Lade Inhalt...

IT-Revision. Aktueller Diskussionsstand, Rahmenwerke und Nutzenbetrachtung

Seminararbeit 2013 34 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsverzeichnis

1. Einleitung
1.1 Darstellung zentraler Forschungsfragen
1.2 Ziele und Aufbau der Arbeit

2. Begriffserläuterungen und Abgrenzungen
2.1 IT-Assurance
2.2 IT-Revision, IT-Audit und IT-Prüfung
2.3 IT-Governance und IT-Controlling

3. Organisatorische Sicht der IT-Revision

4. Rechtliche Grundlagen zur IT-Revision

5. Leitfäden zur Umsetzung rechtlicher Anforderungen
5.1 Überblick
5.2 Auswahlkriterien
5.3 Controlled Objectives for IT and Related Technologies (COBIT®)
5.4 Standards des Instituts Deutscher Wirtschaftsprüfer
5.5 Vergleich dieser Standards

6. Nutzenbetrachtung von IT-Revision

7. Abschlussbetrachtung

Abbildungsverzeichnis

Abbildung 1: Voraussetzungen einer Assurance-Initiative (übersetzt; IT assurance guide 2007, S. 17)

Abbildung 2: Zusammenhang zwischen Internal Audit, IT-Revision und den Unternehmensprozessen (basierend auf Michael Porters Value Chain, Porter 1985)

Abbildung 3: Mapping von COSO-Komponenten und COBIT-Zielen (Moeller 2013, S. 84)

Abbildung 4: COBIT® 5 Prinzipien (aus: COBIT® 5 2012, S. 2)

Abbildung 5: COBIT® -Cube (COBIT® 4.1 2007)

Abbildung 6: Die 37 Prozesse COBITs® (COBIT® 5 2012)

Abbildung 7: Systemprüfung nach IDW PS 330 (Quelle: Schirmbrand 2004)

Tabellenverzeichnis

Tabelle 1: Auswahl von Gesetzen und Normen für die IT-Revision (angelehnt an Fröschle 2006, S. 11)

Tabelle 2: Übersicht über verschiedene Normen und Referenzmodelle im Kontext der IT-Revision

1 Einleitung

1.1 Darstellung zentraler Forschungsfragen

Der Begriff der Revision wird synonym mit dem Begriff der Prüfung verwendet[1]. Prüfung ist ein „von einer natürlichen Person (Prüfer) durchzuführender Überwachungsprozess (Überwachung), bei dem Tatbestände, Sachverhalte, Eigenschaften oder Aussagen über diese (Istobjekte) mit geeigneten Bezugsgrößen (Sollobjekten) verglichen und eventuelle Abweichungen beurteilt werden“[2].

Die Informationstechnik (IT)-Revision als Erkenntnisgegenstand entstammt der Betriebswirtschaft, insbesondere dem betriebswirtschaftlichen Fach Revisions- und Treuhandwesen (kurz: Prüfungswesen)[3]. Mit zunehmender Bedeutung der IT als kritischem Erfolgsfaktor für Unternehmen und deren steigender Komplexität wurde sie ein zunehmend selbständigerer Teil des Prüfungswesens[4].

Auf diesen Geltungszuwachs Bezug nehmend wird in der Literatur diskutiert, ob die IT-Revision ein eigenständiger Teil der Wirtschaftsprüfung ist (vgl. Sowa 2007 und Knoll 2013), oder ob es sich lediglich um den informationstechnischen Teil der kaufmännischen Revision handelt (vgl. Praxis der Internen Revision 2012, S. 27, sowie Lohre 2009).

Senft[5] argumentiert, dass zunächst fachlich spezialisierte IT-Prüfer den Jahresabschluss-Prüfern zuarbeiteten, bis sich die IT-Revision zur eigenständigen Disziplin entwickelte: „IT auditing is a profession with conduct, aims, and qualities that are characterized by worldwide standards, an ethical set of rules (Information Systems Audit and Control Association [ISACA] Code of Ethics), and a professional certification program (Certified Information System Auditor [CISA])“ (Senft 2013, S. 4).

Über die der IT-Revision zugrunde liegenden Bezugsgrößen gibt es je nach Betrachtungswinkel – überwiegend betriebswirtschaftlich oder überwiegend informatorisch – ebenfalls deutliche Unterschiede. Berwanger[6] fokussiert die betriebswirtschaftliche Sicht und sieht die Korrektheit buchhalterischer Anwendungssysteme als Prüfungsobjekt, z.B. in Form der „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBS). Dementgegen ist das Prüfungsziel in Heinrich[7] sehr viel weiter gefasst: Ziel ist die Prüfung auf „Einhaltung anwendungsspezifischer unternehmensexterner […] und unternehmensinterner Regeln der IT“ (ebenda), deren „Wirtschaftlichkeit, Schutz und Sicherheit“ (ebenda) sowie die Revision des weiteren IT-Umfelds.

Die Relevanz der IT-Revision leitet sich von der Bedeutung der zugrunde liegenden Istobjekte für die Unternehmen ab: die weitgehende Unterstützung nahezu aller Unternehmensprozesse durch die IT führt dazu, dass das Schadenspotential im Falle von Nichtverfügbarkeit oder böswilliger, ggf. unbemerkter Manipulation nicht vernachlässigt werden darf (vgl. IT Governance Institute 2004). Doch nicht nur der potentielle Schaden aus bestehender Infrastruktur, sondern auch der durch ungenügende oder unterlassene Weiterentwicklung muss als Risiko für das Unternehmen und dessen Wettbewerbsfähigkeit berücksichtigt werden[8]. Überprüfung, Bewertung und Einordnung dieser Risiken ist Aufgabe der IT-Revision, der hierzu eine Vielzahl von nationalen und internationalen Gesetzen (Sarbanes-Oxley-Act, KonTraG, u.v.a.), Richtlinien (z.B. die 8. EU Audit-Richtlinie) und Standards (u.a. COBIT ®[9]) anhand gegeben werden[10].

1.2 Ziele und Aufbau der Arbeit

Ziel der vorliegenden Arbeit ist es, einen Überblick über das Themengebiet IT-Revision zu geben, wobei die organisatorische Eingliederung, die rechtlichen Grundlagen und die verschiedenen Leitfäden zur Umsetzung der zugrunde liegenden IT-Governance beleuchtet werden sollen. Zum Zeitpunkt dieser Seminararbeit ist die Zahl wirklich unabhängiger Literatur zu diesem Thema eher begrenzt, die meiste Literatur wurde von Mitgliedern von Wirtschaftsprüfungsgesellschaften oder anderen Interessensgemeinschaften der IT-Governance herausgegeben. Wissenschaftlich scheint dem Thema IT-Revision bislang nur eingeschränkt Beachtung geschenkt worden zu sein.

Die Einordnung verschiedener in der Fachliteratur synonym verwendeter Begriffe sowie ein kurzer Überblick über die gesetzlichen und normativen Rahmenbedingungen bilden den Ausgangspunkt des zweiten Kapitels.

Die Eingliederung der IT-Revision in das Unternehmen, sowie das Wirken der IT-Revision auf die Unternehmensprozesse wird im dritten Kapitel beleuchtet. Zentrale Fragestellungen sind, inwiefern der Bedeutung der IT-Revision in der Praxis durch adäquate organisatorische Eingliederung Rechnung getragen wird, und wie die IT-Revision auf abstrakter Ebene auf die Geschäftsprozesse eines Unternehmens wirkt.

Die rechtlichen Anforderungen, die im Rahmen von Audits der IT-Revision betrachtet werden können, werden in Kapitel 4 näher erläutert.

Im fünften Kapitel werden zwei Leitfäden zur Umsetzung von IT-Governance als Prüfobjekt der IT-Revision vorgestellt, näher erläutert und zueinander in Bezug gesetzt. Dabei wird diskutiert, welche Aufgaben, Ziele und Standpunkte diese Modelle vertreten und welche Differenzierungsmerkmale für die verschiedenen Herangehensweisen existieren.

Im sechsten Kapitel erfolgt ein kurzer Überblick über Kosten und Nutzen von IT-Revision, dem im siebten Kapitel eine abschließende Betrachtung der gewonnenen Erkenntnisse folgt.

2 Begriffserläuterungen und Abgrenzungen

2.1 IT-Assurance

Während sich die IT-Prüfung auf Konformität zu Gesetzen und Vorschriften bezieht und meist deutlich reglementiert ist, ist die IT-Assurance als Prüfungsverfahren wesentlich breiter gefasst und kann „frei definiert und gestaltet werden“ (Knoll 2013, S. 11). Dieser Definition folgt ebenfalls die ISACA (IT assurance guide 2007) und beschreibt die zugrunde liegenden Voraussetzungen einer Assurance-Initiative wie folgt:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Voraussetzungen einer Assurance-Initiative (übersetzt; IT assurance guide 2007, S. 17)

Das Ziel der Assurance ist, die Umsetzung eines Themas zu messen oder zu evaluieren[11]. Die Abgrenzung von „Assurance“ zum Term „Audit“ sieht der IT Assurance Guide der ISACA (ebenda) darin, dass Assurance weiter gefasst ist, als dies bei internen oder externen Audits sonst der Fall wäre.

2.2 IT-Revision, IT-Audit und IT-Prüfung

Die IT-Revision ist organisatorisch ein Teil der Internen Revision, einer Organisationseinheit eines Unternehmens, deren Aufgaben von Brand, Knoll und Schmitt wie folgt umrissen werden[12]:

1. Zu gewährleisten, dass gesetzliche und normative Bestimmungen eingehalten werden, um das Unternehmen vor sich daraus ergebenden Sanktionen zu schützen (i.d.R. Geld- oder Freiheitsstrafen)
2. Ein geeignetes Risiko- und Sicherheitsmanagement zu schaffen, welches das Unternehmen vor Schäden durch nicht ordnungsgemäßen IT-Gebrauch (Datendiebstahl, Datenverlust, u.v.a.) schützt; ebenso Identifikation dieser Risiken und ökonomischer Ineffizienzen
3. Zu prüfen, ob Ansprüchen von Außenstehenden (z.B. Datenschutz) auf geeignete Weise nachgekommen wird und ob deren Verpflichtungen durch Verträge nicht zum inakzeptablen Nachteil des Unternehmens sichergestellt sind
4. Überprüfung des internen Kontrollsystems (IKS) auf Eignung zur Risikokontrolle
5. Unterstützung des Top-Managements durch Risikobewertung, Schwachstellenanalyse und Handlungsempfehlungen

IT-Revision als Prozess (nicht als Organisationseinheit) wird wie eingangs bereits erläutert als Synonym zum IT-Audit verstanden. IT-Audit, IS[13] -Audit und IT-Prüfung werden ebenfalls wortgleich verwendet[14].

Während IT-Controlling eine „permanente Aufgabenstellung“ (Sowa 2007) ist, ist die IT-Revision im Rahmen von Prüfungsaufgaben zeitlich begrenzt auf einen ausgewählten Sachverhalt beschränkt.

2.3 IT-Governance und IT-Controlling

IT-Governance ist Aufgabe und Verantwortung der Unternehmensführung[15] und besteht aus „Führung, Organisationsstrukturen und Prozessen“[16] die sicherstellen sollen, dass die IT die Unternehmensziele unterstützt. Hierzu sollen Leitlinien für Entscheidungsbefugnisse und Verantwortlichkeiten festgelegt werden, um die Nutzung der IT für den angestrebten Zweck zu gewährleisten[17].

Junker et al. (2010, S. 28) sehen IT-Controlling als den Teil der IT-Governance, der sicherstellt, dass die IT-Unternehmensziele unter Berücksichtigung ökonomischer Gesichtspunkte (Kosten/Nutzen) unterstützt. IT-Controlling unterstützt das IT-Management durch Schaffung notwendiger Transparenz zur Entscheidungsunterstützung[18].

[...]


[1] Definition » Revision « | Gabler Wirtschaftslexikon

[2] Definition » Prüfung « | Gabler Wirtschaftslexikon

[3] Heinrich und Stelzer 2009, S. 220

[4] Knoll 2013, S. 23, und Fröschle 2006, S. 31

[5] Senft 2013, S. 4

[6] Berwanger und Kullmann 2012, S. 46

[7] Heinrich und Stelzer 2009, S. 220

[8] Ferstl 2005, S. 63

[9] Controlled Objectives for IT and Related Technologies

[10] Schirmbrand 2012

[11] IT assurance guide 2007, S. 17

[12] Schmidt und Brand 2011, S. 4-7 sowie Knoll 2013, S. 118 (sehr stark an Schmidt orientiert)

[13] Informationssystem

[14] Knoll 2013, S. 118

[15] COBIT®® 4.1 2007, S. 5

[16] Krcmar 2011, S. 147

[17] Weill und Woodham 2002, S. 1

[18] Kütz 2007, S. 7

Details

Seiten
34
Jahr
2013
ISBN (eBook)
9783656592907
ISBN (Buch)
9783656592891
Dateigröße
1.2 MB
Sprache
Deutsch
Katalognummer
v268274
Institution / Hochschule
FernUniversität Hagen – Fakultät für Wirtschaftswissenschaft: BWL, insb. Entwicklung von Informationssystemen
Note
Keine für die Arbeit vergeben
Schlagworte
it-revision aktueller diskussionsstand rahmenwerke nutzenbetrachtung

Autor

Zurück

Titel: IT-Revision. Aktueller Diskussionsstand, Rahmenwerke und Nutzenbetrachtung