Skip to main content
main-content

Über dieses Buch

Auf Grundlage des risikoorientierten Prüfungsansatzes zeigt dieses Buch, wie effektive Prüfungsaktivitäten in einem komplexen Prüfungsumfeld mit besonderer Berücksichtigung aktueller Topthemen wie Datenschutz, Cybersecurity, Penetrationstests und Investigationen bei einer wachsenden Anzahl unternehmensinterner Ermittlungen durchgeführt werden können. Neuartige Instrumente und Methoden für die Arbeit der IT-Revision werden aufgezeigt und neue Ansätze diskutiert. In der zweiten, überarbeiteten und aktualisierten Auflage erfahren die Meldepflichten nach DSGVO, ITSiG bzw. NIS-Richtlinie eine besondere Betrachtung.

Das Buch hilft, die Arbeitsweisen der Revision systematisch zu erfassen sowie Prüfungen zu planen und durchzuführen. Dabei bietet es sowohl fertige Lösungen als auch „Hilfe zur Selbsthilfe“ an.

Inhaltsverzeichnis

Frontmatter

Kapitel 1. Einleitung

Zusammenfassung
Die Methoden, Routinen und Standards in der Revisionsarbeit sind notwendig zur Legitimation ihrer Vorgehensweisen und Prüfungsergebnisse gegenüber den Geprüften, der Aufsicht, den Auftraggebern, den Kontrollgremien etc. Das Prüfungsergebnis muss plausibel, der Weg dorthin nachvollziehbar und repetierbar sein. Das „Sich-selbst-in-Frage-Stellen“ ist in dem Sinne für die Revision von Relevanz, dass sie sich regelmäßig an die neuen Rahmenbedingungen, Normen und Anforderungen anpassen, modernisieren und ihre Methoden weiterentwickeln muss, um nicht obsolet zu werden. In diesem Kapitel werden die neuen Methoden kurz skizziert und erläutert. Der interessierte Prüfer wird in die Arkana der statistisch-mathematischen Methoden herangeführt, welche in der Form noch nicht in einem Werk für die Revision zusammengefasst wurden. Ebenfalls kann der Prüfer neue Themen, wie Mock Dawn Raid, Prüfung der Umsetzung von Meldepflichten oder interne Ermittlungen als systematische Revisionsprüfungen erfassen und umsetzen.
Aleksandra Sowa, Peter Duscha, Sebastian Schreiber

Kapitel 2. Audit, Continuous Audit, Monitoring und Revision

Zusammenfassung
In der Fachliteratur werden die Begriffe Prüfung (Auditing) und Überwachung (Monitoring) oft synonym verwendet. In diesem kurzen Kapitel wird der Versuch unternommen, diese wesentlichen Begriffe der Revisionswelt anhand der gesetzlichen Grundlagen und der berufsständischen Standards der Internen und Externen Revision zu differenzieren. Darüber hinaus werden die im direkten Zusammenhang stehenden Begriffe „Continuous Auditing“, „Continuous Monitoring“ und der ins Deutsche überführte Begriff „Audit“ näher beleuchtet und eine Differenzierung versucht. Dazu werden zuerst die wesentlichen gesetzlichen Grundlagen betrachtet. Dabei ist zu beachten, dass verschiedene Branchen besonderen Regeln zur Internen Revision unterliegen, die eine Ausstrahlung auf die gesamte Revisionswelt entwickeln. Die Finanzwirtschaft ist hier ein prominentes Beispiel.
Peter Duscha

Kapitel 3. Methodik der IT-Prüfung

Zusammenfassung
In gemeinsamen Prüfungen von Business-Revisoren und IT-Revisoren kann die Frage aufkommen, welche Methoden und Standards relevant sind und wie mit Übereinstimmungen oder Unterschieden umgegangen werden sollte. Im nachfolgenden Kapitel wird ein Überblick über vorhandene Methoden der Internen Revision und eine Gegenüberstellung der beiden Standardrahmen des ISACA und des IIA geliefert, welche bei der Beantwortung dieser Frage hilfreich sein sollen. Dazu werden die Methoden der Internen Revision für die IT-Revision aufgefächert. Diese beinhalten solche Grundlagen wie die Steuerung von Prüferressourcen (Prüfungsmanagement), die Aufstellung und das Testen von Prüferhypothesen vor dem Hintergrund akzeptabler Prüferfehler, die Bedeutung einer guten Kommunikation in der Prüfung (einschließlich Überlegungen für gute Revisionsberichte) und nicht zuletzt die Sicherstellung der Nachvollziehbarkeit (und damit der Qualität) einer Prüfung durch gute Dokumentation.
Peter Duscha

Kapitel 4. IT-Revision bei Betrugsaufdeckung, Investigation und Prüfung doloser Handlungen

Zusammenfassung
Die Unternehmensprozesse und -aktivitäten werden zunehmend durch IT-Technologie und durch Social Media gestützte Kollaboration gestützt und determiniert. Sogenannte „dolose Handlungen“ können gleichzeitig ‒ bei Kenntnis relevanter Indikatoren ‒ immer besser in den Systemen aufgespürt werden. Der Internen Revision fällt insbesondere bei der Aufdeckung und Ex-post-Untersuchung der Vorfälle eine besondere Rolle zu. Die Aktivitäten der Revision wirken auch abschreckend auf potenzielle Nachahmer und haben somit auch eine präventive Funktion. Während sich spezialisierte Bereiche in einer Organisation, bspw. Compliance-, Datenschutz- und Rechtsabteilungen, auf die Umsetzung der regulatorischen Vorgaben, Awareness und interne Vorgaben konzentrieren, ist es die Aufgabe der Revision, die Ordnungsmäßigkeit und Wirksamkeit der Aufbau- und Ablauforganisation zu bewerten und zu beurteilen. Auch im Fall eines Verstoßes übernimmt häufig die Revision im Rahmen einer Ad-hoc-Prüfung die Rolle eines „internen Ermittlers“, um die Schwachstellen im internen Kontrollsystem, welche den Vorfall gegebenenfalls ermöglicht oder zumindest erleichtert haben, zu identifizieren. Der Revision kann ihre diesbezüglichen Aktivitäten im Rahmen von Jahresabschlussprüfungen oder Unterschlagungsprüfungen organisieren. In diesem Kapitel werden die Möglichkeiten und Befugnisse der Revision im Rahmen der Betrugsaufdeckung (a priori) und Investigationen (a posteriori) aufgezeigt und durch ein Deep Dive anhand aktueller Aspekte der IT-Forensik erläutert. Das Benfordsche Gesetz als Instrument zur Aufdeckung von Manipulationen im Transaktionsbereich sowie Social Engineering werden anhand von Beispielen kurz erläutert.
Aleksandra Sowa

Kapitel 5. Der Penetrationstest als Instrument der Internen Revision

Zusammenfassung
Der Penetrationstest ist ein mächtiges Instrument, um die Unternehmens-IT gegen alltägliche Angriffe vorausschauend abzusichern. Das vorliegende Kapitel wird den Penetrationstest in seiner Funktion als Qualitätssicherungsmaßnahme auch für Nicht-IT-Experten eingängig und mit praktischem Bezug vorstellen. Dabei wird unter anderem aufgezeigt, welche qualitativen Mehrwerte eine Integration von Penetrationstests in Prüfpläne generiert. Der erste Schwerpunkt liegt auf der Art und Weise, wie ein Revisor ein Angriffsszenario spezifiziert. Die wichtigsten Spezifika sind dabei: Angriffsursprung, Angriffsziel, Testtiefe, Testmittel, Wissensstand und Motivation des Täters. Ferner ist vom Revisor zu entscheiden, ob es sich um angekündigte oder unangekündigte Tests handelt, ein offensichtliches oder verdecktes Vorgehen eingesetzt wird und wie hoch die Aggressivität des Täters ist. Auch wie die Testszenarien geschickt gebündelt werden können (Clustering), wird erläutert, da hier Potenziale zur Kosten- und Zeitersparnis liegen. Um die Integration von Penetrationstests in Revisionsprüfpläne zu erleichtern, werden praktische Beispiele und Auswahlkriterien zur Entscheidungshilfe aufgeführt. So werden etwa Möglichkeiten aufgezeigt, wie Kosten minimiert und Budgets optimal eingeteilt werden können. Darüber hinaus wird auch den relevanten Fragen bezüglich der bestehenden Rechtslage sowie realen Risiken und dem Umgehen derselben in der Praxis nachgegangen. Mit der zunehmenden Professionalisierung und dem Branchenboom stieg in den vergangenen Jahren auch die Anzahl der Penetrationstest-Dienstleister. Aus diesem Grund wird ebenfalls eine Reihe von Kriterien aufgelistet, die es erleichtern soll, den richtigen Anbieter für eine langfristige partnerschaftliche Zusammenarbeit zu finden.
Sebastian Schreiber

Kapitel 6. Meldepflichten nach DSGVO, ITSiG bzw. NIS-Richtlinie: Vorgaben und Prüfung

Zusammenfassung
Menschen machen Fehler. Maschinen machen Fehler. Nolens volens kommt es in jeder Organisation irgendwann zu Sicherheits- oder Datenschutzvorfällen. In solchen Fällen ist derjenige im Vorteil, der vorbereitet ist. Eine Herausforderung liegt dabei auch in der Erfüllung der Pflichten zur behördlichen Meldung des Vorfalls. Zu den bereits bestehenden Meldepflichten über IT-Störungen, u. a. aus dem BSIG, TKG und aus Spezialgesetzen, ist jüngst die Pflicht zur Meldung der Verletzung des Schutzes personenbezogener Daten hinzugekommen. Angesichts der kurzen vorgeschriebenen Reaktionszeiten ist eine gemeinsame Berücksichtigung der verschiedenen Meldepflichten im Incident- sowie Notfallmanagement nahezu zwingend. Im vorliegenden Kapitel werden Vorgaben zu den Meldepflichten aus dem BSIG und der DSGVO zusammengestellt und Ansätze zur Prüfung der Umsetzung dieser Meldepflichten durch die Revision entwickelt.
Aleksandra Sowa

Kapitel 7. Prüfung kartellrechtlicher Compliance durch Mock Dawn Raids als Instrument der IT-Revision

Zusammenfassung
Zur Bewertung und Beurteilung der Ordnungsmäßigkeit und Wirksamkeit des Compliance-Management-Systems (CMS), insbesondere der kartellrechtlichen Compliance, haben sich nach US-amerikanischem Vorbild auch in deutschen Unternehmen die sogenannten Mock Dawn Raids etabliert. Mock Dawn Raids als Prüfungsmethode sind ein geeignetes Mittel, durch die das Management seine Pflichten, Verstöße gegen unternehmensbezogene Rechtsvorschriften durch angemessene Aufsichts- und Überwachungsmaßnahmen zu verhindern (vgl. etwa § 130 OWiG), ordnungsgemäß erfüllen kann. Im vorliegenden Beitrag wird eine Prüfungsmethodik vorgestellt und systematisiert, die gerade die Prüfung von Wirksamkeit und Ordnungsmäßigkeit kartellrechtlicher Compliance ermöglicht. Die Mock Down Raid als Prüfungsmethode der Internen Revision kann dabei helfen, die Awareness der Mitarbeiter im Hinblick auf die kartellrechtliche Compliance zu steigern und etwaige Bußgelder oder Gerichtsverfahren, bspw. aufgrund fehlerhaften Verhaltens bei Durchsuchungen, zu vermeiden. Die Frage nach der Eignung positiver Prüfungstestate als Entlastung der Geschäftsleitung bei einem Compliance-Vorfall wurde jedoch bis dato in der Rechtspraxis nicht bejaht.
Aleksandra Sowa

Kapitel 8. Schlusswort

Zusammenfassung
Die wesentliche Regulierung der Revisionsarbeit findet jenseits der gesetzlichen Vorschriften, in den nationalen und internationalen Standards und Rahmenwerken statt. Ein Vorteil dieser Art der Regulierung ist die Vereinheitlichung der Arbeitsmethoden und Verfahren der Revision. Ein weiterer Vorteil liegt darin, dass die Methoden so schneller an die aktuellen Bedarfe, angepasst werden können. Dies gilt insbesondere für die IT-Revision. Das Buch fasst die aktuellen Arbeitsmethoden der IT-Revision zusammen und versucht diese dort weiterzuentwickeln, wo die Verfasser Handlungsbedarf oder Bedarf an neuen Methodiken bzw. an der Fortentwicklung bestehender Methoden sehen. Das Buch enthält keine endgültigen Antworten, soll aber dazu beitragen, die Arbeit der IT-Revision zu systematisieren, und möchte zur Diskussion und Weiterentwicklung der Methoden anregen.
Aleksandra Sowa, Peter Duscha, Sebastian Schreiber

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise