IT-Prüfungen haben im Rahmen der Wirtschaftsprüfung das Ziel, insbesondere rechnungslegungsrelevante IT-Dienste im Hinblick auf Ordnungsmäßigkeits- und Sicherheitsanforderungen zu beurteilen. Das umfasst die IT-Organisation und das interne Kontrollsystem, die IT-Infrastruktur, IT-Anwendungen und IT-gestützte Geschäftsprozesse. Im weiteren Sinne betrachtet eine IT-Prüfung Risiken in der eingesetzten Technologie und den sie umgebenden Prozessen; charakteristisch für diese Art der Betrachtung ist die Prüfung der jeweiligen Kontrollen.
Die Anforderungen in diesen Umfeld sind in den vergangenen Jahren enorm gestiegen, durch Regelungen wie den "Sarbanes-Oxley Act of 2002" und branchenspezifische Bedingungen, z.B. für Banken und Versicherungen oder Pharmaunternehmen. Daneben stehen freiwillige Industriestandards wie z.B. ISO 20000 oder ISO 27001, die im Verhältnis zu Kunden und Lieferanten von Bedeutung sind, und welche ebenfalls eine regelmäßige Auditierung erfordern. Zwischen diesen beiden Sichten kann eine sinnvolle Schnittmenge gebildet werden.
Im Zusammenspiel mit dem Business stehen CIOs vor der Herausforderung, sich sowohl den regulatorischen als auch den qualitativen Anforderungen zu stellen und nicht nur hochwertige und konforme Services zu erbringen, sondern darüber hinaus auch effiziente Lösungen für die Geschäftsprozesse zu bieten. IT-Prüfungen bieten ein detailliertes und umfassendes Bild der IT-Organisation und können wesentlich zum Erfolg bedeutender Projekte beitragen.
Qualitätsaspekte einer IT-Organisation
Qualitätsaspekte einer IT-Organisation im Spannungsfeld zwischen Compliance und Performance können allgemein beschrieben werden mit Effizienz, Effektivität, Integrität, Sicherheit, Nachvollziehbarkeit, Kontinuität und Handhabbarkeit.
IT-Prüfung kann Antworten auf eine Reihe von Fragen bieten, die sich heutigen CIOs stellen:
-
Steigerung der IT-Wertschöpfung
Liefert die IT-Organisation die erwarteten Ergebnisse?
Ist die Zusammenarbeit und der Austausch mit dem Business zufriedenstellend?
Haben die IT-Prozesse einen ausreichenden Reifegrad erlangt?
Werden IT-Projekte hinreichend qualitätsgesichert?
-
Konzentration auf Kernkompetenzen
Ist die IT-Organisation richtig aufgestellt, oder sollten bestimmte Services ausgelagert werden?
Werden regelmäßig Potenzialanalysen durchgeführt?
-
Senkung der Betriebs- und Verwaltungskosten
Ist das Service-Angebot standardisiert?
Sind die IT-Prozesse durchgängig, schlank und konsistent?
Sind interne Kontroll- und Revisionsaktivitäten ausreichend automatisiert?
Ist ein effektives IT-Controlling innerhalb der IT-Organisation etabliert?
-
Erhöhung der Flexibilität und Variabilität
Entspricht die genutzte Technologie dem Stand der Technik?
Ist ein hohes Maß an Standardisierung erreicht?
-
Sicherstellung Compliance
Sind ERP-Systeme ordnungsgemäß eingerichtet und können von ihnen buchhalterische Informationen verlässlich bezogen werden?
Werden die relevanten Systeme ordnungsgemäß betrieben?
Kann die interne Revision adäquat IT-Prüfungen durchführen?
Liegen benötigte Testate und Zertifikate für IT-Systeme und -Prozesse vor?
Kann die Ordnungsmäßigkeit und Verlässlichkeit von finanzrelevanten Anwendungen bestätigt werden?
Die Rolle des IT-Prüfers
Während IT-Prüfer in den neunziger Jahren auch als Berater wahrgenommen wurden, ergab sich ab 2003 - aufgrund der regulatorischen Anforderungen - eine schärfere Trennung zwischen Prüfung und Beratung; die IT-Prüfung reduzierte sich auf für die Abschlussprüfung notwendige Aussagen, darüber hinaus gehende Aspekte wurden häufig nicht genutzt.
Heute gilt es wieder, dieses Potential auszuschöpfen und einen erweiterten Nutzen aus der Arbeit der IT-Prüfer zu ziehen. Prüfungserkenntnisse können unabhängige Aussagen liefern zur Verlässlichkeit von IT-Dienstleistern, Sinnhaftigkeit von Investitionen, Zuverlässigkeit der IT-Systeme und zum Reifegrad der gesamten IT-Organisation.
Ganzheitlicher Ansatz
Neben den rechtlichen Anforderungen wie den deutschen GoBS oder dem US-amerikanischen Sarbanes-Oxley Act, denen sich eine IT-Organisation zu stellen hat, können eine Reihe von Konzepten und Rahmenwerken angewandt werden, um die verschiedenen Aspekte im IT-Umfeld zu betrachten und zu bewerten. Ursprünglich kontrollgetrieben, hat sich COBIT® zum Rahmenwerk für IT-Governance und IT-Management entwickelt und bietet ein Reifegradmodell zur Bewertung der IT-Organisation und ihrer Prozesse. Ergänzend dazu steht mit ITIL® eine Referenzbibiliothek für IT-Prozesse zur Verfügung, während international anerkannte Standards beispielsweise zu den Themen IT-Service-Management (ISO 20000) bzw. IT-Security-Management (ISO 27001 oder die IT-Grundschutz-Kataloge ) das Bild abrunden.
Diese bislang in der Praxis häufig getrennt auditierten Konzepte und Sichtweisen gilt es, in Einklang zu bringen und ganzheitlich zu betrachten, um eine optimale Nutzbarkeit für den CIO zu erzielen.
Compliance-Unterstützung für das Business
Zusätzlich zur Erbringung von IT-Dienstleistungen, entsprechend den genannten rechtlichen und sonstigen Anforderungen kann eine moderne IT-Organisation sinnvolle Unterstützung für das Business bieten, um Compliance zu gewährleisten und effizient darzustellen. Hierzu zählen insbesondere die automatisierte Abbildung von Geschäftsprozessen und Kontrollen in der IT-Umgebung, die das Projektportfolio maßgeblich beeinflussen können.
Die Zukunft der IT-Prüfung
Regelmäßige IT-Prüfungen stellen für die IT-Organisation eine hervorragende Möglichkeit dar, ihren Reifegrad unter regulatorischen und qualitativen Anforderungen zu bestimmen, etwaige Schwächen zu identifizieren und adäquate Maßnahmen einzuleiten. IT-Projekte werden projektbegleitend geprüft und qualitätsgesichert sowie anforderungsgerecht in den Regelbetrieb überführt. CIOs sind somit gut beraten, in sinnvollen Abständen Ihre IT-Organisationen einer Prüfung zu unterziehen, um wertvolle Cockpit-Informationen zu erhalten.
Peter Heidkamp ist Manager IT Advisory bei der KPMG Deutsche Treuhand-Gesellschaft AG in München und Köln.