IT Compliance: So minimieren Sie Risiken
Prof. Dr. Thomas Rautenstrauch
Prof. Dr. rer. pol. Thomas Rautenstrauch ist Dozent für Controlling und Corporate Finance im Institut für Finance and Law der OST - Ostschweizer Fachhochschule. Er wirkt zudem seit 2007 als Dozent und Prüfungsexperte bei der ExpertSuisse für die Ausbildung zum dipl. Wirtschaftsprüfer und dipl. Steuerexperten sowie seit 2014 als Gastprofessor für Managerial Accounting im EMBA des MCI Management Center Innsbruck. Thomas Rautenstrauch ist Autor von mehreren Fachbüchern und zahlreichen Artikeln in Fachzeitschriften und in der Wirtschaftspresse.
Durch die hohe Bedeutung der Informationstechnologie ist die Ebene der IT Compliance auch für nahezu jedes Unternehmen eine relevante Kontrollebene. Es gilt hier IT-Kontrollen zu definieren, dokumentieren und umzusetzen. Im Mittelpunkt steht dabei die Notwendigkeit einer eindeutigen und vollständigen Regelung, wer Zugriff auf die im Unternehmen eingesetzte Hard und -Software haben soll(te) sowie bei der Programmentwicklung in vorgegebenem Umfang beteiligt sein darf. Da die IT regelmässig den Lebensnerv eines Unternehmens darstellt, ist zugleich der Bedarf nach Kontrollen auf der Unternehmens- und Applikationsebene von enormer Bedeutung.
Aus dem Schweizer Prüfungsstandard 890 zur Prüfung der Existenz eines Internen Kontrollsystems geht klar hervor, dass neben den Kontrollen auf Unternehmens- und Prozessebene auch die IT und ihre Funktion zur Unterstützung der Geschäftsprozesse einen massgeblichen Prüfungsgegenstand darstellen: «Der Abschlussprüfer prüft die Existenz sowohl der Kontrollen auf Unternehmensebene als auch der Kontrollen auf Prozessebene und die generellen IT-Kontrollen.
Weiter wird die Geschäftsleitung in die Verantwortung gezogen, in angemessener Art und Weise den aus der IT entstehenden Risiken zu entgegnen, indem anwendungsbezogene IT Compliance definiert und eingeführt werden. Kontrollmassnahmen im Rahmen der IT sind dann vom Prüfer als wirksam zu taxieren, wenn sie die Integrität und Sicherheit von Daten, die in IT-Systemen in irgendeiner Form verarbeitet werden, aufrechterhalten. Inwiefern IT-Kontrollen im Rahmen des IKS in der jeweiligen Unternehmung gewichtet werden müssen, hängt massgeblich davon ab, wie stark der Rechnungslegungs- und Berichterstattungsprozess von IT-Systemen abhängt und wie hoch das Fehlerrisiko im Zusammenhang mit der Verwendung von IT-Systemen ist.
Sowohl kleine als auch grössere Unternehmen verarbeiten Transaktionen im Bereich der Buchführung und Rechnungslegung mittels Unterstützung der Informationstechnologie. Der Einsatz von IT impliziert Risiken, wie beispielsweise, dass nicht autorisierte Personen Zugang zu Softwareapplikationen im Finanzbereich haben und damit Buchhaltungsdaten erlangen. Somit könnten dann diese Daten manipuliert und z.B. fiktive Konten erstellt werden.
IT Compliance auf Unternehmensebene
IT-Kontrollen auf Unternehmensebene bilden einen Teil des unternehmensweiten Kontrollumfelds und umfassen im Wesentlichen den IT-Risikomanagementprozess, die IT-Strategieplanung, den Umgang mit rechtlichen und regulatorischen Fragen, die Architektur der IT-Systeme, IT-Governance sowie dazugehörende Regelungen und Weisungen, die IT-technische Ausbildung und das Risikobewusstsein von Mitarbeitenden sowie das Monitoring der IT. Die im Jahreszyklus vorgesehene Prüfung bezieht sich somit auf die Existenz von generellen bzw. unternehmensweiten IT-Kontrollen.
Unternehmensweite Kontrollen gelten als besonders mächtig und wichtig, denn ohne angemessenes Ethikbewusstsein, ausgebautes und umfassendes Leitbild sowie Risikokultur kann kein effektives Internes Kontrollsystem aufgebaut werden. Die Kontrollen auf Unternehmensebene fungieren somit als Grundpfeiler für alle anderen darauf aufbauenden Kontrollen.
Generelle IT Compliance
Eine funktionierende IT-Infrastruktur und wirksame Kontrollen der IT Prozesse (verstanden als generelle IT-Kontrollen) werden regelmässig als Voraussetzung für die Wirksamkeit von Kontrollen auf der Ebene einzelner Anwendungssysteme (Applikationskontrollen) bewertet. Generelle IT-Kontrollen sind abgeleitet aus den IT-Prozessen. Sie haben unterstützenden Charakter, jedoch keinen direkten Bezug zu den Fachbereichen. Die Dokumentation der allgemeinen IT Compliance zeigt auf, welche Kontrollen sicherstellen, dass die automatisierten IT-Anwendungskontrollen ordnungsgemäss funktionieren, und umfasst regelmässig folgende Bereiche:
- Programmentwicklung; d.h. die Sicherstellung, dass nur IT-Systeme entwickelt, konfiguriert und implementiert werden, welche die Anforderungen der Geschäftsprozesse in finanzieller, operationeller und normenkonformer Hinsicht erfüllen.
- Programm- und Datenbankanpassungen; d.h. die Sicherstellung, dass modifizierte oder neue Systeme weiterhin die Anforderungen der Geschäftsprozesse erfüllen. So sind z.B. angemessene Testverfahren für Änderungen an IT-Applikationen und Datenbanken durchzuführen oder Verfahren zur Abwicklung dringlicher Änderungen an Datenbanken zu definieren.
- Zugriffe auf Programme und Daten; d.h. die Sicherstellung, dass einerseits der Zugriff auf Systeme und Daten autorisiert und durch Authentisierungsmechanismen wirksam geschützt ist. Andererseits soll gewährleistet werden, dass der physische Zutrittsschutz zu kritischen IT-Infrastrukturen und Daten vorhanden ist.
- Betrieb der Informatik; d.h. die Sicherstellung, dass produktive Systeme stets verfügbar sind und so betrieben werden, wie sie vom Business genehmigt wurden. Dazu gehört z.B. das korrekte und vollständige Verarbeiten von Datenübertragungen an System-Schnittstellen oder Verfahren zur Handhabung von Zwischenfällen und Problemen.
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare
