Schmidt / Brand IT-Revision in der Praxis
1. Auflage 2011
ISBN: 978-3-446-42656-6
Verlag: Hanser, Carl
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
nach den Grundsätzen einer ordnungsgemäßen IT
E-Book, Deutsch, 322 Seiten
ISBN: 978-3-446-42656-6
Verlag: Hanser, Carl
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Die Ordnungsmäßigkeit der Informationsverarbeitung ist ein Thema, das im Umfeld von Corporate Governance, IT-Governance, SOX-Compliance und Basel II u.a. immer wichtiger wird. Entsprechend wächst auch die Bedeutung der IT-Revision stetig. Doch häufig kennen diejenigen, die die Ordnungsmäßigkeit sicherstellen müssen, die Anforderungen nicht hinreichend. Das liegt auch daran, dass der Gesetzgeber die Bestimmungen bewusst nicht konkretisiert.Der Erfolg der IT-Revision hängt von der systematischen und effizienten Durchführung ab. Dieses Buch hilft Ihnen dabei. Sie erfahren, welche Gesetze, Richtlinien und Vorschriften für die IT-Revision relevant sind und wie Sie das Prüfungsverfahren dokumentieren. Der Autor schildert auch, welche unternehmenspolitischen und psychologischen Aspekte Einfluss auf die IT-Revision haben. Er stellt dar, wie Sie erfolgreich mit externen Wirtschaftsprüfern zusammenarbeiten und bietet Ihnen eine Reihe von Checklisten und praktischen Tipps für die Durchführung der IT-Revisionsprüfungen.
Autoren/Hrsg.
Weitere Infos & Material
1;Inhalt;8
2;Vorwort;16
3;Die Autoren;18
4;Teil I: Praxis der IT-Revision;20
4.1;1 Grundlagen der IT-Revision;22
4.1.1;1.1 Das Wesen der IT-Revision;22
4.1.1.1;1.1.1 Ziele der IT-Revision;23
4.1.1.2;1.1.2 Externe Revision;26
4.1.1.3;1.1.3 Interne Revisionsarten;27
4.1.2;1.2 Mit der IT-Revision verwandte Funktionen;28
4.1.3;1.3 Die IT-Revision im Unternehmen;30
4.1.3.1;1.3.1 Position im Unternehmen;30
4.1.3.2;1.3.2 Befugnisse;30
4.1.3.3;1.3.3 Mitarbeiter;32
4.1.3.4;1.3.4 Qualitätssicherung und Leistungsmessung;34
4.1.3.5;1.3.5 Sicherheit der Revisionsabteilung;37
4.1.4;1.4 Prüfungsaspekte;38
4.1.4.1;1.4.1 Rechtmäßigkeit;38
4.1.4.2;1.4.2 Ordnungsmäßigkeit;39
4.1.4.3;1.4.3 Sicherheit;40
4.1.4.4;1.4.4 Zweckmäßigkeit/Funktionsfähigkeit;41
4.1.4.5;1.4.5 Wirtschaftlichkeit;42
4.1.4.6;1.4.6 Kontrollierbarkeit und Nachvollziehbarkeit;43
4.2;2 Prüfungsorganisation undVorgehen;44
4.2.1;2.1 Prüfungsplanung;44
4.2.1.1;2.1.1 Strategische Planung (3-Jahres-Plan);45
4.2.1.2;2.1.2 Jahresplanung;46
4.2.1.3;2.1.3 Planung und Vorbereitung einer einzelnen Prüfung;47
4.2.2;2.2 Prüfungsauftrag;49
4.2.3;2.3 Vorbereitung der Prüfungsdurchführung;50
4.2.3.1;2.3.1 Analyse des Prüfobjekts/Voruntersuchung;50
4.2.3.2;2.3.2 Prüfungsankündigung;50
4.2.3.3;2.3.3 Kick-off-Meeting;52
4.2.4;2.4 Prüfungsdurchführung;52
4.2.4.1;2.4.1 Dokumentensichtung;52
4.2.4.2;2.4.2 Fragebogenerhebung;54
4.2.4.3;2.4.3 Interviews;55
4.2.4.4;2.4.4 Verifikation der Aussagen;59
4.2.5;2.5 Prüfungsbericht;62
4.2.5.1;2.5.1 Dokumentation des Ist-Zustands im Prüfungsbericht;62
4.2.5.2;2.5.2 Bewertung des Ist-Zustands;63
4.2.5.3;2.5.3 Maßnahmenempfehlungen;66
4.2.5.4;2.5.4 Entwurf und Abstimmung des Prüfungsberichts;66
4.2.6;2.6 Prüfungsabschluss;68
4.2.6.1;2.6.1 Schlussbesprechung;68
4.2.6.2;2.6.2 Vollständigkeitserklärung;69
4.2.6.3;2.6.3 Stellungnahme des geprüften Bereichs;70
4.2.6.4;2.6.4 Verfolgung der Umsetzung der Maßnahmen;70
4.3;3 Zusammenspiel mit externenWirtschaftsprüfern;72
4.3.1;3.1 Aufgabe der externen Wirtschaftsprüfer;72
4.3.2;3.2 Grundlagen der Prüfung durch einen Wirtschaftsprüfer;73
4.3.3;3.3 Vorgehen bei der Prüfung durch externe Wirtschaftsprüfer;75
4.3.4;3.4 Ergebnisse der internen Revision verwenden;76
4.4;4 Relevante Prüfungsgrundlagen;80
4.4.1;4.1 Prüfungsgrundlagen für die IT-Revision;80
4.4.2;4.2 Gesetze;81
4.4.2.1;4.2.1 Handelsgesetzbuch (HGB);82
4.4.2.2;4.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG);85
4.4.2.3;4.2.3 Bundesdatenschutzgesetz BDSG;86
4.4.2.4;4.2.4 Telemediengesetz (TMG);88
4.4.2.5;4.2.5 SOX;89
4.4.3;4.3 Richtlinien für die IT-Revision;90
4.4.3.1;4.3.1 Allgemein;90
4.4.3.2;4.3.2 Verlautbarungen des IDW;91
4.4.3.3;4.3.3 GDPdU;92
4.4.3.4;4.3.4 GoBS;93
4.4.4;4.4 Branchenvorschriften;95
4.4.4.1;4.4.1 Basel II;95
4.4.4.2;4.4.2 MaRisk (Mindestanforderungen an das Risikomanagement);96
4.4.4.3;4.4.3 Solvency II;97
4.5;5 Prüfung von IT-Verfahren;98
4.5.1;5.1 Das Wesen eines IT-Verfahrens;98
4.5.2;5.2 Fragmentierung von Verfahrensprüfungen;100
4.5.3;5.3 Prüfung der IT-Verfahrensplanung;102
4.5.3.1;5.3.1 Anforderungen an das neue IT-Verfahren;102
4.5.3.2;5.3.2 Einsatzplanung;103
4.5.3.3;5.3.3 Einbettung in Geschäftsprozesse;104
4.5.3.4;5.3.4 Einbettung in die IT;105
4.5.4;5.4 Prüfung der Verfahrensdokumentation;106
4.5.4.1;5.4.1 Das Wesen der Verfahrensdokumentation;106
4.5.4.2;5.4.2 Beschreibung der sachlogischen Lösung;108
4.5.4.3;5.4.3 Beschreibung der technischen Lösung;109
4.5.4.4;5.4.4 Programmidentität;112
4.5.4.5;5.4.5 Datenintegrität;113
4.5.4.6;5.4.6 Arbeitsanweisungen für den Anwender;113
4.5.4.7;5.4.7 Prüfen der Verfahrensdokumentation;114
4.5.5;5.5 Berechtigungskonzept;116
4.5.6;5.6 Prüfung der Verfahrensdaten;118
4.5.6.1;5.6.1 Anforderungen an Daten in der Planungsphase;118
4.5.6.2;5.6.2 Dateneingabe, -verarbeitung und -ausgabe;119
4.5.6.3;5.6.3 Datentransfer;120
4.5.6.4;5.6.4 Datensicherung und Archivierung;120
4.5.6.5;5.6.5 Datenmigration;121
4.5.6.6;5.6.6 Datenlöschung und -entsorgung;122
4.6;6 Besondere Prüfungsgebiete;124
4.6.1;6.1 Prüfungsgebiet Bundesdatenschutzgesetz;124
4.6.1.1;6.1.1 BSI Grundschutzstandards und -kataloge;125
4.6.1.2;6.1.2 Vorgehen nach BSI Grundschutz;126
4.6.1.3;6.1.3 Umsetzung der Vorgaben anhand eines Sicherheitsrahmenkonzeptes;136
4.6.1.4;6.1.4 Audit eines Informationssicherheitsmanagementsystems (ISMS) nach BSI Grundschutz;137
4.6.2;6.2 Prüfungsgebiet Dokumentenmanagement;139
4.6.2.1;6.2.1 Welche Rahmenbedingungen gibt es?;139
4.6.2.2;6.2.2 Bewertungsbereiche;141
4.6.2.3;6.2.3 Prüfung und Zertifizierung;141
4.7;7 CobIT-Prüfungen;144
4.7.1;7.1 Bestimmung des Prüfungsziels;144
4.7.2;7.2 Aufnahme der bestehenden Situation;146
4.7.3;7.3 Feststellung der CobIT-Erfüllung;147
4.7.4;7.4 Ermittlung des Reifegrades;147
4.7.5;7.5 Prüfung des Ziel- und Kontrollsystems;150
4.8;8 Tools zur Prüfungsunterstützung;154
4.8.1;8.1 Wie alles begann;154
4.8.2;8.2 Warum überhaupt Tools?;155
4.8.3;8.3 Welche Werkzeugarten gibt es?;155
4.8.4;8.4 Prüfungsbegleitende Werkzeuge;156
4.8.4.1;8.4.1 Ablauf einer tool-unterstützten Prüfung;157
4.8.5;8.5 Prüfende Werkzeuge;166
5;Teil II: Grundsätze einer ordnungsgemäßen Informationstechnik (GoIT);168
5.1;Einleitung;170
5.1.1;Gliederung der IT in den GoIT;171
5.1.1.1;IT-Strukturierungsmodell;171
5.1.1.2;Fokus;173
5.1.2;IT-Lebenszyklusphasen in den GoIT;174
5.1.3;Prüfungsaspekte in den GoIT;175
5.1.4;Vorgehen bei der Anwendung der GoIT;176
5.2;A Physikalische Ebene;178
5.2.1;A.1 Planungsphase;179
5.2.1.1;A.1.1 Bei der Planung einer physischen Einrichtung sind Sicherheitsmaßnahmen berücksichtigt worden.;179
5.2.1.2;A.1.2 Bei der Planung sind einschlägige Normen berücksichtigt worden.;180
5.2.1.3;A.1.3 Schützenswerte Gebäudeteile sind deklariert worden.;181
5.2.1.4;A.1.4 Elektroversorgungsleitungen und Datenleitungen sind zukunftsorientiert geplant.;182
5.2.1.5;A.1.5 Versorgungsleitungen sind redundant ausgelegt.;183
5.2.2;A.2 Entwicklungsphase;183
5.2.3;A.3 Implementierungsphase;184
5.2.3.1;A.3.1 Bei der Realisierung sind die Anforderungen der Planungsphase berücksichtigt worden.;184
5.2.3.2;A.3.2 Beim Einzug in eine gemietete Einrichtung sind Sicherheitsmaßnahmen geprüft worden.;185
5.2.4;A.4 Betriebsphase;186
5.2.4.1;A.4.1 Der Zutritt zum Gebäude wird kontrolliert.;186
5.2.4.2;A.4.2 Es sind Schutzmaßnahmen gegen Bedrohungen von außen und aus der Umgebung getroffen worden.;187
5.2.4.3;A.4.3 Öffentliche Zugänge, Anlieferungs- und Ladezonen werden kontrolliert.;188
5.2.4.4;A.4.4 Die Arbeit in Sicherheitszonen ist geregelt.;189
5.2.4.5;A.4.5 Betriebsmittel sind vor unerlaubtem Zugriff physisch gesichert.;190
5.2.4.6;A.4.6 Bei physischen Einrichtungen mit Publikumsverkehr sind die Informationsträger gesondert zu sichern.;191
5.2.4.7;A.4.7 Physische Einrichtungen, in denen sich Mitarbeiter aufhalten, sind gegen unbefugten Zutritt gesichert.;192
5.2.4.8;A.4.8 Physische Sicherheitsmaßnahmen sind dokumentiert.;193
5.2.4.9;A.4.9 Notfallmaßnahmen für physische Einrichtungen sind definiert.;194
5.2.4.10;A.4.10 Notfallübungen werden durchgeführt.;195
5.2.5;A.5 Migration;195
5.2.6;A.6 Roll-Off;196
5.2.6.1;A.6.1 Der Auszug aus physischen Einrichtungen ist geregelt.;196
5.2.6.2;A.6.2 Betriebsmittel werden ordnungsgemäß entsorgt.;197
5.2.6.3;A.6.3 Bestandsverzeichnisse sind auf dem aktuellen Stand.;198
5.3;B Netzwerkebene;200
5.3.1;B.1 Planungsphase;201
5.3.1.1;B.1.1 Eine geeignete Netzwerksegmentierung ist geplant.;201
5.3.1.2;B.1.2 Bei der Planung sind Sicherheitsmaßnahmen zum Schutz des Netzwerkes getroffen worden.;202
5.3.1.3;B.1.3 Das physische Netzwerk ist vor unbefugten Zugängen geschützt.;203
5.3.1.4;B.1.4 Ein Netzwerkrealisierungsplan ist vorhanden.;204
5.3.1.5;B.1.5 Eine geeignete Netzkopplung ist eingeplant.;205
5.3.2;B.2 Entwicklungsphase;205
5.3.3;B.3 Implementierungsphase;206
5.3.3.1;B.3.1 Das Netzwerk ist auf Engpässe überprüft.;206
5.3.3.2;B.3.2 Die Verwaltung der Netzkomponenten ist zentral gesteuert.;207
5.3.3.3;B.3.3 Eine vollständige Netzdokumentation ist vorhanden.;208
5.3.3.4;B.3.4 Mit Netzwerkbetreibern sind geeignete Verträge abgeschlossen.;209
5.3.3.5;B.3.5 Netzkomponenten sind sicher zu konfigurieren.;210
5.3.4;B.4 Betriebsphase;211
5.3.4.1;B.4.1 Der Netzwerkverkehr wird protokolliert.;211
5.3.4.2;B.4.2 Die Protokolle werden regelmäßig ausgewertet und auf Unregelmäßigkeiten geprüft.;212
5.3.4.3;B.4.3 Ein Monitoring ist eingerichtet.;213
5.3.4.4;B.4.4 Das Verhalten bei Zwischenfällen ist definiert.;214
5.3.4.5;B.4.5 Netzwerkadministratoren sind sorgfältig ausgewählt worden.;215
5.3.4.6;B.4.6 Netzwerkspezifische Sicherheitsmaßnahmen sind dokumentiert.;216
5.3.4.7;B.4.7 Notfallmaßnahmen für das Netzwerk sind definiert.;217
5.3.4.8;B.4.8 Notfallübungen werden durchgeführt.;218
5.3.5;B.5 Migrationsphase;218
5.3.6;B.6 Roll-Off;219
5.3.6.1;B.6.1 Inhalte auf aktiven Netzwerkkomponenten sind ordentlichgelöscht worden.;219
5.3.6.2;B.6.2 Protokolle werden nach gesetzlichen Vorgaben vernichtet.;220
5.4;C Systemebene;222
5.4.1;C.1 Planungsphase;223
5.4.1.1;C.1.1 Der Schutzbedarf des Systems ist ermittelt.;223
5.4.1.2;C.1.2 Die sich aus dem Schutzbedarf ableitenden Sicherheitsanforderungen und -maßnahmen sind definiert.;224
5.4.1.3;C.1.3 Leistungs- und Kapazitätsanforderungen an das System sind definiert.;225
5.4.1.4;C.1.4 Die Dimensionierung des Systems entspricht der zu erbringenden Leistung.;226
5.4.1.5;C.1.5 Die Systeme folgen definierten Unternehmensstandards.;227
5.4.2;C.2 Entwicklungsphase;227
5.4.3;C.3 Implementierungsphase;228
5.4.3.1;C.3.1 Bei erhöhtem Schutzbedarf wird das System gehärtet.;228
5.4.3.2;C.3.2 Die Erfüllung der Leistungs- und Kapazitätsanforderungen wird nachgewiesen.;229
5.4.3.3;C.3.3 Die Systemfunktionen und -komponenten sind ausführlich getestet.;230
5.4.4;C.4 Betriebsphase;231
5.4.4.1;C.4.1 Alle Lizenzvereinbarungen werden eingehalten.;231
5.4.4.2;C.4.2 Das System ist vor zu langen Ausfällen geschützt.;232
5.4.4.3;C.4.3 Die Wiederherstellung des Systems ist in der erforderlichen Zeit möglich.;233
5.4.4.4;C.4.4 Das System wird durch Updates auf dem neuesten Stand gehalten.;234
5.4.4.5;C.4.5 Das System ist vor unberechtigten Zugriffen geschützt.;235
5.4.4.6;C.4.6 Die Erfüllung der Leistungs- und Sicherheitsanforderungen wird regelmäßig analysiert und ggf. angepasst.;236
5.4.4.7;C.4.7 Das System ist angemessen dokumentiert.;237
5.4.5;C.5 Migrationsphase;238
5.4.5.1;C.5.1 Die Systemfunktion bleibt zu jedem Zeitpunkt der Migration erhalten.;238
5.4.5.2;C.5.2 Für einen möglichen Fehlschlag von Änderungen/Migrationen ist ein Rollback vorhanden.;239
5.4.5.3;C.5.3 Systemänderungen werden auf Seiteneffekte hin geprüft.;240
5.4.5.4;C.5.4 Es gibt eine Übersicht, welche Systemeigenschaften des Altsystems denen des Neusystems entsprechen.;241
5.4.5.5;C.5.5 Änderungen und Migrationen unterliegen einem definierten und kontrollierten Change-Management-Prozess.;242
5.4.6;C.6 Roll-Off;243
5.4.6.1;C.6.1 Alle Systemfunktionen werden nicht mehr benötigt.;243
5.4.6.2;C.6.2 Alle Systemlizenzen erlöschen.;244
5.4.6.3;C.6.3 Vor dem Roll-Off wird sichergestellt, dass ein zu entsorgendes, physisches System keine vertraulichen Daten mehr enthält.;245
5.4.6.4;C.6.4 Das physische IT-System wird de-inventarisiert und die Entsorgung protokolliert.;246
5.5;D Applikationsebene;248
5.5.1;D.1 Planungsphase;249
5.5.1.1;D.1.1 Die Ziele und Aufgaben, welche die Anwendung erfüllen soll, sind definiert worden.;249
5.5.1.2;D.1.2 Die Anforderungen sind in einem Lastenheft/Anforderungskatalog konkretisiert worden.;250
5.5.1.3;D.1.3 Für die Entwicklung/Implementierung werden geeignete Ressourcen bereitgestellt.;251
5.5.1.4;D.1.4 Die Daten, die verarbeitet werden sollen, sind klassifiziert und definiert worden.;252
5.5.1.5;D.1.5 Eine geeignete Infrastruktur für den Betrieb wurde ausgewählt.;253
5.5.2;D.2 Entwicklungsphase;254
5.5.2.1;D.2.1 Geeignete Vorgehensweisen zur Entwicklung sind mit den Anforderungen verglichen worden.;254
5.5.2.2;D.2.2 Die Entwicklung wird konform zur Vorgehensweise dokumentiert.;255
5.5.3;D.3 Implementierungsphase;256
5.5.3.1;D.3.1 Quellcode ist gegen unbefugte Veränderung gesichert.;256
5.5.3.2;D.3.2 Applikationstests werden nach den Vorgaben der Planung umgesetzt.;257
5.5.4;D.4 Betriebsphase;258
5.5.4.1;D.4.1 Anforderungen der Applikation an den Betrieb sind dokumentiert.;258
5.5.4.2;D.4.2 Prozesse zur sicheren Applikationsverwaltung sind beschrieben.;259
5.5.4.3;D.4.3 Integritäts- und vertraulichkeitssichernde Maßnahmen sindf ür den Betrieb beschrieben und umgesetzt.;260
5.5.4.4;D.4.4 Etwaige Verschlüsselungsverfahren sind beschrieben.;261
5.5.4.5;D.4.5 Prozesse für die Benutzerverwaltung innerhalb der Anwendung sind dem Betrieb bekannt und dokumentiert.;262
5.5.4.6;D.4.6 Eine Testumgebung der Applikation ist vorhanden.;263
5.5.5;D.5 Migrationsphase;264
5.5.5.1;D.5.1 Der im Falle einer Migration durchzuführende Prozess ist definiert und dokumentiert.;264
5.5.5.2;D.5.2 Eine Migration erfolgt geplant.;265
5.5.6;D.6 Roll-Off;266
5.5.6.1;D.6.1 Die Benutzerverwaltung ist auch über die End-of-Life-Phase hinaus geregelt.;266
5.5.6.2;D.6.2 Betriebsmittel werden ordnungsgemäß entsorgt;267
5.5.6.3;D.6.3 Durch die Anwendung mitgenutzte Ressourcen sind durch Befugte freigegeben.;268
5.6;E Inhaltsebene;270
5.6.1;E.1 Planungsphase;271
5.6.1.1;E.1.1 Es werden die und nur die Daten vorgesehen, die für den Geschäftszweck benötigt werden.;271
5.6.1.2;E.1.2 Die Gewährleistung der Datenkonsistenz ist in der Planung berücksichtigt.;272
5.6.1.3;E.1.3 Die Gewährleistung der Datenqualität ist in der Planung berücksichtigt.;273
5.6.1.4;E.1.4 Die Daten werden hinsichtlich der Kritikalität bewertet.;274
5.6.2;E.2 Entwicklungsphase;275
5.6.2.1;E.2.1 Es werden möglichst keine Produktionsdaten in Entwicklungs- oder Testumgebungen verwendet.;275
5.6.2.2;E.2.2 Für Tests werden möglichst geeignete Testdaten verwendet.;276
5.6.2.3;E.2.3 Testdaten werden möglichst automatisiert generiert.;277
5.6.2.4;E.2.4 Die Daten, die durch das entwickelte System entstehen, werden dokumentiert.;278
5.6.3;E.3 Implementierungsphase;279
5.6.3.1;E.3.1 Es ist transparent, welche Daten in welchen Speicherorten geführt und auf welchen Datenträgern archiviert werden;279
5.6.3.2;E.3.2 Es wird kontrolliert, dass die Daten gemäß ihrer Spezifikation implementiert werden;280
5.6.4;E.4 Betriebsphase;281
5.6.4.1;E.4.1 Buchführungsrelevante Daten sind nach der Eingabe nicht mehr änderbar;281
5.6.4.2;E.4.2 Wichtige Daten werden vor der Speicherung validiert bzw. plausibilisiert;282
5.6.4.3;E.4.3 Wichtige, kritische oder sensible Daten sind vor Verlust geschützt;283
5.6.4.4;E.4.4 Vertrauliche Daten sind nur den Personen zugänglich, für die sie bestimmt sind;284
5.6.4.5;E.4.5 Vertrauliche bzw. personenbezogene Daten dürfen nur Personen zugänglich sein, die eine Verpflichtungserklärung zu Vertraulichkeit und Datenschutz abgegeben haben.;285
5.6.4.6;E.4.6 Der Zugriff auf vertrauliche/sensible Daten wird protokolliert;286
5.6.5;E.5 Migrationsphase;287
5.6.5.1;E.5.1 Die Verfügbarkeit und Vertraulichkeit der Daten ist auch bei Änderungen und Migrationen zu jedem Zeitpunkt sichergestellt;287
5.6.5.2;E.5.2 Die Datensemantik wird von einer Migration nicht ungewollt verändert;288
5.6.5.3;E.5.3 Datenänderungen werden in einem geordneten Prozess durchgeführt;289
5.6.5.4;E.5.4 Datenänderungen werden protokolliert;290
5.6.6;E.6 Roll-Off;291
5.6.6.1;E.6.1 Vorgeschriebene Aufbewahrungsfristen werden gewährleistet;291
5.6.6.2;E.6.2 Es ist definiert, wann und durch wen Daten gelöscht werden dürfen;292
5.6.6.3;E.6.3 Sensible Daten werden sicher, zuverlässig, dauerhaft und nachweisbar gelöscht;293
5.6.6.4;E.6.4 Die Vernichtung von Datenträgern mit sensiblen Daten wird geprüft und protokolliert;294
5.7;F Personelle Ebene;296
5.7.1;F.1 Planungsphase;297
5.7.1.1;F.1.1 Aufgaben und Verantwortung von Angestellten sind definiert.;297
5.7.1.2;F.1.2 Stellenbeschreibungen werden verwendet;298
5.7.1.3;F.1.3 Anforderungen an besondere Stellen sind definiert.;299
5.7.1.4;F.1.4 Eine Überprüfung der Angestellten fand im Einklang mit den Gesetzen statt.;300
5.7.2;F.2 Entwicklungsphase;300
5.7.3;F.3 Implementierungsphase;301
5.7.3.1;F.3.1 Sicherheitsrichtlinien für Angestellte sind durch das Management in Kraft gesetzt worden.;301
5.7.3.2;F.3.2 Angestellte sind Ihren Aufgaben entsprechend sensibilisiert.;302
5.7.3.3;F.3.3 Sensible Posten sind mit vertrauenswürdigen Angestellten besetzt.;303
5.7.3.4;F.3.4 Angestellte haben den vertraglichen Vereinbarungen ihrer Posten zugestimmt.;304
5.7.4;F.4 Betriebsphase;305
5.7.4.1;F.4.1 Angestellte werden regelmäßig über die geltenden Regelungen informiert.;305
5.7.4.2;F.4.2 Sanktionen sind definiert.;306
5.7.4.3;F.4.3 Mitarbeiter sind ausreichend geschult.;307
5.7.5;F.5 Roll-Off;308
5.7.5.1;F.5.1 Die Verantwortlichkeiten für das Ausscheiden der Angestellten sind geregelt.;308
5.7.5.2;F.5.2 Alle organisationseigenen Wertgegenstände sind zurückgenommen worden.;309
6;Literaturhinweise;310
7;Register;312
"Teil I: Praxis der IT-Revision (S. 3-4)
1 Grundlagen der IT-Revision
Dieses Kapitel soll Sie in die Welt der IT-Revision einführen. Dazu ist zunächst zu klären, was unter Revision zu verstehen ist, und damit auch, was eine Revisionsabteilung tut und welche Ziele und Aufgaben sie besitzt. Ebenfalls zu den Grundlagen gehört die Frage, wie eine solche IT-Revision im Unternehmen eingebettet ist und wo Berührungspunkte mit anderen Abteilungen bzw. Bereichen existieren.
1.1 Das Wesen der IT-Revision
Befragt man das beliebte Online-Lexikon Wikipedia nach dem Stichwort „Revision“, so bekommt man die Auskunft, dass sich der Begriff aus dem Verb revidieren ergibt, das sich aus dem lateinischen „re“ (Rückschau oder Überprüfung) und „videre“ (ansehen) zusammensetzt. Schon aus dem Begriff „IT-Revision“ ergeben sich damit drei wichtige Eigenschaften:
- Die IT-Revision konzentriert sich auf Dinge der Informationstechnik. Sie beschäftigt sich mit Dingen, die im Zusammenhang mit der Gestaltung, dem Betreiben, dem Management oder der Nutzung der Informationstechnik stehen. Diese Dinge können sehr unterschiedlicher Natur sein, z.B. Vorgänge (Migration eines Software- Systems) oder Objekte (z.B. ein Rechenzentrum).
- Die IT-Revision schaut sich diese Dinge im Unternehmen an und prüft sie. Das Anschauen besteht zunächst darin, den bestehenden Zustand festzustellen. In einem zweiten Schritt wird geprüft, ob dieser Zustand die Vorgaben erfüllt bzw. einhält, die von externen Instanzen (Gesetzgeber, Aufsichtsbehörden usw.) oder vom Unternehmen selbst gestellt werden. Diese Prüfung ist die zentrale Tätigkeit der Revision.
- Die IT-Revision schaut sich die Dinge nachträglich an.
Im Fokus der IT-Revision liegen die Dinge, die bereits geschehen sind und damit ein Faktum darstellen, und nicht Dinge, die geschehen werden oder könnten.
Bisher noch unbeantwortet ist die Frage, warum es die Revision überhaupt gibt. Die oben erwähnten Vorgaben werden schließlich an die Fachbereiche gestellt und müssen von ihnen erfüllt bzw. eingehalten werden. Doch da beginnen die Probleme: Nicht selten wissen die Fachbereiche gar nicht, welche Vorgaben sie erfüllen müssen. Das gilt insbesondere dann, wenn Fachbereiche IT-Themen bearbeiten und nicht mit den Anforderungen an die Informationsverarbeitung vertraut sind.
Praxistipp Veranstalten Sie kurze Info-Workshops in den Fachbereichen und erläutern Sie den Fokus der bestehenden Soll-Vorgaben für die IT. Als Teilnehmer kommen alle Personen in Frage, die im Fachbereich mit IT-Aufgaben betraut sind. Selbst wenn die Vorgaben bekannt sind, heißt das nicht, dass sie auch erfüllt werden, denn das primäre Interesse der Fachbereiche liegt woanders. Um die Konformitäten zu kontrollieren, wird daher eine von der Linie unabhängige Instanz wie die Revision benötigt.
1.1.1 Ziele der IT-Revision
Welche Zwecke verfolgt nun die IT-Revision? In der Regel sind es folgende Zielsetzungen, die sich die IT-Revision selbst gibt oder die vom Top-Management2 vorgegeben werden: Schutz des Unternehmens vor Bestrafung Eines der primären Ziele der Revisionstätigkeit liegt darin sicherzustellen, dass das Unternehmen nicht dafür belangt werden kann, dass gesetzliche oder aufsichtsrechtliche Vorgaben nicht eingehalten werden."
