HMD 289, 50. Jahrgang, Februar 2013

IT-Prüfung und IT-Revision

Herausgeber: Matthias Knoll

Als E-Book bestellen
Gedruckte Ausgabe bestellen
Feedback an den Herausgeber
Zum Inhaltsverzeichnis

Einwurf

von Klaus Heese

IT-Revision - Kernelement oder Nebenschauplatz der Unternehmensprüfung?

Braucht man wirklich eine IT-Revision? Ist das nicht Geldverschwendung? Einige Unternehmensprüfer denken, die Informationstechnologie sei inzwischen so weit entwickelt und ausgereift, dass sie eigentlich als funktionstüchtige Blackbox betrachtet und nicht mehr geprüft werden müsse. Bringt die IT-Revision also wirklich einen Mehrwert? Nicht wenige Nutzer von Informations- und Kommunikationssystemen empfinden die IT-Revision eher als lästig. IT-Systeme sind doch ausgereift, effizient und effektiv. Die eingesetzte IT-Infrastruktur ist stark automatisiert, heutige Standardsoftware läuft meist zuverlässig und Bedienungsoberflächen sind viel übersichtlicher geworden.

Läuft die IT also nicht von sich aus fehlerfrei und ausfallsicher? Oft wird verkannt, dass IT-Systeme komplex und verzahnt sind, was eine integrierte Betrachtungsweise der eingesetzten IT-Infrastruktur, der Applikationsebene und der damit unterstützten Geschäftsprozesse verlangt. Somit steigt nicht nur die Abhängigkeit von der Technologie, sondern auch ihre Fehleranfälligkeit, allerdings in anderen Dimensionen der Unternehmensorganisation als noch vor einem Jahrzehnt. Das Internet eröffnet zudem neue Geschäftsmodelle in der Cloud, und neue Dienstleistungen wie das Outsourcing verändern bestehende Unternehmensstrukturen. Die meisten Unternehmen haben dies begriffen und sehen IT als eine kritische Ressource, die einen wenn nicht den entscheidenden Produktionsfaktor widerspiegelt.

Ist die IT andererseits nicht eher ein technisches Sonderthema ohne wirkliche Konsequenzen für ein Unternehmen? Aus Sicht der Unternehmensführung sind insbesondere gestiegene Anforderungen der Märkte, des Wettbewerbs, der Gesellschaft, aber auch der Regulierung und Corporate Governance zu beachten. Dazu müssen geeignete Planungs-, Steuerungs- und Überwachungssysteme einschließlich eines angemessenen Risikomanagements aufgebaut und betrieben werden. Diese Instrumente erfordern technisch-organisatorische Maßnahmen, um eine sichere und effiziente IT einschließlich verlässlicher Daten zu gewährleisten.

Wenn durch den Einsatz von IT alles besser und schlanker wird, warum soll dann noch zusätzlich in die IT-Revision investiert werden? IT-Systeme beflügeln neue Wachstumsperspektiven und erhöhen die Produktivität durch verbesserte Effizienz und deutliche Zeitgewinne. Aber alles hat seinen Preis - und den bestimmt der Mensch. Eine verschlankte Organisation mit integrierten IT-Systemen kann neben Kostenvorteilen auch neue Fehlerquellen eröffnen. Unsichere und ungeschützte IT lädt zu Missbrauch und Manipulationen ein. Die Bedrohung durch Cyber-Kriminalität hat stark an Bedeutung gewonnen. Nach aktuellen Studien steht der Feind nicht nur draußen, viele Angriffe erfolgen vielmehr von innen, durch eigene Mitarbeiter. Das Schadenspotenzial betrifft aber nicht nur das eigene Unternehmen, sondern durch übergreifende Wertschöpfungsketten auch andere beteiligte Unternehmen und sogar Teile der Gesellschaft.

Also ist IT-Revision doch nicht unnütz. Aber was genau tun IT-Revisoren und wie gehen sie eigentlich vor? Unternehmensprüfer wie externe oder interne Revisoren haben Standards, Normen und Leitlinien bei ihren Revisionstätigkeiten zu beachten, aber sie müssen auch professionell und flexibel arbeiten. Dazu müssen zumindest der Prüfungsgegenstand und das korrespondierende Sollobjekt verstanden sein und die richtige Prüfungsmethodik und -technik angewendet werden. In einem Unternehmensumfeld mit IT sind somit Experten auf fachlicher Augenhöhe gefragt, die sowohl die erforderliche Erfahrung als auch den richtigen Spirit mitbringen, um die kontinuierlichen Entwicklungen und die teilweise sprunghaften technologischen Veränderungen der Informations- und Kommunikationstechnologie verstehen und beurteilen zu können.

Sind IT-Revisoren damit die unverstandenen Alleskönner, auf die es einzig ankommt? Nein, denn IT-Revisoren stehen nicht isoliert da. Sie sind einerseits die gesuchten IT-Experten, aber andererseits auch ein Baustein in einem Audit Universe, das zu einer umfassenden Prüfung und Beurteilung ökonomischer Zusammenhänge beitragen soll. Das setzt unter anderem eine klare und verständliche Kommunikation mit anderen Unternehmensprüfern voraus. Was nützen die besten Prüfungsergebnisse, wenn sie nicht verstanden werden? Aber wie sind komplizierte Dinge einfach zu kommunizieren? Ein guter Experte sollte schwierige Fakten und Zusammenhänge so prägnant darstellen können, dass auch ein Generalist ohne Spezialwissen Schlüsse daraus ziehen kann. Das steigert automatisch den Wertbeitrag und damit die Akzeptanz der IT-Revision.

Denn wer wird letztlich zur Rechenschaft gezogen, wenn etwas schiefgeht im Unternehmen? Verantwortlich für das strategische und operative Management - einschließlich des Umgangs mit Chancen und Risiken - bleibt immer die Unternehmensleitung, begleitet durch ihre Überwachungsorgane wie z.B. den Aufsichtsrat. Zur Umsetzung einer verantwortungsvollen, ordnungsgemäßen und schließlich auch sicheren Unternehmensführung wird sie durch Revisoren unterstützt. Sowohl die interne Revision als auch die Wirtschaftsprüfung sind auf gut ausgebildete und erfahrene Spezialisten für Informations- und Kommunikationssysteme angewiesen. Benötigt wird eine schlagkräftige Unternehmensprüfung, die genügend Expertenwissen aufweist und neben prüferischen Feststellungen auch konkrete Verbesserungsvorschläge unterbreiten kann.

Also doch kein Nebenschauplatz. Dem IT-Revisor kommt eine Schlüsselposition zu: Ohne IT geht nichts mehr - ohne IT-Revisoren auch nicht! Manche wollen es immer noch nicht wahrhaben, die meisten aber haben es verstanden.

Dipl.-Kfm. Klaus Heese Wirtschaftsprüfer und Steuerberater Vorsitzender des Fachausschusses für Informationstechnologie (FAIT) beim Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) Am Hüttenhof 15 40489 Düsseldorf klaus.heese@t-online.de