IT-Kontrollsysteme werden von Unternehmen vernachlässigt

Die neuen und großen Gefahren müssen von Experten bekämpft werden

Keyfacts

  • IT-Compliance-Niveau hat sich verbessert
  • Investition in interne Kontrollsysteme gestiegen
  • interne IT-Revision braucht neue Talente
Sebastian Paas
  • Partner, Consulting
Mehr über meine Themen Nachricht schreiben

Kontrollsysteme müssen funktionieren, sonst kann man es gleich lassen. Herkömmliche IT- Prüfungen reichen dazu nicht aus. Für die neuen, großen Risiken braucht es echte Spezialisten.

Nein, es ist kein Zufall, wenn sich CIOs mit der IT-Revision verstärkt austauschen. Zwar sind Cyberkriminalität, Big Data oder und Social Media keine neuen Themen. Aber wer traut sich zum heutigen Zeitpunkt zu, deren Risiken präzise zu bestimmen?

Es braucht Menschen, die die Risiken prüfen und Lösungsstrategien entwickeln

Meine gute Nachricht zuerst: Viele CIO-Organisationen haben in ihre internen Kontrollsysteme investiert. Das IT-Compliance-Niveau intern hat sich deutlich verbessert. Die schlechte: Zahlreiche neue Risiken sind dazugekommen.

Wir wollten es genauer wissen. Ende 2013 haben wir eine Studie durchgeführt und uns bei 400 Unternehmen aus 21 Ländern erkundigt: Was ändert sich in der IT-Revision?

Gefragt ist neues Wissen

Die interne IT-Revision braucht neue Skills und Talente. Denn: Knapp achtzig Prozent der Unternehmen geben an, dass unzureichendes Wissen und zu kleine Teams der Grund für ihre Unzufriedenheit mit der IT-Prüfung sind.

Der größte Mangel besteht bei der Informationssicherheit. Mit Trainings allein kann diese Wissenslücke nicht gefüllt werden. Gefragt ist die verstärkte Zusammenarbeit mit externen Spezialisten aus der IT-Branche.

Entscheidend ist der Bedarf

IT-Prüfungen müssen an den vorhandenen Skills, Vorjahresbudgets sowie der Ist-Teamstärke ausgerichtet werden. 82 Prozent der befragten Unternehmen legen ihren Schlachtplan einmal im Jahr verbindlich fest und verändern ihn dann kaum mehr.

Diese Planung ist zu starr. Die IT-Revision und die Budgets müssen flexibilisiert werden, um ad hoc Prüfungsaufträge leisten zu können.

Pläne sind zu überprüfen

Weniger als die Hälfte der befragten Unternehmen sind mit den Prüfungen der IT-Revision zufrieden. Dieses Ergebnis ist insofern erstaunlich, als dass die IT-Prüfungen in der Regel strategisch ausgerichtet, umfangreich abgestimmt und letztlich vom Management freigegeben wurden.

Leider hinterfragen die meisten Unternehmen ihre Pläne nicht hinreichend.

Vernetztes Arbeiten funktioniert besser als isoliertes

Fast alle IT-Revisionen berichten durch einen Head of Audit an das Audit Committee des Unternehmens. Das ist kritisch, finde ich. Der isolierte Berichtsweg und die mangelnde Integration zu anderen Governance-Funktionen schwächt die Risikoprüfung.

Mehr als die Hälfte der Befragten sagt, dass sich die IT-Revision nicht hinreichend am Governance-Modell der Unternehmen ausrichtet. Zu wenig Abstimmung zwischen den Funktionen torpediert den Erfolg insgesamt.

Standards erleichtern die Arbeit

Fast ein Viertel nutzt keine Standards oder Frameworks – zum Beispiel COBIT, ISO 27001, ITIL oder PRINCE2 für IT-Projektprüfungen. Für mich ist es schwer nachzuvollziehen, wie diese Unternehmen ihre Ziele messen wollen.

Templates können vergleichsweise schnell entwickelt und Frameworks eingeführt werden. Große Eingriffe in die Abläufe sind nicht zu befürchten. Automatisierte Massendatenanalysen schätzen viele als besonders effektives Tool.

Ich denke: Nur wenn Unternehmen ihre Risiken ernst nehmen und in die richtigen Kontrollsysteme investieren, wappnen sie sich für die großen sicherheitsrelevanten Herausforderungen unserer Zeit.

Sebastian Paas
  • Partner, Consulting
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.