Sie sind hier: Home » Markt » Hinweise & Tipps

IT-Revision als unabhängige Überwachungsinstanz

Unternehmen können ihre IT-Revision mit eigenen Ressourcen oft nicht bewältigen
TÜV Trust IT GmbH Unternehmensgruppe TÜV Austria empfiehlt ein verändertes Organisationsmodell mit externen Audit-Ressourcen

(01.04.15) - Nach den Beobachtungen der TÜV Trust IT stehen viele Unternehmen und Behörden bei ihrer IT-Revision vor schwer zu lösenden Problemen. Sie empfiehlt deshalb ein verändertes Organisationsmodell, bei dem sich die Revision auf eine steuernde Funktion konzentriert und die Audits mit Unterstützung externer Spezialkompetenzen realisiert werden.

Weil die Geschäftsprozesse in wachsendem Maß von Informationstechnologien abhängig sind, kommt der internen IT-Revision als unabhängiger Überwachungsinstanz eine wichtige Rolle in den Unternehmen zu. Sie widmet sich der systematischen Bewertung der Effektivität des Risikomanagements und ist für die internen Kontrollen sowie die Führungs- und Überwachungsprozesse zuständig. "In der Praxis der Unternehmen kann dieser Anspruch vielfach jedoch gar nicht oder nur bedingt erfüllt werden", weiß Thomas Kochanek, Principal Consultant bei der TÜV Trust IT, aus seiner Beratungspraxis. "Damit können unbemerkt erhebliche Problempotenziale für die Geschäftstätigkeit und zudem rechtliche Risiken entstehen", verweist er auf die Konsequenzen.

Zu den Hauptursachen gehört, dass es an den notwendigen Ressourcen mangelt. So besteht zwar typischerweise eine Interne Revision, ohne dass jedoch Mitarbeiter vorhanden sind, die speziell für die IT-Revision verantwortlich sind. Überhaupt lassen sich nach den Feststellungen der TÜV Trust IT große Defizite in der Fachlichkeit der IT-Revisoren feststellen, weil sie dafür häufig nicht ausreichend ausgebildet sind und vor allem über kein interdisziplinäres Fachwissen verfügen. "Dadurch mangelt es am tiefgehenden Wissen über die Prüfgegenstände, sodass dann meist nur relativ formal anhand von Checklisten geprüft werden kann", problematisiert Kochanek und beschreibt dies am Beispiel der SAP-Auditierung: "Wenn sich jemand nur marginal mit SAP auskennt und eine Prüfung lediglich entlang einer Checkliste vornimmt, kann er ohne ausreichendes Hintergrundwissen keine gründliche Prüfung durchführen und vor allem die Auswirkungen bestimmter Vorfälle nicht anforderungsgerecht einschätzen."

Ebenfalls problematisch wird es nach den Worten von Kochanek, wenn die IS-Revision mit der IT-Revision verwechselt wird. Der Unterschied besteht darin, dass die IS-Revision den Schwerpunkt auf die ganzheitliche Prüfung der Informationssicherheit legt und dabei die Wirtschaftlichkeit und Ordnungsmäßigkeit nachrangig betrachtet, während die IT-Revision die drei Prüfthemen Wirtschaftlichkeit, Sicherheit und Ordnungsmäßigkeit gleichrangig behandelt.

Eine weitere Schwierigkeit für die Praxis der Revisionstätigkeit besteht darin, dass die Komplexität ihrer Aufgaben ständig wächst und sich zudem die Regularien und Anforderungen kontinuierlich ändern. "Dies ständig im Blick zu halten, ist vor allem für kleine Unternehmen eine kaum zu bewältigende Aufgabe."

Angesichts der zahlreichen Problemfelder in der IT-Revision empfiehlt Kochanek, sie durch ein verändertes Organisationsmodell auf eine anforderungsgerechtere Basis zu stellen. Dessen Kern besteht darin, sich angesichts der engen Ressourcen und fachlichen Begrenzungen primär auf eine koordinierende Funktion zu konzentrieren und die Audits externen Spezialkompetenzen zu übertragen. "Dies gewährleistet nicht nur eine durchgängig hohe Revisionsqualität, sondern ermöglicht gleichzeitig eine sehr bedarfsgerechte und flexible Vorgehensweise mit wirtschaftlichen Vorteilen", beschreibt Kochanek die Nutzenvorteile. (TÜV Trust IT: ra)

TÜV Trust IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Invests

Datenschutz mit Zertifikat
Zertifizierungen erleichtern das Geschäftsleben. Man weist gegenüber Geschäftspartnern nach, dass man einen hohen Standard einhält. Sollte trotzdem mal etwas schief gehen kann der Geschäftsführer belegen, dass er alles Erforderliche getan hat. Die EU-Datenschutzgrundverordnung sieht die Möglichkeit einer Zertifizierung ausdrücklich vor, aber wie und wo kann man ein solches Zertifikat erhalten?
"Stand der Technik": Nicht definiert im Gesetz
Was ist das eigentlich: der "Stand der Technik"? Wer in Deutschland so genannte "Kritische Infrastrukturen" betreibt, ist nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz dazu verpflichtet, IT-Systeme, -Prozesse und -Komponenten angemessen zu schützen. [1] Unter "Kritischen Infrastrukturen" versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall dramatische Folgen hätte. Wer als KRITIS-Betreiber gilt, ist wiederum in der KRITIS-Verordnung geregelt. [2] Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhalten dafür alle sie betreffenden Informationen zu Gefahren in der IT-Sicherheit, um entsprechende "technische und organisatorische Maßnahmen" treffen zu können (BSI-Gesetz §8 a). Hierbei soll, so fordert es der Gesetzgeber, "der Stand der Technik" eingehalten werden. [3]
Beschwerden wegen unerlaubter Telefonwerbung
Zu einem möglichen Gesetzgebungsvorschlag gegen Telefonwerbung und rein telefonischen Vertragsabschluss von Bundesjustizministerin Katarina Barley äußert sich Matthias Stauch, Vorstand der Intervista AG und Experte für digitalen Vertrieb: "Verbraucherinnen und Verbraucher sollen durch eine Bestätigungslösung im Zusammenhang mit telefonischen Angeboten und Verträgen besser abgesichert werden - in erster Linie geht es dabei um den rein telefonischen Abschluss. So müssen die Unternehmen vom Kunden für die Wirksamkeit zusätzlich eine schriftliche Bestätigung, zum Beispiel per E-Mail, einholen. Insbesondere der Energiemarkt gilt als große Baustelle: Hier gab es 2018 bis zum November knapp 20.000 bei der Bundesnetzagentur eingereichte Beschwerden wegen unerlaubter Telefonwerbung.
DSGVO/GDPR: Gold-Standard für Compliance?
Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind. Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?
Gesetzliche Anforderungen an Auskunftsersuchen
mailbox.org veröffentlicht en Transparenzbericht zu Auskunftsersuchen und Telekommunikationsüberwachung (TKÜ). Im Jahr 2018 erhielt der Dienst der Heinlein Support GmbH insgesamt 72 Anfragen von Strafverfolgungsbehörden, vier davon aus dem Ausland. 48 der Anfragen enthielten offensichtliche Fehler und mussten aufgrund ihrer Rechtswidrigkeit zurückgewiesen werden, darunter sogar zwei TKÜ-Anfragen. In 35 Fällen wurde die Anfrage daraufhin formfehlerfrei erneut gestellt und bearbeitet, insgesamt 13 mussten weiterhin abgelehnt werden. Die meisten Ermittlungsbehörden verschickten ihre Anfragen nach wie vor rechtswidrig unverschlüsselt per E-Mail und erwarteten auch auf diesem Wege Antwort. Zum Teil wurde sogar telefonisch die Herausgabe von Informationen verlangt, die nicht zu den Bestandsdaten gehören. Lediglich eine einzige Polizeibehörde hat Anfragen per E-Mail auf Anhieb korrekt und verschlüsselt gestellt.

Ausschluss von Doppelansprüchen beim Urlaub Welche Zertifikate notwendig sind

Fachartikel

Umsetzung in nationales Recht: FATCA wird konkret
Die iBS - Innovative Banking Solutions AG kommentiert das zwischen den USA und den fünf größten EU-Staaten getroffene zwischenstaatliche Musterabkommen zur Verbesserung der Steuerehrlichkeit und Umsetzung des Foreign Account Tax Compliance Act (FATCA). Vor dem Hintergrund der US-amerikanischen Bestrebungen, FATCA international durchzusetzen, haben sich die USA und die fünf großen europäischen Volkswirtschaften Deutschland, Frankreich, Großbritannien, Italien und Spanien auf ein Musterabkommen zur bilateralen Bekämpfung von Steuerhinterziehung verständigt. Die Zusammenarbeit hatten die Staaten im Februar 2012 angekündigt.
Compliance im Außenhandel
Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.