Auftrag und Ziel der IT-Revision müssen klar sein

Bei der Abwicklung der IT-Revision sollte man in erster Linie auf die Ziel- und Auftragsklärung achten: Genügt eine Kurzprüfung (etwa um die Arbeitsergebnisse einer vorangegangenen Revision zu kontrollieren) oder ist eine umfassende Systemprüfung, wie sie das Institut der Wirtschaftsprüfer (IDW) skizziert, erforderlich? Letztere fordert häufig der Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung, falls noch keine gesicherten Erkenntnisse über die Standards der IT-gestützten Geschäftsprozesse vorliegen. Ob ausführlich oder eher rudimentär: Eine IT-Revision umfasst weit mehr als die reine Begutachtung von buchungsrelevanten IT-Prozessen. Organisatorische Regeln, Kontrollsysteme, Anwendungen, Infrastruktur und die Geschäftsprozesse selbst sind zu evaluieren. Meist können weder IT-Dienstleister noch Wirtschaftsprüfer allein das notwendige Know-how für das Audit aufbringen. Es bedarf daher in der Regel der Mitarbeit eines in solchen Auditing-Prozessen erfahrenen Unternehmens.

Frank Vollmann ist Projektleiter und Auditor bei is-revison.