Analysten-Kolumne

IT-Compliance und IT-Audits als Top-CIO-Aufgabe

Peter Heidkamp ist Partner bei KPMG in Deutschland

IT-Prüfung kann Antworten auf eine Reihe von Fragen bieten, die sich heutigen CIOs stellen:

  • Steigerung der IT-Wertschöpfung
    Liefert die IT-Organisation die erwarteten Ergebnisse?
    Ist die Zusammenarbeit und der Austausch mit dem Business zufriedenstellend?
    Haben die IT-Prozesse einen ausreichenden Reifegrad erlangt?
    Werden IT-Projekte hinreichend qualitätsgesichert?

  • Konzentration auf Kernkompetenzen
    Ist die IT-Organisation richtig aufgestellt, oder sollten bestimmte Services ausgelagert werden?
    Werden regelmäßig Potenzialanalysen durchgeführt?

  • Senkung der Betriebs- und Verwaltungskosten
    Ist das Service-Angebot standardisiert?
    Sind die IT-Prozesse durchgängig, schlank und konsistent?
    Sind interne Kontroll- und Revisionsaktivitäten ausreichend automatisiert?
    Ist ein effektives IT-Controlling innerhalb der IT-Organisation etabliert?

  • Erhöhung der Flexibilität und Variabilität
    Entspricht die genutzte Technologie dem Stand der Technik?
    Ist ein hohes Maß an Standardisierung erreicht?

  • Sicherstellung Compliance
    Sind ERP-Systeme ordnungsgemäß eingerichtet und können von ihnen buchhalterische Informationen verlässlich bezogen werden?
    Werden die relevanten Systeme ordnungsgemäß betrieben?
    Kann die interne Revision adäquat IT-Prüfungen durchführen?
    Liegen benötigte Testate und Zertifikate für IT-Systeme und -Prozesse vor?
    Kann die Ordnungsmäßigkeit und Verlässlichkeit von finanzrelevanten Anwendungen bestätigt werden?

Die Rolle des IT-Prüfers

Compliance im Spannungsfeld zwischen Risiko-Management und Unternehmensleistung.
Compliance im Spannungsfeld zwischen Risiko-Management und Unternehmensleistung.

Während IT-Prüfer in den neunziger Jahren auch als Berater wahrgenommen wurden, ergab sich ab 2003 - aufgrund der regulatorischen Anforderungen - eine schärfere Trennung zwischen Prüfung und Beratung; die IT-Prüfung reduzierte sich auf für die Abschlussprüfung notwendige Aussagen, darüber hinaus gehende Aspekte wurden häufig nicht genutzt.

Heute gilt es wieder, dieses Potential auszuschöpfen und einen erweiterten Nutzen aus der Arbeit der IT-Prüfer zu ziehen. Prüfungserkenntnisse können unabhängige Aussagen liefern zur Verlässlichkeit von IT-Dienstleistern, Sinnhaftigkeit von Investitionen, Zuverlässigkeit der IT-Systeme und zum Reifegrad der gesamten IT-Organisation.

Ganzheitlicher Ansatz

Neben den rechtlichen Anforderungen wie den deutschen GoBS oder dem US-amerikanischen Sarbanes-Oxley Act, denen sich eine IT-Organisation zu stellen hat, können eine Reihe von Konzepten und Rahmenwerken angewandt werden, um die verschiedenen Aspekte im IT-Umfeld zu betrachten und zu bewerten. Ursprünglich kontrollgetrieben, hat sich COBIT® zum Rahmenwerk für IT-Governance und IT-Management entwickelt und bietet ein Reifegradmodell zur Bewertung der IT-Organisation und ihrer Prozesse. Ergänzend dazu steht mit ITILITIL® eine Referenzbibiliothek für IT-Prozesse zur Verfügung, während international anerkannte Standards beispielsweise zu den Themen IT-Service-Management (ISO 20000) bzw. IT-Security-Management (ISO 27001 oder die IT-Grundschutz-Kataloge ) das Bild abrunden. Alles zu ITIL auf CIO.de

Zur Startseite