Internes Kontroll-System im Informatikbereich von KMU

Ausgangslage

Erfahrungen und Beobachtungen aus der Tätigkeit als Informatik-Prüfer und –Berater zeigen, dass in kleineren und mittleren Unternehmen oftmals Unsicherheit und Fragen zum Umfang und Inhalt sowie insbesondere auch zum konkreten Nutzen des Internen Kontroll-Systems (IKS) bestehen. Dies gilt für das IKS auf Unternehmens- und Prozessebene sowie, in noch stärkerem Mass, auch für die Kontrollen im Informatikbereich.
Der Schweizer Prüfungsstandard «Prüfung der Existenz des Internen Kontrollsystems» (PS 890) definiert die Bedeutung der Informatik für das interne Kontroll-System wie folgt: «Kontrollen im Informatikbereich sind umso wichtiger, je stärker der Rechnungslegungs- und Berichterstattungs-Prozess von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler ihre Ursache im Aufbau von und Umgang mit Informatik-Systemen haben könnten.»

Informatikeinsatz in Schweizer KMU

In kleineren und mittleren Unternehmen (KMU) weichen die Anforderungen an die Informatik nicht wesentlich von denjenigen in grossen Unternehmen ab: Anwendungen mit breitem Funktionsumfang sowie hohe Verfügbarkeit und Sicherheit sind wesentliche
Voraussetzungen für die effiziente und zuverlässige Abwicklung der Geschäftsprozesse.
Gegenüber grösseren Unternehmen mit bezüglich Knowhow und Kapazität gut dotierten Informatikabteilungen ist die Situation in KMU, obwohl deren Informatik-Systeme und -Infrastruktur noch «überschaubar» sind und als Kern-Anwendungen in der Regel Standard-Software eingesetzt wird, oft von folgenden «typischen» Risiken geprägt:

- fehlendes Knowhow zu den Informatik-Anwendungen sowie den Daten- und Werteflüssen (d.h. den Schnittstellen zwischen den Anwendungen); daraus resultieren eine fehleranfällige, ineffiziente Nutzung der Software, Schwachstellen in der internen Kontrolle und eine hohe Abhängigkeit von externen Partnern (Dienstleistern und Lieferanten);


-starke Konzentration des Knowhow auf Einzelne, sehr oft einher gehend mit wenig strukturierten und kaum dokumentierten Prozessen im Informatikbereich; daraus ergibt sich eine hohe Abhängigkeit von solchen Schlüsselpersonen;

- angemessener Zugriffsschutz auf der Ebene von Netzwerk und Betriebssystem, aber innerhalb der einzelnen Anwendungen kaum differenzierte Zugriffsberechtigungen sowie «schwache» Passworte und Verzicht auf periodische Passwort-Wechsel;

-Individual-Lösungen und -Auswertungen in Excel oder Access, die von einzelnen Anwendern erstellt und kaum dokumentiert werden; deren Weiterentwicklung und Funktionsfähigkeit sowie oft auch deren Nutzung (v.a. im Bereich Kennzahlen und MIS) sind vollumfänglich von dieser einen Person abhängig;

-Schwachstellen im Bereich der physischen Sicherheit (Zutritt, Rauch- und Feuererkennung, Klimatisierung und Stromversorgung) des Rechenzentrums resp. des Serverraumes;


- regelmässige Erstellung von Datensicherungen, aber oftmals Schwachstellen in deren Aufbewahrung (kein Datenträger-Safe) sowie ungenügende Auslagerung und fehlende Restore-Tests (als Grundlage für Wiederherstellung nach einem gravierenden Ereignis);

- fehlende Vorsorge und Vorbereitung für die Bewältigung von gravierenden Ereignissen (bspw. Zerstörung des Rechenzentrums resp. des Serverraumes), obwohl die Geschäftsprozesse in hohem Mass von der Verfügbarkeit der Informatikmittel abhängig sind.

Das «ideale» IKS im Informatikbereich

Auch für ein KMU ist wichtig, im Informatikbereich eine angemessene interne Organisation und Kontrolle zu gewährleisten sowie zweckmässige Dokumentationen zu pflegen.
Ein umfassendes IKS beinhaltet Kontrollziele und Kontrollen auf mehreren Ebenen: Den Geschäftsprozessen, den Informatik-Anwendungen und deren programmierten Kontrollen sowie dem Informatik-Bereich.
Als «Dach» sind unternehmensweite Kontrollziele und Kontrollen in den Bereichen Informatik-Strategie, -Organisation und -Personal, Risiko- und Sicherheits-Management sowie Steuerung und Management von (Informatik-)Projekten zu implementieren.

Inhalte des IKS im Informatikbereich

Im anwendungsunabhängigen Bereich, d.h. der Informatik «an sich», sollten Kontrollziele und Kontrollen mindestens folgende Themen abdecken:
- Informatik-Strategie und –Planung
- Organisation und Personal im Informatikbereich
- Übersicht zum Informatikeinsatz (Anwendungen, Systeme und Netzwerk) und Inventar der Informatikmittel
- Verträge / Service Level Agreements (intern und mit externen Dienstleistern)
- Projekt-Management
- Beschaffung von Informatikmitteln (Hard- und Software)
- Inbetriebnahme von Informatikmitteln
- Programm-Entwicklung und –Unterhalt (genereller Prozess)
- Konfigurations-Management
- Risiko-Management / Versicherungen
- Physische Sicherheit
- Logische Sicherheit / Daten- und Zugriffsschutz (Grundlagen)
- Datensicherung / Archivierung
- Notorganisation / Katastrophenvorsorge
- Führungsgrundlagen, Richtlinien, Weisungen
- relevante Gesetze, Vorschriften und Verträge
- Interne Kontrollen

Im Bereich der Kern-Anwendungen zur Unterstützung der Geschäftsprozesse sollten Kontrollziele und Kontrollen für jede wesentliche Anwendung folgende Themen abdecken:
- Organisation (Zusammenspiel von Informatik und Fachabteilungen) / Benutzer-Schulung und –Support
- System- und Betriebs-Dokumentationen / Benutzer-Dokumentationen
- Systemumgebungen (Entwicklung, Test, Produktion)
- Antrags-, Genehmigungs-, Test- und Abnahmeverfahren für Programm-Entwicklung und –Unterhalt
- Antrags-, Genehmigungs-, Test- und Abnahmeverfahren für die Pflege der Steuerungsparameter (Customizing)
- Pflege der Stammdaten (Berechtigte, Kontrolle und Nachvollzug)
- Datenerfassung (Berechtigte, Kontrolle und Nachvollzug)
- Datenverarbeitung (Kontrolle und Nachvollzug)
- Datenspeicherung (Kontrolle und Nachvollzug) / Datensicherung, -aufbewahrung und -archivierung
- Datenausgabe (Journale, Kontrolle)
- (Jahres-)Abschlussarbeiten (Durchführung, Kontrolle und Nachvollzug)
- Schnittstellen (Kontrolle und Nachvollzug)
- Zugriffsschutz (Berechtigungskonzept)
- Pflege und Überwachung von Benutzern und Berechtigungen (Prozess, Verantwortliche)

Erster Schritt zum IKS: Erhebung und Beurteilung des IST-Zustandes

Als Hilfsmittel für die Erhebung und Beurteilung des IST-Zustandes kann das vom Stab Informatik der Treuhand-Kammer erarbeitete «Vorgehensmodell IT-Risikoanalyse» dienen. Obwohl das Vorgehensmodell als «Arbeitshilfe für KMU-Prüfer» bezeichnet ist, eignet es sich auch für Self-Assessments.
Das Modell beinhaltet zwei Checklisten und beschreibt die drei Vorgehensschritte, um sich mit angemessenem Aufwand ein klares Bild über den IST-Zustand zu verschaffen:

1) Bedeutung der Informatik für das Unternehmen und die mit dem Informatikeinsatz verbundenen Risiken erkennen. Dazu dient eine Checkliste mit 16 Fragen und jeweils 4 möglichen Antworten. Aus den Antworten gehen potentielle Risikofaktoren hervor: Einschätzungen in den Stufen 4 und 3 weisen auf geringe Risiken hin; die Stufen 2 und 1 weisen auf erhebliche bis hohe Risiken hin.


2) Stark- / Schwachstellen in IT-Organisation und -Prozessen identifizieren, d.h. die «Reife» der Informatik beurteilen. Dazu dient eine Checkliste mit rund 90 Fragen zu 20 für den IT-Einsatz relevanten Themen. Die einzelnen Fragen werden in einem 4-stufigen Maturitätsmodell bewertet. Bewertungen im Bereich der Maturitätsstufen 4 und 3 weisen auf einen guten Reifegrad und geringe Risiken hin; die Maturitätsstufen 2 und 1 weisen auf einen ungenügenden Reifegrad resp. erhebliche bis hohe Risiken hin.

3) Übersicht über die (Kern-)Anwendungen sowie die wesentlichen Werte- und Datenflüsse gewinnen und (grafisch) darstellen; dazu ist es hilfreich, die Anwendungen (Standard-Software / angepasste Standard-Software / Individual-Software) und deren Schnittstellen (manuell / maschinell als Stapelverarbeitung / maschinell/automatisch) zu kategorisieren.

Das Vorgehensmodell und die Checklisten werden vom Autor auf Anfrage hin zur Verfügung gestellt.

Zweiter Schritt: Aufbau resp. Optimierung des IKS

In der Praxis haben sich verschiedene Werkzeuge und Methoden durchgesetzt, die hilfreich sind, um die Informatik «im Griff» zu halten resp. in den Griff zu bekommen und das IKS zu optimieren:
Zum einen ist das COBIT Framework, das international anerkannte Standardwerk zur IT-Governance von ISACA, zu nennen. Das 1996 erstmals veröffentlichte COBIT-Framework (1998, 2000, 2005 und erneut auf 2012 wesentlich überarbeitet) betont die Rolle und den Einfluss der Informationstechnologie auf die Geschäftsprozesse. COBIT stellt ein Modell von generell anwendbaren und akzeptierten Governance- und Management-Praktiken bereit, um in einem Unternehmen einen verlässlichen Umgang mit der Informationstechnologie zu gewährleisten. Das COBIT-Framework integriert die Anforderungen der bekanntesten Standards und Modelle für das Management und die Kontrolle der Informationstechnologie wie bspw. COSO, Basel III, ISO27000 und ITIL.

Wenn bei der Gestaltung des IKS ein hohes Gewicht auf die Informations- und Informatik-Sicherheit gelegt werden soll, kann auch auf der ISO-Normenreihe 27000 abgestellt werden:


1) Die ISO-Norm 27001 spezifiziert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Die Norm umfasst die Erstellung, die Einführung, den Betrieb, die Überwachung, die Wartung und die kontinuierliche Verbesserung eines dokumentierten ISMS unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Über die Erfüllung der Anforderungen von ISO 27001 ist auch eine Zertifizierung des ISMS möglich.

2) Die ISO-Norm 27002 beschreibt Kontrollziele im Bereich der Informationssicherheit. Grundlage bildete eine breite Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, um einen «best practice» Ansatz umzusetzen. Sie umfasst Weisungen und Richtlinien zur Informationssicherheit, organisatorische Sicherheitsmassnahmen und Managementprozess, Verantwortung und Klassifizierung von Informationswerten, personelle Sicherheit, Physische Sicherheit und öffentliche Versorgungsdienste, Netzwerk- und Betriebssicherheit, Zugriffskontrolle, Systementwicklung und Wartung, Umgang mit Sicherheitsvorfällen, Notfallvorsorgeplanung, Einhaltung rechtlicher Vorgaben und der Sicherheitsrichtlinien sowie Überprüfungen durch Audits.
Eine Zertifizierung nach ISO 27002 ist nicht möglich, da die Norm «nur» eine Sammlung von Vorschlägen (Massnahmen) beinhaltet, die entsprechend umgesetzt werden müssen.


Wenn im ersten Schritt, d.h. bei der Erhebung und Beurteilung des IST-Zustandes mit dem «Vorgehensmodell IT-Risikoanalyse» gearbeitet wurde, kann dieses auch als Grundlage für die Optimierung dienen: Die Beschreibungen zu den «höheren» Stufen der Checkliste mit den rund 90 Fragen zeigen, was im jeweiligen Prozess / Thema als guter (Stufe 3) resp. als optimaler (Stufe 4) Reifegrad erachtet wird.

Fokussieren Sie auf Ihre betrieblichen Anforderungen

Wichtig bei der Gestaltung des IKS, und dies nicht nur im Informatikbereich, ist eine klare Fokussierung auf das für das Unternehmen und dessen spezifischen Verhältnisse Notwendige und Zweckmässige – das IKS darf nicht eine «Pflichtübung» sein, sondern kann einen wesentlichen Beitrag zur «sicheren» (im weitesten Sinn) und effizienten Geschäftsabwicklung leisten.
Bei der Gestaltung der Kontrollen im Informatikbereich müssen neben der Buchführung und Rechnungslegung vor allem auch die Leistungserbringungs-Prozesse einbezogen werden: Häufig sind die Entwicklung, die Produktion, der Vertrieb und der Service in einem viel höheren und direkteren Ausmass abhängig von einem funktionierenden und sicheren Informatikeinsatz als das Rechnungswesen!

Last but not least - Unterstützung beiziehen

Für eine sorgfältige Erhebung und neutrale Beurteilung des IST-Zustandes sowie die nachhaltige Verbesserung des IKS im Informatikbereich fehlen in KMU oftmals die notwendigen Ressourcen und häufig auch die erforderlichen Kenntnisse.
Experten mit entsprechendem Knowhow und umfassender Erfahrung können eine gegebene Situation rasch beurteilen sowie mit vertretbarem Aufwand konkrete Massnahmen zu wirksamen Verbesserungen, und damit zur Reduktion der Risiken, aufzeigen!