Buchbesprechung
IT-Revision in der Praxis nach den Grundsätzen einer ordnungsgemäßen IT
Hanser Verlag, München
2011
313 Seiten
Flexcover
ISBN 978-3-446-41706-9 € 49,90
Die zunehmende Durchdringung der Unternehmen mit immer komplexeren IT-Lösungen einerseits und die immer vielfältigeren (technischen) Bedrohungen andererseits, denen Unternehmen heute ausgesetzt sind, erfordern zwingend eine systematische Kontrollfunktion.Denn die mit dem IT-Einsatz einhergehenden, komplexen technischen und organisatorischen Risiken müssen nachhaltig vermieden oder - wo nicht möglich - minimiert werden. Nur wer sorgfältig, regelmäßig und risikoorientiert prüft, ob durch eingesetzte IT-Lösungen der Geschäftsbetrieb direkt oder indirekt verwundbar wird, und wenn ja, angemessen darauf zu reagieren weiß, kann langfristig im Wettbewerb bestehen. Während unternehmensextern spezielle IT-Prüfer und Wirtschaftsprüfer (insbesondere im Rahmen der Abschlussprüfung) diese Aufgabe übernehmen, ist es intern die Pflicht der IT-Revisoren, diesen Themenkomplex ganzheitlich zu betreuen.
Das vorliegende Buch von Dirk Brand und Klaus Schmidt leistet dazu wichtige Unterstützung. Es führt in verständlicher Weise und sehr gut strukturiert in die gesamte Materie ein. Im ersten Teil behandeln die Autoren unter der Überschrift "Praxis der IT-Revision" alle wichtigen theoretischen und praktischen Aspekte der IT-Revision und IT-Prüfung, der gesetzlichen/aufsichtsrechtlichen Grundlagen sowie COBIT-Prüfungen und besondere Prüfungsgebiete. Der Prüfungsablauf wird ebenso detailliert dargestellt wie die Prüfung zentraler IT-Verfahren, darunter beispielsweise Berechtigungskonzepte und der Lebenszyklus von Unternehmensdaten. Dieser erste Teil ist sehr leicht lesbar geschrieben, viele Beispiele verdeutlichen mögliche Umsetzungsformen oder geben konkrete Tipps für die Praxis. Auch wer nur rasch ein Stichwort nachschlagen möchte, findet sich schnell zurecht.
Der zweite Teil des Buches beschreibt die Grundsätze einer ordnungsgemäßen Informationstechnik (GoIT). Zunächst wird dieses Modell und seine Anwendung kurz vorgestellt, dann folgen - nach Abschnitten getrennt - die Ebenenelemente des Modells. Sie umfassen eine physikalische, eine Netzwerk-, eine System-, eine Applikations-, eine Inhalts- und eine personelleEbene. Die einzelnen Ebenen und ihre Inhalte werden in ausführlichen Checklisten, Fragen und Hinweisen behandelt. Zu jedem Inhaltselement wird auf jeweils einer Seite dokumentiert, welche Prüfungsaspekte des Modells (Ordnungsmäßigkeit, Sicherheit, Zweckmäßigkeit, Wirtschaftlichkeit und Kontrollierbarkeit) abgedeckt sind. Verweise auf Standards und Normen sind in der Darstellung ebenso enthalten wie praktische Hinweise zur Risikovermeidung oder -minimierung.
Was von großem Vorteil ist, wenn man sich in kurzer Zeit einen möglichst vollständigen Überblick verschaffen möchte, ist auf der anderen Seite der Nachteil des Buches. Es behandelt zwar alle wichtigen Themen, diese jedoch relativ knapp und auf eher überblicksartigem Niveau. Es geht daher auch nicht oder nur selten in die Tiefe. An einigen Stellen sind Zusammenhänge vereinfacht, interessante Argumente können nicht im vollständig möglichen Umfang diskutiert werden.
Der Spagat zwischen handlicher Seitenzahl und unendlicher Themenfülle ist dennoch gut gelungen. Das Buch bietet insgesamt einen sehr guten Rundumblick zum Thema IT-Revision und -Prüfung, gerade für eine rasche Orientierung, ohne dabei etwas wirklich Wichtiges zu vergessen. Als leicht lesbare Zusammenfassung ist es der ideale Einstieg in die komplexe Materie und daher ganz besonders für diejenigen zu empfehlen, die sich mit der gesamten Thematik rasch und strukturiert vertraut machen wollen oder müssen, aber auch für Studierende, die das Thema "IT-Revision" im Rahmen einschlägiger betriebswirtschaftlich oder technisch motivierter Veranstaltungsangebote zum ersten Mal kennenlernen. Im Anschluss daran kann und darf vertiefende und Spezialliteratur konkrete Detailfragen beantworten. Durch die vielen Praxishinweise gibt das Buch sicher auch beim Erarbeiten eigener Revisionswerkzeuge und Templates wichtige Anregungen.
Sehr positiv ist das Angebot, das Buch auch als E-Book nutzen zu können. Leider jedoch ist das E-Book DRM-geschützt und kann nur mit einem bestimmten Programm genutzt werden. Zwar ist dieses Programm kostenfrei erhältlich, Unternehmen jedoch, die es noch nicht in ihrem Softwarekatalog führen, müssten - ganz im Sinne der IT- Revision - im Rahmen eines Change-Management-Prozesses konsequenterweise erst einmal prüfen, ob und welche Risiken von einem solchen Programm ausgehen und wem es wie zur Verfügung gestellt werden soll. Ein möglicherweise (zu) hoher Aufwand? Vielleicht gibt es hierfür eine elegantere Lösung?
Prof. Dr. Matthias Knoll
Hochschule Darmstadt
