Revision von IT-Verfahren in öffentlichen Institutionen
25.08.2016
Praxisleitfaden für den Prüfungsprozess. Herausgegeben vom DIIR – Deutsches Institut für Interne Revision e. V. Erarbeitet im Arbeitskreis „Interne Revision in öffentlichen Institutionen“. Erich Schmidt Verlag, Berlin 2015, 138 Seiten, Euro (D) 34,95 ISBN 978-3-503-15822-5.
Praxisleitfaden für den Prüfungsprozess. Herausgegeben vom DIIR – Deutsches Institut für Interne Revision e. V. Erarbeitet im Arbeitskreis „Interne Revision in öffentlichen Institutionen“. Erich Schmidt Verlag, Berlin 2015, 138 Seiten, Euro (D) 34,95 ISBN 978-3-503-15822-5.
Die Prüfung der IT-Verfahren ist nicht nur im Hinblick auf einen korrekten Jahresabschluss ein wichtiges Element der internen und externen Prüfung. Verschiedene Prüfungsaspekte rechtfertigen einen intensiven Blick der Internen Revision auf dieses Prüfungsgebiet. Zunehmende Komplexität und steigende Abhängigkeit der Organisationsprozesse von der IT machen es notwendig, durch die Prüfung der IT-Verfahren zu untersuchen, ob die IT einer Organisation und ihr zugehöriges internes Kontrollsystem ordnungsgemäß, wirksam und wirtschaftlich arbeiten. Insbesondere der Internen Revision kommt mit ihren risikoorientierten Prüfungen die Aufgabe zu, neben einer ordnungsmäßigen Anwendung auch die ordnungsmäßige Einrichtung von IT-Verfahren zu überprüfen.
Hierbei stellt die Prüfung von IT-Verfahren die Interne Revision häufig vor besondere Herausforderungen. Die Bandbreite reicht dabei von der erstmaligen Durchführung einer IT-Verfahrensprüfung über rechnungslegungsrelevante IT-Verfahren, IT-Vorsysteme mit zahlreichen Schnittstellen bis hin zu hochkomplexen IT-Verfahren, die eine Vielzahl von Organisationsprozessen unterstützen. Unabhängig von Komplexität und Bedeutung ist bei einer Prüfung jedes IT-Verfahren vor seinem spezifischen Hintergrund zu betrachten.
Unter Berücksichtigung gängiger IT-Standards und Prüfungshinweise wie der „Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie“ (IDW PH 9.330.1) versetzt der Praxisleitfaden für die Revision von IT-Verfahren in öffentlichen Institutionen Revisoren in die Lage, eine risikoorientierte Prüfungsplanung vorzunehmen und auf Basis der vorgeschlagenen Fragen eine qualifizierte Prüfung durchzuführen.
Im Detail betrachtet der Praxisleitfaden für die Revision von IT-Verfahren nachfolgende Aspekte
• Überprüfung/Ermittlung der Grundgesamtheit
• Durchführung Bestandsaufnahme
• Risikoanalyse
• Revision der IT-Infrastruktur
• Revision der IT-Anwendungen
• Revision IT-gestützter Geschäftsprozesse
• Revision des IT-Outsourcings
• Revision der Schnittstellen
• Revision der Einhaltung des BSI IT-Grundschutzes
• Revision der Einhaltung des Datenschutzes
Dem Praxisleitfaden gelingt es, unerfahrenere Revisoren an die Prüfung von IT-Verfahren heranzuführen, ohne zu viel Vorwissen im Bereich der Technik vorauszusetzen. Erfahrenere Revisoren erhalten durch den Leitfaden Anregungen für vertiefte Prüfungen.
Der Umfang der Fragen bietet Anknüpfungspunkte auch zu einzelnen Teilaspekten und aus den vorgeschlagenen Fragestellungen können sich weitere Fragen ergeben. Der Leitfaden kann somit als Basis für eine umfassende Risikoanalyse genutzt werden, um zu identifizieren, wo sich die IT-Baustellen in der jeweiligen Organisation oder dem jeweiligen Unternehmen befinden. Die auszuwählenden Fragen können entsprechend des vorhandenen technischen Verständnisses vertieft, ergänzt oder verkürzt werden.
Der Praxisleitfaden zur Revision von IT-Verfahren in öffentlichen Institutionen berücksichtigt den spezifischen öffentlich-rechtlichen Hintergrund durch entsprechende Erläuterungen und Ergänzungen und er bietet Ansatzpunkte aus Prüfungsergebnissen, die bei eigenen Überlegungen und Beurteilungen berücksichtigt werden können. Durch den konkreten Bezug zu den öffentlichen Institutionen gelingt es den Autoren, sehr anschauliche und konkrete Sachverhalte darzustellen und dem Leser anhand konkreter Beispiele zu vermitteln.
Der Leitfaden bietet grundsätzliche Prüfungsansätze für die Revision von IT-Verfahren mit organisations- und branchenübergreifendem Charakter. Dadurch wird das Buch insbesondere durch seine Praxisrelevanz für alle Revisoren, die sich mit der Prüfung von IT-Verfahren beschäftigen, zu einer lohnenden Lektüre und einem nützlichen Hilfsmittel, nicht nur für die Prüfung in der öffentlichen Verwaltung.
Diplom-Wirtschaftsmathematiker Diplom-Kaufmann Thomas Gossens, CIA, CISA, CRISC, ACDA ist Abteilungsleiter Revision Zentrale Aufgaben und Steuerung im Bereich Revision der Stadtsparkasse Düsseldorf.
Quelle: ZIR Zeitschrift Interne Revision Heft 4/2016
Die Prüfung der IT-Verfahren ist nicht nur im Hinblick auf einen korrekten Jahresabschluss ein wichtiges Element der internen und externen Prüfung. Verschiedene Prüfungsaspekte rechtfertigen einen intensiven Blick der Internen Revision auf dieses Prüfungsgebiet. Zunehmende Komplexität und steigende Abhängigkeit der Organisationsprozesse von der IT machen es notwendig, durch die Prüfung der IT-Verfahren zu untersuchen, ob die IT einer Organisation und ihr zugehöriges internes Kontrollsystem ordnungsgemäß, wirksam und wirtschaftlich arbeiten. Insbesondere der Internen Revision kommt mit ihren risikoorientierten Prüfungen die Aufgabe zu, neben einer ordnungsmäßigen Anwendung auch die ordnungsmäßige Einrichtung von IT-Verfahren zu überprüfen.
Hierbei stellt die Prüfung von IT-Verfahren die Interne Revision häufig vor besondere Herausforderungen. Die Bandbreite reicht dabei von der erstmaligen Durchführung einer IT-Verfahrensprüfung über rechnungslegungsrelevante IT-Verfahren, IT-Vorsysteme mit zahlreichen Schnittstellen bis hin zu hochkomplexen IT-Verfahren, die eine Vielzahl von Organisationsprozessen unterstützen. Unabhängig von Komplexität und Bedeutung ist bei einer Prüfung jedes IT-Verfahren vor seinem spezifischen Hintergrund zu betrachten.
Unter Berücksichtigung gängiger IT-Standards und Prüfungshinweise wie der „Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie“ (IDW PH 9.330.1) versetzt der Praxisleitfaden für die Revision von IT-Verfahren in öffentlichen Institutionen Revisoren in die Lage, eine risikoorientierte Prüfungsplanung vorzunehmen und auf Basis der vorgeschlagenen Fragen eine qualifizierte Prüfung durchzuführen.
Im Detail betrachtet der Praxisleitfaden für die Revision von IT-Verfahren nachfolgende Aspekte
• Überprüfung/Ermittlung der Grundgesamtheit
• Durchführung Bestandsaufnahme
• Risikoanalyse
• Revision der IT-Infrastruktur
• Revision der IT-Anwendungen
• Revision IT-gestützter Geschäftsprozesse
• Revision des IT-Outsourcings
• Revision der Schnittstellen
• Revision der Einhaltung des BSI IT-Grundschutzes
• Revision der Einhaltung des Datenschutzes
Dem Praxisleitfaden gelingt es, unerfahrenere Revisoren an die Prüfung von IT-Verfahren heranzuführen, ohne zu viel Vorwissen im Bereich der Technik vorauszusetzen. Erfahrenere Revisoren erhalten durch den Leitfaden Anregungen für vertiefte Prüfungen.
Der Umfang der Fragen bietet Anknüpfungspunkte auch zu einzelnen Teilaspekten und aus den vorgeschlagenen Fragestellungen können sich weitere Fragen ergeben. Der Leitfaden kann somit als Basis für eine umfassende Risikoanalyse genutzt werden, um zu identifizieren, wo sich die IT-Baustellen in der jeweiligen Organisation oder dem jeweiligen Unternehmen befinden. Die auszuwählenden Fragen können entsprechend des vorhandenen technischen Verständnisses vertieft, ergänzt oder verkürzt werden.
Der Praxisleitfaden zur Revision von IT-Verfahren in öffentlichen Institutionen berücksichtigt den spezifischen öffentlich-rechtlichen Hintergrund durch entsprechende Erläuterungen und Ergänzungen und er bietet Ansatzpunkte aus Prüfungsergebnissen, die bei eigenen Überlegungen und Beurteilungen berücksichtigt werden können. Durch den konkreten Bezug zu den öffentlichen Institutionen gelingt es den Autoren, sehr anschauliche und konkrete Sachverhalte darzustellen und dem Leser anhand konkreter Beispiele zu vermitteln.
Der Leitfaden bietet grundsätzliche Prüfungsansätze für die Revision von IT-Verfahren mit organisations- und branchenübergreifendem Charakter. Dadurch wird das Buch insbesondere durch seine Praxisrelevanz für alle Revisoren, die sich mit der Prüfung von IT-Verfahren beschäftigen, zu einer lohnenden Lektüre und einem nützlichen Hilfsmittel, nicht nur für die Prüfung in der öffentlichen Verwaltung.
Diplom-Wirtschaftsmathematiker Diplom-Kaufmann Thomas Gossens, CIA, CISA, CRISC, ACDA ist Abteilungsleiter Revision Zentrale Aufgaben und Steuerung im Bereich Revision der Stadtsparkasse Düsseldorf.
Quelle: ZIR Zeitschrift Interne Revision Heft 4/2016
Programmbereich: Management und Wirtschaft