Risikominimierung durch IT Audit
Risikomangement

Risikominimierung durch IT Audit

Durch Einsatz von IT – sei sie inhouse betrieben oder per Outsourcing – entsteht nicht nur Nutzen, es entstehen auch Risiken für Ihr Unternehmen:

  • Lücken in der Regelung „wer darf was im System“ können dazu führen, dass der gleiche Mitarbeiter bestellen, Wareneingänge bestätigen, Zahlungen anweisen und Empfängerkonten ändern kann.
  • Ein falscher Klick auf einen Link in einer Mail kann Schadsoftware ins Haus lassen – die möglichen Folgen gehen bis zum völligen Stillstand der IT und Verlust aller Daten (Stichwort Krypto-Trojaner).
  • Die Abhängigkeit von einzelnen Personen kann sehr groß sein – das Unternehmen muss Maßnahmen zur Reduzierung der Auswirkungen eines Ausfalls dieser Personen etablieren (Notfallpläne, …).

Diese Risiken können die Vertraulichkeit, die Integrität und die Verfügbarkeit Ihrer Daten gefährden. Personenbezogene Daten bedürfen besonderer Schutz­maßnahmen. Aber auch alle anderen Daten, insbesondere das Kern-Know-how der Unternehmung, bedürfen technischer und organisatorischer Sicherungs-Vorkehrungen. Zudem bewegt sich kaum ein Themengebiet so schnell wie IT – gestern wohldefinierte Schutzmaßnahmen können heute bereits überholt sein.

Der erste Schritt zur Lösung: IT Audit als Quick Check

IT Audits als Quick Check zum Thema IT-Risiken sind eine Maßnahme, in der eine Unternehmung mit überschaubarem Aufwand zusammen mit einem unabhängigen Experten herausfindet, welchen Sicherheitsstand ihre IT hat und an welcher Stelle tiefergehende Analysen sinnvoll sind. Mit dem Ergebnis kann die Unternehmung gezielt und effektiv erkannte Schwachstellen beseitigen, bevor teure Schäden entstehen.

Quick Checks können nach verschiedenen Strukturen und Standards vorgenommen werden. Zu den bekannteren Standards gehören

  • „IT Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • DIN/ISO 27001 „IT-Sicherheitsverfahren – Informa­tions-Sicherheits-Managementsysteme – Anforderungen“
  • Prüfungsstandard des Instituts der Wirtschaftsprüfer“ (PS 330 des IDW)
  • diverse, teils proprietäre Checks unter der Überschrift „360 Grad-Analyse“

Diese Standards unterscheiden sich nach Schwerpunkt und benötigtem Aufwand. Daher wird die Unternehmung im Vorfeld eines Quick Checks gemeinsam mit dem Auditor das für den Check ideale Modell auswählen.

Prüfungsstandard PS 330 des Instituts der Wirtschaftsprüfer

Dieser Beitrag geht auf den Prüfungsstandard PS 330 des Instituts der Wirtschaftsprüfer (PS 330) ein. Er eignet sich insbesondere bei IT Audits, die sich auf die kaufmännische IT der Unternehmung konzentrieren.

Die IT prüfungspflichtiger Unternehmen wird in der Regel nach dem PS 330 analysiert und testiert. Die „Stoßrichtung“ auch dieses Vorgehensmodells ist es, gezielt und strukturiert Schwachstellen und Risiken zu entdecken, die teure Folgen verursachen können sowie mit Maß­nahmenlisten das Beseitigen dieser Risiken zu organisieren und zu steuern.

Dieser Standard lässt sich sehr gut auf die jeweilige Unternehmung sowie auf die Schwerpunkte der gewünschten Analyse anpassen. Das Vorgehensmodell nutzt die folgende Struktur:

  • IT-Umfeld und IT-Organisation: Wie ist die IT aufgebaut, wer hat welche Verant­wortlichkeiten?
  • IT-Infrastruktur: Welche Rechnersysteme sind im Einsatz, wie sind sie vernetzt, wie ist der Zugriff von außen abgesichert?
  • IT-Anwendungen: Welche Anwendungen sind im Einsatz, z.B. in der Finanzbuchhaltung, im Einkauf, welches Mailprogramm, …?
  • IT-gestützte Geschäftsprozesse: Welche Geschäftsprozesse laufen mit IT-Unter­stützung?
  • IT-Überwachungssystem: Welches Monitoring gibt es für die Systeme? Welche Logfiles gibt es zum Protokollieren, wie werden sie ausgewertet?
  • IT-Outsourcing: Welche Partner gibt es, wie ist die Vertragslage?

In einem Quick-Check werden strukturierte und zielgerichtete Gespräche mit den Aktiven in der Unternehmung geführt, zudem werden vorhandene Dokumentationen gesichtet und ggf. systemunterstützte Prüfungen innerhalb der Anwendungen durchgeführt. Ergebnis ist eine summarische Beurteilung des Status‘ der IT in der Unternehmung sowie das Aufzeigen von Schwach­stellen. Eine Maßnahmenliste mit Vorschlägen zur Beseitigung dieser Schwach­stellen runden dieses Ergebnis des Quick Checks ab.

Der Audit wird in der Regel von Beratern durchgeführt, die – wie der Autor dieses Beitrags – die Zertifizierung zum Certified Information System Auditor (CISA) erworben haben. Ausgeber des Zertifikats ist die Information Systems Audit and Control Association (ISACA), des weltweiten Verbands von IT-Auditoren.

ISACA teilt die Audit-Domänen in fünf Bereiche ein, namentlich

  • Prüfung von Informationssystemen
  • IT-Governance und IT-Management
  • Beschaffung, Entwicklung und Implementierung von Informations­systemen
  • Betrieb von Informationssystemen und Business Resilience
  • Informations­sicherheit

Diese Domänen korrelieren mit der Struktur der PS 330 und sorgen mit ihren Verfahrens­anweisungen für einen effizienten und effektiven Ablauf des Audits.

Je nach Größe der auditierten Unternehmung bzw. des auditierten Bereichs sind Quick Checks dieser Art bereits ab einer Größenordnung von 10 Personentagen sinnvoll.

Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an

Risikominimierung durch IT Audit | 23.10.2019

Ähnliche Beiträge

Mehr laden
Mehr laden
Weniger anzeigen