Design Kontrollframework

    Erarbeitung eines Konzepts zur Erstellung eines internen Kontrollframeworks

    Kontrolldesign zur Nachweiserbringung der Ordnungsmäßigkeit von Geschäftsprozessen


    Industry

    Banking icon

     

    Status Quo

    • Leistungserbringung an aufsichtsrechtlich regulierte Unternehmen
    • Auslagerungsbestand erzwingt Nachweiserbringung über die Ordnungsmäßigkeit von Geschäftsprozessen
    • Anforderungsaufnahme an ein Kontrollframework und Abgleich zur momentanen Ist-Situation erforderlich

     

    Ziel

    • Anforderungsidentifikation in Bezug auf eine Auslagerung
    • Abweichungsanalyse (Soll vs. Ist) zu internen und externen Anforderungen
    • Konzept zur Erstellung eines Kontrollframeworks

    Ausgangssituation

    Aufgrund des Auslagerungsbestands galt es im Rahmen dieses Projekts Geschäftsprozesse gegenüber den gesetzlichen Grundlagen und Anforderungen zu beschreiben. Ein Hauptfokus lag hierbei auf der Zertifizierung nach IDW PS951, ein vom Institut der Wirtschaftsprüfer in Deutschland (IDW) veröffentlichter Prüfungsstandard zur Regelung eines ausgelagerten internen Kotrollsystems (IKS) auf ein Dienstleistungsunternehmen. Die für die Jahresabschlussprüfung relevante IDW PS951 Typ 2 umfasst eine Prüfung auf (i) Angemessenheit des dargestellten internen Kotrollsystems, (ii) Implementierung der erforderlichen Kontrollen sowie (iii) Wirksamkeit für einen definierten Zeitraum.

    Zu diesem Zweck bedarf es für (i) die Angemessenheit des IKS der Auslagerungsaktivität zunächst einmal ein Design eines Frameworks, welches Abhilfe leistet für:

    • Verbindung zu Geschäftsanforderungen,
    • Einbindung von IT-bezogenen Aktivitäten in ein allgemein akzeptiertes Prozessmodell,
    • Identifikation von wesentlichen, zu steuernden IT-Ressourcen sowie
    • die Definition von zu berücksichtigenden Control Objectives.

    Unser Vorgehen

    1
    Identifizierung und Analyse von Anforderungen
    Extraktion relevanter Regelwerke und auf Basis dessen Ableitung relevanter IT-Anforderungen und Zusammenfassung aller Anforderungen in einem aggregierten Anforderungskatalog
    2
    Prozesseinordnung und Kontrollziele
    Zuordnung der Anforderungen in vordefinierte Prozesse, Prozessarten, Prozessverantwortliche und Core Objectives nach COBIT 2019. Anforderungsspezifische Kontrollziele werden ausgearbeitet.
    3
    Gap-Analyse und Verfahrensverantwortlichkeit
    Gap-Analyse zu etablierten Kontrollen, Referenz zu abgebildeten Prozessen sowie internen Richtlinien. Verantwortlichkeiten für auslagerungsrelevante Anforderungen werden auf Applikationsebene verortet.

    Identifizierung und Analyse von Anforderungen

    Grundlage für den Betrieb des IKS sind die relevanten, allgemein gültigen Gesetze, Verordnungen, Normen und Vorgaben, die für die im Anwendungsbereich aufgeführten Unternehmen gelten, und die damit verbundenen Risiken für die Unternehmen. 

    Im Rahmen des IT-Compliance-Management-Systems analysiert die IT-Compliance in der ersten Phase alle Regelwerke hinsichtlich der Auswirkungen der darin enthaltenen Anforderungen oder Teile der Anforderungen auf das IT-interne Kontrollsystem (IT-IKS) und damit indirekt auf die IT-Organisationsstruktur, die IT-Prozesse oder die IT-Systeme (IT-Relevanzprüfung). Für jedes Regelwerk wird entschieden, ob es IT-Relevanz hat und daher im Rahmen des IT-CMS weiterverfolgt wird. Das Ergebnis der Analyse wird im IT-Compliance-Register zusammengefasst. Auf Basis des entsprechenden abgeleiteten IT-Regelwerks werden Anforderungen ermittelt. 

    Prozesseinordnung und Kontrollziele

    Aus den IT-relevanten Regelwerken wurden im Anschluss Anforderungen abgeleitet und diese einem Prozess der IT-Prozesslandschaft zur Umsetzung zugeordnet. Die Prozesszuordnung (IT-Prozesslandschaft) wird in einer entsprechenden Dokumentation zusammengefasst. Für ein nachgelagertes Design der entsprechenden Kontrollen, sind Kontrollziele auszuarbeiten. Diese bildet die Grundlage zur Definition von Kontrollen (Kontrolldesign) durch den Prozessverantwortlichen. Es gilt der Grundsatz, dass pro Kontrollziel mindestens eine IT-Kontrolle zugeordnet werden muss. 

    Gap-Analyse und Verfahrensverantwortlichkeit

    Die GAP-Analyse spielte eine tragende Rolle. Mit Hilfe der Analyse wurde Unterdeckungen („Finding“), also auslagerungsrelevante Anforderungen, für die keine oder unwirksame Kontrollen aus Kundensicht implementiert sind, ermittelt. Die entsprechenden zuordenbaren Regulatorien, Prozessverantwortliche, etc. sind auf Basis des erstellten Designs ebenfalls unmittelbar einsehbar. Es sei darauf hingewiesen, dass in diesem Zusammenhang die Zuordnung von Anforderungen in die jeweiligen COBIT Core Objectives sich als sehr nützlich erweist, wenn es darum geht, bei Unterdeckung von bestimmten IT-Anforderungen, neue Kontrollen zu entwickeln. 

    Prozessautomatisierung
    IT Health Check

    Fragen? Vereinbaren Sie ein Meeting mit uns