IT-Sicherheit und IT-Kontrollen - Was ist und was macht ein IT-Auditor?

Wir gratulieren unserem Kollegen Dr. Patrick Bedué recht herzlich zur Zertifizierung als IT-Auditor (IDW) und klären auf, was ein IT-Auditor ist und was er kann.

Wir freuen uns sehr, mitteilen zu können, dass unser Kollege Dr. Patrick Bedué die IT-Auditor-Prüfung erfolgreich bestanden hat! Das ist ein großer Meilenstein nicht nur für die persönliche Karriere, sondern auch für bdp. Wir gratulieren recht herzlich zur Zertifizierung und freuen uns, dass Dr. Bedué uns und unseren Mandanten mit seiner Fachkompetenz zur Seite steht.

Was ist ein IT-Auditor?

In unserer heutigen digitalen Welt, in der Unternehmen zunehmend auf Informationstechnologie (IT) angewiesen sind, gewinnt die Rolle von IT-Auditoren immer mehr an Bedeutung. Aber was ist eigentlich ein IT-Auditor und welches Aufgabenfeld decken IT-Auditoren ab? Primär beschäftigen diese sich meist im Rahmen der Jahresabschlussprüfung (JAP) mit der IT-Sicherheit und den allgemeinen IT-Kontrollen (ITGC).

Neben der prüferischen Tätigkeit nehmen IT-Auditoren mit ihrer fachlichen Expertise oft auch beratende Funktionen ein. Sie analysieren Geschäftsprozesse und IT-gestützte Kontrollen, um Schwachstellen zu identifizieren und mit Verbesserungsvorschlägen einen echten Mehrwert für ihre Mandanten zu schaffen. Dazu führen sie beispielsweise Risikoanalysen und Sicherheitsbewertungen durch und testen so die Widerstandsfähigkeit der IT-Infrastruktur. Darüber hinaus können IT-Auditoren auch bei präventiven Maßnahmen, wie beispielsweise der dauerhaften und weitestgehend automatischen Überwachung der Kontrollen, unterstützen oder das Bewusstsein für IT-Sicherheit und Datenschutz im Unternehmen schärfen.

Im Folgenden werden nun einige spezifische Beispiele für den umfangreichen Aufgabenbereich der IT-Auditoren gemäß den Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW PS) dargestellt.

Projektrisiken reduzieren: Die projektbegleitende Prüfung

Hierbei handelt es sich um die prüferische Begleitung eines IT-Projektes (bspw.: Restrukturierung der IT-Infrastruktur, Entwicklung einer Softwareanwendung). Gemäß IDW PS 850 überwachen IT-Auditoren hier die Entscheidungen des Managements hinsichtlich Entwicklung, Einführung, Änderung oder Erweiterung IT-gestützter Rechnungslegungssysteme. Sie stellen dabei sicher, dass das Projektmanagement den definierten Zielen sowie den Anforderungen an Ordnungsmäßigkeit, Sicherheit und Kontrolle Rechnung trägt. Somit können Risiken und Fehler bereits während der Projektphase identifiziert und behoben werden.

Einhaltung der DSGVO-Zertifizierungen: Compliance-Prüfungen

Laut IDW PS 860 liegt der Fokus bei Compliance-Prüfungen beispielsweise nicht auf der Effizienz, sondern auf der Einhaltung gesetzlicher und regulatorischer Anforderungen im Zusammenhang mit IT-Systemen und Prozessen. Über die JAP hinaus wird diese Prüfungsart genutzt, um z. B. die Erfüllung der Mindestanforderungen an das Risikomanagement (MaRisk) bei deutschen Kreditinstituten, die Einhaltung des IT-Sicherheitsgesetzes oder des Bundesdatenschutzgesetzes (BDSG) bzw. der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu gewährleisten.

Die Softwarebescheinigung als Marketinginstrument: Prüfung von Softwareprodukten

Mit der Prüfung nach IDW PS 880 und der Erteilung einer Softwarebescheinigung können Unternehmen nachweisen, dass ihre Software bei sachgemäßer Anwendung den gesetzlichen und branchenüblichen Kriterien entspricht. Der Prüfungsgegenstand kann dabei das Softwareprodukt insgesamt, einzelne Module oder einzelne Funktionen, wie beispielsweise Buchungsschnittstellen oder die Belegverarbeitung sein und bezieht sich sowohl auf Standardsoftwareprodukte eines Softwareherstellers als auch auf unternehmensintern entwickelte Softwarelösungen.

Kriminelle Handlungen aufdecken: Forensische Prüfungen:

IT-Auditoren können bei forensischen Untersuchungen helfen, um potenzielle Verstöße gegen interne Richtlinien oder gesetzliche Vorschriften aufzudecken. Dies kann die Untersuchung von kriminellen Handlungen, fehlerhaften Transaktionen oder die Verfolgung von Aktivitäten und Verstößen gegen das interne Kontrollsystem umfassen. Ziel ist, hierbei die Ursachen zu ermitteln, die Auswirkungen zu bewerten und Empfehlungen zur Verbesserung der Sicherheitsmaßnahmen abzugeben.

Zusammenfassend können IT-Auditoren neben der Jahresabschlussprüfung insbesondere auch bei der Entwicklung und Einführung von Software, Compliance-Prüfungen und forensischen Prüfungen dazu beitragen, Risiken in der IT-Umgebung oder Prozessen eines Unternehmens zu identifizieren und zu minimieren, Compliance sicherzustellen und Verbesserungen vorzuschlagen, um Effizienzen zu heben.

Sprechen Sie uns bzw. Herrn Dr. Bedué hierzu gerne an.