IT-Revisor Andreas H. Schmidt (CISA, zert. DSB TÜV) Das Modell des normativen Prismas

Transkript

1 IT-Revisor Andreas H. Schmidt (CISA, zert. DSB TÜV) Revision Das Modell des normativen Prismas Die Einordnung von nationalen Normen in das COSO II ERM und deren Auswirkungen auf Prüfungshandlungen im Rahmen des CobiT- Frame works am Beispiel des Bundesdatenschutzgesetzes (BDSG) Inhalt 1 Ausgangssituation 2 Das COSO Framework (COSO II ERM) 3 CobiT 4 Modell des normativen Prismas 1 Ausgangssituation Nicht selten stehen Prüfungsleiter bei der Ausarbeitung eines Prüfplans nach COSO/CobiT vor der Herausforderung, die prüferischen Anforderungen nationaler Normen in ein international angewandtes Modell / Framework einzuordnen. Das Modell des normativen Prismas kann ein Weg sein, sich dieser Herausforderung zunächst auf einer theoretischen Ebene zu nähern. Zum anderen bietet es aber auch eine praktische Hilfestellung bei der Prüfungsvorbereitung bzw. bei der Erstellung von Prüfungsplänen. Vor dem Hintergrund der in der Presse diskutierten Verstöße von Unternehmen gegen nationale Normen, insbesondere im Bereich des Bundesdatenschutzgesetzes (BDSG), und den globalen Auswirkungen der amerikanischen Hypothekenkrise erhält die Diskussion um die Thematik Corporate Governance und in diesem Zusammenhang bzgl. der Ausgestaltung und des Nachweises eines angemessenen und wirksamen internen Kontrollsystems (IKS) neuen Schub. 1 Hinzu kommt die Frage, welcher zusätzliche revisionsinterne Aufwand bzw. welche bürokratischen Belastungen durch neue nationale Richtlinien erwachsen, insbesondere als Reaktion auf die o. a. Vorfälle, und in wieweit diese zukünftig die Revisionsarbeit beeinflussen werden. 1 Zugriff am PRev Revisionspraxis

2 Revision Andreas H. Schmidt Das Modell des normativen Prismas Vor diesem Hintergrund sind z. B. die am Horizont sichtbar werdende 8. EU-Richtlinie oder die Änderungen im Schweizer Obligationenrecht zu nennen. Weitreichende regulatorische Modifikationen sind sicherlich auch im Umfeld des deutschen Bundesdatenschutzgesetzes zu erwarten. Einen ersten Vorgeschmack darauf erhält man u. a. bei der Lektüre des aktuellen Referentenentwurfs für das neue Datenschutzauditgesetz (BDSAuditG). Die Fachgruppe CobitT/ Datenschutz der ISACA Germany Chapter hat diesbezüglich eine Stellungnahme formuliert. Darüber hinaus hat Bundesinnenminister Wolfgang Schäuble angekündigt, dass die Bürger künftig in die Weitergabe ihrer Daten ausdrücklich einwilligen müssten. Außerdem solle der Bußgeldrahmen für Datenmissbrauch erhöht werden. 2 Abb. 1: COSO ERM 3 In Zusammenhang mit den oben genannten Vorgängen tritt die Verwendung von Prüfungsstandards, wie beispielsweise von COSO, wieder zunehmend in den Fokus der fachkundigen Öffentlichkeit. Zur Erinnerung hierzu ein kurzer Überblick. 2 Das COSO Framework (COSO II ERM) Mit der Veröffentlichung des Ergebnisses des in 2001 gestarteten Projekts Enterprise Risk Management Integrated Framework des Committee of Sponsoring Organizations of the Treadway Commission (COSO) wurde im September 2004 mit dem COSO Framework erstmals ein international anerkannter Standard für ein umfassendes, unternehmensweites Risikomanagement ins Leben gerufen. Das COSO Framework (inzwischen COSO II ERM) gibt der Unternehmensführung die Möglichkeit, unter Berücksichtigung der Unternehmensrisiken und -chancen ein umfassendes und je nach Ausgestaltung effektives und effizientes Risikomanagement zu erarbeiten bzw. zu implementieren, das sich in erster Linie an den Unternehmenszielen orientiert. Der sog. COSO-Würfel (COSO II ERM) dient hierbei der Visualisierung und zeigt die drei Dimensionen des Modells und deren Zusammenhänge. Die erste Dimension bilden vier Kategorien: Unternehmensstrategie und daraus abgeleitete Strategien in den untergliederten Unternehmensbereichen Geschäftsbetrieb (Operations) und damit die Wirtschaft lich keit von Prozessen und der damit verbunde ne effi ziente Umgang mit den vorhandenen Ressourcen Finanzielle Berichterstattung (Reporting) Einhaltung von Gesetzen und internen Anweisungen (Compliance) Die zweite Dimension des Würfels betrachtet die Kontrollelemente bzw. IKS Komponenten. Die Kontrollelemente erweitern den klassischen Risikomanagementprozess und setzen sich aus acht Bestandteilen zusammen. 4 Das Kontrollumfeld betrifft u. a. die innerbetriebliche Umwelt und stellt den Rahmen für die weiteren Komponenten des Risikomanagements dar. Es wird durch das Leitbild des Unternehmens und die individuellen Eigenschaften der Mitarbeiter bestimmt. 5 Die Zielsetzung des Unternehmens bildet die Grundlage für die Risikoidentifikation und die Risikobeurteilung. Als Ergebnis der Betrachtung ergibt sich das Bruttorisiko. Je nach Risikobereitschaft des Unternehmens werden nunmehr in Form von Kontrollzielen die sog. Kontrollmaßnahmen bzw. Kontrollaktivitäten für das Restrisiko (Nettorisiko) definiert. 2 Zugriff am Zugriff am Higgen.pdf; Zugriff am PRev Revisionspraxis

3 Andreas H. Schmidt Das Modell des normativen Prismas Revision Ein nicht unwesentlicher Bestandteil eines IKS sind die Bereiche Information & Kommunikation. Unternehmensführung und Mitarbeiter müssen über effiziente Kommunikationswege verfügen, um Kontrollen sachgerecht und umfassend ausführen zu können. Das abschließende Element eines IKS bildet das sog. Monitoring bzw. die kontinuierliche Überwachung der Kontrollmaßnahmen. Die dritte Dimension des COSO Modells referenziert auf die diversen Unternehmenseinheiten, die von den vorgenannten Dimensionen gesamtheitlich einbezogen werden. Die Kriterien hierbei sind zum einen Vertraulichkeit im Sinne eines Schutzes von sensiblen Informationen, Integrität, im Zusammenhang mit der Ordnungsmäßigkeit der Geschäftsunterlagen die Verfügbarkeit dieser Informationen und Unterlagen sowie die Zuverlässigkeit der Informationen für den Betrieb des Unternehmens. Darüber hinaus spielen betriebswirtschaftliche Betrachtungen wie Effektivität und Effizienz eine große Rolle. Letztlich unterliegen alle Aktivitäten im Unternehmen den jeweiligen nationalen Gesetzen und internen Anweisungen (Compliance). Diese Kriterien finden sich auch jeweils in unterschiedlicher Ausprägung im BDSG. Horizontal betrachtet basieren die jeweiligen Geschäftsprozesse auf den IT-Ressourcen wie IT-Anwendungen, IT-Infrastruktur bzw. IT-Personal. 3 CobiT Die IT hat in den letzten Jahren einen immer größeren Anteil am Erreichen der Unternehmensziele gewonnen. Allerdings wurde sie damit auch, insbesondere aufgrund der vielfachen technischen Möglichkeiten je nach Branche, ein stetig wachsender Risikofaktor im Unternehmen. In Zusammenhang mit IT-Risiken geht es i. d. R. nicht nur um den Schutz von Vermögenswerten, sondern auch um den Schutz und die Verlässlichkeit von Informationen im Unternehmen, insbesondere um den besonderen Schutz von Informationen im Sinne des deutschen BDSG. Die Praxis hat im Verlauf der Zeit gezeigt, dass das COSO-Modell alleine der Problematik der IT-Risiken und damit verbunden den Herausforderungen an eine wirksame IT-Governance nur unzureichend Rechung trägt. 6 Einen Ansatz hierzu bietet das international anerkannte CobiT Framework, aktuell in der Fassung 4.1 und basierend auf dem COSO-Modell. Im Sinne des IKS werden, auf Basis von Geschäftsprozessen, Kontrollziele definiert, die dazu dienen, die Verlässlichkeit der IT-Anwendung, und damit einhergehend, die Qualität, Sicherheit und Ordnungsmäßigkeit der Rechnungslegung im Unternehmen zu gewährleisten. Abb. 2: CobiT Dimensionen 7 Im CobiT Framework wurden 34 kritische Prozesse innerhalb der IT definiert, deren Kernaufgaben so definiert sind, dass sie einerseits die übergeordneten Kontrollziele abbilden, andererseits in konkreten Aktivitäten münden. Die Prozesse werden über vier Domains dem sog. Life Cycle zugeordnet: Planung und Organisation Beschaffung und Implementierung Betrieb und Unterstützung Überwachung und Beurteilung 5 Zugriff am Bitterli, P. et al.: Praxishandbuch COBIT. IT Prozesse steuern, bewerten und verbessern. Symposion Publishing GmbH, Düsseldorf, Zugriff am PRev Revisionspraxis

4 Revision Andreas H. Schmidt Das Modell des normativen Prismas Abb. 3: CobiT 4.0 Life Cycle 8 4 Modell des normativen Prismas Soweit die Darstellung der Modelle COSO und CobiT und deren Zusammenhang. Nun stellt sich für den Prüfungsleiter häufig die Frage, wie er bei der Erstellung eines Prüfplans, in Anlehnung an CobiT, die nationalen Standards und Normen adäquat berücksichtigen kann. Oder konkreter, welche CobiT-Kontrollziele kann er diesen Standards und Normen sinnvoll zuordnen? Die ISACA bietet hierzu auf ihrer internationalen Homepage verschiedene Guidelines an, die allerdings, je nach Thematik, in der fachlichen Tiefe variieren, selten aber umfänglich auf nationale Belange anwendbar sind. Somit muss der Prüfungsleiter letztlich eine eigene Methodik finden, nach der er solche gesetzlichen Anforderungen den Kontrollzielen zuordnen kann. Bei dieser Aufgabe könnte das Modell des normativen Prismas eine Hilfestellung leisten. Das Modell beruht auf der bekannten Annahme, dass sich je nach Prüfungsschwerpunkt die Sichtweise des Prüfers auf das Prüfobjekt und damit auf die Auswahl der Kontrollziele ändert. Am Beispiel des Bundesdatenschutzgesetzes (BDSG) soll die Anwendung des Modells verdeutlicht werden. Wir gehen in unserem Beispiel von zwei Prüfungen A und B aus. Schwerpunkt bei A ist die Prüfung der Ordnungsmäßigkeit der Datenverarbeitung von Daten besonderer Art gem. 4 d Abs. 5 BDSG. Prüfung B beschäftigt sich hauptsächlich mit der Stellung und den Aufgaben des Datenschutzbeauftragten im Unternehmen gem. Abs. 3 BDSG. Der Fokus des Prüfungsleiters richtet sich somit in erster Linie auf die Kategorie Compliance und Betrieb, also die Prüfung auf Einhaltung der nationalen Normen gem. BDSG im operativen Umfeld. Der Prüfungsleiter muss nun bei der Vorbereitung seines Prüfplans entscheiden, welchen Kontrollelementen er die entsprechende Gewichtung gibt. Zum Beispiel könnte er für die Prüfung A die Kontrollelemente Risikoidentifikation, Risikobeurteilung, Maßnahmen und Überwachung stärker gewichten. 8 Zugriff am PRev Revisionspraxis

5 Andreas H. Schmidt Das Modell des normativen Prismas Revision Anhand des Modells des normativen Prismas kann dies visuell verdeutlicht werden. Man stelle sich den COSO-Würfel transparent vor, mit einem Kern in Form eines Prismas bestehend aus vielen Facetten. Prisma aufgrund der Facetten ein einfallender Lichtstrahl in seine Spektralfarben gebrochen wird. Abb. 6: Prisma-Definitionen Abb. 4: COSO/Normatives Prisma Insbesondere entscheidet der Einfallswinkel, an welchem Ort diese Spektralfarben wieder austreten. Diese Facetten stellen auf der Oberseite die Ebene der gesetzlichen und berufsständischen Normen dar. Die Unterseite beinhaltet die innerbetrieblichen Normen bzw. Leitlinien wie Anweisungen, Unternehmensziele, Bereichsziele, IT-Strategie etc. Abb. 7: Prisma / IKS Abb. 5: Normative Prisma-Ebenen Im Falle der Prüfung A könnte dies die Kontrollelemente Risikoidentifizierung, Risikobeurteilung und Überwachung betreffen, bei B besteht die Möglichkeit, das Augenmerk auf die Kontrollelemente Zielsetzung, Kontrollumfeld, Information & Kommunikation und ebenfalls auf das Element Überwachung zu richten. Hat der Prüfungsleiter nunmehr seine Entscheidungen getroffen wie in den o. a. Beispielen angenommen, stellt sich die Frage, wie er diese in CobiT umsetzt bzw. welche Kontrollziele er konkret berücksichtigt? Anhand des Modells des normativen Prismas kann diese Problematik visualisiert werden. Das Modell des normativen Prismas bedient sich hierbei Erkenntnissen aus der Physik, wonach bei einem PRev Revisionspraxis Je nach Ausgangsbasis der Fragestellung ändern sich somit die Ausrichtung bezüglich der Kontrollelemente und in Folge auch die Aktivitäten bzgl. der Prüfungshandlungen. Daraus ergibt sich nunmehr die Umsetzung der Normen in CobiT-Kontrollziele. Dies bedeutet konkret, beispielsweise bei der Anwendung von CobiT 4.0 bezüglich der Prüfung A, also 7

6 Revision Andreas H. Schmidt Das Modell des normativen Prismas der Prüfung der Ordnungsmäßigkeit der Datenverarbeitung von Daten besonderer Art gem. 4 d (5) BDSG, dass im Rahmen der Prüfung die folgenden Kontrollziele umfassend betrachtet werden könnten: CobiT Kontrollziel Norm gem. BDSG PO 4.6 PO AI1.2 4 e AI d DS Abb. 8 CobiT Kontrollziele Prüfung A Wie man erkennt, erstreckt sich der Schwerpunkt der Kontrollziele in der Prüfung A verstärkt über die Domänen Planung und Organisation (PO), Beschaffung und Implementierung (AI) und Betrieb sowie Unterstützung (DS), während die Schwerpunkte in der Prüfung B mehrheitlich in der Domäne Planung und Organisation (PO) liegen. Die o. a. Liste ist beispielhaft und kann, insbesondere mit Bezug auf das Prüfungsziel und die daraus resultierenden persönlichen und fachlichen Auffassungen des Prüfungsleiters, durchaus eine differenzierte Gewichtung der Kontrollziele enthalten. Im Vergleich hierzu ergibt sich beispielhaft für die Prüfung B Stellung und Aufgaben des Datenschutzbeauftragten im Unternehmen gem. Abs. 3 die Auswahl folgender Kontrollziele: CobiT Kontrollziel Norm gem. BDSG PO 4.6 PO g PO g PO 6.4 PO DS ME 4.1 Fazit: Das Modell des normativen Prismas kann zum einen dazu benutzt werden, theoretisch eine Methodik zur Umsetzung von gesetzlichen oder berufständischen Normen in einem internationalen Standard wie CobiT darzustellen und zu erläutern. Zum anderen besitzt es das Potenzial, je nach Intensität der Weiterentwicklung praktische Unterstützung bei der Erstellung von Prüfplänen bzw. bei der Durchführung von Prüfungen zu geben, wie dies oben anhand des BDSG beispielhaft dar gestellt wurde. Abb. 9 CobiT Kontrollziele Prüfung B Andreas H. Schmidt arbeitet in der dwpbank-gruppe (Deutsche Wertpapier Service Bank AG) als IT-Revisor und als Vertreter des Konzerndatenschutzbeauftragten. Darüber hinaus ist er Sprecher der ISACA Germany Chapter Fachgruppe CobiT/ Datenschutz. Die Fachgruppe CobiT/ Datenschutz besteht seit Oktober 2007 und hat es sich zur Aufgabe gemacht, die Be ziehung zwischen CobiT und dem deutschen Datenschutzgesetz (BDSG) aufzuarbeiten und daraus Anwendungsempfehlungen für die prüferische Arbeit abzuleiten. CobiT ist ein Standard im Sinne eines sog. Best-Practice -Ansatzes, dem sich Unternehmen freiwillig unterwerfen können. 8 PRev Revisionspraxis