Sie sind hier: HomeDatacenter

Audits: Wenn der Prüfer dreimal klingelt

Unternehmen, die IT-Services und IT-Infrastruktur an IT-Dienstleister und in externe Rechenzentren auslagern, suchen Entlastung. Doch wer IT auslagert, sollte das Thema Revision und Prüfung im Blick haben und vertraglich regeln.

Bildquelle: © apops - Fotolia.com

Vertrauen ist gut, Kontrolle ist besser. Unternehmen sind verpflichtet, nicht nur die Einhaltung von Gesetzen im Unternehmen zu kontrollieren, sondern auch Risikovorsorge zu treffen. Die Abhängigkeit der Unternehmen von IT-Systemen steigt, gleichzeitig verschärfen sich die gesetzlichen Bestimmungen beim Datenschutz und bei der IT-Sicherheit. So kommt es, dass inzwischen verschiedene Personen und Funktionen in Unternehmen mit „Audits“, also Prüfungen im Bereich der IT betraut sind. Viele kleinere Unternehmen bestellen dafür externe Prüfer, große Unternehmen haben oft interne und externe Prüfer. Der Teufel steckt im Detail – auch bei der IT. Das wissen auch diese Prüfer und so wird man Zeuge einer fortschreitenden Professionalisierung in diesem Bereich.

Datenschutzbeauftragte und Wirtschaftsprüfer

Den meisten Unternehmen fällt beim Thema Prüfer zuerst der Datenschutzbeauftragte ein. Der prüft den Umgang mit personenbezogenen Daten nach BDSG, beim Outsourcing die Auftragsdatenverarbeitung nach §11 BDSG. Gerade in Deutschland wächst die Sensibilität beim Thema Datenschutz. Das Management fürchtet Skandale und negative Kundenreaktionen bei einem laxen Umgang mit Kundendaten. Werden die Daten in Deutschland oder in der EU gespeichert? Wie sind Änderungs- und Löschanträge geregelt? Wer hat Zugriff und ist der Verwendungszweck wirksam durch technische und organisatorische Maßnahmen eingegrenzt? Auf diese Fragen muss Antwort gegeben werden – auch wenn IT-Betrieb und IT-Systeme ausgelagert sind. Gibt es ernsthafte Beanstandungen, sind Datenschutzbeauftragte verpflichtet, die Landesdatenschutzbeauftragten und damit die Behörden einzuschalten. Ein Extremfall, den Unternehmen mit Sicherheit vermeiden wollen.

Einen umfassenderen Blick auf die IT-Sicherheit werfen die IT-Sicherheitsbeauftragten. Dabei geht es um allgemeine Fragen der IT-Security, um die Qualität von Prozessen, den geordneten Zugang zu Systemen und den klar geregelten Zugriff auf Daten und Anwendungen. Wie werden Zugriffsrechte erteilt und provisioniert? Gibt es nach Risikoklassen gestaffelte Sicherheitsmechanismen zum Schutz der Daten? Wie sieht der Schutz vor unerlaubtem Datenzugriff aus – von innen und von außen? Viele Unternehmen beauftragen für solche Audits inzwischen externe Spezialisten.

Ein den IT-Leitern und vielen Outsourcing-Unternehmen fachfremde Kategorie sind die Wirtschaftsprüfer und Innenrevisoren. Sie prüfen und testieren aber nicht nur die Qualität von Bilanzen und Unternehmenszahlen, sondern auch die Vorsorge gegen relevante Risiken für Unternehmen und Aktionäre. Die IT rückt hier verstärkt in den Fokus. Zum einen aus der Sicht der Belastbarkeit von Bilanzen: Wie sind die hier maßgeblichen IT-Systeme gegen Manipulationen geschützt? Wann genau wird ein Betrag als Umsatz ausgewiesen? Wer hat schon im Vorfeld der Bilanzveröffentlichung Zugriff auf diese Daten – Stichwort Insiderhandel? Zum anderen werfen auch die Wirtschaftsprüfer einen strengeren Blick auf die Vorsorge gegen Systemausfälle oder Datendiebstahl. Anlass für Nervosität im Management: Ein eingeschränktes Testat vom Wirtschaftsprüfer schlägt in den Führungsetagen, bei Investoren und Kredit-instituten hohe Wellen.