- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

IT-Revision als unabhängige Überwachungsinstanz


Unternehmen können ihre IT-Revision mit eigenen Ressourcen oft nicht bewältigen
TÜV Trust IT GmbH Unternehmensgruppe TÜV Austria empfiehlt ein verändertes Organisationsmodell mit externen Audit-Ressourcen

(01.04.15) - Nach den Beobachtungen der TÜV Trust IT stehen viele Unternehmen und Behörden bei ihrer IT-Revision vor schwer zu lösenden Problemen. Sie empfiehlt deshalb ein verändertes Organisationsmodell, bei dem sich die Revision auf eine steuernde Funktion konzentriert und die Audits mit Unterstützung externer Spezialkompetenzen realisiert werden.

Weil die Geschäftsprozesse in wachsendem Maß von Informationstechnologien abhängig sind, kommt der internen IT-Revision als unabhängiger Überwachungsinstanz eine wichtige Rolle in den Unternehmen zu. Sie widmet sich der systematischen Bewertung der Effektivität des Risikomanagements und ist für die internen Kontrollen sowie die Führungs- und Überwachungsprozesse zuständig. "In der Praxis der Unternehmen kann dieser Anspruch vielfach jedoch gar nicht oder nur bedingt erfüllt werden", weiß Thomas Kochanek, Principal Consultant bei der TÜV Trust IT, aus seiner Beratungspraxis. "Damit können unbemerkt erhebliche Problempotenziale für die Geschäftstätigkeit und zudem rechtliche Risiken entstehen", verweist er auf die Konsequenzen.

Zu den Hauptursachen gehört, dass es an den notwendigen Ressourcen mangelt. So besteht zwar typischerweise eine Interne Revision, ohne dass jedoch Mitarbeiter vorhanden sind, die speziell für die IT-Revision verantwortlich sind. Überhaupt lassen sich nach den Feststellungen der TÜV Trust IT große Defizite in der Fachlichkeit der IT-Revisoren feststellen, weil sie dafür häufig nicht ausreichend ausgebildet sind und vor allem über kein interdisziplinäres Fachwissen verfügen. "Dadurch mangelt es am tiefgehenden Wissen über die Prüfgegenstände, sodass dann meist nur relativ formal anhand von Checklisten geprüft werden kann", problematisiert Kochanek und beschreibt dies am Beispiel der SAP-Auditierung: "Wenn sich jemand nur marginal mit SAP auskennt und eine Prüfung lediglich entlang einer Checkliste vornimmt, kann er ohne ausreichendes Hintergrundwissen keine gründliche Prüfung durchführen und vor allem die Auswirkungen bestimmter Vorfälle nicht anforderungsgerecht einschätzen."

Ebenfalls problematisch wird es nach den Worten von Kochanek, wenn die IS-Revision mit der IT-Revision verwechselt wird. Der Unterschied besteht darin, dass die IS-Revision den Schwerpunkt auf die ganzheitliche Prüfung der Informationssicherheit legt und dabei die Wirtschaftlichkeit und Ordnungsmäßigkeit nachrangig betrachtet, während die IT-Revision die drei Prüfthemen Wirtschaftlichkeit, Sicherheit und Ordnungsmäßigkeit gleichrangig behandelt.

Eine weitere Schwierigkeit für die Praxis der Revisionstätigkeit besteht darin, dass die Komplexität ihrer Aufgaben ständig wächst und sich zudem die Regularien und Anforderungen kontinuierlich ändern. "Dies ständig im Blick zu halten, ist vor allem für kleine Unternehmen eine kaum zu bewältigende Aufgabe."

Angesichts der zahlreichen Problemfelder in der IT-Revision empfiehlt Kochanek, sie durch ein verändertes Organisationsmodell auf eine anforderungsgerechtere Basis zu stellen. Dessen Kern besteht darin, sich angesichts der engen Ressourcen und fachlichen Begrenzungen primär auf eine koordinierende Funktion zu konzentrieren und die Audits externen Spezialkompetenzen zu übertragen. "Dies gewährleistet nicht nur eine durchgängig hohe Revisionsqualität, sondern ermöglicht gleichzeitig eine sehr bedarfsgerechte und flexible Vorgehensweise mit wirtschaftlichen Vorteilen", beschreibt Kochanek die Nutzenvorteile. (TÜV Trust IT: ra)

TÜV Trust IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Beschwerden zu Analyse-Diensten auf Webseiten

    Vielen Nutzern im Internet ist nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut wird, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten können. Besonders bekannt sind Analyse-Dienste, die das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten ("Tracking"). Nicht jeder Webanbieter hat bei der Einbindung solcher Dienste das Datenschutzrecht im Blick. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, sieht hier Nachholbedarf in der Gestaltung der Angebote: "Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten - das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben."

  • Drei häufige Fehleinschätzungen bei der DSGVO

    Da DGSVO-Verstöße mit hohen Geldbußen belegt werden, könnte man annehmen, dass verantwortliche Manager sich alle Mühe geben, die Einhaltung der Vorschriften zu gewährleisten. Jedoch ist dies nicht immer der Fall. Zwar haben die Unternehmen ihre Rechenschaftspflicht durch die Ernennung eines Datenschutzbeauftragten verbessert und einen Rechtsrahmen für den Datenschutz erstellt oder überarbeitet. Auch wurden Schutzmaßnahmen gegen Datenschutzverletzungen verbessert und Identitäten sowie Zugänge zu IT-Systemen werden konsequenter kontrolliert. Und dennoch zeigen Untersuchungen von Talend, dass im Rahmen der DSGVO noch immer Fehler gemacht werden: rund 70 Prozent der in Deutschland in einer Stichprobe befragten Unternehmen reagieren nicht auf Anfragen von Verbrauchern zu ihren personenbezogenen Daten innerhalb der vorgeschriebenen Frist von einem Monat.

  • Abfahren von Straßenzügen mit Kamera-Autos

    Apple lässt jetzt in Deutschland Autos mit auf dem Dach montierter Kamera fahren, mit denen Straßenansichten und Gebäudefronten aufgenommen werden. Apple gibt an, dass durch Analyse von Wegen und Verkehrszeichen das Datenmaterial des eigenen Kartendienstes verbessert werden soll. Außerdem könnten diese Bilder der Straßen und Häuser künftig in der geplanten Funktion "Apple Look Around" ("Umsehen-Funktion") dargestellt und im Internet veröffentlicht werden. Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hält das Abfahren von Straßenzügen mit Kamera-Autos nicht nur für kritisch, wenn Menschen auf den Wegen erkennbar sind oder gar in private Häuser hineingefilmt wird: "Apple verspricht zwar, dass Gesichter und Autokennzeichen vor der Veröffentlichung unkenntlich gemacht werden und die dafür eingesetzte Software ziemlich zuverlässig arbeitet. Doch nicht jeder ist damit einverstanden, dass die Aufnahmen vom Privatgrundstück über Jahre abrufbar sind und etwa darauf zu erkennen ist, dass man seinen Vorgarten nicht perfekt gepflegt hat, dass teure Autos vor dem Haus parken oder wo Einbrecher leichtes Spiel haben könnten."

  • Tipps für mehr Datenhoheit

    Die Temperatur in unserer Wohnung regulieren wir mit dem Smartphone, für Online-Dienste registrieren wir uns mit Namen und Adresse, Smartwatches messen und analysieren unsere Körperfunktionen. Wer im Internet unterwegs ist und smarte Geräte benutzt, hinterlässt Spuren. Doch es gibt Möglichkeiten, um seine Privatsphäre zu schützen. So wenige Daten wie möglich von sich preiszugeben, ist dabei so naheliegend wie schwer. Schließlich basiert das Geschäftsmodell mancher Unternehmen - sogenannter Datenbroker - genau darauf, möglichst viele und präzise Informationen über Nutzer zu sammeln. Prominentestes Beispiel für einen solchen Datenbroker ist Cambridge Analytica. Dieses Unternehmen hat Daten von bis zu 87 Millionen Facebook-Nutzern abgegriffen, darunter rund 310.000 Nutzer aus Deutschland. Die Daten hat Cambridge Analytica etwa zur Erstellung politischer Profile genutzt, mit dem Ziel, Einfluss auf die letzte Präsidentschaftswahl in den USA zu nehmen. Ein weiterer großer Datenbroker ist Acxiom. Das Unternehmen verfügt über Daten von über 700 Millionen Menschen weltweit, darunter mehr als 40 Millionen aus Deutschland, mit mehr als 1.500 Eigenschaften pro Haushalt.

  • Vier Fragen zum Thema Auftragsverarbeitung

    Jeder, der sich in den vergangenen Monaten mit der Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt hat, stieß dabei unwiderruflich auf den Begriff Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Doch nur die wenigsten wissen auch, was sich wirklich dahinter verbirgt. Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG., beantwortet die vier wichtigsten Fragen zum Thema Auftragsverarbeitung und erklärt, warum diese für fast alle Unternehmen ein "Muss" darstellt.