Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Transkript

1 Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

2 Aktueller Stand 2 1. Einleitung 1.1 Ausgangssituation 1.2 Definitionen 1.3 Zielsetzung 1.4 Standards 2. Anforderungen an den QAR-IT-Prüfer

3 Ausgangssituation 3 Aufgaben der Internen Revision / Internen IT-Revision: erbringt unabhängige, objektive Prüfungs- und Beratungsdienstleistungen Ziel: Mehrwerte schaffen, Verbesserung der Geschäftsprozesse Unterstützung der Organisation zur Erreichung ihrer Ziele Entwicklung eines systematischen und zielgerichteten Ansatzes zur Bewertung und Verbesserung der Effektivität des Risikomanagements, der Kontrollen sowie der Führungs-und Überwachungsprozesse Die Interne Revision als Instrument der Unternehmensführung Eine angemessene Arbeitsqualität der IT-Revision muss stets gewährleistet sein. Überprüfung der Qualität erfolgt durch einen Quality Assurance Review der IT- Revision (QAR-IT). Die IT-Revision ist Teil der Internen Revision. Die IT-Revisoren sind im Verband der ISACA organisiert.

4 Definition des Quality Assurance Review (QAR-IT) 1/3 4 Der Begriff Qualität allgemein: Qualität ist die Gesamtheit von Eigenschaften und Merkmalen eines Produkts oder einer Tätigkeit, die sich auf deren Eignung zur Erfüllung ihrer Aufgaben beziehen. (Deutsche Gesellschaft für Qualität e.v., Begriffe zum Qualitätsmanagement, 6. Auflage 1995, S.30) QAR-IT: Quality Assurance Review (der IT-Revision) (übersetzt: Qualitätssicherungsbeurteilung) Prozess zur Beurteilung der Internen oder der im Auftrag des Unternehmen handelnden Externen IT-Revision

5 Definition des Quality Assurance Review (QAR-IT) 2/3 5 Ein QAR-IT kann auf drei unterschiedliche Arten erfolgen: Extern: Intern: Beurteilung durch unabhängige Externe (Wirtschaftsprüfungsgesellschaften, Beratungsunternehmen etc.) Beurteilung durch IT-Revisoren anderer Unternehmen in Form eines Peer- Reviews Beurteilung in Form eines sog. Self-Assessments durch die Qualitätsbeauftragten der Internen Revision Aufgrund der Objektivität und Unabhängigkeit des Prüfungsteams gegenüber der internen Beurteilung ist die externe Form zu bevorzugen. Interne Form erhält keine Prüfungsbestätigung.

6 Definition des Quality Assurance Review (QAR-IT) 3/3 6 Das Quality Assessment (QA) für die Interne Revision ist weltweit durch Verbandsstandards und Satzungen geregelt: Standard des Institute ofinternal Auditors (IIA) Deutsches Institut für Interne Revision e.v. (DIIR e.v.) Die Arbeit der Revision sollte periodisch einer internen sowie externen Beurteilung unterzogen werden. nach IIR-Standard Nr. 3, sowie nach DIIR-Leitfaden zur Durchführung eines QA, beide herausgegeben vom DIIR e.v. Die Qualitätskontrolle der IT-Revision ist nicht verpflichtend, eher als freiwillige Kontrolle unter einschlägige Verbandsstandards zu verstehen.

7 Zielsetzung 7 Aufzeigen des Leitfadens zur Qualitätsbeurteilung der IT-Revision: richtet sich an den QAR-IT-Prüfer und bezweckt die Standardisierung eines QAR der Internen IT-Revision. Ergänzung bzw. Erweiterung des IIA-Standards 1300 ff. und des Leitfaden zur Durchführung eines Quality Assessments (QA), herausgegeben vom DIIR e.v. Ziel: einheitlicher und nachvollziehbarer Review-Prozess sowie die Vergleichbarkeit von Review-Ergebnissen (z.b. zu Benchmarking-Zwecken)

8 Maßgebliche Standards der IT- Revision 8 Die Beurteilung, ob die geprüfte IT-Revision die Kriterien erfüllt, erfolgt letztendlich auf Basis der Erfahrungen und des Fachwissens des QAR-IT-Prüfers. Die Bewertung erfolgt auf Grundlage von weltweit anerkannten und nationalen Standards und Vorgehensweisen. Maßgeblich sind dabei die Allgemeinen Standards zur Prüfung von EDV- Systemen der ISACA.

9 Aktueller Stand 9 1. Einleitung 2. Anforderungen an den QAR-IT-Prüfer 2.1. Fachkompetenz und Unabhängigkeit

10 Primäre Anforderungen an den QAR-IT-Prüfer 1/2 10 Für jeden QAR-IT ist ein QAR-IT-Prüfer als Verantwortlicher zu benennen, insbesondere innerhalb von Prüfungsteams. Fachkompetenz: Der verantwortliche QAR-IT-Prüfer sowie alle Mitglieder des Prüfungsteams müssen erfolgreich die Prüfung zum Certified Information Systems Auditor (CISA) abgelegt haben und als solche auch aktiv tätig sein. Befolgung des Codes ofprofessional Ethics : Der QAR-IT-Prüfer muss seine Aufgaben stets mit höchster Sorgfalt und Professionalität in Übereinstimmung mit den Standards erfüllen. Der QAR-IT-Prüfer ist verpflichtet, nur diejenigen Tätigkeiten auszuführen, für die er über die notwendige fachliche Kompetenz verfügt.

11 Primäre Anforderungen an den QAR-IT-Prüfer 2/2 11 Unabhängigkeit: Der QAR-IT-Prüfer darf nicht als Vorgesetzter, Mitarbeiter oder Kollege in der geprüften Revisionseinheit tätig sein oder in den drei vorhergehenden Jahren tätig gewesen sein. Der QAR-IT-Prüfer darf nicht dem gleichem Unternehmen angehören oder während der vorhergehenden drei Jahren angehört haben. Der QAR-IT-Prüfer darf eine IT-Revision nicht prüfen, wenn diese die eigene IT-Revision innerhalb der letzten fünf Jahre geprüft hat.

12 Abschlussdiskussion 12 FRAGEN? Vielen Dank für Ihre Aufmerksamkeit!