Design Kontrollframework
Kontrolldesign zur Nachweiserbringung der Ordnungsmäßigkeit von Geschäftsprozessen
Industry
Status Quo
- Leistungserbringung an aufsichtsrechtlich regulierte Unternehmen
- Auslagerungsbestand erzwingt Nachweiserbringung über die Ordnungsmäßigkeit von Geschäftsprozessen
- Anforderungsaufnahme an ein Kontrollframework und Abgleich zur momentanen Ist-Situation erforderlich
Ziel
- Anforderungsidentifikation in Bezug auf eine Auslagerung
- Abweichungsanalyse (Soll vs. Ist) zu internen und externen Anforderungen
- Konzept zur Erstellung eines Kontrollframeworks
Ausgangssituation
Aufgrund des Auslagerungsbestands galt es im Rahmen dieses Projekts Geschäftsprozesse gegenüber den gesetzlichen Grundlagen und Anforderungen zu beschreiben. Ein Hauptfokus lag hierbei auf der Zertifizierung nach IDW PS951, ein vom Institut der Wirtschaftsprüfer in Deutschland (IDW) veröffentlichter Prüfungsstandard zur Regelung eines ausgelagerten internen Kotrollsystems (IKS) auf ein Dienstleistungsunternehmen. Die für die Jahresabschlussprüfung relevante IDW PS951 Typ 2 umfasst eine Prüfung auf (i) Angemessenheit des dargestellten internen Kotrollsystems, (ii) Implementierung der erforderlichen Kontrollen sowie (iii) Wirksamkeit für einen definierten Zeitraum.
Zu diesem Zweck bedarf es für (i) die Angemessenheit des IKS der Auslagerungsaktivität zunächst einmal ein Design eines Frameworks, welches Abhilfe leistet für:
- Verbindung zu Geschäftsanforderungen,
- Einbindung von IT-bezogenen Aktivitäten in ein allgemein akzeptiertes Prozessmodell,
- Identifikation von wesentlichen, zu steuernden IT-Ressourcen sowie
- die Definition von zu berücksichtigenden Control Objectives.
Unser Vorgehen
Identifizierung und Analyse von Anforderungen
Grundlage für den Betrieb des IKS sind die relevanten, allgemein gültigen Gesetze, Verordnungen, Normen und Vorgaben, die für die im Anwendungsbereich aufgeführten Unternehmen gelten, und die damit verbundenen Risiken für die Unternehmen.
Im Rahmen des IT-Compliance-Management-Systems analysiert die IT-Compliance in der ersten Phase alle Regelwerke hinsichtlich der Auswirkungen der darin enthaltenen Anforderungen oder Teile der Anforderungen auf das IT-interne Kontrollsystem (IT-IKS) und damit indirekt auf die IT-Organisationsstruktur, die IT-Prozesse oder die IT-Systeme (IT-Relevanzprüfung). Für jedes Regelwerk wird entschieden, ob es IT-Relevanz hat und daher im Rahmen des IT-CMS weiterverfolgt wird. Das Ergebnis der Analyse wird im IT-Compliance-Register zusammengefasst. Auf Basis des entsprechenden abgeleiteten IT-Regelwerks werden Anforderungen ermittelt.
Prozesseinordnung und Kontrollziele
Aus den IT-relevanten Regelwerken wurden im Anschluss Anforderungen abgeleitet und diese einem Prozess der IT-Prozesslandschaft zur Umsetzung zugeordnet. Die Prozesszuordnung (IT-Prozesslandschaft) wird in einer entsprechenden Dokumentation zusammengefasst. Für ein nachgelagertes Design der entsprechenden Kontrollen, sind Kontrollziele auszuarbeiten. Diese bildet die Grundlage zur Definition von Kontrollen (Kontrolldesign) durch den Prozessverantwortlichen. Es gilt der Grundsatz, dass pro Kontrollziel mindestens eine IT-Kontrolle zugeordnet werden muss.
Gap-Analyse und Verfahrensverantwortlichkeit
Die GAP-Analyse spielte eine tragende Rolle. Mit Hilfe der Analyse wurde Unterdeckungen („Finding“), also auslagerungsrelevante Anforderungen, für die keine oder unwirksame Kontrollen aus Kundensicht implementiert sind, ermittelt. Die entsprechenden zuordenbaren Regulatorien, Prozessverantwortliche, etc. sind auf Basis des erstellten Designs ebenfalls unmittelbar einsehbar. Es sei darauf hingewiesen, dass in diesem Zusammenhang die Zuordnung von Anforderungen in die jeweiligen COBIT Core Objectives sich als sehr nützlich erweist, wenn es darum geht, bei Unterdeckung von bestimmten IT-Anforderungen, neue Kontrollen zu entwickeln.