Grundlagen

• Dr. Stefan Beißel

Unter dem Begriff Audit wird im Allgemeinen ein Prozess zur Überprüfung oder Inspektion verstanden. Audits können unterschiedliche Themenbereiche betreffen, wie z. B. die Finanzberichterstattung, Sicherheit, Compliance, Governance oder Qualität mit oder ohne Schwerpunkt auf der IT. Sie haben jedoch gemein, dass die Überprüfung unabhängig und nachvollziehbar sein soll und die Ergebnisse auf angemessenen Nachweisen beruhen sollen. IT-Audits beziehen sich dabei auf den Themenbereich IT oder auf einen Ausschnitt der IT.
Ein IT-Audit ist eine unabhängige Überprüfung der Einhaltung von Vorgaben und der Funktionalität von Kontrollmaßnahmen innerhalb der IT eines Unternehmens.
Die Unabhängigkeit soll sicherstellen, dass der Auditor von keinem Interessenkonflikt betroffen ist und einen objektiven Standpunkt besitzt. Interessenkonflikte bestehen, wenn der Auditor ein Interesse an den Ergebnissen des IT-Audits hat. Sollte der Auditor z. B. bei Design und Konfiguration von IT-Systemen mitgewirkt haben, ist er eher daran interessiert, dass im IT-Audit keine Abweichungen festgestellt werden, da seine Mitwirkung ansonsten nachträglich bemängelt werden könnte. Auch wenn der Auditor an der Behebung der festgestellten Abweichungen beteiligt ist, kann er ein besonderes Interesse besitzen. Eine geringe Anzahl an Abweichungen erspart ihm Arbeit, während eine hohe Anzahl an Abweichungen seine Verdienstmöglichkeiten erhöhen kann. Die Objektivität des Auditors kann beeinträchtigt werden, wenn seine Erfahrungen einen bestimmten Schwerpunkt oder eine hohe Eingrenzung besitzen, z. B. wenn derselbe Auditor ausschließlich dasselbe Unternehmen prüft.

Seiten 13 - 73