Das Geschäftsleben könnte so viel risikoärmer sein, wenn Unternehmen nur das Potenzial der internen IT-Revision ausschöpften. So lautet, etwas zugespitzt, die These von KPMG. Die Wirtschaftsprüfer haben Revisionsleiter und CFOs aus 300 europäischen Unternehmen befragt.
Die Kritik von KPMG bezieht sich zum Beispiel auf die Häufigkeit der Audits. Eine große Mehrheit von 78 Prozent der Befragten legt Prüfungen einmal im Jahr im Voraus fest. Nur 16 Prozent passen ihre Prüfungsplanung flexibel an.
Das sollten mehr Firmen tun, so Wolfgang Geesmann, Partner IT Advisory bei KPMG. "Im aktuellen wirtschaftlichen Klima ändern sich die Rahmenbedingungen für Unternehmen vergleichsweise schnell", sagt er. "Umso wichtiger ist es, sich entwickelnde Geschäftsrisiken rechtzeitig zu erkennen."
Einen weiteren Knackpunkt sehen die Berater in der Abstimmung der Überwachungsaktivitäten. Nur 41 Prozent der Studienteilnehmer integrieren IT-Audits in übergeordnete Governance- und Compliance-Aktivitäten. Immerhin 33 Prozent geben an, diese Bereiche bisher "ein wenig" aufeinander abzustimmen. Sie geloben aber Besserung.
Anders die übrigen Unternehmen: 16 Prozent koordinieren ihre IT-Audits "gelegentlich" mit generellen Revisionsplänen. Jeder zehnte verzichtet ganz darauf.
Darüber hinaus hat KPMG das Reporting unter die Lupe genommen. Nur sechs Prozent der Befragten legen die Ergebnisse der internen IT-Revision der Firmenleitung vor. Was auch heißen kann, dass diese ihre IT nicht ausreichend ernst nimmt, wie die Autoren der Studie schreiben. Der Wirtschaftsprüfer erhält nur von 37 Prozent der Unternehmen eine Kopie.
Günter Kapitza von KPMG rügt: "Im heutigen Geschäftsumfeld ist die Informationstechnologie zwangsläufig zum kritischen Faktor für den reibungslosen Betrieb von Systemen und Prozessen geworden. Der Umgang mit IT Risiken hat somit höchste Priorität und ist Vorstandsangelegenheit."
Revisionsleiter verlangen Datenschutz- und COBIT-Kenntnisse
Die Autoren der Studie wollten außerdem wissen, welche Skills Revisionsleiter von ihren Mitarbeitern verlangen. Es sind vor allem Fachkenntnisse über Informations- und Datensicherheit sowie Kenntnisse über Standard-Frameworks wie COBIT (Control objectives for information and related technology) und Anwendungen, ERP-Systeme etwa.
Ein anderer Punkt bezieht sich auf den Einsatz von Tools. KPMG glaubt, dass die interne IT-Revision durch Standardisierung und Automatisierung vorankommt. Bei der Datenanalyse arbeiten die Befragten jedoch meist mit Excel, ACL und Access.
Auch das stößt bei KPMG auf Kritik. Diese Tools seien zwar einfach zu handhaben, räumen die Autoren der Studie ein, sie lieferten aber keine anspruchsvolle Daten-Analyse. Wer seine Audits wirklich effizienter machen wolle, müsse schon ausgefeiltere Analyse-Software einsetzen.
Durch IT-Einsatz digitale Unterschlagungen verhindern
KPMG hält die Studienergebnisse zum Teil für "besorgniserregend". Die Wirtschaftsprüfer sind sicher, dass das Risiko der digitalen Unterschlagung durch "moderne, am Gesamtunternehmen ausgerichtete Prüfungsansätze und -tools" verringert werden kann.
KPMG hat für die Studie "KPMG’s 2009 IT internal audit survey" mit Entscheidern aus knapp 300 Unternehmen in Europa, Nahost und Afrika gesprochen.