Unsere Expertise in IT-Revision

Der Einsatz einer professionellen IT-Revision gewinnt weiter an Bedeutung, da die IT-Abhängigkeit der betrieblichen Prozesse in den Unternehmen stetig zunimmt. Weiterhin ist die Entwicklung im Bereich IT sehr schnelllebig und die eingesetzten IT-Systeme werden komplexer und mobiler. Daher ist eine IT-Revision zur regelmäßigen Prüfung der Sicherheit, Verfügbarkeit, Funktion und Ordnungsmäßigkeit der IT-Systeme unabdingbar.

Basierend auf von uns erarbeiteten Prüflandkarten zu einzelnen Arbeitsgebieten/Prüffeldern nehmen wir Revisionen zu IT-Funktionen vor, wie z.B.:

  • IT-Sicherheit
    • bauliche Sicherheit
    • Verfügbarkeit der IT-Systeme
    • Datensicherung und Datenarchivierung
    • IT-Sicherheitsaudits nach §8a BSIG
    • IT-Risikomanagement (z.B. Risikoanalyse, Vorsorge)
    • Aus- und Notfallvorsorge, Katastrophenplanung
    • Netzwerksicherheit (z.B. Ausfall-/Abhörsicherheit)
    • Software(-systeme) (z.B. Berechtigungen, Pflege)
    • Sicherheit mobiler Kommunikation
    • Nutzung von Cloud-Lösungen
    • weitere individuelle Schwerpunkte.
  • IT-Anwendungen
    • Funktionalität
    • Berechtigungskonzept
    • Releasemanagement/Freigabeverfahren
    • Aufbau der Bildschirmmasken
    • Customizing
    • Testverfahren
    • Verfahrensdokumentation
    • weitere individuelle Schwerpunkte.
  • IT-Beschaffung und Lizenzmanagement
    • Beschaffungsprozess (von Bedarfsermittlung, Spezifikation, Sourcing über Ausschreibung bis zur Auftragsvergabe/Kontrahierung/Vertragswesen)
    • Artikel- und Stammdatenpflege
    • Konditionenabrechnung
    • Qualitätssicherung/Funktionstests
    • Garantie/Gewährleistung
    • Rechnungsprüfung
    • weitere individuelle Schwerpunkte.
  • IT-Organisation
    • Aufnahme der IT-Ziele
    • Abgleich mit den IT-Zielen nach COBIT
    • Aufnahme der COBIT-Prozesse
    • Reifegradbewertung der COBIT-Prozesse
    • Besprechung des Ist-Reifegrads und Festlegung von Ziel-Reifegraden
    • Vorschläge zur Zielerreichung
    • Continuous Monitoring.
  • IT-Strategie
    • Erreichung der Unternehmensziele
    • Abgleich Soll- und Ist-Situation der IT-Anforderungen
    • Strategische Leitlinien
    • Identifizierung und Priorisierung der relevanten Handlungsfelder
    • Maßnahmenportfolio
  • Change- und Incident-Management
    • Klassifizierung und Priorisierung der Changes/Incidents 
    • Einbindung Datenschutzbeauftragter 
    • Configuration Management
    • Änderungsanforderungen
    • Testmanagement 
    • Abweichungsmanagement
    • Vollständigkeit der erfassten Störungen
    • Monitoring
    • Reporting und Trendanalysen/Problem Management
  • Release- und Deployment-Management
    • Regelversorgung im Rahmen des Release-Managements 
    • Releasevorbereitung
    • Testmanagement
    • Durchführung der Release-Qualitätssicherung
    • Nachbetreuung der Umsetzung 
  • Abwicklung IT-Support
    • Ticketing-System (u.a. Reaktionszeit, Abschlussquote)
    • Abgrenzung unterschiedlicher Incident Management Prozesse für unterschiedliche Systeme oder Bereiche 
    • Tooleinsatz für das Incident Management und die Help Desk Abwicklung 
    • Vollständigkeit der Erfassung der Incidents 
    • Rollen- und Verantwortlichkeiten (z.B. First, Second und Third Level Support, geregelte Zuweisung der Incidents zu den Bearbeitern) 
    • Klassifizierung/Priorisierung von Incidents 
    • Eskalationsprozesse für Incidents 
    • Sicherstellung der Erreichbarkeit (z.B.  außerhalb der Geschäftszeiten) 
    • Incidentabwicklung im Zusammenhang mit dem (automatischen) Monitoring der IT-Infrastruktur 
    • Verknüpfung zwischen Change und Incident Management 
    • Aufbau und Pflege einer Wissensdatenbank für wiederkehrende Incidents 
    • Einbezug des Incident-Melders bei der Schließung des Incidents 
    • Vollständigkeit bei der Dokumentation der Incidents 
    • Kontinuierlicher Verbesserungsprozess (z.B. Reporting und Trendanalysen, Einsatz von Kennzahlen) 
  • IT-Projekte (ex post, ex ante, projektbegleitend, konventionelle und agile Methoden)
    • Projektorganisation 
    • Fachliche Anforderungen
    • Integrationsmanagement
    • Inhalts- und Umfangsmanagement
    • Zeitmanagement 
    • Kostenmanagement 
    • Qualitäts- und Testmanagement 
    • Personalmanagement 
    • Kommunikationsmanagement 
    • Projektberichtwesen 
    • Risikomanagement 
    • Einkaufsmanagement
    • Business Case
  • Online-Shop
    • Benutzerfreundlichkeit  
    • Monitoring vertraglicher Vereinbarungen (Performance, Mindestverfügbarkeit etc.) 
    • Rollen- und Berechtigungskonzept 
    • Zugriffsberechtigungen (Protokollierung, Passwortschutz etc.) 
    • Ausfall- und IT-Sicherheit (Notfallplan, Risikoanalyse, Datensicherung, Datenrecovery, Systemredundanz)
    • Abwicklung der Kaufvorgänge, Checkout-Prozess, Fakturierung
    • Warenzustellung, Versandkosten, -arten (Wirtschaftlichkeit)
    • Aktionen, Gewährung von Nachlässen, Rabatte
    • Retourenabwicklung, Stornierungen
  • Penetrationstest
    • Festlegung der Rahmenbedingungen (PrüftiefePrüfortPrüfzeitraumPrüfbedingungen) 
    • Informationsbeschaffung z.B. anhand von Dienstleisterverträgen 
    • Überprüfung einzelner Systeme 
    • Ermittlung von Schwachstellen (Firewall-Konfiguration, Webapplikation, Übertragung von Zugangsdaten, VPN etc.) 

     

  • individuelle Prüfungsthemen

Basis sind dabei u.a. die einschlägigen Gesetze, Verwaltungsvorschriften, anerkannte Regelungen und Best Practice Ansätze:

  • Abgabenordnung (AO)
  • Handelsgesetzbuch (HGB)
  • Datenschutz-Grundverordnung (DSGVO)
  • Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
  • Fachausschuss für Informationstechnologie (FAIT)
  • Information Technology Infrastructure Library (ITIL)
  • Control Objectives for Information and Related Technology (COBIT)
  • Maßnahmenkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kataloge).