Basierend auf den Richtlinien der IIA (The Institut of Internal Auditors? [1]) besteht die Aufgabe des internen IT-Auditors oder Revisors darin, ‹unabhängige und objektive› Prüfungen durchzuführen. Diese sind darauf ausgerichtet, ‹Mehrwert zu schaffen› und die Geschäftsprozesse zu verbessern.
Der schweizerische Finanzregulator FINMA bezieht sich dann auch direkt auf diese Definition der IIA und verlangt für Finanzinstitute wie Banken und Versicherungen?[2], dass eine interne Revision eingerichtet werden muss, d55ie sich nach den Standards des IIA richtet, über ein unbeschränktes Prüfrecht innerhalb des Instituts verfügen soll und unabhängig von den täglichen Geschäftsprozessen arbeitet.
[1] IIA:
https://na.theiia.org[2]
https://www.finma.ch/de/dokumentation/rundschreiben: Rundschreiben 2008/24
Ein besonderes Privileg mit Verpflichtungen
Um eine unabhängige und objektive Prüfung zu ermöglichen, wird weiter auch ein besonderes Privileg durch die FINMA gefordert: Der internen Revision sei uneingeschränktes Zugriffsrecht auf sämtliche Dokumente, Aufzeichnungen, Datenträger und Systeme zu erteilen. Damit erhält der interne IT-Auditor die Möglichkeit, Daten aus erster Hand einzusehen und sich ein direktes, ungeschöntes Bild der Sachlage zu schaffen. Die Objektivität der Prüfung wird damit gefördert.
Ein Privileg, das jedoch auch verpflichtet. Denn konsequenterweise bedeutet dies, dass Informationen nicht pfannenfertig auf dem Silbertablett serviert werden, sondern der IT-Auditor selber recherchiert, das Thema erforscht und Informationen in den richtigen Kontext bringen kann. Ein Handwerk das notabene Aufwand bedeutet, Schweiss und Einsatz fordert. Ein Handwerk das eine gut ausgestattete Werkzeugkiste voraussetzt. Eine Werkzeugkiste, bestehend aus all den Tools und Systemen, die in der Informatik zur Prozessunterstützung verwendet werden und auf die der IT-Auditor zugreifen darf.
Peter Marti, CISA, im Vorstand des ISACA Switzerland Chapters. Seit 18 Jahren in der Informatik in verschiedensten operativen und strategischen Funktionen. Heute interner IT-Auditor bei der Bank Julius Baer. (Quelle: ISACA)
Kenntnis der eigenen Werkzeugkiste
Zunächst muss der IT-Auditor sicherstellen, dass er den Inhalt seiner Werkzeugkiste sehr gut kennt. Er sollte sich das Wissen aneignen, welche Systeme und Tools in der eigenen Informatik zur Unterstützung der Prozesse verwendet werden: Ist ein Capacity-Planning Tool implementiert? Ein System für die Verwaltung von Changes verfügbar? Ein Ticketsystem für Incidents und Problems? Welche Daten werden im Tool geführt und welche nicht? Werden alle Inventardaten in einem zentralen CMS geführt oder sind mehrere Systeme im Einsatz?
Versierte IT-Auditors kennen die Informatik nicht nur generell, sondern haben ein sehr spezifisches Verständnis wie die eigene Informatik in der Organisation arbeitet und welche Teams involviert sind.
Die Werkzeuge in Stand halten und pflegen
In einem zweiten Schritt gilt es, die vorhandenen Werkzeuge kontinuierlich zu pflegen. Jeder Handwerker lernt, dass es nichts Übleres gibt als Werkzeuge die nicht mehr auf dem aktuellen Stand sind. Werkzeuge die verschmutzt sind, klemmen oder vor sich hin rosten.
Die Informatik ändert und entwickelt sich ständig weiter. Neue Systeme werden implementiert und die Prozessunterstützung via IT-Tools kontinuierlich optimiert. Der interne IT-Auditor sollte über diese Anpassungen auf dem aktuellen Stand sein und alle Veränderungen in seiner Werkzeugkiste bestens kennen.
Geübt im Gebrauch der Werkzeuge
Letztendlich sollte der interne IT-Auditor im Gebrauch und Bedienung dieser Werkzeuge geübt sein. Er sollte in der Lage sein, entsprechende Daten selber abzurufen, oder bei den zuständigen Teams bestellen und korrekt interpretieren zu können. Dies setzt natürlich auch sehr gute Kenntnisse der Prozesse, Rollen und der involvierten Teams voraus.
Nicht zuletzt erhält der IT-Auditor damit auch Kenntnis über den Maturitätslevel der eingesetzten Systeme und der unterstützten Prozesse. Er erkennt, welche Informationen in den Systemen abrufbar sind, aber auch welche Daten dort nicht geführt werden. Wo allenfalls Medienbrüche und schlechte Datenqualität die Auswertung erschweren.
Die Maturität des IT-Auditors
Aber wie umfassend ist denn nun die Werkzeugkiste des Auditors, wie gut seine Kenntnisse der vorhandenen IT-Systeme? Wie verschafft er sich eine Übersicht über sein persönliches Knowhow der eingesetzten IT-Systeme oder wie kann er gar die Maturität seines IT-Audit Teams messen?
Eine Möglichkeit besteht in der Anwendung des COBIT Frameworks? [3] Der am wenigsten aufwändige Ansatz besteht darin, auf dem obersten Level, den 37 COBIT Prozessen, eine Analyse vorzunehmen. Diese 37 COBIT Prozesse repräsentieren auf hoher und abstrakter Ebene eine gute Rundumsicht der gesamten Informatik: Von strategischen Vorgaben, über Projekte und Implementierung bis hin zu IT-Betrieb und Monitoring. Entlang dieser 37 Prozesse kann sich der IT-Auditor selber messen indem er diese beiden Fragen mit gering, mittel oder hoch beantwortet:
- Wie gut kenne ich diesen Prozess, die involvierten Rollen und Mitarbeiter in unserer Informatik?
- Wie gut kenne ich die IT-Systeme und die Daten, die zur Prozessunterstützung eingesetzt werden?
Beispielsweise wird der IT-Auditor in diesem Assessment erkennen, dass er zwar Kenntnis darüber hat, welches Team für Windows-Server Operation zuständig sind, nicht aber für Unix, Linux und Host-Operation. Auch besitzt er keinerlei Wissen, mit welchen IT-Systemen diese Prozesse unterstützt werden (Abb.1: DSS01). Hingegen ist ihm aber bewusst, mit welchen Systemen die Informatik die Service-Request und Incident-Tickets verwaltet. Der IT-Auditor kennt die entsprechenden Prozesse und Teams und kann sogar selbständig Tickets auswerten (Abb.1: DSS02). Bei dem Problem-Management Prozess sind ihm zwar die Ansprechpersonen bekannt, nicht aber die Prozessdetails. Zusätzlich fehlt ihm die Information, wo und in welcher Form die Problem-Tickets dokumentiert werden (Abb.1: DSS03).
Eine exaktere Analyse wird selbstverständlich dann erreicht, wenn das COBIT Framework auf dem darunterliegenden Level, den 210 Practices, angewendet wird (Abb. 2). Auf diesem Level wird der IT-Auditor beispielsweise entdecken, dass er zwar gute Kenntnisse darüber besitzt, wie Hardware Assets in der Informatik verwaltet werden (Abb.2: BAI09.01). Hingegen ist ihm unbekannt, ob ein spezieller Prozess für kritische Assets implementiert ist (Abb.2: BAI09.02) oder in welchem IT-System Lizenzen verwaltet werden (Abb.2: BAI09.05).
[3]
http://www.isaca.org/cobit
Das COBIT Framework kann helfen, die eigene Maturität zu messen und vorhandene Lücken aufzuzeigen. Anschliessende Abklärungen mit den Verantwortlichen in der Informatik und entsprechende Trainings werden dazu beitragen Lücken zu schliessen und das interne IT-Audit-Team auf eine höhere Maturität zu heben. Damit wird konsequenterweise die Grundlage geschaffen, dass die vom IIA geforderte ‹unabhängige und objektive› Prüfung in immer besserer Qualität erbracht werden kann und der erzielte Mehrwert für die Unternehmung gesteigert wird.
Fazit
Uneingeschränkter Zugriff auf alle IT-Systeme ist ein besonderes Privileg des internen IT-Auditors. Gute Kenntnis und Erfahrung in der Anwendung dieser Werkzeugkiste verhelfen dem IT-Auditor zu einer objektiven Sicht der Maturität und Arbeitsweise in der Informatik. Mittels des COBIT Frameworks kann der IT-Auditor seine eigene Kenntnisse der IT-Tools systematisch messen und Lücken identifizieren, die er danach gezielt schliessen kann.