Anforderungen an die Kompetenz von IT-Revisoren

Jürgen Krug, IT-Revisor, Zentralrevision, Frankfurter Sparkasse

IT-Revisor – ein Beruf mit Zukunft? Diese Frage kann zweifelsfrei mit „ja“ beantwortet werden. Allein die neuen Herausforderungen wie IT-Sicherheitsgesetz, EU-Datenschutzgrundverordnung, Digitalisierung und Cloud Computing, um nur einige zu nennen, erfordern ein entsprechendes Gegengewicht in der Third Line of Defense. Insbesondere durch diese technisch orientierten Themen ist die IT-Revision besonders gefordert und wird zukünftig noch stärker gefordert werden.

Dazu kommt, dass gerade im Finanzsektor die wirksame Risikosteuerung immer stärker in den Fokus der Aufsicht rückt. Auch wird die Tragweite der vom Baseler Ausschuss für Bankenaufsicht im Januar 2013 veröffentlichten „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) mittlerweile immer deutlicher spürbar. Im Hinblick auf die daraus resultierenden zum Teil gravierenden Anpassungen der IT-Systeme und Prozesse ist es notwendig, die bisherige Prüfungspraxis zu überdenken und anzupassen. Aufgrund der zunehmenden Verzahnung unterschiedlicher IT-Systeme wird die Prüfung bzw. die Beurteilung der Datenqualität immer anspruchsvoller. Verbunden mit der Flut an Daten erfordert die effizient zu gestaltende Prüfung eine zielgerichtete Strategie.

   SEMINARTIPPS

Der Samurai Manager, 06.–09.06.2018, Stollhof, Österreich.

5. Fachtagung IT-Revision, 22.–23.10.2018, Frankfurt/M.

Was heißt das nun konkret? Schauen wir uns zunächst die originären Aufgaben an, die weiterhin Bestand haben und entsprechend zu erfüllen sind:

• Prüfungs- und Beratungsleistung für den Vorstand und andere Organisationseinheiten im IT-Umfeld, Mitwirkung in (IT-)Projekten
• Prüfung der technischen und organisatorischen Ausstattung bzw. Beurteilung der zugrundeliegenden Informationstechnologie
• Prüfung der IT-Infrastruktur, vorhandener und geplanter IT-Konzepte, der Applikationssysteme sowie der internen IT-Prozesse
• Unterstützung der Fachrevisoren bei IT-spezifischen Fragestellungen unter Einbeziehung regulatorischer Anforderungen und Vorgaben

Eine relativ neue Komponente ist die Beurteilung der Corporate Governance als wesentliches Element der Unternehmenssteuerung und -kontrolle. Zudem ist davon auszugehen, dass dolose Handlungen zunehmen werden und daher die Aspekte Prävention und Aufklärung dieser wirtschaftskriminellen Handlungen stärkere Bedeutung erfahren. Um die Entdeckungswahrscheinlichkeit der möglichen Betrugsversuche zu erhöhen, muss die IT-Revision intensiver mit der Fachrevision zusammenarbeiten und nach Möglichkeit neue Verfahren und Techniken entwickeln können.

Wie viel IT-Know-how sollte ein Fachprüfer haben, damit die Zusammenarbeit mit der IT-Revision zielführender funktionieren kann? Diese Frage ist nicht leicht zu beantworten. Einigkeit besteht darüber, dass IT-Grundlagen vorhanden sein müssen. Dies schließt neben des sicheren Umgangs mit MS-Office oder vergleichbaren Open Source Produkten auch IT-Grundwissen über Netzwerke, Betriebssysteme, Systemarchitekturen und das Internet ein.

Der Umfang des für den einzelnen Prüfer notwendigen IT-Fachwissens ist von mehreren Faktoren abhängig. Neben Geschäftsmodell, IT-strategischer Ausrichtung, Grad der Auslagerung, Prozessreife, Größe und der bereits vorhandenen qualitativen Ausstattung der Revision des Instituts, spielt die Prüfungsmethodik (Audit Universe usw.) sowie die Nutzung von Tools zur Prüfungsunterstützung innerhalb der Revision eine entscheidende Rolle. Hilfreich ist auf jeden Fall eine Sensibilisierung für Entwicklung und Betrieb von IT-Anwendungen. Folgende Aspekte sind wichtig für ein tieferes Verständnis der Zusammenhänge im Prüfgebiet und somit einer besseren Beurteilung des innewohnenden (IT-)Risikos:

• Cyber-/Informationssicherheit/Authentifizierungsmethoden/Kryptografie
• Notfallvorsorge/Business Continuity Management
• Softwareentwicklung (Tools, Programmierstandards, Vorgehensmodelle)
• Datenbanktechnologie und Abfragesprachen (SQL)
• (IT-)Outsourcing/Vertragsgestaltung/SLAs/SW-Eigentum bzw. Nutzungsrecht
• Datensicherungs- und Wiederherstellungsverfahren
• Netzwerktechnik/Schnittstellen/Datenformate
• Berechtigungsverwaltung (AD, ACL, RACF, KURS, LDAP, PKI, Kerberos)

 BUCHTIPPS

Lindner, Erfolgsfaktor Humankapital bei der Fusion von Banken, 2018.

Held/Kühn (Hrsg.), Praktikerhandbuch IT- und Informationssicherheitsbeauftragter, 2018.

Allein der Punkt Berechtigungsverwaltung stellt aufgrund der Vielseitigkeit eine besondere Herausforderung dar. Die ausreichende Ausstattung der Revision mit IT-Kenntnissen hat einen entscheidenden Einfluss auf die Prüfungsdurchführung. Nur auf dieser Basis sind vernünftige und qualitativ hochwertige Prüfungshandlungen möglich. Die Meinungen gehen allerdings häufig beim Zuschnitt der Prüfungsteams auseinander, d. h. über den Umfang der Einbindung von IT-Prüfern wird zu oft diskutiert. Das knappe Gut des IT-Auditors wird in der Praxis bei den primär fachlich getriebenen Prüfungen nicht im notwendigen Maße zur Verfügung gestellt. Erschwerend kommt hinzu, dass auch die Meinungen hinsichtlich des Umfangs der IT-technischen Qualifizierung auseinander gehen.

Idealerweise sollte das Stellenprofil des modernen IT-Revisors neben den oben genannten fachlichen Themen folgendes beinhalten:

• erfolgreich abgeschlossenes (Fach-)Hochschulstudium der Wirtschafts- oder Fachinformatik oder vergleichbare IT-Qualifikation
• Kenntnisse der aufsichtsrechtlichen Vorgaben (ITSiG, relevantes EU-Recht, HGB, KWG, MaRisk, BAIT)
• Kenntnisse gängiger (Prüfungs-)Standards und Rahmenwerke im IT- und Revisionsumfeld (bspw. IDW PS, BSI, COBIT, ITIL, BCBS 239)
• gute Kenntnisse im Projekt- und Prozessmanagement

In den letzten Jahren hat sich die Art der Kommunikation stark geändert. Dies wurde insbesondere durch neue Technologien erst ermöglicht. Im harten Wettbewerb bedeutet dies für die Unternehmen einen effizienten Umgang mit den modernen Kommunikationsmitteln. Die IT-Revision hat sich folglich darauf einzustellen und die Herausforderungen bei der Nutzung u. a. sozialer Netzwerke anzunehmen.

Welche „Soft Skills“ machen den Unterschied? Sehr wichtig sind kommunikative Kompetenz sowie Teamfähigkeit. Da die IT als zentraler Dreh- und Angelpunkt zur Unterstützung der Prozesse einen wesentlichen Einfluss auf den wirtschaftlichen Erfolg des Unternehmens hat, fungiert die IT-Revision als „Dolmetscher“ zwischen den Welten Fachbereich, IT und Geschäftsführung. Aus Sicht von Geschäftsprozessprüfungen, die idealerweise im Team gemeistert werden sollten, ist ein gesundes Maß an emotionaler Intelligenz hilfreich und kann den Prüfungsverlauf, d. h. das Miteinander der Kollegen aber auch der Geprüften, positiv beeinflussen. Möglicherweise können so Reibungsverluste vermieden werden. Nicht zu unterschätzen sind die Skills Lernwilligkeit, analytische Kompetenz sowie Konflikt- und Kritikfähigkeit.

Festzuhalten bleibt, dass die Anforderungen an die Kompetenz von IT-Revisoren immer höher werden!

PRAXISTIPPS

• Investieren Sie in die Weiterbildung Ihrer IT-Revision, damit diese auf Augenhöhe mit den Fachbereichen „diskutieren“ können.
• Nur die Institute, die permanent für eine ausreichende Ausstattung mit IT-Kenntnissen sorgen, werden für die zukünftigen Herausforderungen und externen Prüfungen der EZB, BaFin etc. gerüstet sein.
• Fördern Sie die Beherrschung der Prüfungs- und Beratungstechniken.
• Entwickeln Sie ein Verständnis für die modernen Kommunikationsmittel.
• Legen Sie Wert auf zielführende Soft Skills.