Das Buch IT-Audit von Stefan Beißel ist nach rund fünf Jahren in einer überarbeiteten und erweiterten Auflage erschienen. Neben der Datenschutz-Grundverordnung und dem IT-Sicherheitsgesetz existieren seit einigen Jahren neue Vorgaben im Banken- und Versicherungssektor (siehe Bankaufsichtliche Anforderungen an die IT, BAIT sowie Versicherungsaufsichtliche Anforderungen an die IT, VAIT). Risiken resultierend aus der Informationstechnologie und Cyberrisiken stehen ganz oben auf der Risikolandkarte. So bestätigt seit vielen Jahren der Global Risk Report, der im Rahmen des Davoser Weltwirtschaftsforums veröffentlicht wird, die Zunahme auch staatlich unterstützter Cyber-Attacken, die sowohl Infrastrukturen als auch die Lieferketten massiv beeinflussen können. Das ist die Kehrseite der digitalen und vernetzten Welt. Daten-, Cyber- & IT-Sicherheit sowie der verantwortungsbewusste Umgang mit Daten sind die Schlüssel für Innovationen und Vertrauen in der Digitalen Welt. Daher steigt auch die Relevanz des IT-Audits in Unternehmen.
Moderne Informationstechnologie ist ein effektives Werkzeug, um Prozesse zu optimieren, vorhandene Synergien freizusetzen, Kundenbeziehungen profitabler zu gestalten und somit auch den Unternehmenswert zu steigern. Informationen sind das Fundament und wesentlicher Erfolgsfaktor für Unternehmen. Damit die Informationstechnologie wirtschaftlich genutzt wird und mit ihr verbundene Risiken reduziert werden, sollte die sichere, wirtschaftliche und ordnungsmäßige Ausübung aller IT-Aktivitäten gewährleistet werden.
Hier kommt das IT-Audit ins Spiel, das durch die Prüfung von Sicherheit, Wirtschaftlichkeit und Ordnungsmäßigkeit eine hohe Transparenz für das Unternehmen und die Stakeholder schafft. Insbesondere können das Schutzniveau von Informationen und IT-Systemen, die Ausrichtung der IT am Geschäftsmodell des Unternehmens, der wirtschaftlich effiziente Umgang mit Ressourcen und die Befolgung von vorgeschriebenen Regularien oder erwünschten Standards und Best Practices überprüft werden.
Regelmäßige IT-Audits bilden einen wesentlichen Teil des deutschen IT-Grundschutzes. Doch auch international sind Standards für IT-Audits beispielsweise in der Norm ISO/IEC 27001 der ISO festgelegt.
Das Buch von Stefan Beißel dient der Orientierung in die vielfältige Welt der IT-Audits und unterstützt die Wissensaufnahme durch die Verbindung von Theorien, Standards und Best Practices sowie praktisch ausgerichteten Prüfungsinhalten. Ein IT-Audit ist eine unabhängige Überprüfung der Einhaltung von Vorgaben und der Funktionalität von Kontrollmaßnahmen innerhalb der IT eines Unternehmens. Die Unabhängigkeit soll vor allem sicherstellen, dass der Auditor von keinem Interessenkonflikt betroffen ist und einen objektiven Standpunkt besitzt. Vorgaben können sowohl aus internen als auch externen Quellen stammen. Kontrollmaßnahmen sind administrative, technische und physische Maßnahmen, welche die Einhaltung von Vorgaben oder die Erreichung von Zielen eines Unternehmens unterstützen.
Das Buch gliedert sich in insgesamt vier Kapitel. Die ersten rund 70 Seiten konzentrieren sich in einem einführenden Kapitel mit den Grundlagen des IT-Audits. So werden zunächst Begriffe definiert, der Lebenszyklus des IT-Audits präsentiert und die Anforderungen und Aufgaben des Auditors zusammenfassend dargestellt. Das anschließende zweite Kapitel setzt sich mit der Vorbereitung des IT-Audits auseinander. Am Anfang steht in der Regel zunächst ein Prüfungsauftrag. Sehr ausführlich setzt sich der Autor mit Prüfungsstandards (IDW, IFAC, IIA, ISACA), Regelwerken (Gesetzen, Standards, Best Practice) sowie Prüfungskatalogen auseinander. An dieser Stelle sei kritisch angemerkt, dass der Autor hier nicht immer auf die aktuellsten Fassungen der Standards referenziert. So wird beispielsweise im Kapitel zum COSO-Standard auf die letzte Aktualisierung aus den Jahren 2013 und 2004 referenziert, obwohl die letzte – sehr grundlegende Überarbeitung – im Jahr 2017 erfolgte. Das komplett überarbeitete COSO-Modell enthält völlig neue Komponenten und hebt insbesondere die wichtige Verzahnung zwischen Strategie, Risikomanagement und Unternehmenserfolg hervor. Dies ist aus meiner Sicht insbesondere auch für das Aufzeigen des „Mehrwerts“ von Investitionen in IT-Risikomanagement von hoher Relevanz. Damit einher geht die Ablösung des COSO-„Würfels“ zu Gunsten eines dreistufigen Prozessmodels. Dieses Modell stellt die positiven Effekte eines integrierten Risikomanagements in die Strategiedefinition und -umsetzung in den Vordergrund. Aus meiner Sicht ist dies ein Schlüssel für eine stärkere strategische und steuerungsrelevante Ausrichtung eines unternehmensweiten Risikomanagements.
Das dritte Kapitel konzentriert sich im nächsten Prozessschritt des IT-Audits auf die konkrete Durchführung. Hierbei werden ausgewählte Methoden, Verfahren und Techniken vorgestellt. Das abschließende Kapitel setzt sich mit dem Abschluss des IT-Audits auseinander. Der Prüfungsbericht im Rahmen eines IT-Audits wird vom Auditor als Instrument genutzt, um unabhängig getroffene Feststellungen und Empfehlungen an das Management des auditierten Unternehmens zu kommunizieren.
Der Anhang enthält eine einfache Checkliste bzw. Prüfungskatalog. Bei einer Überarbeitung in einer dritten Auflage wäre es wünschenswert, wenn die Antworten sich nicht auf eine Schwarz-/Weiß-Sicht beschränken würden, sondern eine Bandbreite (in Form eines Reifegradansatzes) abbilden würden. Denn in der Praxis lassen sich viele der aufgeführten Fragen nicht eindeutig mit ja/nein beantworten, sondern beispielsweise über ein Reifegrad-Scoring bewerten.
Das Buch ist ein gutes Nachschlagwerk für Einsteiger in das Thema IT-Audit. Auditprofis werden nur wenig Neues entdecken. Die Lektüre ist – analog zur ersten Auflagen und insbesondere aufgrund der teilweise recht holprigen Sprache und der wenigen konkreten Praxisbeispiele – recht mühsam. Trotz dieser Kritikpunkte bietet das Buch eine kompakte und praxisorientierte Einführung in die Welt der IT-Prüfung und liefert nützliche Orientierungshilfen.