Buchbesprechung
IT-Audit
Grundlagen - Prüfungsprozess - Best Practice
ESV Erich Schmidt Verlag, Berlin
2015
279 Seiten
ISBN 978-3-503-15845-4 € 39,95 (D)
Zum Thema IT-Audit gibt es im deutschsprachigen - anders als im angelsächsischen - Sprachraum nur wenige Monografien. Dies ist umso erstaunlicher, da IT-Prüfungen in Zeiten von Big Data, Cyber Security und Industrie 4.0 zunehmend an Bedeutung gewinnen.
Stefan Beißel will mit seinem Buch eine praxisorientierte Einführung in die Welt des IT-Audits geben. Bereits die Durchsicht der Inhaltsangabe und der Kapitelüberschriften lassen vermuten, dass der Autor IT-Audits eher im Sinne der ISO 27001 als nach den gängigen Begrifflichkeiten von interner und externer Revision definiert hat. Bei der weiteren Befassung verstärkt sich der Eindruck, dass dieses Buch aus der Praxis von technischen IT-Audits und weniger aus der Sicht einer methodengeprägten IT-Systemprüfung durch interne oder externe Prüfer geschrieben wurde.
Kapitel I (Grundlagen) enthält auf ca. 50 Seiten knappe Erläuterungen bzw. Definitionen von wesentlichen Aspekten, die mit IT-Audits verbunden sind. Hierzu zählen die unterschiedlichen Anlässe für IT-Audits, ein Abriss der Themen, auf die sich IT-Audits richten können, oder auch unter der Überschrift "Zertifizierung" ein Überblick über gängige Standards und Rahmenwerke, die einem IT-Audit zugrunde gelegt werden können. Kapitel II (Vorbereitung) widmet sich der Vorbereitung eines IT-Audits. Neben der Auftragsvorbereitung und dem Planungsprozess stellt Beißel in den Unterkapiteln 4 "Prüfungsstandards" und 5 "Regelwerke" Standards mit Bezug zur IT vor. Hier wäre für den Leser eine weiter gehende Konkretisierung hilfreich; die Ausführungen zum IDW beschränken sich allein auf eine Darstellung der Systematik der IDW-Verlautbarungen, ohne Prüfungsstandards zu nennen, die für das IT-Audit von besonderer Bedeutung sind (z.B. PS 330, PS 880, PS 890). Das umfangreichste Unterkapitel 6 "Prüfungskatalog" enthält für verschiedene Prüfungsthemen wie Daten, Systeme, Prozesse oder Projekte einzelne Fragestellungen, um die Prüfungsaspekte Ord nungsmäßigkeit, Sicherheit und Wirt schaftlichkeit zu erfüllen. Das Buch schließt mit den Kapiteln über die Durchführung von Prüfungen (Kapitel III) und den Abschluss (Kapitel IV).
Eine Einordnung des Buches von Beißel ist auf den ersten Blick nicht einfach. Zwar enthält das Buch eine Fülle von Einzelinformationen und auch durchaus wertvolle Anregungen für die technische Prüfung von IT-Systemen. Auf der anderen Seite hat sich Beißel eine eigene Begriffswelt für IT-Audits geschaffen, die mit den gängigen IT-Prüfungsmethodiken des IDW, des IIR und auch der ISACA nur bedingt in Einklang zu bringen sind. Die Methodik zur Prüfung von IT-Systemen, bestehend aus Erhebung, Aufbauprüfung und Funktionsprüfung, ist dem Buch allenfalls indirekt zu entnehmen. Begriffe wie Ordnungsmäßigkeit und Sicherheit werden mit eigenen Begrifflichkeiten unterlegt, etwa Ordnungsmäßigkeit mit Compliance, Kontrollierbarkeit, Nachvollziehbarkeit und Qualität, obwohl dieser Begriff durch HGB und die Verlautbarungen des IDW mit festen Interpretationen belegt ist. Hinzu treten Fehler wie die Einordnung von COBIT und COSO als Best Practices anstatt als allgemein anerkannte Rahmenwerke für die Gestaltung von internen Kontrollsystemen, die in der Praxis von erheblicher Bedeutung etwa bei der Akzeptanz von Kontrollsystemen durch Aufsichtsbehörden sein können.
Bei Durchsicht des Prüfungskatalogs ist zum einen festzustellen, dass sich der Autor in erster Linie mit technischen Aspekten der IT-Infrastruktur befasst. In Abschnitt 6.3 "Applikationen" werden Anforderungen an IT-Anwendungen in allgemeiner Form betrachtet (z.B. Dokumentation, Penetrationstest, Change-Management); ein Bezug zur Beurteilung einer IT-Anwendung im Hinblick auf funktionale, aufgabenspezifische Anforderungen ist nur in Ansätzen erkennbar. Zum anderen erscheinen die ausgewählten Prüfungsfragen teilweise etwas willkürlich gewählt (z.B. die Frage "Wurden die verwendeten Applikationen für die Nutzung lizenziert?" unter dem Abschnitt "Applikationen - Compliance"). Auch das Kapitel III "Durchführung" ist eher von Einzelausführungen zu Prüfungstechniken (z.B. Interviewtechnik, Stichprobenverfahren) geprägt als von Überlegungen etwa zur risikoorientierten Festlegung von Prüfungshandlungen oder zum Zusammenhang zwischen den Ergebnissen der Aufbauprüfung und dem Umfang der Funktionsprüfung.
Zusammenfassend ist festzustellen, dass das Buch von Stefan Beißel eine Fülle von Informationen zum Thema IT-Audit enthält, die dem erfahrenen Praktiker einen guten Überblick über Anforderungen an IT-Systeme und in dem Unterkapitel "Prüfungskatalog" auch zahlreiche Anregungen für Fragestellungen geben können, die in ein IT-Audit einzubeziehen sind. Als Standardwerk für die Erlangung von Kenntnissen über Grundlagen und Methoden einer IT-Prüfung ist das Buch allerdings weniger geeignet, da sich der Autor mit den von ihm gewählten Begrifflichkeiten und den dargestellten Vorgehensweisen in wesentlichen Teilen von den Methodiken unterscheidet, denen IT-Prüfer in der internen und externen Prüfung verpflichtet sind.
Dr. Martin Fröhlich
PricewaterhouseCoopers AG WPG,
Düsseldorf
martin [dot] froehlich [at] de [dot] pwc [dot] com
