IT General Controls im Zeitalter Cloud Computing
Quelle: Treuhand Kammer

IT General Controls im Zeitalter Cloud Computing

Von Aldo Dubacher, CISA, Engagement Manager bei Mattig-Suter und Partner

Die rasante Verbreitung mobiler Endgeräte, welche dauerhaft mit der Wolke verbunden sind, stellt neue Anforderungen an die zugrundeliegende Informationstechnologie. Das «Vorgehensmodell IT-Risikoanalyse» bietet im KMU-Umfeld eine praxistaugliche Lösung, um die Herausforderungen systematisch zu beurteilen.

Artikel erschienen in Swiss IT Magazine 2013/12

     

In kaum einem Unternehmen sind IT-unterstützte Geschäftsprozesse mehr wegzudenken. Airlines, Autovermietungen und Hotels werden bald nur noch über das Internet oder über Apps von Mobilgeräten gebucht. E-Commerce nimmt sogar in der Bekleidungsbranche Einzug, dank den Apps auf mobilen Geräten. Die Informationstechnologie beeinflusst massgeblich die Weiterentwicklung von Geschäftsmodellen erfolgreicher Unternehmen. IT-unterstützte Geschäftsprozesse erfordern deshalb ein solides Fundament an IT-Infrastukturen, welche professionell betrieben werden und in welchen Kontrollen etabliert sind, um den IT Risiken zu entgegnen.
Die Durchdringung neuer Technologien in verschiedenen Lebensbereichen der Gesellschaft führt unweigerlich zu einem enormen Bedeutungsgewinn der Informationstechnologie. Mit dieser Entwicklung öffnen sich neue Chancen, aber auch nicht zu negierende Risiken (Identity Theft als ein Stichwort und eine Vielzahl weiterer Ausprägungen).

«Vorgehensmodell IT-Risikoanalyse» als Assessment Tool

Das «Vorgehensmodell IT-Risikoanalyse» als Arbeitshilfe für KMU-Prüfer der Schweizer Treuhand-Kammer und der ISACA Switzerland bewährt sich als standardisierter Framework für die Beurteilung von generellen IT-Kontrollen (ITGC) in KMU-Unternehmen. 1) Mit dieser Assessment-Methodik werden in zwei Phasen anhand von 16 generellen und 90 detaillierteren Fragen alle wesentlichen Aspekte der Informationstechnologie in ihrer gesamten Breite ausgeleuchtet. Mit diesem Assessment-Tool wird ermöglicht, mit vertretbarem zeitlichem Aufwand die IT-Aspekte in verschiedenen Dimensionen zu beurteilen, ohne dass sich die Methodik in den Details der IT verirrt.
Wegen dem Bedeutungsgewinn der Informationstechnologie stellen die generellen IT-Kontrollen ein wesentliches Element des internen Kontrollsystems (IKS) von Unternehmen dar. Die Schweizer Prüfungsstandards sehen deshalb im Standard PS 890 (IKS Existenzbestätigung) die jährliche Prüfung der generellen IT-Kontrollen vor. Eigene Beobachtungen führten vor Augen, dass bei konventionellen KMU-Betrieben der Betrieb der IT-Infrastruktur in den letzten Jahren einen stabilen Reifegrad erreicht hat und sich deshalb die ITGC - im Gegensatz zu Anwendungskontrollen in sich laufend verändernden Geschäftsprozessen - weniger rasch verändern.
Bei der Weiterentwicklung der PS 890 ist deshalb zu prüfen, ob es nicht sachgerecht wäre, die Prüfung der prozessbasierten Anwendungskontrollen anstelle der jährlichen Überprüfung der generellen IT-Kontrollen stärker zu priorisieren.
Die Stärken und somit die Vorteile der genannten IT-Risikoanalyse bestehen im beherrschbaren Umfang des Arbeitstools. Der Kriterienkatalog zur ITGC-Beurteilung überbordet nicht, weshalb dieses Instrument in KMU-Unternehmen gewinnbringend eingesetzt werden kann, welche der ordentlichen Revision unterstehen. Der für die Abwicklung erforderliche Zeitbedarf kann in einer ordentlichen Revision integriert werden und die dafür erforderlichen Prüfungskosten im KMU-Umfeld bleiben vertretbar. Der standardisierte Kriterienkatalog und die Ausprägungen in Form eines Capability Maturity Model (CMM) ermöglichen qualitative Erkenntnisse quantitative auszuwerten, so dass beurteilte Unternehmen mit Einschränkungen untereinander verglichen werden können. 2)

ITGC im Kontext der aktuellen technologischen Entwicklung


Die frappante Entwicklung der Informationstechnologie führt zu einer fundamentalen Veränderung. Die Absatzzahlen von intelligenten Smartphones und Tablets beschleunigen die Entwicklung von immer wieder neuen Dienstleistungen, welche nicht nur die Unternehmenswelt verändern sondern auch in den privaten Alltag jedes einzelnen eindringen.
Nur die Transformation des Mainframe-Computing in das Zeitalter des Personal Computing (Client-Server Architekturen) der 1980er Jahre ist mit der gegenwärtigen Veränderung zum Cloud Computing des 21. Jahrhunderts vergleichbar. Beide technologischen Transformationen wurden durch Entwicklungssprünge in der Netzwerk-Kapazitäten, in der Verkleinerung der Hardware (vom Grossraumcomputer über den Desktop Computer zum handlichen Smartphone) und der Weiterentwicklung der Software hinzu web-basierten Applikationen (Apps) überhaupt erst ermöglicht. Nicht ohne Grund stellte sich die EuroCACS / ISRM Conference Mitte September in London unter den Leitsatz «New Era – New Edge», um der gegenwärtigen Entwicklung Rechnung zu tragen und Antworten auf drängende IT-Fragen zu finden.

Unberührt von der Veränderung bleibt die Bedeutung des Fundaments der IT-Infrastruktur. Die aufgezeigte technologische Entwicklung beeinflusst die 7 x 24 Stunden Gesellschaft massgeblich. Die Konsumenten sind in real-time Online und verlangen ungeduldig eine rasche, nahe zu hundertprozentige Verfügbarkeit der IT-Services in ihren Apps auf ihren Smartphones. Diese Entwicklung spricht sogar für einen Bedeutungsgewinn der zu Grunde liegenden IT-Infrastrukturen und die darin integrierten generellen IT-Kontrollen.
Aus der aufgezeigten Entwicklung lässt sich ableiten, dass die IT-Risikobeurteilung für KMU-Unternehmen um Aspekte des neuen IT-Zeitalters zu ergänzen ist. Nicht mehr Antiviren-Probleme dominieren die Schlagzeilen. Auch KMU-Unternehmen sind von der BYOD-Debatte und Fragen der Mobile und Cloud Security betroffen. Die aktuell laufende technologische Veränderung ist definitiv keine kurzfristige Modeerscheinung.

1) Der Autor des Fachartikels hat die Methodik bei rund zehn KMU-Firmen in den Branchen Hotellerie, Spezialitätenchemie, Detail- und Grosshandel und bei einer Pensionskasse, welche zwischen 30 und 250 Mitarbeitern beschäftigen, seit 2010 eingesetzt.


2) Abbildung aus «Vorgehensmodell IT-Risikoanalyse: Arbeitshilfe für KMU-Prüfer»; Fachstab für Informatik der Treuhand-Kammer; Seite 14

Der Autor

Aldo Dubacher, CISA, ist als Engagement Manager bei der Mattig-Suter und Partner tätig und dort für den Bereich der Wirtschaftsprüfung unter besonderer Berücksichtigung der IT-Revision zuständig.
aldo.dubacher@mattig.ch; www.mattig.ch



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER