Wirtschaftsprüfung und Informationssicherheit

Auf dem Prüfstand: Wirtschaftsprüfung und Informationssicherheit

Bieten IT-Grundschutz und ein Zertifikat gemäß ISO 27001 wirtschaftliche Vorteile?

 Ulrich Heun, Geschäftsführer & CEO von CARMAO

                                                                

 

Die Auditierung der IT-Umgebung von Unternehmen im Rahmen von IT-Systemprüfungen ist mittlerweile ein fester Bestandteil der Jahresabschluss­prüfungen geworden. Viele Unternehmen verlassen sich auf diesen jährlichen Check, um dadurch einen Statusbericht zu ihrer IT-Sicherheit zu erhalten – „Nachsorge statt Vorsorge“ lautet dieses riskante Prinzip. Das Management der IT-Sicherheit im Kontext zur Wirtschaftsprüfung gewinnt zunehmend an Bedeutung – nicht zuletzt beeinflusst durch Bestimmungen aus KontraG, MaRisk, Basel II + III, BDSG und anderen Gesetzen. Dabei stellt sich unter anderem die Frage: Bietet ein Zertifikat gemäß ISO 27001 oder BSI Grundschutz-Handbuch betriebswirtschaftlich einen Mehrwert.                                                                    

 

 

Die Jahresabschlussprüfung nach dem risikoorientierten Prüfungsansatz zielt darauf ab, die Verlässlichkeit des internen Kontrollsystems zu beurteilen. Im Zuge dessen sind auch IT-Systemaudits erforderlich, da wesentliche Teile der Rechnungslegung informationstechno­logie­gestützt verarbeitet werden. Ziel ist die Beurteilung der IT-Sicherheit und des Risikos wesentlicher Fehler im System, soweit diese rechnungslegungs­relevant sind. Im Rahmen dieser IT-Systemaudits erfolgt im Regelfall eine jährlich rollierende Behandlung verschiedener Themengebiete sowie Follow-Up-Prüfungen zur Ermittlung des Abarbeitungsstandes der Vorjahresfeststellungen.

 

Inhalte der IT-Systemaudits

Die Inhalte der Audits setzen sich aus unterschiedlichen Themengebieten zusammen.

Ein zentraler Bestandteil ist die Prüfung der Ordnungsmäßigkeit des rechnungs­legungsrelevanten FiBu-Systems (bspw. nach den GoBS) sowie aller weiteren Applikationen, die mittels Schnittstellen Daten an das rechnungslegungsrelevante System übergeben. Durch Funktionsprüfungen und Datenanalysen mit der Software IDEA werden die Wirksamkeit von Programmkontrollen und die richtige Verarbeitung von Daten validiert. Sollten im Berichtszeitraum Systemmigrationen stattgefunden haben, ist zudem die Vollständigkeit und Richtigkeit der Datenübernahmen Bestandteil der Prüfung.

Als weiterer zentraler Inhalt sind die Überprüfungen des Zugriffsschutzes jener Applikationen sowie der Netzwerk- und Server­infrastruktur im Allgemeinen (Verzeichnisdienste wie LDAP, Novell, Active Directory) zu sehen. Hierdurch wird sichergestellt, dass nur Personen Zugriff auf die Daten und deren Verarbeitung haben, die hierzu entsprechend autorisiert sind.

 

Die Wartung und das Operating von Programmen, also die Steuerung von Programmausführungen (Batch), werden ebenfalls untersucht. Bei der Einführung neuer Systeme werden darüber hinaus der Entwurf, die Entwicklung, die Konfiguration und die Integration dieser Systeme in die bestehende IT-Infrastruktur beurteilt.

 

Das Prüfgebiet der Kontrollen der IT-Infrastruktur bewertet die Richtlinien des Unternehmens zum Business Continuity Management und zur Absicherung gegen Elementarrisiken bis hin zum Katastrophenfall-Konzept. Dabei werden auch die Kontrollen zur IT-Infrastruktur in Augenschein genommen (Begehung RZ/Serverraum, Kontrolle der Backup-Jobs etc.). Dies ist erforderlich, um sich ein Bild über die Sensibilität des Unternehmens gegenüber diesen bestehenden Risiken zu verschaffen.

 

Weitere mandatsbezogene Fragestellungen aus der Prüfungsplanung mit dem Team der Jahresabschlussprüfung runden diese Prüfungsgebiete ab.

 

Berichtspflichtige Feststellungen

Wurden Mängel hinsichtlich der Sicherheit und Ordnungsmäßigkeit der für die Zwecke der Rechnungslegung verarbeiteten Daten festgestellt, so werden diese im Prüfungsbericht dargestellt. Wurden darüber hinaus wesentliche Schwächen des IT-Systems eruiert, werden die gesetzlichen Vertreter mittels eines Management Letters auf diese aufmerksam gemacht.

 

Die Reaktion auf die Feststellungen der Wirtschaftsprüfer hängt davon ab, wie die Einstellung des Managements insgesamt gegenüber Sicherheitsrisiken ist („Tone at the Top“) und welches Risikomanagement implementiert ist. Fehler im Umgang mit sensiblen Daten, Inkonsistenzen und lange Zeiten für die Aufbereitung steuerungsrelevanter Unternehmensinformationen sind heutzutage weniger akzeptiert als in der Vergangenheit. Ein Negativimage kann dann die Folge von bedeutsamen Mängeln und Schäden sein. „Aus Schaden wird man klug“ gilt auch in diesem Bereich.

 

Proaktive Sicherheit als Business Enabler

Eine proaktive Vorgehensweise ist heute daher der bessere Weg. Denn moderne Informationssicherheit orientiert sich in der Regel an den Unternehmenszielen und den gesetzlichen Vorgaben – sie bewegt sich dabei im Dreieck von Governance (zur Aufsicht und Durchsetzung der Unternehmensziele), Risk (zur Sicherstellung der Risikominimierung) und Compliance (zur Erfüllung der gesetzlichen Anforderungen).

 

Das Ziel der „sicheren Geschäftsprozesse“, das sich entlang der Wertschöpfungskette eines jeden Unternehmens durch Informationssicherheit realisieren lässt, sofern das Risiko es rechtfertigt, kann bei vielen Unternehmen sogar zu einem „Business Enabler“ werden. Unternehmen wie große Online-Shops oder Portale leben von der Vertraulichkeit und Integrität von Informationen in ihrer Wertschöpfung und setzen den Informationsschutz als Verkaufsargument ein (Beispiel „Trusted Shops“). Nur so können sie eine entsprechende Kundenbasis aufbauen, Partner einbinden und unkompliziert Ware auf Rechnung versenden.

 

Negative Schlagzeilen durch Mängel in der Koordination von Sicherheitsmaßnahmen haben Unternehmen wie Nintendo und Sony Entertainment im Umgang mit Kundendaten erlebt und Premiere ist auf Grund des mangelnden Produktschutzes den Smartcard-Piraten zum Opfer gefallen. Bei Unternehmen, die von sicheren Geschäftsprozessen abhängig sind, kann dies wettbewerbsentscheidend sein und bis zum Verschwinden vom Markt führen.

Wertbeitrag der Informationssicherheit

Damit die Informationssicherheit wirtschaftliche Vorteile bringt und nicht nur infrastrukturelle Kosten produziert oder als Gemeinkostenstelle in der Unternehmenskostenrechnung verharrt, ist es wichtig, dass man den Beitrag der Informationssicherheit an der Wertschöpfung einzelner Geschäftsprozesse gesondert bestimmt. Dazu gehören Fragen wie:

-          Wie hoch sind die vermeidbaren Betriebskosten durch Datenverluste, Nichtverfügbarkeiten und Datenmanipulationen?

-          Welche Umsätze konnten nicht realisiert werden, weil man das notwendige Kundenvertrauen nicht gewinnen konnte?

-          Welche Umsätze konnten realisiert werden, weil man ISO 27001 als Wettbewerbsvorteil einbringen konnte?

-          Welche Geschäftsprozesse basieren einzig darauf, dass eine sichere IT-Infrastruktur vorhanden ist?

-          Welche Umsatzpotenziale eröffnen sich, weil man als einziger oder einer der wenigen Anbieter im Wettbewerb neue innovative Leistungen auf elektronisch vernetzten und kosteneffizient betriebenen Infrastrukturen anbieten kann (z.B. elektronische Marktplätze, Online-Transaktionen, Verkürzung von Lieferfristen, geschützte Unternehmenskooperationen mit hohem internen Vertrauensbedarf etc.)?

 

Ein Wert kann also nur generiert werden, wenn er zielorientiert an den Geschäftsprozessen ausgerichtet wird. Dazu muss die Geschäftsführung ein Informationssicherheitsmanagement „nahtlos“ in das IT-Management und die Geschäftsprozesse einbinden. Voraussetzung ist dabei, dass der Wertbeitrag und die Zielorientierung kontinuierlich gemessen und verfolgt werden (Information Security Controlling). Man kann sich dabei beispielsweise an den Prozess-Frameworks CobiT und Val IT des IT Governance Institute (ITGI) der ISACA

mit den zugehörigen Reifegradmodellen orientieren.

Welchen Beitrag leistet eine Zertifizierung nach ISO 27001?
Im Detail beleuchtet, stiftet eine Zertifizierung nach ISO 27001 dabei verschiedene Wertbeiträge. Sie ermöglicht den Aufbau einer systematischen und daher funktionierenden optimierbaren Organisation sowie eine Kostenreduktion durch Minimierung von Auditaufwänden. Die Investitionen in die Sicherheit werden risikoorientiert und damit nach betriebswirtschaftlichen Gesichtspunkten ausgerichtet. Die sich aus der Zertifizierung ergebenden Verbesserungen bei den Informationsanforderungen ”Verfügbarkeit” und “Integrität” optimieren gleichzeitig die Qualität der IT-gestützten Geschäftsprozesse (Verringerung von Fehlerquoten und Vermeidung von Verzögerung der Abläufe). Die Verbesserung bei der Informationsanforderung “Vertraulichkeit” stärkt damit gleichzeitig die Loyalität von Kunden, Partnern und Mitarbeitern.

 

Eine Zertifizierung bedeutet außerdem auch immer ein öffentliches Commitment der Geschäftsleitung zur Informationssicherheit, da sie damit eine dauerhafte Verpflichtung eingeht, das IS-Management zu pflegen und zu optimieren. Eine ISO 27001 Zertifizierung ist daher eine von mehreren geeigneten Maßnahmen, Informationssicherheit nach Kassenlage zu vermeiden.

 

Eine ISO 27001 Zertifizierung alleine ist jedoch nicht das Allheilmittel. Die ganzheitliche Aufstellung der Informationssicherheit sowie die effiziente Integration in die IT-Prozesse und Unternehmensplanung ebnen letztlich den Weg in die Wertschöpfung.