Dass sich der Austausch zwischen CIOs und der IT-Revision verstärkt, ist kein Zufall. Auf der einen Seite haben viele CIO-Organisationen in den vergangenen Jahren in ihre internen Kontroll-Systeme investiert, sodass das IT-Compliance-Niveau intern angehoben worden ist. Auf der anderen Seite sind zahlreiche neue Risiken entstanden, deren Risikoklasse und tatsächliche Tragweite aus heutiger Sicht nur schwer abzuschätzen sind.
Zwar sind Themen wie Cyber-Kriminalität, Big Data, Consumerisation und Social Media nicht neu. Aber wer traut sich zum heutigen Zeitpunkt zu, deren Risikoniveau präzise zu bestimmen?
Vor diesem Hintergrund wurde Ende 2013 eine Studie durchgeführt, in der insgesamt 400 Unternehmen aus 21 Ländern befragt wurden. Ziel der Studie "IT Internal Audit Survey" war es, aktuelle Veränderungen im Hinblick auf die Organisation, Steuerung sowie den Einsatz von Frameworks, Tools und Templates in der IT-Revision zu erfragen. Eine erste interne IT Audit Studie wurde bereits 2009 durchgeführt. Die zweite Studie vier Jahre später liefert überraschende Ergebnisse.
Ergebnis 1: Sourcing-Modelle überdenken
Die interne IT-Revision wird sich in Zukunft auf neue Risiken - wie oben dargestellt - konzentrieren müssen. Um dieser Aufgabe gerecht zu werden, müsste die IT-Revision künftig erheblich in neue Skills und Talente investieren. Immerhin gaben 78 Prozent der Befragten an, dass gerade unzureichende Skills und auch unzureichende Teamstärke die wesentlichen Ursachen für eine Unzufriedenheit mit der internen IT-Revision sind. Der größte Mangel herrscht dabei im Bereich der Informationssicherheit.
Doch alleine durch Trainings kann diese Wissenslücke nicht gefüllt werden. Vielmehr gaben die Befragten an, dass zukünftig eine verstärkte Zusammenarbeit mit externen Spezialisten aus der IT-Branche unabdingbar sein wird. Umso mehr verwundert es, dass zum heutigen Zeitpunkt nur 33 Prozent der Befragten Zugang zu externen Spezialisten haben.
Ergebnis 2: IT-Prüfung am Bedarf ausrichten
Die Studie zeigt, dass IT-Prüfungen überwiegend an den vorhandenen Skills, Vorjahresbudgets sowie der Ist-Teamstärke ausgerichtet werden. 82 Prozent der befragten Unternehmen legen ihre Prüfungsplanung einmal im Jahr verbindlich fest und verändern diese unterjährig nur marginal. Eine solche Planung wird der strategischen Bedeutung und Tragweite der großen IT-Risiken nicht mehr gerecht. Vielmehr muss sich die IT-Revision skalierbarer aufstellen und die zur Verfügung stehenden Budgets müssen flexibilisiert werden, um ad hoc Prüfungsaufträge leisten zu können.
Ergebnis 3: Stärkere Hinterfragung der IT-Prüfungspläne
Weniger als die Hälfte der befragten Unternehmen sind mit den Prüfungen der IT-Revision zufrieden. Dieses Ergebnis ist insofern erstaunlich, als dass die IT-Prüfungen in der Regel strategisch ausgerichtet, umfangreich abgestimmt und letztlich vom Management freigegeben wurden. Die Ursache für diesen vermeintlichen Widerspruch liegt darin begründet, dass die meisten Unternehmen die Planung nicht hinreichend hinterfragen.
Ergebnis 4: Verbindung zu anderen Governance-Funktionen
Nahezu alle IT-Revisionen berichten durch einen Head of Audit an das Audit Committee des Unternehmens. Dies hat sich seit der letzten Studie in 2009 nicht geändert.
Gerade in den Interviews wurden dieser isolierte Berichtsweg und die mangelnde Integration zu anderen Governance-Funktionen kritisiert. 53 Prozent der Befragten gaben an, dass die IT-Revision nicht hinreichend am Governance-Modell der Unternehmen ausgerichtet ist. 16 Prozent gaben an, dass es nur gelegentliche oder keine Abstimmung zwischen den Governance-Funktionen gibt. Vor dem Hintergrund gestiegener und komplexer werdender regulatorischer Anforderungen besteht somit Handlungsbedarf.
Ergebnis 5: Standardisierung und Einsatz von Tools und Templates
Fast ein Viertel der Befragten gaben an, dass Sie keine Standards oder Frameworks - zum Beispiel COBIT, ISO 27001, ITIL oder PRINCE2 für IT-Projektprüfungen - nutzen. Es ist schwer nachzuvollziehen, wie für diese Unternehmen Ziele der IT-Prüfung gemessen werden können. Eine Messung der Zielerreichung und Qualitätsbeurteilungen scheinen ohnehin kaum vorgenommen zu werden.
Gleichzeitig liegt in diesem Studienergebnis eine Chance, da Templates vergleichsweise schnell entwickelt und somit Frameworks eingeführt werden können. Der Grad der Veränderung wäre dadurch deutlich geringer als in den Feststellungen der Studienergebnisse 1 bis 4. Die meisten IT-Revisionen jedoch nutzen Tools. Besonders effektiv wurden in diesem Zusammenhang automatisierte Massendatenanalysen eingeschätzt.
Fazit
Ohne Zweifel steht die IT-Revision vor neuen großen Herausforderungen. Diese wird sie besser meistern, wenn neue Skills aufgebaut werden, die Prüfung bedarfsgerecht geplant wird, die Prüfungsinhalte selbst vom Management stärker hinterfragt werden, eine stärkere Verknüpfung zu anderen Governance-Funktionen geplant wird und schließlich Templates und international anerkannte Frameworks genutzt werden.
Die vollständige Studie "KPMG’s 2013 IT Internal Audit Survey" steht zum kostenlosen Download bereit oder kann über den Autor bezogen werden.
Sebastian Paas ist Partner bei KPMG im Bereich Technology.