Die Bedeutung der Prüfung von Sicherheit, Wirtschaftlichkeit und Ordnungsmäßigkeit der IT wird in vielen Unternehmen und Organisationen noch immer unterschätzt. Dabei stehen und fallen unternehmerische Erfolge heute immer auch mit belastbaren Strategien und Technologien zum Umgang mit Informationen.

IT-Revision wird immer wichtiger

Die Rolle der Internen IT-Revision als unabhängige Überwachungsinstanz wird sich in der Zukunft weiter ändern. Bereits heute widmet sich die IT-Revision der systematischen Bewertung der Effektivität des Risikomanagements. Zudem ist sie für die internen Kontrollen sowie die Führungs- und Überwachungsprozesse zuständig. Allerdings kann die IT-Revision diesen "Anspruch vielfach jedoch gar nicht oder nur bedingt" erfüllen so Thomas Kochanek, Principal Consultant bei der TÜV Trust IT. "Damit können unbemerkt erhebliche Problempotenziale für die Geschäftstätigkeit und zudem rechtliche Risiken entstehen".

Ressourcenknappheit in den Revisions-Abteilungen

Als Hauptproblem haben die Experten vom TÜV die fehlenden Ressourcen in den Revisions-Abteilungen identifiziert. Nach ihren Erfahrungen gebe es zwar eine Interne Revision, allerdings fehlen in den Abteilungen Mitarbeiter, die speziell für die IT-Revision verantwortlich sind. Damit einhergehend kritisieren die TÜV-Experten auch die ungenügende fachliche Qualifikation der Mitarbeiter. Diese werden häufig nur ausreichend ausgebildet und verfügen daher nur über wenig interdisziplinäres Fachwissen. "Dadurch mangelt es am tiefgehenden Wissen über die Prüfgegenstände, sodass dann meist nur relativ formal anhand von Checklisten geprüft werden kann", so Kochanek weiter. "Wenn sich jemand nur marginal mit SAP auskennt und eine Prüfung lediglich entlang einer Checkliste vornimmt, kann er ohne ausreichendes Hintergrundwissen keine gründliche Prüfung durchführen und vor allem die Auswirkungen bestimmter Vorfälle nicht anforderungsgerecht einschätzen."

Fehlende Trennschärfe zwischen IS-Revision und IT-Revision

Kochanek kritisiert zudem die fehlende Trennschärfe zwischen IS-Revision und IT-Revision. Nach Auffassung von Kochanek besteht der entscheidende Unterschied darin, dass die IS-Revision den Schwerpunkt auf die ganzheitliche Prüfung der Informationssicherheit legt und dabei die Wirtschaftlichkeit und Ordnungsmäßigkeit nachrangig betrachtet, während die IT-Revision die drei Prüfthemen Wirtschaftlichkeit, Sicherheit und Ordnungsmäßigkeit gleichrangig behandelt.

TÜV: Unternehmen müssen Organisationsmodell auf anforderungsgerechte Basis umstellen

Zudem wachse die Komplexität der IT-Revision kontinuierlich, da Regularien und Anforderungen sich ständig ändern. "Dies ständig im Blick zu halten, ist vor allem für kleine Unternehmen eine kaum zu bewältigende Aufgabe."

Die Experten vom TÜV empfehlen daher den Unternehmen ihr Organisationsmodell auf eine anforderungsgerechtere Basis zu stellen, wo die Revision sich auf eine steuernde Funktion konzentriert und die Audits mit Unterstützung externer Spezialkompetenzen realisiert werden. "Dies gewährleistet nicht nur eine durchgängig hohe Revisionsqualität, sondern ermöglicht gleichzeitig eine sehr bedarfsgerechte und flexible Vorgehensweise mit wirtschaftlichen Vorteilen", so Kochanek weiter. (Quelle: TÜV Trust IT)

Literaturempfehlung IT-Revision

Wie Sie Prüfungen von IT-Verfahren effizient ausgestalten, finden Sie in dem soeben herausgegebenen DIIR-Band "Revision von IT-Verfahren in öffentlichen Institutionen: Praxisleitfaden für den Prüfungsprozess“.

Eine praxisorientierte Einführung in die Welt der IT-Prüfung bietet Stefan Beißel in dem Band "IT-Audit: Grundlagen - Prüfungsprozess - Best Practice“. Anhand eines umfassenden Prüfungskatalogs können Unternehmen systematisch erschließen, worauf es bei der Vorbereitung, der Durchführung und dem Abschluss erfolgreicher IT-Audits ankommt.

Beide eBooks stehen Abonnenten von INTERNE REVISIONdigital kostenfrei zur Verfügung.

Noch kein Abonnent? Testen Sie INTERNE REVISIONdigital 4 Wochen lang gratis. Weitere Informationen finden Sie hier.