Next Gen Auditor - ja und?

Artikel erschienen in Swiss IT Magazine 2021/06

Mit grossem Interesse habe ich den vorgängigen Artikel von Anjelica Perini und Matt Liang gelesen: Begriffe wie Process Mining, Analytics oder Artificial Intelligence haben bis anhin in der Welt der Prüfer wenig nachhaltigen Einfluss gehabt. Eine Umfrage unter grösseren Prüfungsgesellschaften hat ergeben, dass sich zwar alle mit diesen Themen beschäftigt haben, bis auf wenige Ausnahmen diese neuen (?) Ansätze aber kaum genutzt werden.

Veränderte Arbeitsabläufe

Nun – es ist korrekt, dass wir zahlreiche Entwicklungen hatten, welche die Art und Weise von Geschäftsabwicklung und Informationsverarbeitung tatsächlich massiv verändert haben. Aber was ist mit Continous Monitoring, Data Analytics, Robotic Process Automation – das alles soll jetzt die nächste Generation auch im Audit-Umfeld darstellen?

Nur wenig Neues

Ich weiss, dass die Meisten das weder gerne hören noch lesen: Aber nach über 35 Jahren Tätigkeit als IT-Prüfer, Risikomanagement- oder Sicherheitsspezialist usw. muss ich erneut konstatieren, dass sich kaum etwas wirklich verändert hat: Wenn man einmal die extrem gestiegenen Prozessorleistungen, Speicherkapazitäten und Netzwerk-Bandbreiten «herausrechnet», war schon fast alles fast immer da.

Beispiele?

Virtualisierung: Schon ca. 1975 kam ich als Gymi-Schüler in Kontakt mit einer BASIC-Installation, bei der die Programme in einer virtuellen Umgebung liefen. Data Analytics: Als Student habe ich ca. 1978 als Programmierer für eine Logistik-Beratungsfirma gearbeitet, welche mit grossem Erfolg Data Analytics für Warenstrom-Analysen eingesetzt hat, um die Verteilerzentren von grossen deutschen und schweizerischen Ladenketten optimal zu platzieren. Und ein Studienkollege verdiente – notabene neben dem Studium – mit Process Mining für die Textilindustrie in Norditalien dermassen viel Geld, dass er sich schon nach einem Jahr ein Oberklassenauto leisten konnte. Robotic Process Automation gab es z.B. schon in den 80er-Jahren in den Rechenzentren der Schweizer Banken wie SKA oder SBG, womit die Operator-Tätigkeiten zu über 99% automatisiert wurden (man nannte diese Anwendung damals «Automated Operator»). Auch mit Technologien wie Machine Learning oder Artificial Intelligence wurde ich bereits als Student konfrontiert.

Was ist wirklich neu?

Die heute zur Verfügung stehenden Rechenleistungen erlauben es jetzt, die erwähnten und oft längst bekannten «Next Gen»-Ansätze in der Praxis breit einzusetzen. Nehmen wir das obige Beispiel der Data Analytics: ein Analyse-Durchgang des Logistikers lief damals rund 25-30 Stunden auf einem Grossrechner und kostete ein kleines Vermögen – heute können Hundert Millionen Datensätze innert Sekunden und zu niedrigsten Kosten analysiert werden. Diese Entwicklung wäre auch für die Prüfer sehr interessant.

Die riesigen Computer erlauben es leider auch, dass die meisten Programme nicht mehr «schön, schlank und effizient» geschrieben, sondern irgendwie aus unzähligen Komponenten zusammengebastelt werden – die Komplexität der Anwendungen und damit auch die Fehlerzahl hat geradezu dramatisch zugenommen. Dies macht es für uns alle – sei als Prüfer, Sicherheitsspezialist oder Risikomanager – wesentlich schwieriger, die (programmierten) Abläufe zu verstehen und auf ihre Korrektheit zu überprüfen.

Was braucht es jetzt wirklich?

Was mir persönlich am vorhergehenden Artikel besonders aufgefallen ist: Zwar werden all die neuen «Next Gen»-Technologien erwähnt – aber eine der wesentlichen Kernaussagen hat gar nichts damit zu tun: «The journey starts with Commitment, Culture and Agile Mindset». Diese Begriffe stellen alle sogenannte Soft Skills dar: grosses persönliches Engagement, Verhaltensänderung sowie grosse geistige Beweglichkeit sind die Voraussetzungen, um sich weiter zu entwickeln.

Ob ich jetzt als Security-Spezialist (CISM) oder als IT-Prüfer (CISA) auftrete oder ich mein Geld als Kontrollspezialist (CRISC), Datenschutz-Ingenieur (CDPSE) oder als Führungsverantwortlicher (CGEIT) verdiene: Ich muss bereit sein, mich mit den hier vorgestellten aber noch ganz vielen anderen interessanten Ansätzen und Technologien zu beschäftigen, um diese sowohl als Objekt zu verstehen (und damit auch prüfen oder «sicher machen» zu können) wie sie auch als Hilfsmittel für die eigenen Prüfungs- oder Kontrolltätigkeit einzusetzen.

Der «Next Gen» CISA, CISM, CGEIT, CRISC oder CDPSE ist also vor allem jemand, die/der beweglich bleibt und sich immer wieder aufs Neue engagiert, um in diesem anspruchsvollen aber oft grossartigen Arbeitsumfeld dauerhaft zu bestehen.

Machen Sie einen Upgrade!

Viele Leserinnen und Leser verfügen bereits über einen anerkannten Berufsabschluss und das eine oder andere Berufs-Zertifikat. Wer mit den neuen Herausforderungen wirklich umgehen möchte, sollte darauf basierend noch ein (zweites, drittes, …) Zertifikat von ISACA erwerben. Die stetige Weiterentwicklung durch Weiterbildung sorgt für eine fortdauernde hohe Zufriedenheit in unserem beruflichen Umfeld.

Seit 1992/93 bieten wir in der Schweiz eine berufsbegleitende, mehrmonatige CISA-Ausbildung an, die mit 15 Tagen Präsenzunterricht, ausführlichen und klar strukturierten Unterlagen (und Hausaufgaben!) auf die Tätigkeit im Beruf sowie auf die internationale Prüfung vorbereitet. Unterdessen sind auch die aktuelleren ISACA-Zertifikate abgedeckt wie CISM, CGEIT, CRISC und neuerdings auch CDPSE.

Schauen Sie auf www.isaca.ch vorbei.