontrollen gibt einen Überblick über die genauen Funktionen und Verantwortlichkeiten von Geschäftsführung/Überwachungsorgan, Führungskräften, Interner Revision sowie aus Sicht der IT-Führung und -Überwachung. Zusätzlich zu den internen Stakeholdern sind auch externe Parteien wie z.B. Abschlussprüfer, Staat, Öffentlichkeit und internationale Standardisierungsgremien zu berücksichtigen.

4. Risikoanalyse

Da sich Organisationen stark voneinander unterscheiden, ist es nicht möglich, standardisierte Schemata an Kontrollen zu implementieren. Jede Organisation sollte Kontrollen anhand des individuellen Risikograds ausrichten.

Der Leiter der Internen Revision sollte in Betracht ziehen, ob

  • das IT-Umfeld mit dem Risikoappetit der Organisation übereinstimmt und
  • das Kontrollrahmenwerk sicherstellen kann, dass die Organisation innerhalb ihrer festgelegten Risikotoleranz agiert.

Die Geschäftsleitung sollte etablierte Prozesse und die folgenden Komponenten genauer betrachten, um IT-Kontrollen der Organisation hinsichtlich ihrer Angemessenheit beurteilen zu können:

  • Nutzen, Wert und Kritikalität von Informationen
  • Risikoappetit und Risikotoleranz jeder einzelnen Funktion und jedes einzelnen Prozesses der Organisation
  • IT-Risiken sowie Qualität der für die Anwender bereitgestellten Dienstleistung
  • Komplexität der IT-Infrastruktur
  • Angemessenheit der IT-Kontrollen und ihrer Vorteile

Zur Analyse und Beurteilung von Risiken sollten zum einen das IT-Umfeld und zum anderen IT-Risiken sowie Risikoappetit und Risikotoleranz der Organisation beurteilt werden.

Ein typischer Prozess des unternehmensweiten Risikomanagement zur Identifikation und Steuerung von Risiken kann wie folgt verlaufen:

  • Identifikation von relevanten Ereignissen und Umständen mit Auswirkung auf die Ziele der Organisation (Ereignisidentifikation)
  • Beurteilung hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß (Risikobeurteilung)
  • Festlegung einer angemessenen Reaktion / Maßnahme (Risikosteuerung)
  • Überwachung der Maßnahmenimplementierung (Überwachung)

Der Risikobeurteilungsprozess sollte zudem folgende Fragen berücksichtigen:

  • Welche IT-Vermögenswerte sind gefährdet und welchen Wert hat ihre Geheimhaltung,
  • Integrität und Verfügbarkeit?
  • Was könnte passieren, dass Informationswerte negativ beeinflusst werden (bedrohliches Ereignis)?
  • Wie stark sind die Auswirkungen im Falle des Eintritts eines Ereignisses?
  • Wie häufig wird der Eintritt des Ereignisses erwartet (Frequenz)?
  • Wie sicher sind die Antworten hinsichtlich der ersten vier Fragen (Unsicherheitsanalyse)?
  • Wie hoch sind die Kosten?
  • Ist es kosteneffizient?

Grundsätzliche gibt es im Risikomanagement vier unterschiedliche Wege, Risiken zu steuern:

  • Risikoakzeptanz
  • Risikoeliminierung
  • Risikoteilung
  • Risikokontrolle/Risikoverminderung

5. Beurteilung der IT

Eine fundamentale Basis an IT-Kontrollen sollte gewährleisten sein. Daher bedarf es der Implementierung eines Basisschemas an IT-Kontrollen. 

Die folgende Tabelle aus dem Praktischen Ratschlag zeigt ein Beispiel für eine formale Struktur des Prozesses zur Beurteilung von IT-Kontrollen durch die Interne Revision:


Tabelle111.jpg


6. Bedeutung von IT-Kontrollen

IT-Kontrollen lassen sich in generelle und anwendungsbezogene Kontrollen klassifizieren. Generelle Kontrollen bilden die Basis des IT-Kontrollumfelds und umfassen alle Systemkomponenten, Prozesse und Daten eines vorgegebenen Unternehmens oder Systemumfelds. Anwendungskontrollen umfassen hingegen individuelle Unternehmensprozesse oder Systemanwendungen und enthalten Kontrollen innerhalb der Anwendung hinsichtlich Eingabe, Verarbeitung und Ausgabe. Außerdem können Kontrollen im Hinblick auf ihre Wirkung unterschieden werden (d.h. präventiv, aufdeckend oder korrigierend).

Die nach dem Praktischen Ratschlag in folgender Abbildung zusammengefasste Hierarchie von IT-Kontrollen stellt einen logischen „Top-Down“ Ansatz dar, um einerseits Kontrollen zu implementieren und andererseits die Interne Revision bei der sinnvollen Zuordnung der Ressourcen bei der Beurteilung des IT-Umfelds zu unterstützen:

Grafik1.5.25.png

Ohne klar definierte Richtlinien und Standards agieren Unternehmen desorientiert und ineffektiv, weswegen IT-Richtlinien grundsätzlich folgende Komponenten beinhalten sollten:

  • Generelle Richtlinien für den Grad an Sicherheit und Privatsphäre in der Organisation
  • Stellungnahme hinsichtlich der Klassifizierung von Informationen und den Zugriffsrechten für jedes Level
  • Definition des Konzepts für die Verantwortlichkeit für Daten und Systeme sowie die Berechtigung zur Generierung, Modifizierung und Löschung von Informationen
  • Richtlinien für Mitarbeiter zur Definition und Inkraftsetzung von Bedingungen in sensiblen Bereichen
  • Definition der Anforderungen zur generellen Sicherung der Betriebskontinuität

Die Organisation sollte IT-Standards haben, welche alle Organisationsstrategien unterstützen, wobei z.B. folgende Aspekte zur berücksichtigen sind:

  • Prozess der Systementwicklung
  • Konfiguration von Systemsoftware
  • Anwendungskontrollen
  • Datenstrukturen
  • Dokumentation

Organisation und Management sind von wesentlicher Bedeutung im IT-Kontrollsystem. Wichtige Kontrollen im Bereich Organisation und Management umfassen z.B. die Trennung nicht vereinbarer Funktionen, finanzielle Kontrollen und das Änderungsmanagement.

Die IT-Ausstattung eines Unternehmens stellt meist ein großes Investment dar und muss geschützt werden. Die gesamte IT-Ausstattung (inkl. Server und Arbeitsplätze als Zugang zu den Anwendungen) muss durch physische und umfeldbezogene Kontrollen geschützt werden, z.B.:

  • Verschlossene Räume zur Lagerung der Server
  • Beschränkung des Zugangs zu den Servern für bestimmte Personen
  • Bereitstellung von Feuermelde- und Brandschutzanlagen
  • Schutz vor Umweltrisiken durch die sichere Unterbringung sensibler Geräte, Anwendungen und Daten

Zusätzlich sollte die Systemsoftware kontrolliert werden, wofür folgende Kontrollen implementiert werden könnten:

  • Zuweisung und Kontrolle von Zugangsberechtigungen nach den Richtlinien der Organisation
  • Aufgabentrennung durch Systemsoftware oder andere Konfigurations-Kontrollen
  • Intrusions- und Verletzlichkeitsbeurteilung, Prävention, Aufdeckung sowie kontinuierliche Überwachung
  • Regelmäßige Durchführung von Intrusionstests
  • Bereitstellung von Verschlüsselungsdienstleistungen in Bereichen mit Geheimhaltungsauflagen
  • Steuerung und Überwachung von Änderungsprozessen

Im Bereich der Systementwicklung und Systembeschaffung sollte es z.B. folgende Kontrollen geben:

  • Dokumentation der Benutzeranforderungen und Messung der Leistungserfüllung
  • Systemdesign, welches einem formalen Prozess folgt und Kontrollen, die in das System integriert sind
  • Strukturiere Durchführung der Systementwicklung
  • Sicherstellung der ordnungsmäßigen Funktion von Systemelementen und Systemschnittstellen
  • Bestätigung der Bereitstellung der beabsichtigten Funktionsweise durch den Systemanbieter
  • Beachtung eines konsistenten Kontrollmusters für Anwendungsänderungen

Die Kontrolle des Anwendungssystems sollte sicherstellen, dass:

  • alle Eingabedaten exakt, vollständig, autorisiert und korrekt sind,
  • alle Daten wie beabsichtigt verarbeitet werden,
  • alle Daten richtig und vollständig gespeichert werden,
  • alle Ergebnisse richtig und vollständig sind
  • ein Bericht über den Prozess von der Eingabe bis zur Speicherung sowie der evtl. Ausgabe archiviert wird.

In einer Anwendung sind unterschiedliche Typen generischer Kontrollen vorhanden, z.B.:

  • Eingabekontrollen
  • Verarbeitungskontrollen
  • Ausgabekontrollen
  • Integritätskontrollen
  • Prüfungspfad

Die IT-Sicherheit ist integraler Bestandteil der IT-Kontrollen und bezieht sich sowohl auf die Informationsstruktur als auch auf die Daten. Somit ist die IT-Sicherheit die Basis für die Verlässlichkeit der meisten IT-Kontrollen. Die drei generell akzeptierten Elemente der IT-Sicherheit sind Vertraulichkeit, Integrität und Verlässlichkeit.

7. Kompetenzen und Fähigkeiten bei IT-Prüfungen

Nach dem beruflichen Rahmenwerk für die Interne Revision müssen Interne Revisoren vier Prinzipien einhalten: Integrität, Objektivität, Verlässlichkeit und Kompetenz. Der Standard „1210 – Fachkompetenz“ (vgl. 1200 Fachkompetenz und berufliche Sorgfaltspflicht) präzisiert die benötigten Fähigkeiten eines Internen Revisors. Zusätzlich liefert das IIA ein integriertes Rahmenwerk, um die notwendige Kompetenzen der Internen Revisoren zu identifizieren.

8. Nutzung von Kontrollrahmenwerken

Existierende Kontrollrahmenwerke unterstützen die Interne Revision bei der Planung und Ausführung der internen Prüfungshandlungen. Hierzu sollte das Rahmenwerk gewählt werden, das die Bedürfnisse der Organisation am besten erfüllt. Zudem sollten computergestützte Prüfungsprogramme (Computer Aided Audit Techniques – CAAT) und Techniken der Datenanalyse genutzt werden, um eine Echtzeitperspektive der Risikolandschaft zu erhalten und potentielle Anomalien zu identifizieren.

Die teilweise Automatisierung soll die Risikobeurteilung verbessern. Hierzu können unterschiedliche Instrumente genutzt werden, die z.B. in der Lage sein sollten, Risiken auszuwerten, Auswirkungen von Ereignissen einzuschätzen und Eintrittswahrscheinlichkeiten zu beurteilen.

Letztendlich müssen die Ergebnisse der Prüfungshandlungen an die wichtigsten Interessengruppen des Unternehmens berichtet werden (z.B. Prüfungsausschuss, Führungskräfte, Abschlussprüfer und/oder Geschläftsleitung/Überwachungsorgan).

Der Anhang des Praktischen Leitfadens enthält eine Checkliste zur Analyse des IT-Kontrollrahmenwerks als Hilfestellung für die Interne Revision.

Für den vollständigen Text des Praktischen Leitfadens „GTAG 1: Informationstechnologie - Risiko und Kontrollen“ vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de)."

Literatur:

  • The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
  • IPPF – Practice Guide Information Technology – Risk and Controls, 2nd. Edition, March 2012, Altamonte Springs, Florida, USA

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        CONSULTINGBAY        Zeitschrift Interne Revision