Überarbeitung der IFRS Vorschriften erst am Anfang
Ein Leitfaden zur Identifikation von Risiken und zur Prüfung der Wirksamkeit von Kontrollen
Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI), noch das Institut der Wirtschaftsprüfer in Deutschland (IDW) oder die International Organization for Standardization (ISO) bieten eine Aufstellung von Risiken bezogen auf die IT-Strategie
Eric Frank, Prof. Dr. Gert Heinrich
Als Ergebnis wiederkehrender Finanzskandale wurden Unternehmen gesetzlich zum Betrieb eines Internen Kontrollsystems verpflichtet. Dessen Einführung und Aktualisierung fällt vielen Unternehmen schwer. In diesem Beitrag wird nach einer kurzen Einleitung zur IT-Strategie eine große Anzahl von Risiken für die IT-Strategie dargestellt. Anschließend werden passende Kontrollaktivitäten vorgeschlagen. Eine Kreuzreferenztabelle zeigt, welche Kontrollaktivitäten welchen Risiken begegnen. Damit sind Unternehmen in der Lage, ein Internes Kontrollsystem für ihre IT-Strategie zu entwickeln oder zu aktualisieren. Interne Revisoren oder externe Prüfer können die Anforderungen der Kontrollaktivitäten als Grundlage ihrer Bewertung nutzen.
Bereits seit der Jahrtausendwende erschüttern verschiedene Finanzskandale, wie beispielsweise die Skandale um Enron, Worldcom oder aus jüngerer Vergangenheit Wirecard, das Vertrauen der Gesellschaft in Unternehmen. Als behördliche Reaktion wurden zunächst US-amerikanische und später auch deutsche Unternehmen dazu verpflichtet, ein wirksames Internes Kontrollsystem (IKS) zu betreiben. Dabei ist allerdings weder die Einführung noch die Aufrechterhaltung und Aktualisierung eines IKS mit einfachen Mitteln herzustellen. Eine Befragung verschiedener Unternehmen durch Deloitte zeigt, dass Ressourcenmangel und Projektrückstände als Hauptgründe für ausbleibenden Fortschritt bezogen auf Interne Kontrollsysteme angegeben werden.
Eine mögliche Hilfestellung für dieses Problem sind Arbeitshilfen zu Risiken und Kontrollaktivitäten, bezogen auf spezielle Anwendungsfälle. Zwar muss das IKS stets an das Unternehmen angepasst sein, jedoch ist es einfacher, aus einer Liste möglicher Risiken diejenigen auszuwählen, die auf das Unternehmen zutreffen, als die Risiken ohne Hilfestellung identifizieren zu müssen.
Dieser Beitrag aus der Zeitschrift für Interne Revision (ZIR) (Ausgabe 4, 2024, Seite 155 bis 164) wurde von der Redaktion von Compliance-Magazin.de gekürzt.
In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZIR lesen.
Zeitschrift Interne Revision - Fachzeitschrift für Wissenschaft und Praxis
Hier geht's zur Kurzbeschreibung der Zeitschrift
Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo
Hier geht's zum pdf-Bestellformular (Normal-Abo) [21 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [20 KB]
Hier geht's zum Word-Bestellformular (Normal-Abo) [45 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [40 KB]
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>