Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben

2015 | Buch

Einleitung Kapitel lesen Erstes Kapitel lesen

IT-Revision, IT-Audit und IT-Compliance

Neue Ansätze für die IT-Prüfung

verfasst von: Aleksandra Sowa, Peter Duscha, Sebastian Schreiber

Verlag: Springer Fachmedien Wiesbaden

Enthalten in: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Einloggen, um Zugang zu erhalten
insite
SUCHEN

Über dieses Buch

Auf Grundlage des modernen, risikoorientierten Prüfungsansatzes zeigt dieses Buch, wie effektive Prüfungsaktivitäten in einem komplexen Prüfungsumfeld mit besonderer Berücksichtigung aktueller „Hot-Topics“ wie Datenschutz, Cybersecurity, Penetrationstests und Investigationen bei einer wachsenden Anzahl unternehmensinterner Ermittlungen durchgeführt werden können. Es werden neuartige Instrumente und Methoden für die Arbeit innovativer IT-Revision aufgezeigt und neue Ansätze diskutiert. Das Buch hilft, die Arbeitsweisen der Revision systematisch zu erfassen sowie Prüfungen zu planen und durchzuführen. Dabei bietet es sowohl fertige Lösungen als auch „Hilfe zur Selbsthilfe“ an.

Inhaltsverzeichnis

Frontmatter
1. Einleitung
Zusammenfassung
Die Methoden, Routinen und Standards in der Revisionsarbeit sind notwendig zur Legitimation ihrer Vorgehensweisen und Prüfungsergebnisse gegenüber den Geprüften, der Aufsicht, den Auftraggebern, den Kontrollgremien etc. Das Prüfungsergebnis muss plausibel, der Weg dorthin nachvollziehbar und repetierbar sein. Das „Sich-selbst-in-Frage-Stellen“ ist in dem Sinne für die Revision von Relevanz, dass sie sich regelmäßig an die neuen Rahmenbedingungen, Normen und Anforderungen anpassen, modernisieren und ihre Methoden weiterentwickeln muss, um nicht obsolet zu werden. In diesem Kapitel werden die neuen Methoden kurz skizziert und erläutert.
Der interessierte Prüfer wird in die Arkana der statistisch-mathematischen Methoden herangeführt, welche in der Form noch nicht in einem Werk für die Revision zusammengefasst wurden. Ebenfalls kann der Prüfer neue Themen wie Mock Dawn Raid, Datenschutzaudit oder interne Ermittlungen als systematische Revisionsprüfungen erfassen und umsetzen. Desweiteren wird in diesem Buch erstmalig eine systematische Anleitung für Revisoren für IT-Forensik als Revisionsprüfung vorgestellt.
Aleksandra Sowa, Peter Duscha, Sebastian Schreiber
2. Audit, Continuous Audit, Monitoring und Revision
Zusammenfassung
In der Fachliteratur werden die Begriffe Prüfung (Auditing) und Überwachung (Monitoring) oft synonym verwendet. In diesem kurzen Kapitel wird der Versuch unternommen, diese wesentlichen Begriffe der Revisionswelt anhand der gesetzlichen Grundlagen und der berufsständischen Standards der Internen und Externen Revision zu differenzieren. Darüber hinaus werden die im direkten Zusammenhang stehenden Begriffe „Continuous Auditing“, „Continuous Monitoring“ und der ins Deutsche überführte Begriff „Audit“ näher beleuchtet und eine Differenzierung versucht.
Dazu werden zuerst die wesentlichen gesetzlichen Grundlagen betrachtet. Dabei ist zu beachten, dass verschiedene Branchen besonderen Regeln zur Internen Revision unterliegen, die eine Ausstrahlung auf die gesamte Revisionswelt entwickeln. Die Finanzwirtschaft ist hier ein prominentes Beispiel.
Peter Duscha
3. Methodik der IT-Prüfung
Zusammenfassung
In gemeinsamen Prüfungen von Business Revisoren und IT-Revisoren kann die Frage aufkommen, welche Methoden und Standards relevant sind und wie mit Übereinstimmungen oder Unterschieden umgegangen werden sollte.
Das nachfolgende Kapitel liefert einen Überblick über vorhandene Methoden der Internen Revision und eine Gegenüberstellung der beiden Standardrahmen des ISACA und des IIA, welche bei der Beantwortung dieser Frage hilfreich sein sollen. Dazu werden die Methoden der Internen Revision für die IT-Revision aufgefächert. Diese beinhalten solche Grundlagen wie die Steuerung von Prüferressourcen (Prüfungsmanagement), die Aufstellung und das Testen von Prüferhypothesen vor dem Hintergrund akzeptabler Prüferfehler, die Bedeutung einer guten Kommunikation in der Prüfung (einschließlich Überlegungen für gute Revisionsberichte) und nicht zuletzt die Sicherstellung der Nachvollziehbarkeit (und damit der Qualität) einer Prüfung durch gute Dokumentation.
Peter Duscha
4. Datenschutzaudit gemäß § 9 und Anlage zu § 9 BDSG
Zusammenfassung
Im Kapitel wird eine Prüfungsmethodik skizziert, die den Datenschutzprüfungen durch die Interne Revision, insbesondere die IT-Revision, zugrunde gelegt werden kann. Diese kann gleichermaßen für vom Datenschutzbeauftragten durchgeführte Datenschutzaudits und/oder die unabhängige Prüfung und Zertifizierung durch Dritte empfohlen werden. Die Grundlage für die Prüfung durch die Interne Revision stellen die Anforderungen an technisch-organisatorische Maßnahmen, welche in der Anlage zu § 9 des BDSG formuliert wurden.
Aleksandra Sowa
5. Prüfung kartellrechtlicher Compliance durch Mock Dawn Raids als Prüfungsmethode der IT-Revision
Zusammenfassung
Zur Bewertung und Beurteilung der Ordnungsmäßigkeit und Wirksamkeit des Compliance Management Systems (CMS), insbesondere der kartellrechtlichen Compliance, haben sich nach US-amerikanischem Vorbild auch in deutschen Unternehmen die sogenannten Mock Dawn Raids etabliert. Mock Dawn Raids als Prüfungsmethode sind ein geeignetes Mittel für das Management um seine Pflicht, Verstöße gegen unternehmensbezogene Rechtsvorschriften durch angemessene Aufsichts- und Überwachungsmaßnahmen zu verhindern (vgl. etwa § 30 OWiG), ordnungsgemäß zu erfüllen.
Im vorliegenden Beitrag wird eine Prüfungsmethodik vorgestellt und systematisiert, die gerade die Prüfung von Wirksamkeit und Ordnungsmäßigkeit kartellrechtlicher Compliance ermöglicht. Die Mock Down Raid als Prüfungsmethode der Internen Revision kann dabei helfen, die Awareness der Mitarbeiter im Hinblick auf die kartellrechtliche Compliance zu steigern und etwaige Bußgelder oder Gerichtsverfahren, bspw. aufgrund fehlerhaften Verhaltens bei Durchsuchungen, zu vermeiden. Die Frage nach der Eignung positiver Prüfungstestate als Entlastung der Geschäftsleitung bei einem Compliance-Vorfall wurde jedoch bis dato in der Rechtspraxis nicht bejaht.
Aleksandra Sowa
6. IT-Revision bei Betrugsaufdeckung und Investigation
Zusammenfassung
Die Unternehmensprozesse und -aktivitäten werden zunehmend durch IT-Technologie und Social-Media-gestützte Kollaboration gestützt und determiniert. Sogenannte „dolose Handlungen“ können gleichzeitig – bei Kenntnis relevanter Indikatoren – immer besser in den Systemen aufgespürt werden.
Der Internen Revision fällt insbesondere bei der Aufdeckung und Ex-post-Untersuchung der Vorfälle eine besondere Rolle zu. Die Aktivitäten der Revision wirken abschreckend auf potenzielle Nachahmer und haben somit auch eine präventive Funktion. Während sich spezialisierte Bereiche in einer Organisation, bspw. Compliance-, Datenschutz- und Rechtsabteilungen, auf die Umsetzung der regulatorischen Vorgaben, Awareness und interne Vorgaben konzentrieren, ist es die Aufgabe der Revision, die Ordnungsmäßigkeit und Wirksamkeit der Aufbau- und Ablauforganisation zu bewerten und zu beurteilen. Auch im Fall eines Verstoßes übernimmt häufig die Revision im Rahmen einer Ad-hoc-Prüfung die Rolle eines „internen Ermittlers“, um die Schwachstellen im internen Kontrollsystem, welche den Vorfall gegebenenfalls ermöglicht oder zumindest erleichtert haben, zu identifizieren.
Die Revision kann ihre diesbezüglichen Aktivitäten im Rahmen von Jahresabschlussprüfungen oder Unterschlagungsprüfungen organisieren. In diesem Kapitel werden die Möglichkeiten und Befugnisse der Revision im Rahmen der Betrugsaufdeckung (a priori) und Investigationen (a posteriori) aufgezeigt und durch ein Deep Dive anhand aktueller Aspekte der IT-Forensik erläutert. Das Benfordsche Gesetz als Instrument zur Aufdeckung von Manipulationen im Transaktionsbereich sowie Social Engineering werden anhand von Beispielen kurz erläutert.
Aleksandra Sowa
7. Der Penetrationstest als Instrument der Internen Revision
Zusammenfassung
Der Penetrationstest ist ein mächtiges Instrument, um die Unternehmens-IT gegen alltägliche Angriffe vorausschauend abzusichern. Das vorliegende Kapitel stellt den Penetrationstest in seiner Funktion als Qualitätssicherungsmaßnahme auch für Nicht-IT-Experten eingängig und mit praktischem Bezug vor. Dabei wird unter anderem aufgezeigt, welche qualitativen Mehrwerte eine Integration von Penetrationstests in Prüfpläne generiert.
Der erste Schwerpunkt liegt auf der Art und Weise, wie ein Revisor ein Angriffsszenario spezifiziert. Die wichtigsten Spezifika sind dabei: Angriffsursprung, Angriffsziel, Testtiefe, Testmittel, Wissensstand und Motivation des Täters. Ferner ist vom Revisor zu entscheiden, ob es sich um angekündigte oder unangekündigte Tests handelt, ein offensichtliches oder verdecktes Vorgehen eingesetzt wird und wie hoch die Aggressivität des Täters ist. Auch wie die Testszenarien geschickt gebündelt werden können (Clustering), wird erläutert, da hier Potenziale zur Kosten- und Zeitersparnis liegen.
Um die Integration von Penetrationstests in Revisionsprüfpläne zu erleichtern, werden praktische Beispiele und Auswahlkriterien zur Entscheidungshilfe aufgeführt. So werden etwa Möglichkeiten aufgezeigt, wie Kosten minimiert und Budgets optimal eingeteilt werden können. Darüber hinaus wird auch den relevanten Fragen bezüglich der bestehenden Rechtslage sowie realen Risiken und dem Umgang derselben in der Praxis nachgegangen.
Mit der zunehmenden Professionalisierung und dem Branchenboom stieg in den vergangenen Jahren auch die Anzahl der Penetrationstest-Dienstleister. Aus diesem Grund wird ebenfalls eine Reihe von Kriterien aufgelistet, die es erleichtern soll, den richtigen Anbieter für eine langfristige partnerschaftliche Zusammenarbeit zu finden.
Sebastian Schreiber
8. Data Mining und Data Matching versus Datenschutz
Zusammenfassung
Bei Prüfungen, die sich auf große Datenmengen beziehen, kann die Interne Revision entweder das konventionelle Stichprobenverfahren anwenden oder auf die sogenannte Massendatenanalyse (Data Mining oder Big Data Mining) zurückgreifen.
Das Ziel der Massendatenanalyse ist dabei, aus der Grundgesamtheit diejenigen Datensätze herauszufiltern, die auf Abweichungen, Ausreißer, Regelverstöße etc. hinweisen. Dieses Ziel verfolgt auch die selektive Datenanalyse, jedoch mittels bewusster Auswahl oder Stichprobenprüfung. Die automatisierte Datenanalyse wird daher verstärkt bei internen Ermittlungen eingesetzt. Oft sind von diesen Auswertungen personenbezogene Daten der Beschäftigten betroffen.
Die im Jahr 2009 im Rahmen der Novellierung des BDSG eingefügte Norm des Arbeitnehmerdatenschutzes regelt den Umgang mit den Daten der Beschäftigten im Rahmen des vertraglichen Dienstverhältnisses. Insbesondere gilt § 32 für die Auswertung der Beschäftigtendaten zum Zweck präventiver Kontrollen, die Indizien für etwaige Straftaten liefern können (§ 32 Abs. 1 Satz 1), sowie bei konkretem, dokumentierten Tatverdacht (§ 32 Abs. 1 Satz 2). Die Norm gilt auch für die Auswertungen von Internetnutzungsdaten sowie die E-Mails der Beschäftigten, die bei konkretem Verdacht auf Straftaten durch die unternehmensinternen Ermittler, Interne Revision oder IT-Forensik ausgewertet werden sollen. Bei der Auswertung von E-Mails der Beschäftigten sind besondere Aspekte zu beachten. Der Entscheidungsprozess, ob, wann und unter welchen Voraussetzungen E-Mails von Beschäftigten ausgewertet werden dürfen, wird in diesem Kapitel skizziert. Er orientiert sich an der aktuellen Rechtsprechung und der herrschenden Meinung in der anschlðgigen Literatur.
Aleksandra Sowa
9. Schlusswort
Zusammenfassung
Die wesentliche Regulierung der Revisionsarbeit findet jenseits der gesetzlichen Vorschriften, in den nationalen und internationalen Standards und Rahmenwerken statt. Ein Vorteil dieser Art der Regulierung ist die Vereinheitlichung der Arbeitsmethoden und Verfahren der Revision. Ein weiterer Vorteil liegt darin, dass die Methoden so schneller an die aktuellen Bedarfe, angepasst werden können. Dies gilt insbesondere für die IT-Revision.
Das Buch fasst die aktuellen Arbeitsmethoden der IT-Revision zusammen und versucht diese dort weiterzuentwickeln, wo die Verfasser Handlungsbedarf oder Bedarf an neuen Methodiken bzw. an der Fortentwicklung bestehender Methoden sehen. Das Buch enthält keine endgültigen Antworten, soll aber dazu beitragen, die Arbeit der IT-Revision zu systematisieren, und möchte zur Diskussion und Weiterentwicklung der Methoden anregen.
Aleksandra Sowa, Peter Duscha, Sebastian Schreiber
Metadaten
Titel
IT-Revision, IT-Audit und IT-Compliance
verfasst von
Aleksandra Sowa
Peter Duscha
Sebastian Schreiber
Copyright-Jahr
2015
Electronic ISBN
978-3-658-02808-4
Print ISBN
978-3-658-02807-7
DOI
https://doi.org/10.1007/978-3-658-02808-4