IT Audit

Ziele der Lektion

• Kennenlernen und Verstehen des Konzepts eines Internen Kontrollsystems (IKS)
• Diskussion von IT-Prüfungsansätzen, Methoden und Grundlagen für Audits
• Vorstellen verschiedener Prüfungsvarianten
• Verständnisbildung für die Herangehensweise von IT-Auditor*innen

Immer und jederzeit ist es möglich, Teilbereiche von Prozessen nach Aufstellung von entsprechenden Prüfungszielen zu auditieren. Anhand eines Prüfprogrammes kann man dann strukturiert Einzelthemen mit verschiedenen Prüfungsmethoden betrachten. Diese können sein: Befragung, Beobachtung, nochmalige Durchführung, Durchsicht und Beurteilung anhand von Stichproben, kontrollorientierte Prüfung, Walkthrough, technische Prüfscripts bei Einsatz von IT-Systemen oder ähnliches. Für die Entwicklung eines Prüfprogrammes ist naturgemäß die Definition eines unabhängigen Sollzustandes erforderlich, wofür ein Framework herangezogen werden kann.

Die Prüfungserkenntnisse können nach Abschluss der Prüfung strukturiert erfasst und zum Beispiel nach resultierendem Risiko kategorisiert und dargestellt werden. Allerdings ist ein Audit keine klassische Messmethode, da die gewonnenen Erkenntnisse nicht wirklich zueinander in Beziehung gesetzt und quantifiziert werden. Dennoch ist es eine valide und bei Setzen von substanziellen Prüfungshandlungen sogar eine sehr aussagekräftige Methode für eine Prozess-Bestandsaufnahme respektive für eine Verifikation von gesetzten Prozessmanagement-Maßnahmen – allerdings eine im Hinblick auf den Aspekt Messung – unstrukturierte Art, da eine objektivierte Skala für die Einteilung fehlt. Weiters ist die Risikoeinschätzung sehr personen- und erfahrungsabhängig.

Vorgaben, was man zum Beispiel bei einer IT-Prüfung auditieren muss, finden sich in länderspezifischen Regelungen wie in Österreich z.B. die Fachgutachten KFS/DV1 „Die Ordnungsmäßigkeit von EDV-Buchführungen“ aus 1998 und KFS/DV2 „Abschlussprüfung bei Einsatz von Informationstechnik“ aus 2004 des Fachsenates für Datenverarbeitung des Instituts für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänder*innen [KWT09]. Daraus haben sich natürlich bei den Wirtschaftsprüfungsgesellschaften unternehmenseigene Vorgaben entwickelt. In Deutschland existieren ähnliche Vorgaben als Regelungen des Instituts der Wirtschaftsprüfer*innen (IDW) Stellungnahmen zur Rechnungslegung (RS), Fachgutachten zur Prüfung der IT (FAIT) 1, 2 und 3 [IDW09].

Internes Kontrollsystem

Ein internes Kontrollsystem ist ein System aus verschiedenen Maßnahmen, die sicherstellen, dass die Abläufe richtig und effizient entsprechend der Unternehmensstrategie funktionieren. Es ist zumeist eine Kombination aus einer schriftlich formulierten Vorgabe (Richtlinien, Arbeitsanweisungen, Handbücher etc.) und daraus abgeleiteten Kontrollen und Abläufe (z.B. Formulare, Prüfungsschritte, Berichterstattung etc.). Es gibt unter Umständen auch eine gesetzliche Verpflichtung von Unternehmen, ein funktionierendes Internes Kontrollsystem nachzuweisen. Dieser Nachweis wird z.B. im Rahmen der Jahresabschlussprüfung durch Wirtschaftsprüfer*innen aufgrund internationaler Prüfungsstandards, wie z.B. IDW PS 260, ISA 315 oder ISA 330, gefordert. Das Interne Kontrollsystem beinhaltet dabei Regelungen zur Steuerung (internes Steuerungssystem), Regelung zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) und die Integration dieser Regelungen in die Prozesse des Unternehmens (organisatorische Sicherungsmaßnahmen, Kontrollen).

Die Interne Revision spielt dabei eine bedeutende Rolle. Sie sorgt unter anderem dafür, dass das Interne Kontrollsystem definiert, überwacht und laufend verbessert wird. Die Interne Revision übernimmt auch die Aufgabe, die definierten Kontrollen als prozessunabhängige Überwachung zu überwachen und zu bewerten. Nichtsdestotrotz ist es letztendlich die Verantwortung der Geschäftsführung, für ein funktionierendes IKS zu sorgen [FRG07, S73ff].

Arten von IT- und Sicherheits-Audits

Es gibt verschiedene Anlassfälle, warum und ob es zu einer Prüfung des IT-Bereiches bzw. des implementierten ISMS kommen kann. Beispielsweise ist die Interne Revision interessiert daran, das Interne Kontrollsystem in der IT auf ihre Funktionsfähigkeit hin zu prüfen, um dem Vorstand zu berichten. Andererseits ist im Rahmen der Wirtschaftsprüfung die Prüfung der IT-Prozesse und -Systeme, die vom Jahresabschluss direkt oder indirekt betroffen sind, ein Bestandteil. Ein weiterer Anlassfall kann eine zukünftige Merger-and-Acquisition-Option ein Grund für eine Prüfung in Form einer IT Due Diligence sein. Auch eine vom Unternehmen selbst initiierte Prüfung kann ein durch externe Spezialisten durchgeführtes IT Audit oder Sicherheitsaudit zur Überprüfung und Monitoring der Performance der eingeführten Sicherheitsmaßnahmen begründen.

IT Due Diligence

Eine IT Due Diligence hat die Aufgabe, die IT als Untersuchungsobjekt sorgfältig zu analysieren, zu prüfen und zu bewerten. Dies geschieht in der Absicht, den Wert der IT und deren Wertbeitrag zum Unternehmensgeschäft einzuschätzen. Das Ziel ist es, einen quantifizierbaren Wert zu beziffern, um den Kaufpreis des Unternehmens zu verhandeln. In den offiziellen Due-Diligence-Prüfungen hat die explizite Prüfung von IT und Informationssystemen einen untergeordneten Stellenwert. Dies liegt u.a. auch daran, dass für die Verhandlungen harte Zahlen und Fakten benötigt werden und weiche Faktoren, zu denen auch der Wertbeitrag und Einfluss der IT gehört, vernachlässigt werden. Folgende Schwerpunkte können ein Teil einer IT Due Diligence sein [PUTZ11, S39ff]:

1. Positionierung und Geschäftsintegration der IT

Eine starke IT (hoher Integrationsgrad in die Geschäftsprozesse und Einbindung in Entscheidungsprozesse) kann eine Integration positiv beeinflussen und die Zusammenführung von mehreren Unternehmen beeinflussen.

2. IT-Governance

Es ist für den*die Käufer*in wichtig, zu wissen, wie die Entscheidungsprozesse in der IT sind, wenn diese beispielsweise geändert werden sollen.

3. IT-Strategie

Ist eine klare IT-Strategie vorhanden, ist diese hinsichtlich der Eignung zur zukünftigen Geschäftsstrategie bewertbar. Ist keine IT-Strategie vorhanden, muss erhoben werden, nach welchen Grundsätzen die IT bisher gesteuert wurde. Dies wirft dann auch ein Licht auf das bisherige Managementpersonal in der IT.

4. IT-Organisation und Geschäftsmodell

Im Fokus ist die Organisation der Leistungserbringung für die Fachabteilungen/Geschäftseinheiten und deren Steuerung und Bewertung durch z.B. Service Levels.

5. Management- und Personalressourcen

Die Beurteilungen der fachlichen und persönlichen Kompetenzen des IT-Managements und Schlüsselpersonals können mehr oder weniger Auswirkungen auf die Veränderungen im Personalstand haben.

6. Prozessleistung

Der Reifegrad der Prozesse im Unternehmen bestimmt die Anforderungen an die IT. Ist der Reifegrad hoch, ist auch die IT gefordert, die Prozesse optimal zu unterstützen. Dann ist die IT beispielsweise auch gerüstet, Prozesse hohen Reifegrades des Zielunternehmens zu unterstützen.

7. Rechtliche Rahmenbedingungen und Risikomanagement

Dabei werden die IT-Dienstleistungsverträge, Lizenz- und Softwarerechte, Nutzungsrechte von Infrastruktur sowie Mitarbeiterverträge geprüft und mit den Verträgen und der IT-Strategie des Zielunternehmens abgeglichen. Dabei kann es z.B. auch zu Optimierungspotenzial kommen. Auch Risiken (technisch, organisatorisch, rechtlich und personell) werden bewertet.

8. IT-Standards und Infrastruktur

Die bestehende Architektur, Infrastruktur und eingesetzten Technologien werden den Zukunftsplänen gegenübergestellt. So kann beispielsweise auch die Notwendigkeit der Ablöse des bestehenden ERP-Systems und damit hoher Investitionsbedarf erkannt werden und die Kaufentscheidung beeinflussen. Auch die bestehende Sicherheitsarchitektur steht im Fokus, da beispielsweise sicherheitsrelevante Lücken, wie ein Verstoß gegen die Datenschutzbestimmungen eine Wertminderung darstellt und ebenfalls Mitteleinsatz erfordert.

9. IT-Zufriedenheit der Geschäftseinheiten

Die Zufriedenheit der internen Kund*innen der IT (Benutzer*innen) kann zuverlässige Aussagen über die Performance des Bereichs liefern.

IT Audit im Rahmen der Wirtschaftsprüfung

Die Anlassfälle sind sehr verschieden und können dazu führen, Teilbereiche von Prozessen nach Aufstellung von entsprechenden Prüfungszielen zu auditieren. Anhand eines Prüfprogrammes kann man dann strukturiert Einzelthemen mit verschiedenen Prüfungsmethoden betrachten. Diese können sein: Befragung, Beobachtung, nochmalige Durchführung, Durchsicht und Beurteilung anhand von Stichproben, kontrollorientierte Prüfung, Walkthrough, technische Prüfscripts bei Einsatz von IT-Systemen oder ähnliches. Für die Entwicklung eines Prüfprogrammes ist naturgemäß die Definition eines unabhängigen Sollzustandes erforderlich, wofür ein Framework herangezogen werden kann.

Die Prüfungserkenntnisse können nach Abschluss der Prüfung strukturiert erfasst und zum Beispiel nach resultierendem Risiko kategorisiert und dargestellt werden. Allerdings ist ein Audit keine klassische Messmethode, da die gewonnenen Erkenntnisse nicht wirklich zueinander in Beziehung gesetzt und quantifiziert werden. Dennoch ist es eine valide und bei Setzen von substanziellen Prüfungshandlungen sogar eine sehr aussagekräftige Methode für eine Prozess-Bestandsaufnahme respektive für eine Verifikation von gesetzten Prozessmanagement-Maßnahmen – allerdings eine im Hinblick auf den Aspekt Messung – unstrukturierte Art, da eine objektivierte Skala für die Einteilung fehlt. Weiters ist die Risikoeinschätzung sehr personen- und erfahrungsabhängig.

Vorgaben, was man zum Beispiel bei einer IT-Prüfung auditieren muss, finden sich in länderspezifischen Regelungen wie in Österreich z.B. die Fachgutachten KFS/DV1 „Die Ordnungsmäßigkeit von EDV-Buchführungen“ aus 1998 und KFS/DV2 „Abschlussprüfung bei Einsatz von Informationstechnik“ aus 2004 des Fachsenates für Datenverarbeitung des Instituts für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänder*innen [KW11]. Daraus haben sich natürlich bei den Wirtschaftsprüfungsgesellschaften unternehmenseigene Vorgaben entwickelt. In Deutschland existieren ähnliche Vorgaben als Regelungen des Instituts der Wirtschaftsprüfer*innen (IDW) Stellungnahmen zur Rechnungslegung (RS), Fachgutachten zur Prüfung der IT (FAIT) 1, 2 und 3 [IDW09].

Assurance Audits bei IT-Dienstleistern

Bei der Wirtschaftsprüfung geht es darum, die Ordnungsmäßigkeit der Finanzberichtserstattung zu überprüfen und extern zu bestätigen. Im Falle einer IT-gestützten Buchhaltung ist es dabei erforderlich, auch deren Ordnungsmäßigkeit zu überprüfen. Wenn das geprüfte Unternehmen nun beispielsweise den IT-Betrieb der Buchhaltungssysteme an einen IT-Dienstleister auslagert, dann ist es auch erforderlich, die Ordnungsmäßigkeit dieses IT-Betriebs zu überprüfen. IT-Dienstleister, die Buchhaltungssysteme für mehrere Kund*innen betreiben, könnten auf diese Art von unterschiedlichen Wirtschaftsprüfer*innen ihrer Kund*innen zu unterschiedlichen Zeitpunkten überprüft werden. Um den dadurch entstehenden hohen Aufwänden vorzubeugen, gibt es für Dienstleister ganz allgemein (also nicht nur für IT-Dienstleister) die Möglichkeit, durch eine*n Wirtschaftsprüfer*in ein Assurance Audit durchführen zu lassen und sich von diesem die Ordnungsmäßigkeit der erbrachten Dienstleistungen (z.B. IT-Betrieb, aber auch Software-Entwicklung, -Test etc.) für alle Kund*innen extern bestätigen zu lassen. Die Prüfungen durch die Wirtschaftsprüfer*innen der einzelnen Kund*innen können dann entfallen, wenn (1) die Buchhaltungssysteme des*der jeweiligen Kund*in im Umfang des Assurance Audits enthalten waren und (2) das Ergebnis des Assurance Audits war, dass die Ordnungsmäßigkeit gegeben ist. Die für ein derartige Assurance Audits maßgeblichen Standards sind:

• SSAE 16 (USA) [SSA11]
• ISAE 3402 (international) [ISA11]
• IWP/PE 14 (Österreich) [PE12]

Die drei genannten Standards sind – abgesehen von den unterschiedlichen Geltungsbereichen – im Wesentlichen inhaltsgleich; sie unterscheiden sich vielmehr rein auf deren regionales Anwendungsgebiet.

Sonderprüfungen

Diese dienen dazu, die Ordnungsmäßigkeit einzelner Prozesse, Systeme oder Produkte zu überprüfen und extern zu bestätigen. Auditkriterien können dabei Gesetze, Regulative, Normen, Branchenstandards oder Organisations-interne Standards sein.

Prüfungsmethoden

Bei jedem Audit müssen zunächst der Auditgegenstand (das zu überprüfende Objekt wie z.B. eine Organisationseinheit, ein System oder ein Prozess) und die Auditkriterien (z.B. Gesetze, Regulative, Normen, Branchenstandards oder Organisations-interne Standards) festgelegt werden (ITAF 1201) [ITA14].

Risikoansatz

Nach Festlegung des Auditgegenstands und der Auditkriterien muss der*die Auditor*in beurteilen, in welchen Teilbereichen des Auditgegenstands das höchste Risiko besteht, dass die Auditkriterien nicht erfüllt werden, und das Ergebnis dieser Risikoeinschätzung bei seiner*ihrer Auditplanung dahingehend berücksichtigen, dass er *sie den Schwerpunkt seiner*ihrer Prüfungshandlungen in jenen Bereichen setzt, wo er*sie das höchste Risiko ermittelt hat (ITAF 1202) [ITA14].

Prüfungshandlungen

Dem*der Auditor*in stehen unterschiedliche Arten von Prüfungshandlungen zur Auswahl (ITAF 1203) [ITA14]:

• Befragung: der*die Auditor*in befragt Mitarbeiter*innen über die von ihnen durchgeführten Aktivitäten, die von ihnen betreuten Systeme etc.; in der Praxis wird bei jedem Audit eine Befragung durchgeführt, da der*die Auditor*in zumeist auf die Auskunft sachkundiger Mitarbeiter*innen angewiesen ist, um den Auditgegenstand korrekt beurteilen zu können
• Beobachtung: der*die Auditor*in beobachtet Mitarbeiter*innen bei den von ihnen durchgeführten Aktivitäten, ohne ihnen dabei Fragen zu stellen; da die reine Beobachtung für die betroffenen Mitarbeiter*innen in der Regel eine unangenehme Situation darstellt, wird die reine Beobachtung in der Praxis nur selten durchgeführt
• Wiederdurchführung: der*die Auditor*in wiederholt die Aktivitäten eines*einer Mitarbeiter*in oder eines Systems unter strenger Einhaltung aller Vorschriften und vergleicht, ob er*sie zu demselben Arbeitsergebnis gekommen ist wie der*die Mitarbeiter*in oder das System; da die Wiederdurchführung in der Regel eine sehr aufwändige Prüfungshandlung darstellt, wird sie insbesondere in Bereichen mit besonders hohem Risiko angewendet
• Einsichtnahme: der*die Auditor*in nimmt Einsicht in Aufzeichnungen über Aktivitäten von Mitarbeiter*innen oder in Systeme vor; in der Praxis wird bei jedem Audit parallel zur Befragung auch eine Einsichtnahme durchgeführt

Generell ist zu sagen, dass zu jeder geprüften Stichprobe zwei unterschiedliche Prüfungshandlungen (z.B. Befragung und Einsichtnahme, aber nicht Befragung und Befragung) durchgeführt werden sollten.

Stichproben

Bei der Entnahme von Stichproben muss der*die Auditor*in zunächst die Grundgesamtheit korrekt identifizieren und danach eine ausreichend große und gleichmäßig verteilte Stichprobe entnehmen; bei der gleichmäßigen Verteilung sollte der*die Auditor*in die Kriterien Zeitpunkt, betroffene Personen und/oder Organisationseinheiten, betroffene Systeme, Arten von Geschäftsfällen etc. berücksichtigen. Manche Prüfungsstandards machen ganz konkrete Vorschriften bezüglich der Entnahme von Stichproben (ITAF 1203) [ITA14].

IT Security Audit

IT Security Audits können grundsätzlich manuell oder unter Einsatz von Software Tools durchgeführt werden.

Tools

Software Tools können einerseits auf den auditierten Systemen selbst eingesetzt werden; in diesem Fall ist darauf zu achten, dass die auditierten Systeme durch die Audit Tools nicht verändert und auch in ihrer normalen betrieblichen Funktion nicht beeinträchtigt werden.

Alternativ können Daten aus den auditierten Systemen exportiert und in anderen Systemen mit Software Tools analysiert werden.

Weiters können Software Tools eingesetzt werden, um Verbindungen zu den auditierten Systemen aufzubauen und/oder den Aufbau von Verbindungen zu den untersuchten Systemen lediglich versuchen – beides mit dem Ziel, das Verhalten der auditierten Systeme zu beobachten.

Anbieter*innen

Software Tools können einerseits von den Hersteller*innen von Betriebssystemen, Datenbanken und Anwendungen selbst zur Verfügung gestellt werden, teilweise als Open Source verfügbar sein (z.B. Aircrack-ng, John the Ripper, Nessus, Nmap, Ophcrack, Wireshark) oder von auf die Herstellung von auf Audit Software spezialisierten Unternehmen bezogen werden (z.B. ACL, IDEA).

Wiederholungsaufgaben

1. In welcher Situation ist für Sie als Unternehmen eine SAS 70-/ISA 402-/ ISAE3402-Prüfung interessant?

Lösungen

In welcher Situation ist für Sie als Unternehmen eine SAS 70-/ISA 402-/ ISAE3402-Prüfung interessant?

Wenn Sie ein (IT-) Dienstleister sind, dessenKund*innen Teile von Prozessen und Kontrollen an Sie ausgelagert haben und diese Kund*in die Effektivität des internen Kontrollsystems formal und regelmäßig nachweisen muss (z.B. aufgrund SOX oder „Euro-SOX“) und das auch die an Sie ausgelagerten Themen betrifft, ist für Sie so eine Prüfung interessant. Auch ist eine SAS 70 Prüfung sinnvoll, wenn Sie einer Institution oder Aufsichtsbehörde das Funktionieren des IKS bescheinigen müssen. Einerseits müssen Sie nicht jedem*jeder Kund*in dies einzeln nachweisen und haben nur einmal innerhalb einer festgelegten Zeitperiode Prüfer*innen zu betreuen (Aufwand!). Dabei ist der Inhalt eines SAS 70-Berichtes nicht auf die IT beschränkt.