Durch Einsatz von IT – sei sie inhouse betrieben oder per Outsourcing – entsteht nicht nur Nutzen, es entstehen auch Risiken für Ihr Unternehmen:
Diese Risiken können die Vertraulichkeit, die Integrität und die Verfügbarkeit Ihrer Daten gefährden. Personenbezogene Daten bedürfen besonderer Schutzmaßnahmen. Aber auch alle anderen Daten, insbesondere das Kern-Know-how der Unternehmung, bedürfen technischer und organisatorischer Sicherungs-Vorkehrungen. Zudem bewegt sich kaum ein Themengebiet so schnell wie IT – gestern wohldefinierte Schutzmaßnahmen können heute bereits überholt sein.
Der erste Schritt zur Lösung: IT Audit als Quick Check
IT Audits als Quick Check zum Thema IT-Risiken sind eine Maßnahme, in der eine Unternehmung mit überschaubarem Aufwand zusammen mit einem unabhängigen Experten herausfindet, welchen Sicherheitsstand ihre IT hat und an welcher Stelle tiefergehende Analysen sinnvoll sind. Mit dem Ergebnis kann die Unternehmung gezielt und effektiv erkannte Schwachstellen beseitigen, bevor teure Schäden entstehen.
Quick Checks können nach verschiedenen Strukturen und Standards vorgenommen werden. Zu den bekannteren Standards gehören
Diese Standards unterscheiden sich nach Schwerpunkt und benötigtem Aufwand. Daher wird die Unternehmung im Vorfeld eines Quick Checks gemeinsam mit dem Auditor das für den Check ideale Modell auswählen.
Prüfungsstandard PS 330 des Instituts der Wirtschaftsprüfer
Dieser Beitrag geht auf den Prüfungsstandard PS 330 des Instituts der Wirtschaftsprüfer (PS 330) ein. Er eignet sich insbesondere bei IT Audits, die sich auf die kaufmännische IT der Unternehmung konzentrieren.
Die IT prüfungspflichtiger Unternehmen wird in der Regel nach dem PS 330 analysiert und testiert. Die „Stoßrichtung“ auch dieses Vorgehensmodells ist es, gezielt und strukturiert Schwachstellen und Risiken zu entdecken, die teure Folgen verursachen können sowie mit Maßnahmenlisten das Beseitigen dieser Risiken zu organisieren und zu steuern.
Dieser Standard lässt sich sehr gut auf die jeweilige Unternehmung sowie auf die Schwerpunkte der gewünschten Analyse anpassen. Das Vorgehensmodell nutzt die folgende Struktur:
In einem Quick-Check werden strukturierte und zielgerichtete Gespräche mit den Aktiven in der Unternehmung geführt, zudem werden vorhandene Dokumentationen gesichtet und ggf. systemunterstützte Prüfungen innerhalb der Anwendungen durchgeführt. Ergebnis ist eine summarische Beurteilung des Status‘ der IT in der Unternehmung sowie das Aufzeigen von Schwachstellen. Eine Maßnahmenliste mit Vorschlägen zur Beseitigung dieser Schwachstellen runden dieses Ergebnis des Quick Checks ab.
Der Audit wird in der Regel von Beratern durchgeführt, die – wie der Autor dieses Beitrags – die Zertifizierung zum Certified Information System Auditor (CISA) erworben haben. Ausgeber des Zertifikats ist die Information Systems Audit and Control Association (ISACA), des weltweiten Verbands von IT-Auditoren.
ISACA teilt die Audit-Domänen in fünf Bereiche ein, namentlich
Diese Domänen korrelieren mit der Struktur der PS 330 und sorgen mit ihren Verfahrensanweisungen für einen effizienten und effektiven Ablauf des Audits.
Je nach Größe der auditierten Unternehmung bzw. des auditierten Bereichs sind Quick Checks dieser Art bereits ab einer Größenordnung von 10 Personentagen sinnvoll.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an
Risikominimierung durch IT Audit | 23.10.2019