IT-Revision in der Praxis

"Teil I: Praxis der IT-Revision (S. 3-4)

1 Grundlagen der IT-Revision

Dieses Kapitel soll Sie in die Welt der IT-Revision einführen. Dazu ist zunächst zu klären, was unter Revision zu verstehen ist, und damit auch, was eine Revisionsabteilung tut und welche Ziele und Aufgaben sie besitzt. Ebenfalls zu den Grundlagen gehört die Frage, wie eine solche IT-Revision im Unternehmen eingebettet ist und wo Berührungspunkte mit anderen Abteilungen bzw. Bereichen existieren.

1.1 Das Wesen der IT-Revision

Befragt man das beliebte Online-Lexikon Wikipedia nach dem Stichwort „Revision“, so bekommt man die Auskunft, dass sich der Begriff aus dem Verb revidieren ergibt, das sich aus dem lateinischen „re“ (Rückschau oder Überprüfung) und „videre“ (ansehen) zusammensetzt. Schon aus dem Begriff „IT-Revision“ ergeben sich damit drei wichtige Eigenschaften:

- Die IT-Revision konzentriert sich auf Dinge der Informationstechnik. Sie beschäftigt sich mit Dingen, die im Zusammenhang mit der Gestaltung, dem Betreiben, dem Management oder der Nutzung der Informationstechnik stehen. Diese Dinge können sehr unterschiedlicher Natur sein, z.B. Vorgänge (Migration eines Software- Systems) oder Objekte (z.B. ein Rechenzentrum).

- Die IT-Revision schaut sich diese Dinge im Unternehmen an und prüft sie. Das Anschauen besteht zunächst darin, den bestehenden Zustand festzustellen. In einem zweiten Schritt wird geprüft, ob dieser Zustand die Vorgaben erfüllt bzw. einhält, die von externen Instanzen (Gesetzgeber, Aufsichtsbehörden usw.) oder vom Unternehmen selbst gestellt werden. Diese Prüfung ist die zentrale Tätigkeit der Revision.

- Die IT-Revision schaut sich die Dinge nachträglich an.

Im Fokus der IT-Revision liegen die Dinge, die bereits geschehen sind und damit ein Faktum darstellen, und nicht Dinge, die geschehen werden oder könnten.

Bisher noch unbeantwortet ist die Frage, warum es die Revision überhaupt gibt. Die oben erwähnten Vorgaben werden schließlich an die Fachbereiche gestellt und müssen von ihnen erfüllt bzw. eingehalten werden. Doch da beginnen die Probleme: Nicht selten wissen die Fachbereiche gar nicht, welche Vorgaben sie erfüllen müssen. Das gilt insbesondere dann, wenn Fachbereiche IT-Themen bearbeiten und nicht mit den Anforderungen an die Informationsverarbeitung vertraut sind.

Praxistipp Veranstalten Sie kurze Info-Workshops in den Fachbereichen und erläutern Sie den Fokus der bestehenden Soll-Vorgaben für die IT. Als Teilnehmer kommen alle Personen in Frage, die im Fachbereich mit IT-Aufgaben betraut sind. Selbst wenn die Vorgaben bekannt sind, heißt das nicht, dass sie auch erfüllt werden, denn das primäre Interesse der Fachbereiche liegt woanders. Um die Konformitäten zu kontrollieren, wird daher eine von der Linie unabhängige Instanz wie die Revision benötigt.

1.1.1 Ziele der IT-Revision

Welche Zwecke verfolgt nun die IT-Revision? In der Regel sind es folgende Zielsetzungen, die sich die IT-Revision selbst gibt oder die vom Top-Management2 vorgegeben werden: Schutz des Unternehmens vor Bestrafung Eines der primären Ziele der Revisionstätigkeit liegt darin sicherzustellen, dass das Unternehmen nicht dafür belangt werden kann, dass gesetzliche oder aufsichtsrechtliche Vorgaben nicht eingehalten werden."