In der heutigen Welt der Ungewissheit fragen Chief Audit Executives, Chief Information Officers und andere IT-Executives weiterhin: „Was sind die größten Risiken, die sich negativ auf mein Business auswirken können?« oder «Welche Risiken können die größten Auswirkungen haben?». Das ist nicht einfach zu beantworten. Volatile geopolitische Entwicklungen, eine anhaltende Pandemie, der ukrainisch-russische Krieg, und eine unsichere Weltwirtschaft und eine sich verändernde regulatorische Landschaft stellen Unternehmen und ihre Führungskräfte vor wachsende Herausforderungen.
Um Branchenführer bei der Entscheidungsfindung zu unterstützen und ein besseres Verständnis der aktuellen Risikolage zu erlangen, führten Protiviti und ISACA gemeinsam eine Umfrage durch, an der über 7.500 IT-Audit-Führungskräfte und -Experten aus der ganzen Welt teilnahmen. Die Ergebnisse der IT Audit Technology Risk Survey 2022 zeigen eine dynamische Bedrohungslandschaft, die seit der letzten Umfrage im Jahr 2021 deutlich an Schwere zugenommen hat, wobei Cybersicherheit, Datenschutz, Daten und die Einhaltung gesetzlicher Vorschriften oberste Priorität haben.
Die Gesamtergebnisse identifizierten die wichtigsten Technologierisiken
Viele der Mitarbeiter des Unternehmens arbeiten weiterhin aus der Ferne, was eine Reihe von technischen und sicherheitstechnischen Herausforderungen mit sich bringt. Das Cybersicherheitsrisiko spielt immer eine große Rolle und ist in diesem Jahr angesichts der Bedrohung durch kriegsbedingte Cyberangriffe besonders kritisch.
IT-Revisionsleiter und ihre Teams haben ein klares Verständnis der wichtigsten Technologierisikoprobleme, mit denen ihre Organisationen konfrontiert sind, auch wenn die Art dieser Bedenken, insbesondere in Bezug auf Cybersicherheit, Datenverwaltung, Datenintegrität und Einhaltung gesetzlicher Vorschriften, unbeständig und unvorhersehbar bleibt. Ein klar erkennbarer Trend bei diesen Ergebnissen: Die Risikobewertungen in der diesjährigen Umfrage sind im Vergleich zu den Ergebnissen des Vorjahres deutlich gestiegen, was darauf hindeutet, dass die aktuelle Technologie-Risikolandschaft viel riskanter ist. Darüber hinaus waren die Risikobewertungen in der diesjährigen Umfrage über alle Regionen hinweg, einschließlich der Schweiz, recht einheitlich (Figure 1).
Cybersicherheit — das unbestrittene Top-Technologierisiko
Ein breites Spektrum von Themen im Zusammenhang mit der Cybersicherheit – einschließlich Cyber-Breaches, Management von Sicherheitsvorfällen, Datenschutz, Disaster Recovery und Risiken von Third Parties – stellt in fast allen Branchen und Organisationstypen und in fast allen Ländern die größte Sorge um das Technologierisiko dar. Dies ist nicht überraschend angesichts der ständig wachsenden Abhängigkeit von Unternehmen von Daten und Drittanbietern (die Unternehmensdaten verwenden und sichern müssen), der anhaltenden Welle von Ransomware-Angriffen auf der ganzen Welt, eskalierenden kriegsbedingten Cyber-Angriffen, Cloud-Migrationen und digitalen Daten Transformation, neue Datenschutzrisiken und -regeln, sich ändernde Richtlinien zur Datensicherheit und Compliance-Anforderungen – die Liste lässt sich endlos fortsetzen.
Dies geschieht auch zu einem Zeitpunkt, an dem beispielsweise der Präsident der Vereinigten Staaten Unternehmensführer beim Business Roundtable gewarnt hat, dass «das Ausmaß der Cyberkapazität Russlands ziemlich folgenreich ist und kommen wird», als Vergeltung für die als Reaktion auf verhängten Wirtschaftssanktionen Russlands Einmarsch in die Ukraine. Tatsächlich werden weltweit noch immer strengere Cybersicherheitsvorschriften und -anforderungen erlassen.
Kriegsbedingte Cyberangriffe sind nicht die einzigen Bedrohungen für die Organisationen, deren Bewertung und Bekämpfung IT-Auditteams in diesem Jahr hohe Priorität einräumen. IT-Revisionsleiter und -Experten identifizieren auch mehrere verwandte und bedeutende Technologieprobleme, darunter Datenschutz, Zugriffsrisiko, Third Party Risk Management und Disaster Recovery.
Im vergangenen Jahr wurde ein erheblicher Prozentsatz der Disaster-Recovery-Bemühungen in vielen Branchen durch Ransomware-Angriffe ausgelöst. Dieses Cybersicherheitsrisiko hat US-Unternehmen im Jahr 2021 schätzungsweise 20 Milliarden US-Dollar gekostet, während es verständlicherweise zu einer erhöhten Wachsamkeit der leitenden Managementteams und Vorstände geführt hat.
Während IT-Audit-Teams möglicherweise nicht an vorderster Front mit diesen Cybersicherheitsrisikobedenken umgehen, müssen sie die Wirksamkeit dieser Bemühungen bewerten und gleichzeitig sicherstellen, dass angemessene Kontrollen und Schutzmaßnahmen vorhanden sind.
Angesichts der zahlreichen und unterschiedlichen Faktoren, die das Cybersicherheitsrisiko verschärfen, müssen die Bewertungen von IT-Auditoren ein breites Netz auswerfen, das von der Häufigkeit und Relevanz der Cybersicherheitsschulungsprogramme der Organisation bis hin zu kritischen Blicken auf die Rahmenbedingungen reicht, die die Organisation zur Durchführung ihrer Sicherheitsbewertungen verwendet. Führende IT-Audit-Teams führen sicherlich ihre eigenen ganzheitlichen Cybersicherheitsbewertungen durch, um zu verstehen, welche Rahmenbedingungen verwendet werden und ob das Cybersicherheitsrisiko effektiv verwandet wird (Figure 2).
In ähnlicher Weise ist es wichtig, dass IT-Revisionsleiter erkennen, inwieweit Veränderungen innerhalb der Organisation Auswirkungen auf Änderungen des Technologierisikos haben. Die weit verbreitete Umstellung auf Remote- und Hybrid-Arbeitsmodelle in den letzten zwei Jahren hat viele Unternehmen mit neuen Cybersicherheitsrisiken konfrontiert. Remote Work hat auch Cloud-Migrationen in Unternehmen aller Größen und Branchen beschleunigt. In vielen Fällen erfolgte die Beschleunigung von Cloud-Migrationen mit einem weniger als methodischen Ansatz zur Aktualisierung von Kontrollen und Prozessen zur Gewährleistung der Cloud-Sicherheit. Ein bemerkenswertes Ergebnis der Umfrage ist schließlich, dass jedes fünfte Unternehmen nicht erwartet, dass seine Auditpläne für 2022 das Risiko von Cybersicherheitsverletzungen angehen.
Obwohl es dafür eine Reihe möglicher Gründe geben kann, wie z. B. das Management von Cybersicherheitsrisiken durch die IT- oder Informationssicherheitsfunktion, ist es für die IT-Auditfunktion wichtig sicherzustellen, dass die Cybersicherheit mit der angemessenen Risiko- und Kontrollmentalität adressiert wird.
Bewertung und Umgang mit Technologie-Audit-Risiken
Organisationen, die Technologie-Risikobewertungen in ihre Jahrespläne aufnehmen, wenden dafür eine Reihe von Methoden an, von denen die gebräuchlichste die Integration von Technologie-Risikobewertungen in den gesamten internen Audit-Risikobewertungsprozess beinhaltet. Unabhängig davon, welche Methode verwendet wird, ist es unerlässlich, das Technologierisiko zu bewerten, und es ist ratsam, dies aus praktischer Sicht so oft wie möglich zu tun. Unsere Ergebnisse zeigen, dass ein Drittel der IT-Audit-Funktionen diese Bewertungen monatlich oder häufiger durchführen. Diese Wachsamkeit spiegelt einen risikobewussten Ansatz zur Bewertung der dynamischen Technologieumgebungen innerhalb und außerhalb der Organisation wider. Organisationen, die Technologie-Risikobewertungen in ihre Jahrespläne aufnehmen, wenden dafür eine Reihe von Methoden an, von denen die gebräuchlichste die Integration von Technologie-Risikobewertungen in den gesamten internen Audit-Risikobewertungsprozess beinhaltet. Unabhängig davon, welche Methode verwendet wird, ist es unerlässlich, das Technologierisiko zu bewerten, und es ist ratsam, dies aus praktischer Sicht so oft wie möglich zu tun. Unsere Ergebnisse zeigen, dass ein Drittel der IT-Audit-Funktionen diese Bewertungen monatlich oder häufiger durchführen. Diese Wachsamkeit spiegelt einen risikobewussten Ansatz zur Bewertung der dynamischen Technologieumgebungen innerhalb und außerhalb der Organisation wider.
Die Autoren
Matt LiangISACA CH board member
Protiviti Switzerland
Head of IT Audit
+41 79 887 58 74
Matt.Liang@protiviti.ch
Zoltan BucskoProtiviti Switzerland IT
Internal Audit Senior Consultant
+41 79 858 72 80
Zoltan.Bucsko@protiviti.ch