Skip to main content
SpringerLink
Log in

Methodik der IT-Prüfung

  • Chapter
  • First Online:
IT-Revision, IT-Audit und IT-Compliance

  • 5284 Accesses

Zusammenfassung

In gemeinsamen Prüfungen von Business-Revisoren und IT-Revisoren kann die Frage aufkommen, welche Methoden und Standards relevant sind und wie mit Übereinstimmungen oder Unterschieden umgegangen werden sollte. Im nachfolgenden Kapitel wird ein Überblick über vorhandene Methoden der Internen Revision und eine Gegenüberstellung der beiden Standardrahmen des ISACA und des IIA geliefert, welche bei der Beantwortung dieser Frage hilfreich sein sollen. Dazu werden die Methoden der Internen Revision für die IT-Revision aufgefächert. Diese beinhalten solche Grundlagen wie die Steuerung von Prüferressourcen (Prüfungsmanagement), die Aufstellung und das Testen von Prüferhypothesen vor dem Hintergrund akzeptabler Prüferfehler, die Bedeutung einer guten Kommunikation in der Prüfung (einschließlich Überlegungen für gute Revisionsberichte) und nicht zuletzt die Sicherstellung der Nachvollziehbarkeit (und damit der Qualität) einer Prüfung durch gute Dokumentation.

AMMOS FJODOROWITSCH. Was haben Sie denn zu befürchten? Sie setzen Ihren Kranken saubere Mützen auf, und alles ist in bester Ordnung.

ARTEMIJ FILIPOWITSCH. Ja, wenn es nur um die Nachtmützen ginge. Die Kranken sollen eigentlich Hafersuppe erhalten, aber bei mir stinkt es auf allen Gängen so stark nach Kohl, dass man sich die Nase zuhalten muss.

AMMOS FJODOROWITSCH. Ich bin in dieser Hinsicht ganz ruhig. Wer kommt denn schon ins Kriegsgericht? Und sollte doch jemand kommen und sich eine Akte geben lassen, dann wird er nicht viel Freude daran haben. Ich sitze jetzt schon fünfzehn Jahre auf dem Richterstuhl. Bringt man mir aber ein Schriftstück, so winke ich gleich ab. Selbst Salomo wüsste nicht, was darin Recht oder Unrecht ist.

Nikolaj Gogol, Der Revisor (I, 3)

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution
Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 44.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

  1. 1.

    Die Standards der internationalen Vereinigungen der IT-Revisoren (ISACA) und der Internen Revisoren (IIA) werden regelmäßig gegenseitig und auch von dritten Organisationen vor Veröffentlichung gelesen und kommentiert. Siehe dazu z. B. https://na.theiia.org/standards-guidance/Pages/Responses-to-Regulators-and-Oversight-Bodies.aspx.

  2. 2.

    Siehe auch Gablers Wirtschaftslexikon, Springer Gabler.

  3. 3.

    Vgl. IIA-Standard 2200 „Planung einzelner Aufträge“ und ISACA-Standard 1201 „Auftragsplanung“.

  4. 4.

    Vgl. auch IIA-Standard 2300 „Durchführung des Auftrags“ und ISACA-Standard 1203 „Durchführung und Überwachung“.

  5. 5.

    Vgl. auch IIA-Standard 2400 „Berichterstattung“ und ISACA-Standard 1401 „Berichterstattung“.

  6. 6.

    Vgl. auch IIA-Standard 1311 „Interne Beurteilungen“.

  7. 7.

    Vgl. auch IIA-Standard 2500 „Überwachung des weiteren Vorgehens“ und ISACA-Standard 1402 „Nachschau“.

  8. 8.

    Vgl. auch IIA-Standard 2210 „Auftragsziele“: „Für jeden Auftrag müssen Ziele festgelegt werden“, sowie ISACA-Standard S5 „Planung (05)“: „Der IS-Prüfer muss einen Prüfungsplan entwickeln und dokumentieren, aus dem Art und Ziele der Prüfung, ihr Zeitrahmen und Umfang sowie die dafür erforderlichen Ressourcen hervorgehen.“.

  9. 9.

    Vgl. ISACA-Standard 1201 „Auftragsplanung“ und IIA-Standard 2200 „Planung einzelner Aufträge“: „Interne Revisoren müssen für jeden Auftrag eine Planung entwickeln und dokumentieren, die Ziele, Umfang, Zeitplan und zugeordnete Ressourcen umfasst.“.

  10. 10.

    Das englische Akronym SMART steht eigentlich für Specific, Measurable, Accepted, Reasonable und Time-bound.

  11. 11.

    Vgl. auch IIA-Standard 2130.A1: „Die Interne Revision muss die Angemessenheit und Wirksamkeit der Kontrollen, die Risiken von Führung und Überwachung, der Geschäftsprozesse und Informationssysteme der Organisation beurteilen.“.

  12. 12.

    Vgl. auch IIA-Standard 2010.A2: „Der Leiter der Internen Revision muss feststellen und berücksichtigen, welche Erwartungen bezüglich der Beurteilungen und Schlussfolgerungen der Internen Revision bei leitenden Führungskräften, der Geschäftsleitung, dem Überwachungsorgan und anderen Interessengruppen bestehen.“.

  13. 13.

    Vgl. auch IIA-Standard 2210.A1 „Auftragsziele“: „Vor der Auftragsdurchführung müssen Interne Revisoren eine Einschätzung der Risiken des zu prüfenden Tätigkeitsbereiches vornehmen. […]“ und ISACA-Standard 1202.2 „Risikoorientierte Planung“: „IT-Prüfer müssen bei der Planung einzelner Aufträge die für den zu prüfenden Bereich relevanten Risiken identifizieren und bewerten.“.

  14. 14.

    Früher bekannt als Control Objectives for Information and Realted Technologies (COBIT) steht der Name nun für sich selbst. COBIT ist ein vom ISACA herausgegebenes international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (Seite „COBIT“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 26. Oktober 2018. URL: https://en.wikipedia.org/w/index.php?title=COBIT&oldid=865874544, abgerufen: 9. Dezember 2018).

  15. 15.

    Vgl. auch ISACA-Standard 1004.2 „Hinreichende Durchführbarkeit“: „IT-Prüfer müssen hinreichend sicher sein, dass der Auftragsumfang eine Schlussfolgerung zum Untersuchungsgegenstand ermöglicht und mögliche Einschränkungen berücksichtigt.“.

  16. 16.

    Vgl. auch ISACA-Standard 1201.2 „Auftragsplanung“: „IT-Prüfer müssen einen Projektplan für IT-Prüfungen entwickeln und dokumentieren, der Folgendes darstellt: Art des Auftrags, Ziele, Zeitrahmen und benötigte Ressourcen sowie Zeitplan und Umfang der Prüfungshandlungen.“.

  17. 17.

    Vgl. auch ISACA-Standard 1008.1 „Kriterien“: „IT-Prüfer müssen Kriterien zur Beurteilung des Untersuchungsgegenstandes auswählen, die objektiv, vollständig, relevant, messbar, weithin anerkannt, maßgeblich sowie allen Lesern und Nutzern der Berichterstattung verständlich und zugänglich sind.“.

  18. 18.

    Für Prüfer in der Finanzindustrie ist anzumerken, dass z. B. im Kommentar des AT 7.1 der MaRisk der IT-Grundschutz des BSI explizit als geeigneter Standard aufgeführt ist (neben ISO 2700x).

  19. 19.

    IT-Grundschutz Kompendium, 1. Edition 2018.

  20. 20.

    Vgl. auch ISACA-Standard 1201.2 „Auftragsplanung“: „IT-Prüfer müssen einen Projektplan für IT-Prüfungen entwickeln und dokumentieren.“.

  21. 21.

    Die aufgeführten Kriterien finden sich im Wortlaut (als Frage formuliert) in den BSI-Grundschutzkatalogen, Maßnahmenkatalog Infrastruktur M 1.28, Prüffragen mit Stand 13. EL, Stand: 2013. Für die Erstellung von Prüfprogrammen sind die BSI-Grundschutzkataloge eine empfehlenswerte Quelle.

  22. 22.

    Vgl. auch ISACA-Standard 1203.3 „Durchführung und Überwachung“: „IT-Prüfer dürfen nur Aufgaben übernehmen, die ihren Kenntnissen und Fähigkeiten entsprechen oder bei denen davon ausgegangen werden kann, dass die Fähigkeiten im Verlauf der Beauftragung erlangt oder die Aufgaben mit entsprechender Aufsicht erfolgreich durchgeführt werden können.“.

  23. 23.

    Vgl. auch ISACA-Standard 1203.4 „Durchführung und Überwachung“: „IT-Prüfer müssen ausreichende und angemessene Nachweise für das Erreichen der Prüfungsziele beschaffen. Die Prüfungsfeststellungen und Schlussfolgerungen müssen durch entsprechende Analyse und Interpretation dieser Nachweise gestützt werden.“.

  24. 24.

    Vgl. auch ISACA-Standard 1203.1 „Durchführung und Überwachung“: „IT-Prüfer müssen ihre Arbeit in Übereinstimmung mit dem genehmigten IT-Prüfungsplan durchführen, um erkannte Risiken abzudecken, und den vereinbarten Umfang einhalten.“.

  25. 25.

    Vgl. auch ISACA-Standard 1203.2 „Durchführung und Überwachung“: „IT-Prüfer müssen diejenigen IT-Prüfungsmitarbeiter beaufsichtigen, die ihrer Aufsichtspflicht unterstehen, um die Prüfziele zu erreichen und die geltenden Prüfungsstandards einzuhalten.“.

  26. 26.

    Vgl. auch ISACA-Standard 1401.1 „Berichterstattung“: „IT-Prüfer müssen einen Bericht erstellen, um die Ergebnisse beim Abschluss des Auftrags zu kommunizieren […].“.

  27. 27.

    Vgl. auch ISACA-Standard 1402.1 „Nachschau“: „IT-Prüfer müssen relevante Informationen überwachen, um festzustellen, ob die zuständigen Führungskräfte rechtzeitig geeignete Maßnahmen geplant und ergriffen haben, um auf im Bericht aufgeführte Feststellungen und Empfehlungen zu reagieren.“.

  28. 28.

    Eine bekannte Heuristik lautet: „Alles, was schiefgehen kann, wird auch schiefgehen.“, auch bekannt als Murphys Gesetz (Seite „Murphys Gesetz“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 22. März 2018. URL: https://de.wikipedia.org/w/index.php?title=Murphys_Gesetz&oldid=175291803, Abgerufen: 9. Dezember 2018).

  29. 29.

    Vgl. auch IIA-Standard 2600 „Kommunikation der Risikoakzeptanz“: „Kommt der Leiter der Internen Revision zu dem Schluss, dass die Führungskräfte ein für die Organisation nicht tragbares Risiko akzeptieren, so muss der Leiter der Internen Revision diese Sachlage mit der Geschäftsleitung besprechen. Falls der Leiter der Internen Revision der Auffassung ist, dass die Angelegenheit nicht zufriedenstellend gelöst wurde, muss er die Angelegenheit dem Überwachungsorgan vortragen.“.

  30. 30.

    IIA-Standard 1220 „Berufliche Sorgfaltspflicht“: „Interne Revisoren müssen jenes Maß an Sorgfalt und Sachkunde anwenden, das üblicherweise von einem sorgfältigen und sachkundigen Internen Revisor erwartet werden kann. Berufliche Sorgfaltspflicht ist nicht gleichbedeutend mit Unfehlbarkeit.“.

  31. 31.

    Man nennt dies in der Literatur auch Fehler erster Ordnung oder false positive (falscher Alarm).

  32. 32.

    Man nennt dies in der Literatur auch Fehler zweiter Ordnung oder false negative.

  33. 33.

    Dies wäre z. B. bei Scoring- oder Ratingverfahren möglich, bei denen eine qualitative Beurteilung durch einen Experten eine hinreichende Plausibilisierung liefern könnte.

  34. 34.

    Das dürfte im Allgemeinen gelten.

  35. 35.

    Diese Aussage ist nicht vollständig richtig. Die Prüfungsfehler aus zwei Prüfungshandlungen können sich sehr wohl verstärken oder aufheben, dies sind jedoch Sonderfälle. In diesem Fall nehmen wir an, dass die Prüfungsfehler gering und unabhängig voneinander sind.

  36. 36.

    Das ist insbesondere der Fall, wenn die Prüfungshandlungen mit einem hohen Qualitätsanspruch ausgeführt werden.

  37. 37.

    Definition Interne Revision: „Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern“, Institute of Internal Auditing (IIA).

  38. 38.

    Gesetz über das Kreditwesen.

  39. 39.

    Capital Requirements Regulation (Verordnung Nr. 575/2013 der EU).

  40. 40.

    Rundschreiben 10/2017 der BaFin: Bankaufsichtliche Anforderungen an die IT.

  41. 41.

    Payment Card Industry Data Security Standard, siehe dazu auch https://www.pcisecuritystandards.org/.

  42. 42.

    „Code of Ethics“ des Institute for Internal Auditing (IIA).

  43. 43.

    Bei Hypothesentests ist der Sollzustand die Hypothese, die getestet werden soll.

  44. 44.

    Sawyer, L. B. (2005). „Internal Auditing“. 5th Edition, Institute of Internal Auditors.

  45. 45.

    Vgl. auch Nigrini, M. J. (2000). „Digital Analysis Using Benford’s Law“. Tests & Statistics for Auditors, Vancouver, Global Audit Publications.

  46. 46.

    Zum Bespiel die Beschuldigung von Unschuldigen.

  47. 47.

    Das Benfordsche Gesetz trifft eine statistische Aussage über die Wahrscheinlichkeit bestimmter Ziffernfolgen in unsystematisch auftretenden Zahlenmengen (d. h. die Zahlen selbst dürfen keinen systematischen Zusammenhang haben, wie z. B. Kundenüberweisungen bei einer Bank oder Anzahl der Blätter an einem Baum).

  48. 48.

    Zum Beispiel Interactive Data Extraction and Analysis (IDEA) oder Prüfsoftware ACL.

  49. 49.

    Linear bedeutet, dass eine Änderung in der unabhängigen Variable eine (weitgehend) gleiche Änderung in der abhängigen Variable zur Folge hat. Mathematisch mit x als unabhängiger und y als abhängiger Variable ergibt sich die Gleichung: x = ay + b, wobei a und b fixe Parameter sind.

  50. 50.

    Mit Variablen sind hier Teilmengen der zu untersuchenden Datenmengen gemeint, also z. B. wie x Nutzer mit y Euro Einkaufsvolumen zusammenhängen.

  51. 51.

    Für die Regressionsgerade f(x) = ax + b ist dies der folgende Ausdruck: \( \mathop \sum \limits_{i = 1}^{n} \left( {\left( {ax_{i} + b} \right)^{2} - y_{i}^{2} } \right) \).

  52. 52.

    e ist die Eulersche Zahl und die Basis der Exponentialfunktion Exp(x) = ex.

  53. 53.

    Verzeichnisdienst der Microsoft-Windows-Server.

  54. 54.

    Ein auch Nichtmathematikern zugängliches Buch, um die statistischen Hintergründe besser zu verstehen, ist z. B. von Jörg Bewersdorff (2011), „StatistikWie und warum sie funktioniert: Ein mathematisches Lesebuch“, Vieweg + Teubner.

  55. 55.

    Der Fehler hier ist der β-Fehler oder das false negative.

  56. 56.

    Das Signifikanzniveau nennt man auch α-Fehler oder false positive.

  57. 57.

    Da die Professionalisierung der Internen Revision im angloamerikanischen Raum weiter fortgeschritten ist, werden hier im Wesentlichen englischsprachige Bücher und Aufsätze genannt. Die Multistate Tax Commission empfiehlt einen Klassiker: Cochran, William. (1977). „Sampling Techniques“. John Wiley & Sons. Weiterhin zu empfehlen für jede Art von Prüfungstechnik ist: Sawyer, Lawrence B. (2005). „Internal Auditing“. 5th Edition. Institute of Internal Auditors. Darüber hinaus hat das ISACA einen Prüfungsleitfaden zu dem Thema herausgegeben: IS Auditing Guideline G10 „Audit Sampling“.

  58. 58.

    Es handelt sich um ein Integral ohne elementare Stammfunktion.

  59. 59.

    Der Fehlerterm gleicht die Annahme bei der Berechnung der statistischen Größen aus, da es sich um eine Ziehung mit Zurücklegen handelt. Bei einer Stichprobe kann jedoch ein einmal gezogenes Element nicht wieder gezogen werden. Dieser Unterschied ist bei großen Grundmengen aufgrund der geringen Wahrscheinlichkeit für die Ziehung eines bestimmten Elements nicht relevant, jedoch kann es bei kleinen Grundmengen einen erheblichen Unterschied ausmachen.

  60. 60.

    Diese Grenze ist willkürlich gewählt, aber in der Literatur häufig anzutreffen, da bei etwa 10.000 Elementen schon bei relativ geringen Stichprobengrößen unter 200 Elementen eine Abweichung über ein Prozent auftreten kann. Grundsätzlich kann sich eine Prüferin natürlich auch bei mächtigeren Grundmengen dafür entscheiden, den Fehlerterm zu berücksichtigen.

  61. 61.

    Im Englischen „Stratification“ genannt. Eine Fortführung dieser grundsätzlichen Überlegung findet auch beim „Nearest Neighbour“-Verfahren Anwendung.

  62. 62.

    Es gibt hin und wieder rechtliche oder regulatorische Pflichtprüfungen, in denen dies sinnvoll sein könnte. Eine entsprechende Begründung ist Teil der Risikoanalyse während der Prüfungsvorbereitung.

  63. 63.

    Dies ergibt sich aus der einfachen Logik. Wird behauptet, dass eine Aussage für alle Elemente einer Menge gilt, braucht man nur eines zu finden, für das die Aussage nicht gilt, um die Aussage als falsch zu beweisen. Andersherum geht es leider nicht so einfach.

  64. 64.

    Hier geht es vor allem um das Phänomen der sogenannten sozialen Erwünschtheit und nicht um das Vortäuschen falscher Tatsachen.

  65. 65.

    http://www.paulwatzlawick.de/axiome.html.

  66. 66.

    http://www.schulz-von-thun.de/index.php?article_id=71.

  67. 67.

    Unter Prüfleistungsempfänger sind hier Geprüfte und Auftraggeber zusammengefasst.

  68. 68.

    Siehe den Ethikkodex des IIA.

  69. 69.

    Zum Beispiel von IIA, ISACA und IDW.

  70. 70.

    Zum Beispiel HGB, AktG, AO und KWG.

  71. 71.

    Zum Beispiel BAIT, MaRisk, GoBS und GdPdU.

  72. 72.

    Vgl. Haarmann, H. (1991). „Universalgeschichte der Schrift“, Campus, Seite 96, Absatz 2, Satz 2: „Zu den ältesten Aufzeichnungen gehören Listen und Aufstellungen, die im Zusammenhang mit der Buchführung des Stadtstaates Uruk stehen.“.

  73. 73.

    Ein weiteres bekanntes Beispiel sind die Quipu-Schnüre der Inkas.

  74. 74.

    Zum Beispiel eine Inventur.

  75. 75.

    Rechnungsprüfung, Bilanzprüfung.

  76. 76.

    Prüfung des Risikomanagements.

  77. 77.

    Vgl. IDW PS 460 n. F. „Arbeitspapiere des Abschlussprüfers“, TZ. (8).

  78. 78.

    Siehe auch IDW PS 460 n. F.

  79. 79.

    Das bedeutet, eine Prüferin sollte ein für das Prüfergebnis relevantes und daher zu protokollierendes Gespräch immer gemeinsam mit einem weiteren Prüfungsteammitglied führen!

  80. 80.

    Siehe dazu auch den ISACA-Standard 1401 „Berichterstattung“ und den IIA-Standard 2400 „Berichterstattung“.

Author information

Authors and Affiliations

  1. Frankfurt, Deutschland

    Peter Duscha

Authors
  1. Peter Duscha
    View author publications

    You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Peter Duscha .

Rights and permissions

Reprints and permissions

Copyright information

© 2019 Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature

About this chapter

Check for updates. Verify currency and authenticity via CrossMark

Cite this chapter

Duscha, P. (2019). Methodik der IT-Prüfung. In: IT-Revision, IT-Audit und IT-Compliance. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-23765-3_3

Download citation

Publish with us

Policies and ethics

Search

Navigation