Vernetzung von IT- und Fachprüfern in der Revisionsarbeit

image_print

IT-Prüfer als revisionsinterne Multiplikatoren

Andreas Freßmann, Leiter Produktions- und Steuerungsrevision, Sparkasse Münsterland Ost

Die durchgängig IT-gestützte Banksteuerung, bei hohem fachlichen Spezialisierungsgrad und die ggf. revisionsseitig bestehende Notwendigkeit zur Durchführung von eigenen Datenanalysen im Rahmen von Prüfungen erfordern in der Prüfungspraxis eine immer stärkere Vernetzung von IT- und Fachprüfern. Nach einer Übergangsfrist, in der die Grenzen zwischen IT- und Fachprüfern fließend sind, sehen die Auguren mehrheitlich, dass, mit Ausnahme spezifischer Kenntnisse zum Audit der IT-Infrastruktur, die zwei Disziplinen mehr und mehr verschmelzen. Dabei wird es weiterhin Ausprägungen geben mit einem eher betriebswirtschaftlichen Schwerpunkt und einem mehrheitlichen Anteil an Informatik-Expertise. Eine absolute Trennung der Disziplinen, wie zum Teil heute in den Revisionen vorhanden, wird es in Zukunft wohl nicht mehr geben.

BUCHTIPP

 

Weimer (Hrsg.), Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken 4. Aufl. 2017.

 

In mittleren und großen Revisionen lässt sich das notwendige Gesamtwissen für ein Prüfungsobjekt vorausschauend durch die Zusammenstellung von Prüfungsteams mit entsprechenden Schwerpunktkompetenzen abbilden. Kleinere Revisionen können diese Fähigkeiten aufgrund ihrer begrenzten Ressourcen entweder zukaufen oder verfügen im besten, aber sehr seltenen Fall über Prüfer mit einer hervorragenden Allround-Ausbildung, um einen möglichst hohen Abdeckungsgrad in einer Prüfung zu erreichen.

Ziel ist in jedem Fall die fachliche und personelle Integration der beiden Disziplinen. Nachfolgend wird deshalb über konkrete Maßnahmen berichtet, um diese Integration aktiv zu fördern:FCH Compliance LogoIT-Prüfer als revisionsinterne Multiplikatoren

In einem ersten Schritt sind die IT-Prüfer herausgefordert, ihr spezifisches Know-how im Rahmen der revisionsinternen Wissensvermittlung adressatengerecht weiterzugeben. Der besondere Anspruch liegt dabei darin, Detailwissen nachvollziehbar und verständlich zu machen. Gegenfalls sind hier unterstützend auch die Coaching-Qualitäten der Revisionsleitungen gefordert. Und je verständlicher der Wissenstransfer gelingt, umso mehr nimmt gleichzeitig die Scheu der Fachprüfer ab, sich zukünftig verstärkt mit IT-Themen zu befassen.

IT-Themen als Regelprüfungsgegenstand bei jeder Prüfung

In analoger Anwendung der Prüfungsberichtsverordnung ist der Prüfer verpflichtet, über wesentliche Änderungen bei den IT-Systemen im geprüften Bereich zu berichten und die entsprechenden IT-Projekte im Prüfungsbericht aufzuführen. Darüber hinaus muss der Prüfer ausführlich über die IT-Systeme des geprüften Bereiches berichten. So hat er zu bewerten, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit der bankaufsichtlich relevanten Daten angemessen sind und wirksam umgesetzt wurden. Die IT-Systemprüfung ist folglich integraler Bestandteil jeder Aufbauprüfung im Rahmen eines risikoorientierten Prüfungsansatzes. Um die Zusammenarbeit der IT- und Fachprüfer zu fördern und eine engere und qualitativ hochwertige Zusammenarbeit zu ermöglichen, sind die IT-Prüfer jeweils zu den Prüfungen hinzuzuziehen. In diesem Zusammenhang sind dann bei Aufbauprüfungen verpflichtend die für den zu prüfenden Gegenstand seitens des Fachbereiches verwendeten IT-Anwendungen aufzunehmen. Hierbei ist zwischen Standard-Anwendungen und IDV-Anwendungen zu unterscheiden. Die im Rahmen der Prüfung zu stellenden Anforderungen ergeben sich aus AT 7.2 Tz. 2 MaRisk. Bezüglich des Einsatzes von IDV ist zu erheben, ob es sich um bankfachliche und/oder rechnungslegungsrelevante Anwendungen handelt. Trifft eine der genannten Kriterien zu, so sind die gleichen Anforderungen an die IDV zu stellen, wie diese auch für Standardanwendungen zugrunde zu legen sind. Zusätzlich wird geprüft, ob Effizienzgewinne aus der Digitalisierung im geprüften Bereich konsequent realisiert wurden bzw., wenn das nicht der Fall ist, ob Effizienzgewinne aus Digitalisierung realistisch möglich sind. Falls solche Ansätze identifiziert werden, ist zu beschreiben, wie diese zu heben sind. Besondere Expertise besitzen IT-Prüfer regelmäßig auch in der Beurteilung des Internen Kontrollsystems. Auch bei diesem Prüffeld kann im Rahmen einer Aufbauprüfung in Zusammenarbeit mit dem Prozessprüfer ein gemeinsames Prüfungsurteil erarbeitet werden.

Aufgabenanreicherung der IT-Prüfer um Steuerungsthemen

Umgekehrt führt der Einbezug der IT-Prüfer in die Aufbauprüfungen auch bei diesen zu einer fachlich breiteren Aufstellung. Mit der Einbindung der IT-Prüfer in das Prüfungsteam verbunden ist auch eine Verantwortungsübernahme für das Gesamtergebnis der Prüfung.

SEMINARTIPPS

Datenrisiken im Kreditgeschäft, 04.12.2018, Frankfurt/M.

Aktuelle Offenlegung von Finanz- & Risikodaten, 06.12.2018, Frankfurt/M.

8. Fachtagung Revision Risikomanagement, 25.–26.03.2019, Köln.

Prüfung Risikoberichtswesen, 11.04.2019, Frankfurt/M.

Prüfung neue interne Governance-Vorgaben, 16.05.2019, Hamburg.

Prüfung Datenqualität, 21.05.2019, Frankfurt/M.

Prüfung DSGVO-Umsetzung, 22.–23.05.2019, Frankfurt/M.

 

IT-Prüfer regelmäßig in Projektarbeit, Veränderungsprozesse gem. AT 8 MaRisk und in die Weiterentwicklung der Revisionsarbeit einbinden

IT-Prüfer neben den Fachprüfern als zusätzliche Stakeholder eines Projekts bzw. von betrieblichen Veränderungsprozessen zu betrachten, hilft konkret dabei, spätere Probleme zu vermeiden oder abzumildern. Die (Verbesserungs-)Vorschläge der Prüfer erst ex post nach der Implementierung eines Projektergebnisses umzusetzen, wird erfahrungsgemäß sehr schwierig. Die Methode der Einbindung spart Zeit und Geld und ist darüber hinaus auch ein sinnvoller Weg, um ein positives Miteinander mit den Prüfern zu initiieren. Auch revisionsintern können die spezifischen Qualifikationen der IT-Prüfer bei der Weiterentwicklung der Prüfungsmethodologie nutzbar gemacht werden. Diese Weiterentwicklungen sind umso praxistauglicher, als die IT-Prüfer aus einem Fundus konkreter Prüfungserfahrungen schöpfen können.

Die vorgenannten Maßnahmen tragen zur verstärkten Integration von IT- und Fachprüfern bei, mit dem Ziel revisionsseitig kompetente, agile, kommunikationsstarke und lösungsorientierte Prüfungsteams zum Einsatz zu bringen.

PRAXISTIPPS

Die Vernetzung von IT- und Fachprüfern mit dem Ziel der Integration der beiden Prüfungsdisziplinen kann durch folgende konkrete Maßnahmen gefördert werden:

  • IT-Prüfer als Multiplikatoren
  • IT-Themen als Regelprüfungsgegenstand in jeder Prüfung
  • Aufgabenanreicherung der IT-Prüfer um Steuerungsthemen
  • Regelmäßige Einbindung IT-Prüfer in Projektarbeit, Veränderungsprozesse gem. AT 8 MaRisk und die Weiterentwicklung der Revisionsarbeit.
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.