IT-Governance - Audit - Versionsgeschichte

SCHRANZ Elisa: /* Wiederholungsaufgaben */

2023-07-26T10:52:21Z

Wiederholungsaufgaben

← Nächstältere Version		Version vom 26. Juli 2023, 10:52 Uhr
Zeile 158:		Zeile 158:
	''In welcher Situation ist für Sie als Unternehmen eine SAS 70-/ISA 402-/ ISAE3402-Prüfung interessant?''		''In welcher Situation ist für Sie als Unternehmen eine SAS 70-/ISA 402-/ ISAE3402-Prüfung interessant?''

	Wenn Sie eine (IT-) Dienstleisterin sind, ~~dessenderen Kund~~innen Teile von Prozessen und Kontrollen an Sie ausgelagert haben und diese Kundin die Effektivität des internen Kontrollsystems formal und regelmäßig nachweisen muss (z.B. aufgrund SOX oder „Euro-SOX“) und das auch die an Sie ausgelagerten Themen betrifft, ist für Sie so eine Prüfung interessant. Auch ist eine SAS 70 Prüfung sinnvoll, wenn Sie einer Institution oder Aufsichtsbehörde das Funktionieren des IKS bescheinigen müssen. Einerseits müssen Sie nicht jedemjeder Kundin dies einzeln nachweisen und haben nur einmal innerhalb einer festgelegten Zeitperiode Prüferinnen zu betreuen (Aufwand!). Dabei ist der Inhalt eines SAS 70-Berichtes nicht auf die IT beschränkt.		Wenn Sie ein (IT-) Dienstleister sind, dessenKundinnen Teile von Prozessen und Kontrollen an Sie ausgelagert haben und diese Kundin die Effektivität des internen Kontrollsystems formal und regelmäßig nachweisen muss (z.B. aufgrund SOX oder „Euro-SOX“) und das auch die an Sie ausgelagerten Themen betrifft, ist für Sie so eine Prüfung interessant. Auch ist eine SAS 70 Prüfung sinnvoll, wenn Sie einer Institution oder Aufsichtsbehörde das Funktionieren des IKS bescheinigen müssen. Einerseits müssen Sie nicht jedemjeder Kundin dies einzeln nachweisen und haben nur einmal innerhalb einer festgelegten Zeitperiode Prüfer*innen zu betreuen (Aufwand!). Dabei ist der Inhalt eines SAS 70-Berichtes nicht auf die IT beschränkt.

SCHRANZ Elisa: /* Wiederholungsaufgaben */

2023-07-26T09:51:57Z

Wiederholungsaufgaben

← Nächstältere Version		Version vom 26. Juli 2023, 09:51 Uhr
Zeile 158:		Zeile 158:
	''In welcher Situation ist für Sie als Unternehmen eine SAS 70-/ISA 402-/ ISAE3402-Prüfung interessant?''		''In welcher Situation ist für Sie als Unternehmen eine SAS 70-/ISA 402-/ ISAE3402-Prüfung interessant?''

	Wenn Sie ein (IT-) Dienstleister sind, dessen ~~Kunden~~ Teile von Prozessen und Kontrollen an Sie ausgelagert haben und diese ~~Kunden~~ die Effektivität des internen Kontrollsystems formal und regelmäßig nachweisen muss (z.B. aufgrund SOX oder „Euro-SOX“) und das auch die an Sie ausgelagerten Themen betrifft, ist für Sie so eine Prüfung interessant. Auch ist eine SAS 70 Prüfung sinnvoll, wenn Sie einer Institution oder Aufsichtsbehörde das Funktionieren des IKS bescheinigen müssen. Einerseits müssen Sie nicht jedem ~~Kunden~~ dies einzeln nachweisen und haben nur einmal innerhalb einer festgelegten Zeitperiode Prüfer zu betreuen (Aufwand!). Dabei ist der Inhalt eines SAS 70-Berichtes nicht auf die IT beschränkt.		Wenn Sie eine (IT-) Dienstleisterin sind, dessenderen Kundinnen Teile von Prozessen und Kontrollen an Sie ausgelagert haben und diese Kundin die Effektivität des internen Kontrollsystems formal und regelmäßig nachweisen muss (z.B. aufgrund SOX oder „Euro-SOX“) und das auch die an Sie ausgelagerten Themen betrifft, ist für Sie so eine Prüfung interessant. Auch ist eine SAS 70 Prüfung sinnvoll, wenn Sie einer Institution oder Aufsichtsbehörde das Funktionieren des IKS bescheinigen müssen. Einerseits müssen Sie nicht jedemjeder Kundin dies einzeln nachweisen und haben nur einmal innerhalb einer festgelegten Zeitperiode Prüferinnen zu betreuen (Aufwand!). Dabei ist der Inhalt eines SAS 70-Berichtes nicht auf die IT beschränkt.

SCHRANZ Elisa: /* Anbieter */

2023-07-26T09:50:13Z

Anbieter

← Nächstältere Version		Version vom 26. Juli 2023, 09:50 Uhr
Zeile 142:		Zeile 142:

	<span id="anbieter"></span>		<span id="anbieter"></span>
	=== Anbieter ===		=== Anbieter*innen ===

	Software Tools können einerseits von den Hersteller*innen von Betriebssystemen, Datenbanken und Anwendungen selbst zur Verfügung gestellt werden, teilweise als Open Source verfügbar sein (z.B. Aircrack-ng, John the Ripper, Nessus, Nmap, Ophcrack, Wireshark) oder von auf die Herstellung von auf Audit Software spezialisierten Unternehmen bezogen werden (z.B. ACL, IDEA).		Software Tools können einerseits von den Hersteller*innen von Betriebssystemen, Datenbanken und Anwendungen selbst zur Verfügung gestellt werden, teilweise als Open Source verfügbar sein (z.B. Aircrack-ng, John the Ripper, Nessus, Nmap, Ophcrack, Wireshark) oder von auf die Herstellung von auf Audit Software spezialisierten Unternehmen bezogen werden (z.B. ACL, IDEA).

SCHRANZ Elisa: /* IT Security Audit */

2023-07-26T09:49:56Z

IT Security Audit

← Nächstältere Version		Version vom 26. Juli 2023, 09:49 Uhr
Zeile 144:		Zeile 144:
	=== Anbieter ===		=== Anbieter ===

	Software Tools können einerseits von den ~~Herstellern~~ von Betriebssystemen, Datenbanken und Anwendungen selbst zur Verfügung gestellt werden, teilweise als Open Source verfügbar sein (z.B. Aircrack-ng, John the Ripper, Nessus, Nmap, Ophcrack, Wireshark) oder von auf die Herstellung von Audit Software spezialisierten Unternehmen bezogen werden (z.B. ACL, IDEA).		Software Tools können einerseits von den Hersteller*innen von Betriebssystemen, Datenbanken und Anwendungen selbst zur Verfügung gestellt werden, teilweise als Open Source verfügbar sein (z.B. Aircrack-ng, John the Ripper, Nessus, Nmap, Ophcrack, Wireshark) oder von auf die Herstellung von auf Audit Software spezialisierten Unternehmen bezogen werden (z.B. ACL, IDEA).

	<span id="wiederholungsaufgaben-6"></span>		<span id="wiederholungsaufgaben-6"></span>

	== Wiederholungsaufgaben ==		== Wiederholungsaufgaben ==

SCHRANZ Elisa: /* Stichproben */

2023-07-26T09:47:00Z

Stichproben

← Nächstältere Version		Version vom 26. Juli 2023, 09:47 Uhr
Zeile 124:		Zeile 124:
	=== Stichproben ===		=== Stichproben ===

	Bei der Entnahme von Stichproben muss derdie ~~Audito~~in zunächst die Grundgesamtheit korrekt identifizieren und danach eine ausreichend große und gleichmäßig verteilte Stichprobe entnehmen; bei der gleichmäßigen Verteilung sollte derdie Auditorin die Kriterien Zeitpunkt, betroffene Personen und/oder Organisationseinheiten, betroffene Systeme, Arten von Geschäftsfällen etc. berücksichtigen. Manche Prüfungsstandards machen ganz konkrete Vorschriften bezüglich der Entnahme von Stichproben (ITAF 1203) [ITA14].		Bei der Entnahme von Stichproben muss derdie Auditorin zunächst die Grundgesamtheit korrekt identifizieren und danach eine ausreichend große und gleichmäßig verteilte Stichprobe entnehmen; bei der gleichmäßigen Verteilung sollte derdie Auditorin die Kriterien Zeitpunkt, betroffene Personen und/oder Organisationseinheiten, betroffene Systeme, Arten von Geschäftsfällen etc. berücksichtigen. Manche Prüfungsstandards machen ganz konkrete Vorschriften bezüglich der Entnahme von Stichproben (ITAF 1203) [ITA14].

	<span id="it-security-audit"></span>		<span id="it-security-audit"></span>

SCHRANZ Elisa: /* Prüfungsmethoden */

2023-07-26T09:46:47Z

Prüfungsmethoden

← Nächstältere Version		Version vom 26. Juli 2023, 09:46 Uhr
Zeile 108:		Zeile 108:
	=== Risikoansatz ===		=== Risikoansatz ===

	Nach Festlegung des Auditgegenstands und der Auditkriterien muss der Auditor beurteilen, in welchen Teilbereichen des Auditgegenstands das höchste Risiko besteht, dass die Auditkriterien nicht erfüllt werden, und das Ergebnis dieser Risikoeinschätzung bei seiner Auditplanung dahingehend berücksichtigen, dass er den Schwerpunkt seiner Prüfungshandlungen in jenen Bereichen setzt, wo er das höchste Risiko ermittelt hat (ITAF 1202) [ITA14].		Nach Festlegung des Auditgegenstands und der Auditkriterien muss derdie Auditorin beurteilen, in welchen Teilbereichen des Auditgegenstands das höchste Risiko besteht, dass die Auditkriterien nicht erfüllt werden, und das Ergebnis dieser Risikoeinschätzung bei seinerihrer Auditplanung dahingehend berücksichtigen, dass er sie den Schwerpunkt seinerihrer Prüfungshandlungen in jenen Bereichen setzt, wo ersie das höchste Risiko ermittelt hat (ITAF 1202) [ITA14].

	<span id="prüfungshandlungen"></span>		<span id="prüfungshandlungen"></span>
	=== Prüfungshandlungen ===		=== Prüfungshandlungen ===

	Dem Auditor stehen unterschiedliche Arten von Prüfungshandlungen zur Auswahl (ITAF 1203) [ITA14]:		Demder Auditorin stehen unterschiedliche Arten von Prüfungshandlungen zur Auswahl (ITAF 1203) [ITA14]:

	* '''Befragung''': der Auditor befragt Mitarbeiter über die von ihnen durchgeführten Aktivitäten, die von ihnen betreuten Systeme etc.; in der Praxis wird bei jedem Audit eine Befragung durchgeführt, da der Auditor zumeist auf die Auskunft sachkundiger Mitarbeiter angewiesen ist, um den Auditgegenstand korrekt beurteilen zu können		* '''Befragung''': derdie Auditorin befragt Mitarbeiterinnen über die von ihnen durchgeführten Aktivitäten, die von ihnen betreuten Systeme etc.; in der Praxis wird bei jedem Audit eine Befragung durchgeführt, da derdie Auditorin zumeist auf die Auskunft sachkundiger Mitarbeiterinnen angewiesen ist, um den Auditgegenstand korrekt beurteilen zu können
	* '''Beobachtung''': der Auditor beobachtet Mitarbeiter bei den von ihnen durchgeführten Aktivitäten, ohne ihnen dabei Fragen zu stellen; da die reine Beobachtung für die betroffenen Mitarbeiter in der Regel eine unangenehme Situation darstellt, wird die reine Beobachtung in der Praxis nur selten durchgeführt		* '''Beobachtung''': derdie Auditorin beobachtet Mitarbeiterinnen bei den von ihnen durchgeführten Aktivitäten, ohne ihnen dabei Fragen zu stellen; da die reine Beobachtung für die betroffenen Mitarbeiterinnen in der Regel eine unangenehme Situation darstellt, wird die reine Beobachtung in der Praxis nur selten durchgeführt
	* '''Wiederdurchführung''': der Auditor wiederholt die Aktivitäten eines ~~Mitarbeiters~~ oder eines Systems unter strenger Einhaltung aller Vorschriften und vergleicht, ob er zu demselben Arbeitsergebnis gekommen ist wie der Mitarbeiter oder das System; da die Wiederdurchführung in der Regel eine sehr aufwändige Prüfungshandlung darstellt, wird sie insbesondere in Bereichen mit besonders hohem Risiko angewendet		* '''Wiederdurchführung''': derdie Auditorin wiederholt die Aktivitäten eineseiner Mitarbeiterin oder eines Systems unter strenger Einhaltung aller Vorschriften und vergleicht, ob ersie zu demselben Arbeitsergebnis gekommen ist wie derdie Mitarbeiter*in oder das System; da die Wiederdurchführung in der Regel eine sehr aufwändige Prüfungshandlung darstellt, wird sie insbesondere in Bereichen mit besonders hohem Risiko angewendet
	* '''Einsichtnahme''': der Auditor nimmt Einsicht in Aufzeichnungen über Aktivitäten von ~~Mitarbeitern~~ oder in Systeme vor; in der Praxis wird bei jedem Audit parallel zur Befragung auch eine Einsichtnahme durchgeführt		* '''Einsichtnahme''': derdie Auditorin nimmt Einsicht in Aufzeichnungen über Aktivitäten von Mitarbeiter*innen oder in Systeme vor; in der Praxis wird bei jedem Audit parallel zur Befragung auch eine Einsichtnahme durchgeführt
	Generell ist zu sagen, dass zu jeder geprüften Stichprobe zwei unterschiedliche Prüfungshandlungen (z.B. Befragung und Einsichtnahme, aber nicht Befragung und Befragung) durchgeführt werden sollten.		Generell ist zu sagen, dass zu jeder geprüften Stichprobe zwei unterschiedliche Prüfungshandlungen (z.B. Befragung und Einsichtnahme, aber nicht Befragung und Befragung) durchgeführt werden sollten.

Zeile 124:		Zeile 124:
	=== Stichproben ===		=== Stichproben ===

	Bei der Entnahme von Stichproben muss der ~~Auditor~~ zunächst die Grundgesamtheit korrekt identifizieren und danach eine ausreichend große und gleichmäßig verteilte Stichprobe entnehmen; bei der gleichmäßigen Verteilung sollte der Auditor die Kriterien Zeitpunkt, betroffene Personen und/oder Organisationseinheiten, betroffene Systeme, Arten von Geschäftsfällen etc. berücksichtigen. Manche Prüfungsstandards machen ganz konkrete Vorschriften bezüglich der Entnahme von Stichproben (ITAF 1203) [ITA14].		Bei der Entnahme von Stichproben muss derdie Auditoin zunächst die Grundgesamtheit korrekt identifizieren und danach eine ausreichend große und gleichmäßig verteilte Stichprobe entnehmen; bei der gleichmäßigen Verteilung sollte derdie Auditorin die Kriterien Zeitpunkt, betroffene Personen und/oder Organisationseinheiten, betroffene Systeme, Arten von Geschäftsfällen etc. berücksichtigen. Manche Prüfungsstandards machen ganz konkrete Vorschriften bezüglich der Entnahme von Stichproben (ITAF 1203) [ITA14].

	<span id="it-security-audit"></span>		<span id="it-security-audit"></span>

	== IT Security Audit ==		== IT Security Audit ==

SCHRANZ Elisa: /* Arten von IT- und Sicherheits-Audits */

2023-07-26T09:42:21Z

Arten von IT- und Sicherheits-Audits

← Nächstältere Version		Version vom 26. Juli 2023, 09:42 Uhr
Zeile 25:		Zeile 25:
	== Arten von IT- und Sicherheits-Audits ==		== Arten von IT- und Sicherheits-Audits ==

	Es gibt verschiedene Anlassfälle, warum und ob es zu einer Prüfung des IT-Bereiches bzw. des implementierten ISMS kommen kann. Beispielsweise ist die Interne Revision interessiert daran, das Interne Kontrollsystem in der IT auf ihre Funktionsfähigkeit hin zu prüfen, um dem Vorstand zu berichten. Andererseits ist im Rahmen der Wirtschaftsprüfung die Prüfung der IT-Prozesse und Systeme, die vom Jahresabschluss direkt oder indirekt betroffen sind, ein Bestandteil. Ein weiterer Anlassfall kann eine zukünftige Merger-and-Acquisition-Option ein Grund für eine Prüfung in Form einer IT Due Diligence sein. Auch eine vom Unternehmen selbst initiierte Prüfung kann ein durch externe Spezialisten durchgeführtes IT-Audit oder Sicherheitsaudit zur Überprüfung und Monitoring der Performance der eingeführten Sicherheitsmaßnahmen begründen.		Es gibt verschiedene Anlassfälle, warum und ob es zu einer Prüfung des IT-Bereiches bzw. des implementierten ISMS kommen kann. Beispielsweise ist die Interne Revision interessiert daran, das Interne Kontrollsystem in der IT auf ihre Funktionsfähigkeit hin zu prüfen, um dem Vorstand zu berichten. Andererseits ist im Rahmen der Wirtschaftsprüfung die Prüfung der IT-Prozesse und -Systeme, die vom Jahresabschluss direkt oder indirekt betroffen sind, ein Bestandteil. Ein weiterer Anlassfall kann eine zukünftige Merger-and-Acquisition-Option ein Grund für eine Prüfung in Form einer IT Due Diligence sein. Auch eine vom Unternehmen selbst initiierte Prüfung kann ein durch externe Spezialisten durchgeführtes IT Audit oder Sicherheitsaudit zur Überprüfung und Monitoring der Performance der eingeführten Sicherheitsmaßnahmen begründen.

	<span id="it-due-diligence"></span>		<span id="it-due-diligence"></span>
Zeile 38:		Zeile 38:
	<li><p>IT-Governance</p></li>		<li><p>IT-Governance</p></li>
	</ol>		</ol>
	Es ist für den Käufer wichtig zu wissen, wie die Entscheidungsprozesse in der IT sind, wenn diese beispielsweise geändert werden sollen.		Es ist für dendie Käuferin wichtig, zu wissen, wie die Entscheidungsprozesse in der IT sind, wenn diese beispielsweise geändert werden sollen.

	<ol style="list-style-type: decimal;" start="3">		<ol style="list-style-type: decimal;" start="3">
	<li><p>IT Strategie</p></li>		<li><p>IT-Strategie</p></li>
	</ol>		</ol>
	Ist eine klare IT Strategie vorhanden, ist diese hinsichtlich der Eignung zur zukünftigen Geschäftsstrategie bewertbar. Ist keine IT-Strategie vorhanden, muss erhoben werden, nach welchen Grundsätzen die IT bisher gesteuert wurde. Dies wirft dann auch ein Licht auf das bisherige Managementpersonal in der IT.		Ist eine klare IT-Strategie vorhanden, ist diese hinsichtlich der Eignung zur zukünftigen Geschäftsstrategie bewertbar. Ist keine IT-Strategie vorhanden, muss erhoben werden, nach welchen Grundsätzen die IT bisher gesteuert wurde. Dies wirft dann auch ein Licht auf das bisherige Managementpersonal in der IT.

	<ol style="list-style-type: decimal;" start="4">		<ol style="list-style-type: decimal;" start="4">
	<li><p>IT Organisation und Geschäftsmodell</p></li>		<li><p>IT-Organisation und Geschäftsmodell</p></li>
	</ol>		</ol>
	Im Fokus ist die Organisation der Leistungserbringung für die Fachabteilungen/Geschäftseinheiten und deren Steuerung und Bewertung durch z.B. Service Levels.		Im Fokus ist die Organisation der Leistungserbringung für die Fachabteilungen/Geschäftseinheiten und deren Steuerung und Bewertung durch z.B. Service Levels.
Zeile 53:		Zeile 53:
	<li><p>Management- und Personalressourcen</p></li>		<li><p>Management- und Personalressourcen</p></li>
	</ol>		</ol>
	Die Beurteilungen der fachlichen und persönlichen Kompetenzen des IT Managements und Schlüsselpersonals können mehr oder weniger Auswirkungen auf die Veränderungen im Personalstand haben.		Die Beurteilungen der fachlichen und persönlichen Kompetenzen des IT-Managements und Schlüsselpersonals können mehr oder weniger Auswirkungen auf die Veränderungen im Personalstand haben.

	<ol style="list-style-type: decimal;" start="6">		<ol style="list-style-type: decimal;" start="6">
Zeile 63:		Zeile 63:
	<li><p>Rechtliche Rahmenbedingungen und Risikomanagement</p></li>		<li><p>Rechtliche Rahmenbedingungen und Risikomanagement</p></li>
	</ol>		</ol>
	Dabei werden die IT Dienstleistungsverträge, Lizenz- und Softwarerechte, Nutzungsrechte von Infrastruktur sowie Mitarbeiterverträge geprüft und mit den Verträgen und der IT Strategie des Zielunternehmens abgeglichen. Dabei kann es z.B. auch zu Optimierungspotenzial kommen. Auch Risiken (technisch, organisatorisch, rechtlich und personell) werden bewertet.		Dabei werden die IT-Dienstleistungsverträge, Lizenz- und Softwarerechte, Nutzungsrechte von Infrastruktur sowie Mitarbeiterverträge geprüft und mit den Verträgen und der IT-Strategie des Zielunternehmens abgeglichen. Dabei kann es z.B. auch zu Optimierungspotenzial kommen. Auch Risiken (technisch, organisatorisch, rechtlich und personell) werden bewertet.

	<ol style="list-style-type: decimal;" start="8">		<ol style="list-style-type: decimal;" start="8">
	<li><p>IT Standards und Infrastruktur</p></li>		<li><p>IT-Standards und Infrastruktur</p></li>
	</ol>		</ol>
	Die bestehende Architektur, Infrastruktur und eingesetzten Technologien werden den Zukunftsplänen gegenübergestellt. So kann beispielsweise auch die Notwendigkeit der Ablöse des bestehenden ERP-Systems und damit hoher Investitionsbedarf erkannt werden und die Kaufentscheidung beeinflussen. Auch die bestehende Sicherheitsarchitektur steht im Fokus, da beispielsweise sicherheitsrelevante Lücken, wie ein Verstoß gegen die Datenschutzbestimmungen eine Wertminderung darstellt und ebenfalls Mitteleinsatz erfordert.		Die bestehende Architektur, Infrastruktur und eingesetzten Technologien werden den Zukunftsplänen gegenübergestellt. So kann beispielsweise auch die Notwendigkeit der Ablöse des bestehenden ERP-Systems und damit hoher Investitionsbedarf erkannt werden und die Kaufentscheidung beeinflussen. Auch die bestehende Sicherheitsarchitektur steht im Fokus, da beispielsweise sicherheitsrelevante Lücken, wie ein Verstoß gegen die Datenschutzbestimmungen eine Wertminderung darstellt und ebenfalls Mitteleinsatz erfordert.

	<ol style="list-style-type: decimal;" start="9">		<ol style="list-style-type: decimal;" start="9">
	<li><p>IT Zufriedenheit der Geschäftseinheiten</p></li>		<li><p>IT-Zufriedenheit der Geschäftseinheiten</p></li>
	</ol>		</ol>
	Die Zufriedenheit der internen ~~Kunden~~ der IT (Benutzer) kann zuverlässige Aussagen über die Performance des Bereichs liefern.		Die Zufriedenheit der internen Kundinnen der IT (Benutzerinnen) kann zuverlässige Aussagen über die Performance des Bereichs liefern.

	<span id="it-audit-im-rahmen-der-wirtschaftsprüfung"></span>		<span id="it-audit-im-rahmen-der-wirtschaftsprüfung"></span>
	=== IT-Audit im Rahmen der Wirtschaftsprüfung ===		=== IT Audit im Rahmen der Wirtschaftsprüfung ===

	Die Anlassfälle sind sehr verschieden und können dazu führen, Teilbereiche von Prozessen nach Aufstellung von entsprechenden Prüfungszielen zu auditieren. Anhand eines Prüfprogrammes kann man dann strukturiert Einzelthemen mit verschiedenen Prüfungsmethoden betrachten. Diese können sein: Befragung, Beobachtung, nochmalige Durchführung, Durchsicht und Beurteilung anhand von Stichproben, kontrollorientierte Prüfung, Walkthrough, technische Prüfscripts bei Einsatz von IT-Systemen oder ähnliches. Für die Entwicklung eines Prüfprogrammes ist naturgemäß die Definition eines unabhängigen Sollzustandes erforderlich, wofür ein Framework herangezogen werden kann.		Die Anlassfälle sind sehr verschieden und können dazu führen, Teilbereiche von Prozessen nach Aufstellung von entsprechenden Prüfungszielen zu auditieren. Anhand eines Prüfprogrammes kann man dann strukturiert Einzelthemen mit verschiedenen Prüfungsmethoden betrachten. Diese können sein: Befragung, Beobachtung, nochmalige Durchführung, Durchsicht und Beurteilung anhand von Stichproben, kontrollorientierte Prüfung, Walkthrough, technische Prüfscripts bei Einsatz von IT-Systemen oder ähnliches. Für die Entwicklung eines Prüfprogrammes ist naturgemäß die Definition eines unabhängigen Sollzustandes erforderlich, wofür ein Framework herangezogen werden kann.
Zeile 82:		Zeile 82:
	Die Prüfungserkenntnisse können nach Abschluss der Prüfung strukturiert erfasst und zum Beispiel nach resultierendem Risiko kategorisiert und dargestellt werden. Allerdings ist ein Audit keine klassische Messmethode, da die gewonnenen Erkenntnisse nicht wirklich zueinander in Beziehung gesetzt und quantifiziert werden. Dennoch ist es eine valide und bei Setzen von substanziellen Prüfungshandlungen sogar eine sehr aussagekräftige Methode für eine Prozess-Bestandsaufnahme respektive für eine Verifikation von gesetzten Prozessmanagement-Maßnahmen – allerdings eine im Hinblick auf den Aspekt Messung – unstrukturierte Art, da eine objektivierte Skala für die Einteilung fehlt. Weiters ist die Risikoeinschätzung sehr personen- und erfahrungsabhängig.		Die Prüfungserkenntnisse können nach Abschluss der Prüfung strukturiert erfasst und zum Beispiel nach resultierendem Risiko kategorisiert und dargestellt werden. Allerdings ist ein Audit keine klassische Messmethode, da die gewonnenen Erkenntnisse nicht wirklich zueinander in Beziehung gesetzt und quantifiziert werden. Dennoch ist es eine valide und bei Setzen von substanziellen Prüfungshandlungen sogar eine sehr aussagekräftige Methode für eine Prozess-Bestandsaufnahme respektive für eine Verifikation von gesetzten Prozessmanagement-Maßnahmen – allerdings eine im Hinblick auf den Aspekt Messung – unstrukturierte Art, da eine objektivierte Skala für die Einteilung fehlt. Weiters ist die Risikoeinschätzung sehr personen- und erfahrungsabhängig.

	Vorgaben, was man zum Beispiel bei einer IT-Prüfung auditieren muss, finden sich in länderspezifischen Regelungen wie in Österreich z.B. die Fachgutachten KFS/DV1 „Die Ordnungsmäßigkeit von EDV-Buchführungen“ aus 1998 und KFS/DV2 „Abschlussprüfung bei Einsatz von Informationstechnik“ aus 2004 des Fachsenates für Datenverarbeitung des Instituts für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänder [KW11]. Daraus haben sich natürlich bei den Wirtschaftsprüfungsgesellschaften unternehmenseigene Vorgaben entwickelt. In Deutschland existieren ähnliche Vorgaben als Regelungen des Instituts der Wirtschaftsprüfer (IDW) Stellungnahmen zur Rechnungslegung (RS), Fachgutachten zur Prüfung der IT (FAIT) 1, 2 und 3 [IDW09].		Vorgaben, was man zum Beispiel bei einer IT-Prüfung auditieren muss, finden sich in länderspezifischen Regelungen wie in Österreich z.B. die Fachgutachten KFS/DV1 „Die Ordnungsmäßigkeit von EDV-Buchführungen“ aus 1998 und KFS/DV2 „Abschlussprüfung bei Einsatz von Informationstechnik“ aus 2004 des Fachsenates für Datenverarbeitung des Instituts für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänderinnen [KW11]. Daraus haben sich natürlich bei den Wirtschaftsprüfungsgesellschaften unternehmenseigene Vorgaben entwickelt. In Deutschland existieren ähnliche Vorgaben als Regelungen des Instituts der Wirtschaftsprüferinnen (IDW) Stellungnahmen zur Rechnungslegung (RS), Fachgutachten zur Prüfung der IT (FAIT) 1, 2 und 3 [IDW09].

	<span id="assurance-audits-bei-it-dienstleistern"></span>		<span id="assurance-audits-bei-it-dienstleistern"></span>
	=== Assurance Audits bei IT-Dienstleistern ===		=== Assurance Audits bei IT-Dienstleistern ===

	Bei der Wirtschaftsprüfung geht es darum, die Ordnungsmäßigkeit der Finanzberichtserstattung zu überprüfen und extern zu bestätigen. Im Falle einer IT-gestützten Buchhaltung ist es dabei erforderlich, auch deren Ordnungsmäßigkeit zu überprüfen. Wenn das geprüfte Unternehmen nun beispielsweise den IT-Betrieb der Buchhaltungssysteme an einen IT-Dienstleister auslagert, dann ist es auch erforderlich, die Ordnungsmäßigkeit dieses IT-Betriebs zu überprüfen. IT-Dienstleister, die Buchhaltungssysteme für mehrere ~~Kunden~~ betreiben, könnten auf diese Art von unterschiedlichen ~~Wirtschaftsprüfern~~ ihrer ~~Kunden~~ zu unterschiedlichen Zeitpunkten überprüft werden. Um den dadurch entstehenden hohen Aufwänden vorzubeugen, gibt es für Dienstleister ganz allgemein (also nicht nur für IT-Dienstleister) die Möglichkeit, durch '''~~einen~~''' Wirtschaftsprüfer '''ein''' Assurance Audit durchführen zu lassen und sich von diesem die Ordnungsmäßigkeit der erbrachten Dienstleistungen (z.B. IT-Betrieb, aber auch Software-Entwicklung, -Test etc.) für '''alle''' ~~Kunden~~ extern bestätigen zu lassen. Die Prüfungen durch die Wirtschaftsprüfer der einzelnen ~~Kunden~~ können dann entfallen, wenn (1) die Buchhaltungssysteme des jeweiligen ~~Kunden~~ im Umfang des Assurance Audits enthalten waren und (2) das Ergebnis des Assurance Audits war, dass die Ordnungsmäßigkeit gegeben ist. Die für ein derartige Assurance Audits maßgeblichen Standards sind:		Bei der Wirtschaftsprüfung geht es darum, die Ordnungsmäßigkeit der Finanzberichtserstattung zu überprüfen und extern zu bestätigen. Im Falle einer IT-gestützten Buchhaltung ist es dabei erforderlich, auch deren Ordnungsmäßigkeit zu überprüfen. Wenn das geprüfte Unternehmen nun beispielsweise den IT-Betrieb der Buchhaltungssysteme an einen IT-Dienstleister auslagert, dann ist es auch erforderlich, die Ordnungsmäßigkeit dieses IT-Betriebs zu überprüfen. IT-Dienstleister, die Buchhaltungssysteme für mehrere Kundinnen betreiben, könnten auf diese Art von unterschiedlichen Wirtschaftsprüferinnen ihrer Kundinnen zu unterschiedlichen Zeitpunkten überprüft werden. Um den dadurch entstehenden hohen Aufwänden vorzubeugen, gibt es für Dienstleister ganz allgemein (also nicht nur für IT-Dienstleister) die Möglichkeit, durch '''einen''' Wirtschaftsprüferin '''ein''' Assurance Audit durchführen zu lassen und sich von diesem die Ordnungsmäßigkeit der erbrachten Dienstleistungen (z.B. IT-Betrieb, aber auch Software-Entwicklung, -Test etc.) für '''alle''' Kundinnen extern bestätigen zu lassen. Die Prüfungen durch die Wirtschaftsprüferinnen der einzelnen Kundinnen können dann entfallen, wenn (1) die Buchhaltungssysteme desder jeweiligen Kundin im Umfang des Assurance Audits enthalten waren und (2) das Ergebnis des Assurance Audits war, dass die Ordnungsmäßigkeit gegeben ist. Die für ein derartige Assurance Audits maßgeblichen Standards sind:

	* SSAE 16 (USA) [SSA11]		* SSAE 16 (USA) [SSA11]
Zeile 100:		Zeile 100:

	<span id="prüfungsmethoden"></span>		<span id="prüfungsmethoden"></span>

	== Prüfungsmethoden ==		== Prüfungsmethoden ==

SCHRANZ Elisa: /* Internes Kontrollsystem */

2023-07-26T09:25:33Z

Internes Kontrollsystem

← Nächstältere Version		Version vom 26. Juli 2023, 09:25 Uhr
Zeile 17:		Zeile 17:
	== Internes Kontrollsystem ==		== Internes Kontrollsystem ==

	Ein internes Kontrollsystem ist ein System aus verschiedenen Maßnahmen, die sicherstellen, dass die Abläufe richtig und effizient entsprechend der Unternehmensstrategie funktionieren. Es ist zumeist eine Kombination aus einer schriftlich formulierten Vorgabe (Richtlinien, Arbeitsanweisungen, Handbücher etc.) und daraus abgeleiteten Kontrollen und Abläufe (z.B. Formulare, Prüfungsschritte, Berichterstattung etc.). Es gibt unter Umständen auch eine gesetzliche Verpflichtung von Unternehmen, ein funktionierendes Internes Kontrollsystem nachzuweisen. Dieser Nachweis wird z.B. im Rahmen der Jahresabschlussprüfung durch Wirtschaftsprüfer aufgrund internationaler Prüfungsstandards wie z.B. IDW PS 260, ISA 315 oder ISA 330 gefordert. Das ~~interne~~ Kontrollsystem beinhaltet dabei Regelungen zur Steuerung (internes Steuerungssystem), Regelung zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) und die Integration dieser Regelungen in die Prozesse des Unternehmens (organisatorische Sicherungsmaßnahmen, Kontrollen).		Ein internes Kontrollsystem ist ein System aus verschiedenen Maßnahmen, die sicherstellen, dass die Abläufe richtig und effizient entsprechend der Unternehmensstrategie funktionieren. Es ist zumeist eine Kombination aus einer schriftlich formulierten Vorgabe (Richtlinien, Arbeitsanweisungen, Handbücher etc.) und daraus abgeleiteten Kontrollen und Abläufe (z.B. Formulare, Prüfungsschritte, Berichterstattung etc.). Es gibt unter Umständen auch eine gesetzliche Verpflichtung von Unternehmen, ein funktionierendes Internes Kontrollsystem nachzuweisen. Dieser Nachweis wird z.B. im Rahmen der Jahresabschlussprüfung durch Wirtschaftsprüfer*innen aufgrund internationaler Prüfungsstandards, wie z.B. IDW PS 260, ISA 315 oder ISA 330, gefordert. Das Interne Kontrollsystem beinhaltet dabei Regelungen zur Steuerung (internes Steuerungssystem), Regelung zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) und die Integration dieser Regelungen in die Prozesse des Unternehmens (organisatorische Sicherungsmaßnahmen, Kontrollen).

	Die Interne Revision spielt dabei eine bedeutende Rolle. Sie sorgt unter anderem dafür, dass das Interne Kontrollsystem definiert, überwacht und laufend verbessert wird. Die Interne Revision übernimmt auch die Aufgabe, die definierten Kontrollen als prozessunabhängige Überwachung zu überwachen und zu bewerten. Nichtsdestotrotz ist es letztendlich die Verantwortung der Geschäftsführung, für ein funktionierendes IKS zu sorgen [FRG07, S73ff].		Die Interne Revision spielt dabei eine bedeutende Rolle. Sie sorgt unter anderem dafür, dass das Interne Kontrollsystem definiert, überwacht und laufend verbessert wird. Die Interne Revision übernimmt auch die Aufgabe, die definierten Kontrollen als prozessunabhängige Überwachung zu überwachen und zu bewerten. Nichtsdestotrotz ist es letztendlich die Verantwortung der Geschäftsführung, für ein funktionierendes IKS zu sorgen [FRG07, S73ff].

	<span id="arten-von-it--und-sicherheits-audits"></span>		<span id="arten-von-it--und-sicherheits-audits"></span>

	== Arten von IT- und Sicherheits-Audits ==		== Arten von IT- und Sicherheits-Audits ==

SCHRANZ Elisa: /* IT Audit */

2023-07-26T09:23:46Z

IT Audit

← Nächstältere Version		Version vom 26. Juli 2023, 09:23 Uhr
Zeile 12:		Zeile 12:
	Die Prüfungserkenntnisse können nach Abschluss der Prüfung strukturiert erfasst und zum Beispiel nach resultierendem Risiko kategorisiert und dargestellt werden. Allerdings ist ein Audit keine klassische Messmethode, da die gewonnenen Erkenntnisse nicht wirklich zueinander in Beziehung gesetzt und quantifiziert werden. Dennoch ist es eine valide und bei Setzen von substanziellen Prüfungshandlungen sogar eine sehr aussagekräftige Methode für eine Prozess-Bestandsaufnahme respektive für eine Verifikation von gesetzten Prozessmanagement-Maßnahmen – allerdings eine im Hinblick auf den Aspekt Messung – unstrukturierte Art, da eine objektivierte Skala für die Einteilung fehlt. Weiters ist die Risikoeinschätzung sehr personen- und erfahrungsabhängig.		Die Prüfungserkenntnisse können nach Abschluss der Prüfung strukturiert erfasst und zum Beispiel nach resultierendem Risiko kategorisiert und dargestellt werden. Allerdings ist ein Audit keine klassische Messmethode, da die gewonnenen Erkenntnisse nicht wirklich zueinander in Beziehung gesetzt und quantifiziert werden. Dennoch ist es eine valide und bei Setzen von substanziellen Prüfungshandlungen sogar eine sehr aussagekräftige Methode für eine Prozess-Bestandsaufnahme respektive für eine Verifikation von gesetzten Prozessmanagement-Maßnahmen – allerdings eine im Hinblick auf den Aspekt Messung – unstrukturierte Art, da eine objektivierte Skala für die Einteilung fehlt. Weiters ist die Risikoeinschätzung sehr personen- und erfahrungsabhängig.

	Vorgaben, was man zum Beispiel bei einer IT-Prüfung auditieren muss, finden sich in länderspezifischen Regelungen wie in Österreich z.B. die Fachgutachten KFS/DV1 „Die Ordnungsmäßigkeit von EDV-Buchführungen“ aus 1998 und KFS/DV2 „Abschlussprüfung bei Einsatz von Informationstechnik“ aus 2004 des Fachsenates für Datenverarbeitung des Instituts für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänder [KWT09]. Daraus haben sich natürlich bei den Wirtschaftsprüfungsgesellschaften unternehmenseigene Vorgaben entwickelt. In Deutschland existieren ähnliche Vorgaben als Regelungen des Instituts der Wirtschaftsprüfer (IDW) Stellungnahmen zur Rechnungslegung (RS), Fachgutachten zur Prüfung der IT (FAIT) 1, 2 und 3 [IDW09].		Vorgaben, was man zum Beispiel bei einer IT-Prüfung auditieren muss, finden sich in länderspezifischen Regelungen wie in Österreich z.B. die Fachgutachten KFS/DV1 „Die Ordnungsmäßigkeit von EDV-Buchführungen“ aus 1998 und KFS/DV2 „Abschlussprüfung bei Einsatz von Informationstechnik“ aus 2004 des Fachsenates für Datenverarbeitung des Instituts für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänderinnen [KWT09]. Daraus haben sich natürlich bei den Wirtschaftsprüfungsgesellschaften unternehmenseigene Vorgaben entwickelt. In Deutschland existieren ähnliche Vorgaben als Regelungen des Instituts der Wirtschaftsprüferinnen (IDW) Stellungnahmen zur Rechnungslegung (RS), Fachgutachten zur Prüfung der IT (FAIT) 1, 2 und 3 [IDW09].

	<span id="internes-kontrollsystem"></span>		<span id="internes-kontrollsystem"></span>

SCHRANZ Elisa: /* IT Audit */

2023-07-26T09:20:46Z

IT Audit

← Nächstältere Version		Version vom 26. Juli 2023, 09:20 Uhr
Zeile 7:		Zeile 7:
	* Diskussion von IT-Prüfungsansätzen, Methoden und Grundlagen für Audits		* Diskussion von IT-Prüfungsansätzen, Methoden und Grundlagen für Audits
	* Vorstellen verschiedener Prüfungsvarianten		* Vorstellen verschiedener Prüfungsvarianten
	* Verständnisbildung für die Herangehensweise von IT-~~Auditoren~~		* Verständnisbildung für die Herangehensweise von IT-Auditor*innen
	Immer und jederzeit ist es möglich, Teilbereiche von Prozessen nach Aufstellung von entsprechenden Prüfungszielen zu auditieren. Anhand eines Prüfprogrammes kann man dann strukturiert Einzelthemen mit verschiedenen Prüfungsmethoden betrachten. Diese können sein: Befragung, Beobachtung, nochmalige Durchführung, Durchsicht und Beurteilung anhand von Stichproben, kontrollorientierte Prüfung, Walkthrough, technische Prüfscripts bei Einsatz von IT-Systemen oder ähnliches. Für die Entwicklung eines Prüfprogrammes ist naturgemäß die Definition eines unabhängigen Sollzustandes erforderlich, wofür ein Framework herangezogen werden kann.		Immer und jederzeit ist es möglich, Teilbereiche von Prozessen nach Aufstellung von entsprechenden Prüfungszielen zu auditieren. Anhand eines Prüfprogrammes kann man dann strukturiert Einzelthemen mit verschiedenen Prüfungsmethoden betrachten. Diese können sein: Befragung, Beobachtung, nochmalige Durchführung, Durchsicht und Beurteilung anhand von Stichproben, kontrollorientierte Prüfung, Walkthrough, technische Prüfscripts bei Einsatz von IT-Systemen oder ähnliches. Für die Entwicklung eines Prüfprogrammes ist naturgemäß die Definition eines unabhängigen Sollzustandes erforderlich, wofür ein Framework herangezogen werden kann.