Der kleine Revisor – Transparenz sichern Lösungen forcieren

2.1.4 Mögliche Prüfungsthemen auf Basis des COBIT Modells

2.2 Internal Audit – Risikomanagement

Ziel der Reduzierung von Risiken ist es, Eintrittswahrscheinlichkeiten und Schaden höhen der Risiken durch die Implementierung stabiler Prozesse sowie durch Sofortmaßnahmen zu verringern. Die Reduzierung von Risiken umfasst ein angemessenes Sicherheits- und Notfallmanagement. Beim Transfer werden Risiken und damit verbundene potentielle Schäden auf Externe übertragen.

Es ist Wesentlich, das beim Risikotransfer, eine mögliche Versicherbarkeit der Risiken, die sich in der Praxis oft als kompliziert erweist. IT-Risiken werden bewusst akzeptiert, wenn sie unter einer durch die Unternehmensleitung festgelegten Risiko-Akzeptanzlinie liegen und somit nur einen akzeptablen Schaden verursachen. Über ein Berichtswesen ist die Geschäftsleitung über die aktuelle Lage und Entwicklung zu den Risiken zu informieren.

Zusätzlich wirkt beim Management von Risiken ein Faktor wesentlich und nachhaltig:

Eine Risikokultur, die im Unternehmen ein ausgeprägtes und einheitliches Risikobewusstsein sowie Risikoverständnis erzeugt. Der Aufbau und die Pflege der Risikokultur flankieren und stützen direkte Maßnahmen des Risikomanagements.

Die steuerende Wirkung der Risikokultur zielt dabei auf …

… die Akzeptanz von Risiken, d.h. mit welchen IT-Risiken wir wie umgegangen.

… die Befolgung von IT-Richtlinien und Regularien, d.h. wie strikt werden Richtlinien und Vorgaben von allen angenommen und befolgt.

… den Umgang mit negativen Ereignisse, d.h. wie werden negative Ereignisse aufgenommen und gehandhabt, auch: Welche Lernprozesse werden in der Folge angestoßen?

2.2.1 IT-Risikomanagement

Das IT-Risikomanagement kann, wie IT-Conpliance (dazu nachher mehr), in verschiedene Phasen eingeteilt werden.

Sammeln von Risiken durch ein Self-Assessment und Meldungen von Risiken durch die Mitarbeiter. Die Bewertung des Risikos erfolgt über das Produkt aus der Eintrittswahrscheinlichkeit und Schadenshöhe. Daher werden beide Größen häufig nur mit Ordinalskalen gemessen, auf denen mit Schätzwerten operiert wird, also mit den Werten „hoch“, „mittel“, „niedrig“.

An der Risikobewertung werden angemessene Steuerungsmaßnahmen abgeleitet, indem identifizierte und bewertete Risiken vermieden, reduziert, transferiert oder akzeptiert werden.

Eine Vermeidung von Risiken ist lediglich durch Aufgabe bzw. Unterlassungsrisikoreichen Aktivitäten möglich. Eine solche Entscheidung kann nur damit begründet werden, wenn die Verlustrisiken die Erfolgschancen deutlich übersteigen. Ziel der Reduzierung von Risiken ist es, Eintrittswahrscheinlichkeit und Schadenhöhen der Risiken

2.3 Internal Audit – Compliance

Auf dem Fachgebiet Compliance, im Sinne der Einhaltung von Gesetzen und Regularien, untersucht die Revision das Prozessdesign wie auch die Einrichtung des internen Kontrollsystems (IKS), das die Einhaltung der Anforderungen sicherstellen soll.

Mit der Neufassung des §107 (3) AktG ist die Überwachung des IKS durch den Aufsichtsrat explizit erwähnt. Im § 107 (5) AktG werden die wesentlichen Elemente des IKS im weiteren Sinne dargestellt. Die Interne Revision ist integraler Bestandteil des IKS und aufgrund ihrer Überwachungsfunktion Hauptakteur und unterstützt so den kontinuierlichen Verbesserungsprozess. Auf diese Art trägt die Interne Revision unmittelbar zur Wertschöpfung im Unternehmen bei. In Bezug auf Compliance im Sinne der Einhaltung von Gesetzen und Regularien untersucht die Revision das diesbezügliche Prozessdesign wie auch die Einrichtung des IKS, das die Einrichtung dieser Anforderungen sicherstellen soll.

2.3.1 Internes Kontrollsystem (IKS)

Durch ausschließliche Einzelfallprüfungen lässt sich in einem größeren Unternehmen mit seinen komplexen Aufbau- und Ablaufstrukturen und integrierten Systemen keine effiziente Revisionsarbeit durchführen.

Eine ausreichende Absicherung gegen betriebliches Kontrollsystem gewährleistet, dass die Aufbau- und Prozessorganisation eines Unternehmens umfasst. Ein IKS ist gegenüber direkter Einzelprüfungen die wirtschaftlichere Methode der Risikoabsicherung.

Alle risikobehafteten Geschäftsprozesse müssen in ein Kontrollnetz eingebettet sein, das eine wirksame Abwehr aller allgemeinen und spezifischen Risiken und Bedrohungen ermöglicht. Der moderne Revisor ist in einem Unternehmen der Spezialist für den Aufbau und die Überwachung effizienter Kontrollsysteme.

Unter einem IKS versteht man die Gesamtheit aller Kontrollen und Sicherheitsmechanismen eines Unternehmens oder einer Behörde zur Erreichung der erforderlichen Ordnungsmäßigkeit und Sicherheit der Geschäftsabläufe.

Die Kontrolleinrichtungen müssen so funktionieren, dass sie das speziell angesprochene Risiko erkennen und abwenden. Es müssen möglichst vorbeugende „rote Signallampen“ aufleuchten, wenn die Sicherheitsvorkehrungen nicht eingehalten werden.

Die Grundpfeiler eines IKS bauen auf den Grundsatz der Ordnungsmäßigkeit und Sicherheit auf. Zu diesen Kernzielen gehört auch eine ausreichende Funktionsfähigkeit einer Stelle, eines Ablaufs oder eines Verfahrens. Hier stößt der Prüfer für alle wesentlichen Wiederholvorgänge auf Anweisungen, Richtlinien und Arbeitsbeschreibungen.

Ein wirksames Abwehrsystem gegen Fahrlässigkeitsmängel, Korruption, Manipulation und Betrug muss organisiert und ständig in ausreichendem Maß kontrolliert werden. In Abhängigkeit von Risiko- und Bedrohungsumfang müssen Sicherheitsan- forderungen definiert und in der Form von Kontrollen in die Aufbau- und Ablauf- organisation eingebaut werden.

Sicherungsarten:

personelle Sicherungen durch Vorgesetzte und spezielle Kontroll- und Revisionsstellen

organisatorische Sicherungen durch Dienstanweisungen, geeignete Maßnahmen und festgelegte Dokumentationsanforderungen

sachliche Sicherungen, zum Beispiel Zugriffsberechtigungen, Firewalls und Schlösser

Die Funktionstrennung und das Vier-Augen-Prinzip sind die wichtigsten personellen Kontrollarten. Die Funktionstrennung sorgt dafür, dass miteinander vereinbare Funktionen nicht in einer Person oder in einer Stelle vereint sind.

Dies zählt für folgende Funktionen:

Anweisungsfunktion/Entscheidungsfunktion (Genehmigung einer vermögenswirksamen Leistung, eine Zahlungsanweisung, die Genehmigung einer Gehaltserhöhung, usw.)

Verwaltungsfunktion/Ausführungsfunktion (Kassenführung und –auszahlung)

Verbuchungsfunktion (Buchhaltung)

Der Umfang der Funktionstrennung hängt von der Risikohöhe ab. Der Revisor muss Risiken und Kontrollaufwand gegeneinander abwägen. Die kontrollierende Stelle sollte ebenso wie die ausführende Selle eine ausreichende Fachkompetenz besitzen.

Beim Vier-Augen-Prinzip wird ein wichtiger Vorgang von einer zweiten Person kontrolliert.

Die manuellen und IT-gestützen Kontrollen werden nach Möglichkeit in die Ablaufschritte eines Geschäfts- oder Verwaltungsprozess eingebaut.

Zeitnahe Kontrollen sind wirkungsvoller als Kontrollen in einem zeitlichen Abstand. Mängel lassen sich bei sofortigen Kontrollen leichter beheben.

Die Verankerung einer Kontrolle mit dem Geschäfts- und Verwaltungsprozess folgt entsprechend der folgenden Kontrollhierarchie:

zwangsläufige Verbindung der Kontrolle mit dem Arbeitsschritt

Kontrolle durch denselben Mitarbeiter im Anschluss an einen Arbeitsschritt

Kontrollen durch einen speziellen Kontrollinhaber des Fachressorts

Kontrollen durch eine spezielle Kontrollstelle

Bei manueller Abwicklung eines Verwaltungsprozesses finden Kontrollen überwiegend nach jedem Arbeitsschritt statt. In Softwarepaketen sind die Kontrollen überwiegend im Anschluss an die Belegerfassung in der Form von Eingangskontrollen konzentriert. Bei einem hohen Risikograd kommen am Schluss der Verarbeitung Ausgangskontrollen hinzu.

Aufbau und Überwachung eines internen Kontrollsystems

Der Aufbau eines IKS ist eine gemeinsame Aufgabe von Organisation/Informatik und Fachressort. Er erfolgt zusammen mit der Modellierung und Einführung eines manuellen oder IT-gestützten Organisationssystems.

Bei risikobehafteten Geschäfts- und Verwaltungsprozessen sollte die Revision den Korruptionsbeauftragten hinzuziehen.

Die Verantwortlichkeit für die Funktionsfähigkeit und ständige Überwachung eines internen Kontrollsystems liegt beim Linienvorgesetzten.

Im Rahmen der Revisionsarbeit stellen die Revisoren fest, ob

das IKS-Gitter eines sensiblen Ablaufs Schwachstellen aufweist und

bei den stichprobenhaft vorgenommenen Prüfungshandlungen zu Verwaltungsvorgängen oder Projekten sich Vermutungen für Delikthandlungen oder Beweise für Verstöße ergeben.

Als Ergebnis einer vorbeugenden IKS-Prüfung oder einer Sonderprüfung in einem eingetretenen Deliktfall können sich Anforderungen an eine Nachprüfung des IKS- Systems ergeben. Verbesserungsvorschlägen aus einer IKS-Prüfung werden von der Fachseite umgesetzt.

Ablauflogik einer IKS-Prüfung:

Aufnahme der Aufbauorganisation

Revisionsstrukturierung in der Form einer Top-down-Aufgabengliederung in grafischer oder tabellarischer Form oder als Aufzählung der Prüfungsfelder

Aufnahme der für die Prüfung relevanten Geschäfts- oder Verwaltungsprozesse (grafische oder verbale Darstellung)

Feststellung der Risikozonen und Gefährdungspunkte (Risiko- und Bedrohungsanalyse)

Bewertung der Risiken und der Deliktgefährdung (zur Hervorhebung der Kernpunkte)

Überprüfung des vorhandenen personellen, organisatorischen und sachlichen IKS und Feststellung der zu ändernden und neu festzulegenden IKS-Punkte

Umsetzung der zu ändernden und der neuen IKS-Vorbeugungspunkte im Rahmen der Aufbau- und Ablauforganisation und Abstimmung mit den Möglichkeiten der prüften Stelle

Bei Bedarf am Schluss der Prüfung (oder einem sich anschließenden Trainingsblock) Schulung der betroffenen Führungskräfte und Sacharbeiter in der Handhabung der geänderten und neuen IKS-Punkte und ihre Sensibilisierung, wenn IKS-Punkte der Deliktvorbeugung dienen.

Nachrevision nach einer angemessenen Zeit (3-6 Monate), ob die geprüfte Stelle das geänderte IKS-System akzeptiert hat oder Änderungen wünscht.

IKS-Fragen richtig formulieren:

Ist sichergestellt, dass ... ?

Ist gewährleistet, dass ... ?

Wie ist sichergestellt, dass ... ?

Wie ist gewährleistet, dass ... ?

Nachfassfragen bei Kurzantworten im Interview:

Wie begründen sie diese Antwort?

Wie ist sichergestellt, dass sie eingehalten werden?

Die Erweiterung von Arbeitsprozessen eines Unternehmens oder einer Verwaltungsbehörde um innovative Webstrukturen führt zu einer Herausforderung an die Revision. Die zusätzlichen Risikostrukturen sind wegen der unzureichenden Erfahrungswerte oft schwer zu durchschauen. Der Einsatz teamorientierter Kreativitäts- und Problemlösungstechniken und die Teilnahme an einschlägigen branchenorientierten Erfahrungsaustausch- gruppen kann bei der Erarbeitung wirkungsvoller Kontrollsysteme hilfreich sein. Zu den Ex-post-Prüfungen eines Arbeitsgebiets, die auch heute für jede Revision im Vordergrund steht, gehört nach der IKS-Durchleuchtung die stichprobenhafte Überprüfung von Einzelfällen. Das Ergebnis führt zu quantitativen Prüfungsfeststellungen im Revisionsbericht.

2.3.2 IT-Compliance

Einige einfache Situationen, die in der Praxis immer wieder zu beobachten sind:

Ausgeschiedenen Mitarbeitern ist die Nutzung der IT-Systeme möglich;

Benutzer von IT-Systemen werden nicht ausreichend authentifiziert, so dass unbefugte die Systeme nutzen können;

Datenbestände werden nicht ausreichend gesichert und die Lesbarkeit gesicherter Datenbestände wird nicht getestet;

Rechnerräume sind ungesichert gegen Zugang von Unbefugten.

Nachlässiges oder fahrlässiges Verhalten verletzt in der Regel gesetzliche Vorgaben und sind Verstöße gegen die IT-Compliance.

In KMU stellt Compliance generell eine schwierige Aufgabe dar, weil der Umfang und die Komplexität der Compliance-Anforderungen erheblich und oftmals ausreichende Spezialerkenntnisse nicht verfügbar sind. Die gilt umso mehr für IT-Compliance, da die betriebliche Nutzung von Informationstechnik per se ein Spezialgebiet mit erheblicher Komplexität darstellt. Damit werden auch Gelegenheiten zu opportunistischen Verhaltensweisen von Mitarbeitern und Anbietern eröffnet und typische Regelverstöße wie Korruption, Bestechung und Verstöße gegen Datengeheimnisse relevant.

Die im Allgemeinen zunehmende behördliche Regelungs- und Kontrolldichte greift damit zunehmend auch auf den IT-Einsatz in KMU durch.

Auch Bedrohungen der Unternehmenssicherheit erfordern Aufmerksamkeit. Der Schutz der IT-Landschaften wird immer wichtiger.

Vorstände und Gesellschafter sind persönlich für Versäumnisse und mangelnde Risikovorsorge verantwortlich, daher sind organisatorische und technische Maßnahmen der Vorsorge und Prävention notwendig und sollten dokumentiert sein. Nur so können Vorstände und Gesellschafter pflichtgemäßes Handeln nachweisen und dem Vorwurf der groben Fahrlässigkeit entkräften.

Angemessenes Risikomanagement, Sicherheitsmanagement und Notfallmanagement stellen im Rahmen von Sorgfaltspflichten einen Auftrag an Unternehmensleitungen dar.

Im Ergebnis steigt bei hoher Regelungs- und Kontrolldichte und breitem und umfassenden IT-Einsatz in KMU das Risiko, dass Verstöße gegen Gesetze und Vorgaben geschehen und aufgedeckt werden. Traditionell verfügen KMU über weniger personelle, organisatorische und finanzielle Ressourcen und erzielen wichtige Wettbewerbsvorteile durch Flexibilität und Geschwindigkeit.

Es muss nach externen und internen Compliance-Vorgaben unterschieden werden. Externe Compliance-Vorgaben werden durch Gesetze, Rechtsverordnungen, Rechtsprechung, Verwaltungsvorschriften, Prüfungsanforderungen oder Verträge bestimmt.

Als wesentlich können folgende Vorgaben betrachtet werden:

Datenschutz: Bundesdatenschutzgesetz (BDSG) und Landesschutzgesetze

Externe Kontrolle: Handelsgesetzbuch (HGB) und Abgabenordnung (AO), Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) und Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPDU), Prüfungsstandards und Stellungnahmen des IDW (PS 330 oder FAIT 1 bis 3)

Interne Kontrolle: Gesetz zur Kontrolle und Transparenz im Unternehmens-bereich (KonTraG), Aktiengesetz (AktG)

Handels- und Umsatzsteuerrecht: Umsatzsteuergesetz (UStG), Signaturgesetz (SigG)

Urheberrecht (UrhG) und Lizenzrecht

Branchenspezifische Vorgaben:

Banken und Kapitalanlagengesellschaften: Kreditwesengesetz (KWG), Kapitalanlagegesetz (KAG), Basel II, BaFin-Regeln

Versicherungen: Solvency II

Pharma und Lebensmittelbranche: FDA-Regeln, Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH)

Öffentliche Verwaltung: luK-Mindestanforderungen

Internationale Vorgaben: Sarbanes Oxley Act (SOX)

Über die externen Compliance-Anforderungen hinaus können vom Unternehmen intern weitere Anforderungen anerkannt und verbindlich festgelegt werden.

Information Technology Infrastructure Library (ITIL)

Control Objectives for Information and Related Technology (COBIT)

ISO Normen (ISO 20000, ISO 27000)

Zur Einhaltung dieser Vorgaben und Auflagen sind die Unternehmen nicht verpflichtet, sondern entscheiden sich dafür, um die Stabilität und Qualität der Leistungserstellung zu sichern oder Marktchancen zu erhöhen.

Neben dem Datenschutz, auf den im Kapitel 2.4 eingegangen wird, muss der IT- Einsatz im Unternehmen zuvorderst den Regelungen der Steuergesetzgebung unterworfen werden. Dies fordert die Ordnungsmäßigkeit der Dokumentation der Geschäftstätigkeit, wie auch das Handelsgesetz, die Abgabenordnung, sowie weitere Gesetze, Verordnungen und Vorschriften.

Ziel der Regelungen ist die Steuerehrlichkeit und die revisionssichere Handhabung aufbewahrungspflichtiger Daten.

Exkurs:

Private Nutzung des geschäftlichen E-Mail Accounts oder die Nutzung des privaten E-Mail Accounts für geschäftliche Belange.

Wenn die private Nutzung vom Unternehmen zugelassen wird, dann wird damit das Unternehmen nach §3 des Telekommunikationsgesetzes (TKG) zum Dienstanbieter und hat damit nach §85 TKG bezüglich der E-Mails das im Grundgesetz geschützte Post- und Fernmeldegeheimnis zu beachten. Da damit eine Inhaltskontrolle der E- Mails untersagt ist, führt dies zu Hindernissen bei der zentralen Kontrolle von E- Mails auf SPAM-Mails, denn die Kontrolle ist so vorzunehmen, dass Dritte keine Kenntnis von den Inhalten privater E-Mails erlangen können. Auch bei archivierten Mails muss dies sichergestellt sein. Wenn SPAM-verdächtige Mails nicht an die Adressaten weitergeleitet werden weitergeleitet werden, dann kann dies für private E-Mails eine strafbare „Datenunterdrückung“ nach §303a StGB darstellen; die Unterdrückung schadhafter (z.B. mit Viren behafteter) E-Mails wird als zulässige Schutzmaßnahme angesehen. Wenn die private Nutzung zugelassen ist, dann ist strittig, ob auf das E-Mail-Konto eines Mitarbeiters zugegriffen werden darf, wenn dieser etwa bei plötzlicher Erkrankung oder nach Ausscheiden aus dem Unternehmen nicht antworten kann und dem Unternehmen damit Schaden entsteht, weil Kunden oder Aufträge verloren gehen.

Auch die Nutzung privater E-Mail-Adressen für Zwecke des Unternehmens ist kritisch. Wenn Mitarbeiter betriebliche E-Mails an ihre private E-Mail-Adresse weiterleiten, um beispielsweise diese trotz Abwesenheit vom Arbeitsplatz rasch beantworten zu können, dann kann bezüglich der eingegangenen und versandten E-Mails gegebenenfalls nicht der Archivierungspflicht genügt werden.

Wichtig im Zuge von IT-Compliance ist die Thematik rund um das Softwareschutzrecht und Nutzungsrecht. Beim Kauf von Software wird ein Nutzrecht, d.h. eine Lizenz, erworben und berechtigt zur Nutzung der erworbenen Software oder Datenbank. Individuell entwickelte Software im Zuge eines Arbeitsverhältnisses basiert meist auf einem Arbeits- oder Werkvertrag. Solange nichts geregelt ist, stehen einem Arbeitgeberalle Nutzrechte ausschließlich und ohne besonderes Entgelt zu.

Um eindeutige Klarheit zu haben sollte dies ausdrücklich im Arbeitsvertrag fixiert sein. Bei einem Werkvertrag ist durchgehend zu regeln, in welchem Umfang Nutzrechte an den Auftraggeber gehen. Dabei kann auch festgelegt werden, das dem Auftraggeber ausschließliche Nutzrechte eingeräumt werden, dies wird dann als Individualsoftware bezeichnet.

Eine Unterlizenzierung der betriebenen Software in einem Unternehmen ist ein ernster Regelverstoß. Eine Überlizenzierung ist unwirtschaftlich.

Jegliche Präsentation von Unternehmen im World Wide Web (WWW) unterliegt seit 2007 dem Telemediagesetz (TMG) und dem Rundfunkstaatsvertrag (RStV) und muß der Impressumspflicht nachkommen.

Das Impressum muss folgende Angaben enthalten:

Name, Anschrift der Inhaber oder der juristischen Person (inkl. Vertretungsberechtigten und Rechtsform)

E-Mail-Adresse

Telefonnummer

Registernummer (Handels-, Partnerschafts- oder Genossenschaftsregister)

Angaben zu Aufsichtsbehörden (wenn das Angebot behördlichen Zulassungen unterliegt)

Umsatzsteueridentifikationnummer

Wirtschaftsidentifikationsnummer

Alle Unternehmen sind verpflichtet ihre Geschäftskontakte mit einer Liste des Sanktionsausschusses der Vereinten Nationen zu prüfen und gegebenenfalls Meldung zu erstatten.

Mit dem Prozess zur IT-Compliance sollen folgende Ziele erreicht werden:

vollständige und kontinuierliche Identifikation und Analyse von Compliance-Anforderungen,

effiziente und effektive Implementierung und Überwachung geeigneter Maßnahmen zur Steuerung und Kontrolle,

geeignete Dokumentation und Kommunikation gegenüber Anspruchsgruppen,

Vermeidung und Reduktion von Risiken (z.B. technische Risiken, Image-Risiken und Haftungsrisiken)

IT-Compliance-Prozess

Phase 1:

In der 1. Phase werden die Compliance-Anforderungen identifiziert und alle IT- relevante Regelwerke beschafft und gesichtet. Die IT- relevanten Vorgaben und Auflagen liegen meist in recht heterogener Form vor. Zudem zielen sie auf unterschiedliche Teilbereiche, wie etwa Datenschutz, Datensicherung, Archivierung, Prüfung, Risikomanagement, Notfall- und Katastrophenmanagement.

Auf Basis der Ergebnisse der Recherche gilt es, Maßnahmen zur Steuerung und Kontrolle abzuleiten, um die Einhaltung der Vorgaben und Auflagen zu sichern. Die Vorgaben und Auflagen, die den verschiedenen Regelwerken vorliegen, sind nicht aufeinander abgestimmt und enthalten daher thematische Überschneidungen. Um die Heterogenität und Überschneidungen der vorgehenden Aufgaben zu überwinden, sollten Ziele abgeleitet werden, die durch die Umsetzung geeigneter Steuerungs- und Kontrollmaßnahmen zu erreichen sind. Dabei orientieren sich die Ziele, die aus den Vorgaben und Auflagen destilliert werden, an den unternehmensspezifischen Rahmenbedingungen, wie z.B. der IT-Organisation und der IT-Infrastruktur.

Für die aus den Zielen abgeleiteten Maßnahmen können vorhandene Regelwerke eingesetzt werden, da sie einen umfangreichen Satz bereits definierter und bewährter Maßnahmen enthalten und somit den Aufwand für die Überführung der Ziele in Maßnahmen mindern.

Die Angemessenheit und Wirksamkeit sollte immer beachtet werden.

Phase 2:

Die Phase 2 im IT-Compliance-Prozess umfasst die Implementierung der Steuerungs- und Kontrollmaßnahmen. Im ersten Schritt wird eine Bewertung der Maßnahme vorgenommen. Die Bewertung erfolgt auf Basis eines Risikokalküls. Steuerungs- und Kontrollmaßnahmen können in verschiedener Form implementiert werden, etwa als Richtlinie, Prozedur, Verfahren oder Organisationsstruktur.

Die Maßnahmen werden in detektive und präventive Maßnahmen unterschieden. Detektive Maßnahmen stellen eingetretene Verstöße fest und sollen negative Nachwirkungen reduzieren. Präventive Maßnahmen sollen zukünftige Verstöße vermeiden, so dass negative Nachwirkungen erst gar nicht entstehen. Die Umsetzung der Maßnahmen erfolgt nach der Dringlichkeit und nach dem Risiko. Eine Überprüfung auf Wirksamkeit und Angemessenheit ist obligatorisch.

Phase 3:

In der 3. Phase geht es um die glaubhafte Belegung von IT-Compliance. Dazu muß die Maßnahmenimplementierung gesteuert, überwacht, ein Nachweis der Konformität erbracht und eine Berichtserstattung aufgesetzt werden.

Steuerung und Überwachung:

Abweichungsanalyse

Monitoren an Hand spezieller Kennzahlen

Bestimmung von Reifegraden

Konformitätsnachweis:

Einhaltung von Auflagen und Vorgaben

Ausfälle von IT-Systemen oder Störungen führen zu materielle und immaterielle Schäden, die den Fortbestand des Unternehmens gefährden können.

Mögliche Bedrohungen:

Angriffe auf die IT-Systeme durch vorsätzlichen und gezielte Handlungen

missbräuchliche Nutzung der IT

irrtümliche oder versehentliche Handlungen

Elementarereignisse (Wasser, Stromausfall, Blitz, Feuer, etc.)

höhere Gewalt

technische Mängel

technisches Versagen

Funktions- oder Organisationsmängel