• Home
• DIIR GmbH
• Termine
• News Magazine
• DIIRnet

DV-/IT-Revision in mittelständischen Revisionen

Welche gesetzlichen Anforderungen sind (auch) durch die ( mittelständischen) DV-/IT- Revisionen zu erfüllen - und in welchem Umfang ?

1.1 Im Grundsatz gilt: Nicht Prüfer erfüllt gesetzl. Anforderungen, sondern Unternehmensleitung hat sie zu erfüllen!

Als wesentliche Vorschriften werden angesehen: HGB, AO, AktG, GoBS, KonTraG
Darüberhinaus sind weitere Vorschriften zu berücksichtigen:
- branchenabhängig, d.h. Spezialvorschriften für bestimmte Unternehmenstypen
- in der Industrie handelt die Revision (bisher) ohne direkten gesetzlichen Auftrag, im Gegensatz z.B. zu Banken (Mindestanforderungen ...)
- für alle gilt als indirekt wirkend der Auftrag zum Schutz des Vermögens

1.2 Darauf fußend erfolgt die Prüfung gemäß :
- Ordnungsmäßigkeit , einschließlich des Vermögensschutzes
- Wirtschaftlichkeit
   - Effektivität
   - Effizienz
- Sicherheit (als.Voraussetzung der Ordnungsmäßigkeit) dazugehörig die Prüfung des IKS
- Sonst. Gesetzliche Auforderungen

Als weitere Prüfhilfe wird zur Zeit im IDW der Nachfolger des FAMA-Gutachtens (jetzt : Fachausschuß Information Technology , FAIT) erstellt.

Die Praxis zeigt, daß der DV-/IT-Revisor nicht gleichzeitig die Einhaltung aller gesetzlichen Vorschriften überwachen kann, sie dienen ihm aber als Prüfungsgrundlage und zur Festlegung des Prüfungsumfangs.

2. Wie kann der Einsatz von Prüfsoftware die DV-/IT-Revision effizienter gestalten ?

2.1 Was bedeutet effiziente Prüfsoftware :
- Schnellere Prüfung
- Kostengünstigere Prüfung
- Durchführung mit größerer Stichprobe
- Bessere Dokumentation der durchgeführten Arbeiten auch für Folgeprüfungen
- Bessere Visualisierung der Ergebnisse

2.2 Was soll die Prüfsoftware in der einzelnen Bereichen erfüllen (Wunschkatalog) ?
Betriebssysteme:
- Berechtigungsstruktur, -analyse
- Traffic, wer greift wie oft zu, wann ? Feiertage usw.
- Was macht der Administrator ?

Internet/E-Commerce
- Firewalls (Sicherheitscheck, Penetrationscheck)
- Berechtigunsstruktur
- Traffics/Hits-Anzahl
- Ladegeschwindigkeit
- Überprüfung der digitalen Signatur

Anwendungsprogramme
- Berechtigungsstruktur
- Systemänderungen/-erweiterungen, z.B. Erweiterung der Software
- Unabhänigkeit von der Anwendung und IT (daher z.B. Einsatz ACL)

Softwareentwicklung/Anwendungsentwicklung
- Versionsverwaltung/-kontrolle
- Hilfe bei der Erstellung von Testfällen und Unterstützung bei der Dokumentation

Daten/Datenträger/Datenbanken/DateWareHouse
- Woher kommen die Daten ?
- Datenschutz (Identifizierung, Wer-hat-Zugriff )
- Konsistenzprüfung
- Analyse von Reduanzen
- Prüfung der Vollständigkeit
- Programm muß unabhängig vom Speichermedium sein

Rechenzentrumsbetrieb
- Hardwareanalyse (Verfügbarkeit, Auslastung, Kapazität)
- Zutrittskontrolle zum RZ
- Hilfe bei der Kontrolle von Back-Ups, Datensicherung

Telekommunikation/-netze sowie auch IT-Netze
- Geschwindigkeitsanalyse
- Aufdeckung von Sicherheitslücken, Abhörbarkeit
- Auslastungsanalyse, Analyse der Häufigkeit

2.3 Risiken/Probleme
- Zu viele Prüfsoftware für verschiedene Bereiche
- Anschaffung von zu vielen Prüfprogrammen ist zu teuer => Miete ?
- Jedes Tool anders, schwer zu erlernen
- Es gibt für die Anforderung überhaupt keine Software => dann besser "manuell prüfen"
=> ansonsten nämlich ineffizient
- Risiko von Falschinterpretationen, ggf. muss dennoch manuell überprüft werden => s.o.

2.4 Weiteres Vorgehen:
Zu den einzelnen Bereichen sollte analysiert werden, welche Prüfsoftware am Markt erhältlich ist.

3. Wie kann die DV-/IT- Revision methodisch Schwerpunkte setzen?

3.1 Projektbegleitende Prüfung

Mögliche Themen für eine projektbegleitende Prüfung:

1) Hardware, Beispiele :
a) Neubau Rechenzentrum
b) Umbau Rechenzentrum

2) Software, Beispiele :
a) Umstellung der Sofware alt/neu
b) Releasewechsel innerhalb einer Software

3) Berechtigungskozept, Beispiele :
- Funktionstrennung
- Wechsel von kritischen Berechtigungen

Problematik:
Zielkonflikt bezüglich späterer Prüfbarkeit

Lösungansatz
- Erste Prüfung durch Externe nach Produktivlauf
- Eigener Einsatz ab 12 Monate, Follow-Up

3.2 Security Audits

Problematik

- Zeitnahe Aktualisierung des Fachwissens bei Revisionsfunktionen im
Mittelstand

Lösungsansatz

- (oft) kostenlose Spezialunterlagen des Herstellers (z.B. Sicherheitsleitfaden SAP)

- Externe Unterstützung durch spezialisierte Berater

3.3 Prüfung Dokumentation

Gefahren unzureichender Dokumentation:
- Verstoß gegen die GoB, GobS

- Produkthaftung tritt ein bei mangelnder Nachweismöglichkeit

- Wartungsmängel durch fehlende / nicht aktualisierte Unterlagen

Lösungsansatz:

Projektbegleitung Prüfung durch Revision, die Notwendigkeit der vollständigen, richtigen und klar verständlichen Dokumentation, sowie deren Pflege wird zu einem frühen Zeitpunkt verankert.

4. Wie ist der DV-/IT-Revisor in die "übrige" Revision eingebunden?

4.1 Datenauswertung:
nur Hinweise/Hilfe geben, die den Kaufmännischen, Fach-Revisoren eigene Auswertungstätigkeit ermöglicht; sonst: insbesondere bei schwierigen Fällen kann diese Aufgabe auch dem Programmierer überlassen werden (entsprechende Anforderung mit zeitlichem Vorlauf)

4.2 Einbindung in die Revision:
verdeutlichen, daß es sich um ein eigenes Prüfgebiet handelt! ggf. Teams mit den Fachrevisionen bilden, DV-/IT-Aspekte abdecken, z.B. bei einer Rechnungswesenprüfung

Wie stellt sich die DV-/IT-Revision zu anderen Aufgaben ?

4.3 Datenschutzbeauftragter: dies kann eine sinnvolle Aufgabenergänzung sein, da
gemeinsame Ziele vorhanden sind
Umfang: (aus Erfahrung) 20 - 30 %

4.4 IT-Sicherheitsbeauftragter: Ist eher eine IT-Aufgabe, daher gehört sie nicht in die
Revision

4.5 IT-Controlling: gehört nicht in Revision, da es sich um einen laufenden
Prozeß handelt (besser im Controlling aufgehoben bzw.
ggf. im IT-Bereich)

4.6 Projektorganisation : ist völlig unvereinbar mit Revisionsaufgaben, aber
schließt nicht gelegentliche projektbegleitende Prüfungen
aus

5. Wie wird man DV-/IT-Revisor in der mittelständischen Revisionen ?
Wie kann sich der mittelständische DV-/IT-Revisor angemessen weiterbilden ?

5.1 Recruting:

Ansatz der Überlegung:
vom Punkt "Erstanforderung eines DV-/IT-Revisors"
bis "volle Einsatzfähigkeit des DV-/IT-Revisors in Prüfungen"
TOP: erste Wahl bei der Rekrutierung eines neuen DV-/IT-Revisors, -1 = eine Einschränkung gegenüber 1. Wahl, -2 = zwei Einschränkungen usw.

TOP
- fertig ausgebildeter DV-Resivor mit Berufserfahrung (vom Markt rekrutiert)

TOP-1
- gelernter DV-Fachmann mit Berufserfahrung wird in die Revision eingearbeitet (aus dem eigenen Unternehmen rekrutiert)
- Nachteil: Einarbeitungszeit ist keine Prüfzeit, daher Zeitverzug

TOP-2
- gelernter Revisor wird zum DV-IT-Resivor ausgebildet wahrscheinlich aus der eigenen Abteilung rekrutiert
- Nachteil : Einarbeitungszeit relativ lang, abhängig von Vorkenntnissen spürbarer Zeitverzug bis zur 1. Prüfung

TOP-2
- Berufsanfänger DV-IT mit direkter Übernahme in die DV-/IT-Revision u.U. direkt von der Hochschule rekrutiert
- zusätzlicher Nachteil : mangelnde Berufserfahrung, spürbarer Zeitverzug bis zur 1. Prüfung

TOP-3
- alle anderen Berufsgruppen: sehr lange Einarbeitungszeit, erheblicher Zeitverzug bis zur ersten Prüfung, abhängig von den individuellen Vorkenntnissen, wahrscheinlich direkt im Unternehmen rekrutierbar

Auf den ersten Blick erscheint die Alternative TOP die beste, aber:

Die Verfügbarkeit des Mitarbeiters sinkt mit steigender Anforderungen (d.h. z.B. sehr lange und u.U. schwierige Anwerbezeit am Markt ); dadurch wird die längere Einarbeitungszeit des schlechter qualifizierten zumindest teilweise ausgeglichen.

=> Für die mittelständische Revision ist ggf. jede Alternative (auch TOP-3) gleich gut, da die Verfügbarkeit eines Kandidaten für den DV-/IT-Revisor eine wichtige Rolle spielen kann!

5.2 Aus-/Weiterbildung

(Zugrundegelegt wird das o.a. Konzept:)

Mitarbeiter TOP
ist bereits ausgebildet und fachlich qualifiziert, er ist normalerweise selbst in der Lage, angemessene Vorschläge zu seiner Weiterbildung zu machen;

Mitarbeiter TOP-1 ( DV-Fachmann)
- notwendig ist eine Auswahl von Seminaren zur Methoden-Kompetenz und Verfahrensweisen
- das CIA - Examen ist in dieser Situation nur mit erheblichen Einschränkungen zu empfehlen, da die entsprechende Berufserfahrung fehlt

Mitarbeiter TOP-2 (Revisor)
- CISA -Examen: gute Methodenkompetenz, notwendig ist viel freiwilliges Engagement
Nachteil: es werden keine Produktkenntnisse vermittelt

Produktspezifische Lehrgänge
- Vorteil: Spezialwissen zur qualifizierten Prüfung der jeweiligen Prodiktlinien wird erworben
- Nachteil: zu aufwendig, wenn zu viele Spezialkenntnisse erworben werden sollen
- zu bedenken: die sog. "Hausausrichtung", d.h. die Treue des Unternehmens zu einer Produktfamilie, kann von Vorteil sein (eindeutig definierte Fachausbildung), aber auch von Nachteil (bei Wechsel ist ggf. ein Großteil Spezialwissen entwertet)

"Training on the Job"
- Vorteil: vermittelt unmittelbare Prüfungspraxis,
- Nachteil: fordert sensibles Auftreten des neuen Mitarbeiters,
Daher: im wesentlichen persönlichkeitsabhängig

6. Wie kann externe Unterstützung in die eigene Arbeit eingebunden werden?

6.1 Generell ist das Vorgehen abhängig vom Kenntnisstand des Auftraggebers!

Denkbar bzw. Bandbreite der Unterstützung ist:
- Von keine eigene DV-Revision
- bis nur Abdecken von Spitzen

Auftragsumfang anhängig von Quantität und Qualität - Breite und/oder Tiefe - und Budget

- Auftrag im Sinne einer Kooperation verstehen und nicht als Konkurenz
- Auftragformulierungshilfe können u. a. von Kollegen, Erfahrungsaustausch, Wirtschaftsprüfer, IT-Bereich und Literaturstudium kommen
- Auftraggeber und Ansprechpartner ist die Revision
- Auftragnehmer sollte Referenzen vorlegen können

6.2 Auftragsinhalte sollten sein:
- Erwartungen und Ziele
- Zielgruppe (Ansprache und Verständlichkeit) der Ergebnisse
- Pflichtenheft
- Prüfkonzept
- Vorlage von Zwischenergebnissen
- Umfang der Ergebnisse einschließlich der Dateiformate
- Know-how-Transfer

6.3 Ergebnisse in Papier- und Dateiform
- Bericht
- Arbeitspapiere
- Maßnahmen und Empfehlungen