Rezension

Grundlagen - Prüfungsprozess - Best Practice

IT-Audit

Redaktion RiskNET

Stefan Beißel:  IT-Audit: Grundlagen - Prüfungsprozess - Best Practice, Erich Schmidt Verlag, Berlin 2015, 279 Seiten, 39,95 Euro, ISBN  978-3-503-15845-4.

Moderne Informationstechnologie ist ein effektives Werkzeug, um Prozesse zu optimieren, vorhandene Synergien freizusetzen, Kundenbeziehungen profitabler zu gestalten und somit auch den Unternehmenswert zu steigern. Informationen sind das Fundament und wesentlicher Erfolgsfaktor für Unternehmen. Damit die Informationstechnologie wirtschaftlich genutzt wird und mit ihr verbundene Risiken reduziert werden, sollte die sichere, wirtschaftliche und ordnungsmäßige Ausübung aller IT-Aktivitäten gewährleistet werden.

Hier kommt das IT-Audit ins Spiel, das durch die Prüfung von Sicherheit, Wirtschaftlichkeit und Ordnungsmäßigkeit eine hohe Transparenz für das Unternehmen und die Stakeholder schafft. Insbesondere können das Schutzniveau von Informationen und IT-Systemen, die Ausrichtung der IT am Geschäftsmodell des Unternehmens, der wirtschaftlich effiziente Umgang mit Ressourcen und die Befolgung von vorgeschriebenen Regularien oder erwünschten Standards und Best Practices überprüft werden.

Regelmäßige IT-Audits bilden einen wesentlichen Teil des deutschen IT-Grundschutzes. Doch auch international sind Standards für IT-Audits beispielsweise in der Norm ISO/IEC 27001 der ISO festgelegt.

Das Buch von Stefan Beißel dient der Orientierung in die vielfältige Welt der IT-Audits und unterstützt die Wissensaufnahme durch die Verbindung von Theorien, Standards und Best Practices sowie praktisch ausgerichteten Prüfungsinhalten. Ein IT-Audit ist eine unabhängige Überprüfung der Einhaltung von Vorgaben und der Funktionalität von Kontrollmaßnahmen innerhalb der IT eines Unternehmens. Die Unabhängigkeit soll vor allem sicherstellen, dass der Auditor von keinem Interessenkonflikt betroffen ist und einen objektiven Standpunkt besitzt. Vorgaben können sowohl aus internen als auch externen Quellen stammen. Kontrollmaßnahmen sind administrative, technische und physische Maßnahmen, welche die Einhaltung von Vorgaben oder die Erreichung von Zielen eines Unternehmens unterstützen.

Das Buch gliedert sich in insgesamt vier Kapitel. Die ersten 70 Seiten konzentrieren sich in einem einführenden Kapitel mit den Grundlagen des IT-Audits. So werden zunächst Begriffe definiert, der Lebenszyklus des IT-Audits präsentiert und die Anforderungen und Aufgaben des Auditors zusammenfassend dargestellt. Das anschließende zweite Kapitel setzt sich mit der Vorbereitung des IT-Audits auseinander. Am Anfang steht in der Regel zunächst ein Prüfungsauftrag. Sehr ausführlich setzt sich der Autor mit Prüfungsstandards (IDW, IFAC, IIA, ISACA), Regelwerken (Gesetzen, Standards, Best Practice) sowie Prüfungskatalogen auseinander. Das dritte Kapitel konzentriert sich im nächsten Prozessschritt des IT-Audits auf die konkrete Durchführung. Hierbei werden ausgewählte Methoden, Verfahren und Techniken vorgestellt. Das abschließende Kapitel setzt sich mit dem Abschluss des IT-Audits auseinander. Der Prüfungsbericht im Rahmen eines IT-Audits wird vom Auditor als Instrument genutzt, um unabhängig getroffene Feststellungen und Empfehlungen an das Management des auditierten Unternehmens zu kommunizieren. Der Anhang enthält  eine einfache Checkliste.

Das Buch sollte eher als Nachschlagwerk für Einsteiger in das Thema IT-Audit genutzt werden. Auditprofis werden nur wenig Neues entdecken. Die Lektüre ist – insbesondere aufgrund der teilweise recht holprigen Sprache und der wenigen konkreten Praxisbeispiele – recht mühsam. Trotz allem bietet das Buch eine kompakte und praxisorientierte Einführung in die Welt der IT-Prüfung und liefert nützliche Orientierungshilfen.

 
RISIKO MANAGER Rating:
Praxisbezug: 3/5
Inhalt: 3/5
Verständlichkeit: 3/5
Gesamtwertung: 3/5



Themenverwandte Artikel

Deutlich mehr Verdachtsmeldungen zu Geldwäsche und Terrorismusfinanzierung News

Verdachtsfälle steigen

Risiko Geldwäsche und Terrorismusfinanzierung

Redaktion RiskNET

Bei der zentralen deutschen Meldestelle für Geldwäsche und Terrorismusfinanzierung sind auch im vergangenen Jahr wieder deutlich mehr Verdachtsfälle…

Risikotransfer von Cyberrisiken in der Schifffahrt News

Cyber-Versicherung

Risikotransfer von Cyberrisiken in der Schifffahrt

Redaktion RiskNET

Cyberangriffe entwickeln sich für die Schifffahrtsbranche zu einer Ernst zunehmenden Bedrohung. Reedereien können sich nun auch im deutschen Markt…

Drei Elemente eines risikobasierten Ansatzes für Cybersicherheit Kolumne

Cyberrisiken

Drei Elemente eines risikobasierten Ansatzes für Cybersicherheit

Patrick Steinmetz [BitSight]

Immer öfter fällt im Zusammenhang mit Cybersicherheit der Begriff "risikobasierter Ansatz". Leider wird oft nicht genau erklärt, was genau damit…

Chancen und Risiken der Blockchain-Technologie News

Aufbau einer staatlichen Blockchain

Chancen und Risiken der Blockchain-Technologie

Redaktion RiskNET

Die Unionsfraktion im Bundestag will die Blockchain-Technologie in Deutschland massiv fördern und ihr so zum internationalen Durchbruch verhelfen. Es…

Aktuelle Compliance-Themen im Datenschutzrecht: Erster Geburtstag der DSGVO Kolumne

Aktuelle Compliance-Themen im Datenschutzrecht

Erster Geburtstag der DSGVO

René Sandor [CMS Deutschland]

Die EU-Datenschutz-Grundverordnung (DSGVO) trieb in den vergangenen zwei Jahren insbesondere Compliance-Abteilungen Schweiß auf die Stirn. Denn ihr…