Internal IT-Audit
Für interne IT-Audits rechnet es sich für viele Unternehmen jedoch häufig nicht Revisionsmitarbeiter mit den angemessenen Qualifikationen und Erfahrungen festeinzustellen, sodass wir in der Regel zwei Grundkonstellationen bei unseren Kunden antreffen,
Für interne IT-Audits rechnet es sich für viele Unternehmen jedoch häufig nicht Revisionsmitarbeiter mit den angemessenen Qualifikationen und Erfahrungen festeinzustellen, sodass wir in der Regel zwei Grundkonstellationen bei unseren Mandanten antreffen,
- zum einem ein Verantwortlicher für IT-Audit oder ein IT-Audit Team ist in der internen Revision vorhanden und wir werden für spezielle Prüfungsfelder oder in größere Revisionsprojekte eingebunden (Co-Sourcing),
- zum anderen die interne Revision hält keine eigenen IT-Prüfer bereit. Anstelle dessen wird die Funktion „IT-Audit“ an Forvis Mazars ausgelagert.
Gerne unterstützen wir Sie auch beim Aufbau einer unternehmenseigenen internen IT-Revision. Teils werden unsere internen IT-Audits auch unmittelbar durch die Geschäftsführung bzw. das Management angefordert, beispielsweise bei der Prüfung von Sonderthemen sowie von Tochtergesellschaften oder Dienstleistern (Second Party Audits).
In der Regel erbringen wir neben der eigentlichen Durchführung der IT-Prüfungen, folgende speziell auf die Wahrnehmung der internen IT-Revision zugeschnittene Aufgaben:
- Erstellung und Abstimmung einer Audit-Charter für die IT-Revision,
- Erstellung und Abstimmung eines mehrjährigen risikoorientierten Prüfungsplans für die IT Revision mit der internen Revision respektive mit dem zuständigen Vorstand.
- In der Planung wird der bisherige Stand der IT Revision und die Prüfungsplanung der Internen Revision berücksichtigt.
- Zielsetzung ist es, im Rahmen des Prüfungsplans die Abdeckung aller relevanten IT- Bereiche über den Planungshorizont sicherzustellen.
- Erstellung und Abstimmung des Jahresprüfungsplans unter Berücksichtigung von Sonderaufgaben und -projekten.
Im Rahmen der Wahrnehmung unserer Aufgaben und der Durchführung unserer Prüfungen pflegen wir eine enge Zusammenarbeit und einen Know-how Austausch innerhalb des (gemischten) Projektteams sowie mit der Internen Revision und den geprüften Stellen durch zeitnahe und persönliche Kommunikation.
Unsere Prüfungsergebnisse werden in kurzen schriftlichen Vermerken und detaillierten Feststellungs- und Empfehlungslisten bereitgestellt. Diese werden mit der geprüften Stelle abgestimmt und entsprechende Maßnahmen zur Behebung der Schwachstellen formuliert.
Wir tragen dazu bei, Möglichkeiten zur Reduzierung von Risiken zu identifizieren sowie Potentiale zur Verbesserung der Effizienz und Wirtschaftlichkeit zu erkennen.
Interne IT-Audits haben wir für unsere Mandanten in der Vergangenheit auch unter besonderer Berücksichtigung spezieller regulativer Anforderungen durchgeführt, wie beispielsweise:
- der seitens der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) aufgestellten Mindestanforderungen an das Risikomanagement (MaRisk), hier insbesondere hinsichtlich der Anforderungen der Themenschwerpunkte
- Technisch- organisatorische Ausstattung (MaRisk 7.2.),
- Notfallkonzept (MaRisk 7.3.) und
- Outsourcing (MaRisk 9).
- der Anforderungen aus dem Sarbanes-Oxley-Act (SOX-404), hier insbesondere hinsichtlich der Anforderungen der Themenschwerpunkte „IT General Controls“ sowie „Application Controls“ der verschiedenen Prozesse und ERP-Systemen.
Durch unsere enge internationale Zusammenarbeit innerhalb Forvis Mazars sind wir in der Lage IT-Prüfungen im Ausland bedarfsweise durch regionale IT-Prüfer*innen zu unterstützen oder durchführen zu lassen.
Quality Assessment IT Audit (QAR-IT)
Sowohl das Deutsche Institut für Interne Revision (DIIR e.V.; DIIR-Standard Nr. 3 „Qualitätsmanagement“) als auch die Information Systems Audit and Control Association (ISACA; ISACA-Leitfaden zur Durchführung eines Quality Assurance Review der Internen IT-Revision) empfehlen für Revisionsabteilungen eine interne Nachschau im Sinne eines Quality Reviews zur Sicherung der Revisionsqualität.
Wir sind hierzu sowohl von der ISACA als Quality Assessment Review IT Prüfer (QAR-IT) als auch unserem interdisziplinären Ansatz folgend vom DIIR als Akkreditierter Quality Assessor zertifiziert.
Wir unterstützen Revisionsabteilungen bei der Erfüllung der geltenden Standards mittels Durchführung der geforderten Qualitätsprüfungen.
Darüber hinaus führen wir Validierungen von Self- Assessments zur Einhaltung der geforderten Standards als neutraler Dritter durch.