- Anzeigen -

Sicherheit informationstechnischer Systeme


Die Auswirkungen des IT-Sicherheitsgesetzes auf die Interne Revision
Betreiber sind auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet

Von Michael Goldshteyn, Michael Adelmeyer

(19.01.16) - Die Sicherheit und der Schutz von IT-Systemen gewinnen in der heutigen Unternehmenslandschaft zunehmend an Bedeutung. Aus diesem Grund hat der Gesetzgeber das IT-Sicherheitsgesetz verabschiedet. Hierdurch soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme herbeigeführt und Kritische Infrastrukturen besser vor Cyberangriffen geschützt werden. Nach einer Darstellung der Änderungen und ihrer kritischen Würdigung wird der Frage nachgegangen, welche Auswirkungen die Gesetzesnovelle auf die Unternehmen selbst und die Arbeit der Internen Revision entfaltet. Anschließend werden Handlungsempfehlungen ausgesprochen. Dieser Beitrag spiegelt die persönliche Auffassung der Autoren wider.

Der Deutsche Bundestag hat am 17. Juli 2015 das IT-Sicherheitsgesetz verabschiedet. Es soll Mindeststandards für die IT-Sicherheit setzen und hierdurch eine erhebliche Verbesserung der Sicherheit informationstechnischer Systeme herbeiführen. Um dieses Ziel zu erreichen, sind zahlreiche Prüfungs- und Meldepflichten bei Betreibern sog. "Kritischer Infrastrukturen" vorgesehen. Hierbei handelt es sich um Unternehmen aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen. Sie müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Damit einhergehend sind die Betreiber auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet. Sofern dabei sog. "erhebliche Störungen" der Systeme festgestellt werden, sind sie an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Dieser Beitrag aus der Zeitschrift für Interne Revision (ZIR) (Ausgabe 6, 2015, Seite 244 bis 255) wurde von der Redaktion von Compliance-Magazin.de gekürzt.

In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZIR lesen.

Zeitschrift Interne Revision - Fachzeitschrift für Wissenschaft und Praxis

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [71 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [70 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [48 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [45 KB]

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Im Überblick

Zeitschrift Interne Revision (ZIR)

  • CA-Umsetzungsgrad unter deutschen Innenrevisionen

    Continuous Auditing beschreibt die fortlaufende Durchführung von Prüfungsaktivitäten mittels Identifikation von Anomalien bzw. Abweichungen von zuvor definierten Sollzuständen und wird bereits seit 25 Jahren in der Wissenschaft diskutiert. Auch in der Praxis erfreut sich das Thema zunehmender Beliebtheit und wird von vielen Innenrevisionen zunehmend als Prüfungsmethodik angewendet. Trotz diverser Forschungen ist der Umsetzungsgrad von Continuous Auditing, insbesondere unter deutschen Innenrevisionen, jedoch unklar. Hinzu kommt, dass existierende Forschungsergebnisse sich stark auf U.S.-amerikanische Unternehmen fokussieren und Unterbereiche von Continuous Auditing nur geringfügig in Betracht gezogen werden.

  • Revisionsarbeit & Risikoorientierung

    Revisoren müssen ihre Schlussfolgerungen und Revisionsergebnisse auf geeignete Analysen und Bewertungen stützen. In der Regel erzielen Revisoren ihre Prüfungsergebnisse nicht durch vollumfängliche Prüfungen, sondern durch Prüfungshandlungen, die sie für eine Teilmenge einer Grundgesamtheit durchführen. Je nach Ausgestaltung dieser Teilmenge können aus den Prüfungshandlungen sehr unterschiedliche Qualitäten von Prüfungsurteilen abgeleitet werden - und man kann dabei auch viel falsch machen. Ab 2016 gelten neue Prüfungsstandards des IDW hinsichtlich der Auswahl von zu prüfenden Elementen. Im Jahr 2013 hat das IIA im Rahmen der Internationalen Grundlagen den Praktischen Ratschlag 2320-3 veröffentlicht, der Interne Revisoren bei der Anwendung von Stichprobenverfahren unterstützen soll. Dieser Artikel setzt sich mit den Anforderungen auseinander und untersucht insbesondere die praktische Relevanz für den Prüfungsalltag.

  • Rotation und Steigerung der Objektivität

    Objektivität und Unabhängigkeit sind nach den nationalen und internationalen berufsständischen Standards für Interne Revisoren zentrale Eigenschaften einer effektiven Internen Revisionsfunktion. Interne Revisoren können durch Interessenkonflikte in ihrer Objektivität beeinträchtigt werden. Ein mögliches organisatorisches Instrument zur Steigerung der Objektivität kann die Rotation von Internen Revisoren sein, da dadurch unter anderem vertraute Strukturen aufgebrochen werden. Allerdings verursacht diese Kosten und kann weitere nachteilige Effekte haben. Eine Befragung von 35 deutschen Internen Revisoren zeigt, wie der Nettoeffekt einer Prüferrotation in der Praxis eingeschätzt wird. 77 Prozent der befragten Experten sehen Rotation als nicht erforderlich an, bei 60 Prozent wird Rotation in ihren Unternehmen nicht angewandt. Dieses Ergebnis steht in einem gewissen Spannungsverhältnis zu den Empfehlungen des Institute of Internal Auditors, wonach innerhalb der Internen Revision soweit möglich ein Rotationsprogramm vorhanden sein sollte.

  • Joint Audits in der Internen Revision

    Die Interne Revision sieht sich vor der andauernden Diskussion um eine gute Corporate Governance immer wieder der Forderung ausgesetzt, effizient und effektiv zu prüfen. Vor dem Hintergrund möglicher Kapazitäts- oder Know-how-Engpässe innerhalb der Revision bilden sogenannte Joint Audits eine zielführende Möglichkeit zur zeitnahen Erweiterung der Kapazitätsausstattung oder zur Verbesserung der Prüfungsqualität. Der vorliegende Beitrag stellt einen ersten konzeptionellen Ansatz für Joint Audits in der Internen Revision dar und soll mögliche Empfehlungen und Ideen für die praktische Ausgestaltung geben und zugleich mögliche Forschungsdirektiven aufzeigen.

  • Interne Revision & Compliance

    Im Rahmen einer Akquisition können aus unentdeckten Compliance-Risiken hohe finanzielle und Reputationsschäden für das akquirierende Unternehmen entstehen. Aus diesem Grund führen Unternehmen Due Diligence-Prüfungen, speziell mit Fokus auf Compliance, durch. Die reine Due Diligence reicht jedoch oftmals nicht aus, um alle Risiken zu erkennen und zu mitigieren. Die Interne Revision kann als "Dritte Verteidigungslinie" hier einen wichtigen Beitrag leisten. Im Rahmen dieses Artikels werden Indikatoren ("Red Flags") zur Identifikation und Prüfung entsprechender Risiken durch die Interne Revision vorgestellt.