Der Unternehmensverbund besteht im Kern aus einem kommunalen Mutterunternehmen, um das herum ein Verbund aus verschiedenen Unternehmen entstanden ist, die fachspezifische Leistungen für Dritte erbringen. Die Muttergesellschaft ist u.a. zuständig für Prüfungen der Tochtergesellschaften auf Einhaltung von Compliance- und Sicherheitsrichtlinien. Auf Basis der internen Revisionspläne wurden Prüfungen von drei Tochtergesellschaften angesetzt. Durch BAREMOS IT wurden im Auftrag der Muttergesellschaft in Anlehnung an den „IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)“ diese Prüfungen durchgeführt und in Prüfberichten dokumentiert.
Projektbeschreibung
Die Aufgabe der Muttergesellschaft besteht in der Steuerung des Unternehmensverbundes und der Bereitstellung der für den Geschäftsbetrieb der Einzelgesellschaften erforderlichen Dienstleistungen sowie einer modernen Informations- und Kommunikationsinfrastruktur.
Im Rahmen ihrer Prüf- und Revisionspflichten ist sie u.a. dafür verantwortlich, in den einzelnen Tochtergesellschaften die IT-Strukturen zu prüfen und bewerten.
Im Rahmen ihrer Prüf- und Revisionspflichten ist die Auftraggeber u.a. dafür verantwortlich, in einzelnen Tochtergesellschaften die IT-Strukturen zu prüfen und bewerten.
Ziel des Projektes war eine Prüfung der IT-Strukturen der Tochterunternehmen, die Bewertung von Risiken und Abweichungen sowie die Unterbreitung von Vorschlägen und Maßnahmen zur Verbesserung.
Die finalen Prüfberichte wurden vom Bereich Compliance- und Risikomanagement für den Vorstand der Gesellschaft sowie für die kommunalen Kontrollgremien benötigt.
BAREMOS IT erhielt den Auftrag zur Prüfung und Erstellung der Prüfberichte.
In Anlehnung an die Systematik des Prüfstandards IDW PS 330 wurden in Abstimmung mit dem Auftraggeber für den gegenständlichen Prüfauftrag die folgenden Themen festgelegt:
- Prüfung der IT-Strategie
- Prüfung des IT-Umfeldes
- Prüfung der IT-Organisation
- Prüfung der IT-Infrastruktur
- Prüfung der IT-Anwendungen
- Prüfung der IT-gestützten Geschäftsprozesse
- Prüfung des IT-Überwachungssystems
- Prüfung des IT-Outsourcing
- Besonderheiten der Internet-Nutzung
Die Vorgehensweise im Projekt gestaltete sich wie folgt:
Projekt Kickoff
- Bekanntmachung der Beteiligten und Ansprechpartner
- Beschreibung der Motivation und der Ausgangssituation
- Bewertung und Selektion der relevanten Prüffelder
- Abstimmung zur Vorgehensweise innerhalb der Prüfung
- Aufnahme der bestehenden Dokumentenlage (IT-Dokumentationen, IT-Konzepte, Regelungen zur Ablauf-Organisation, Verträge mit externen Dienstleistern)
- Erstellung von Vorab-Informationen für die Tochtergesellschaften zur Planung der Vor-Ort-Termine und der Interviews
Begehungen der relevanten Standorte
- Prüfung der Verantwortlichkeiten für die Bereitstellung einzelner IT-Services
- Sichtprüfung der bestehenden IT-Strukturen
- Interviews mit den jeweiligen Geschäftsführern, den technischen Verantwortlichen sowie weiteren fachlichen Verantwortlichen zu organisatorischen und technischen Aspekten der IT-Nutzung und des IT-Betriebs
Prüfung und Bewertung der erhobenen Informationen
- Prüfung von übergebenen Dokumentationen, Verträgen und Regelungen zur Ablauf-Organisation
- Prüfung der erhobenen Informationen auf technische, organisatorische und Compliance Risiken
- Prüfung der erhobenen Informationen auf Konformität mit relevanten Vorgaben des Auftraggebers sowie gesetzlichen und anderen Regelungen
- Bewertung der Feststellungen der Prüfung und der erkannten Risiken
Erstellung der Prüfberichte (je Tochterunternehmen)
- Beschreibung der Methodik der Erhebung der Daten sowie der Prüfung und Bewertung
- Darstellung der spezifischen Situation des (Tochter-)Unternehmens
- Dokumentation der erhobenen Informationen und Prüfpunkte sowie der Feststellungen innerhalb der Prüfung
- Übersicht der erkannten Risiken nach Art und Auswirkungen
- Beschreibung der einzelnen Risiken in den Prüffeldern
- Empfehlungen zu Vorgehensweisen und Maßnahmenplänen zur Minimierung der Risiken
- Übergabe einer Vorab-Version zur Prüfung der sachlichen Richtigkeit durch den Auftraggeber
Konsolidierung und Abschluss (je Tochterunternehmen)
- Erstellung der finalen Version nach Prüfung der sachlichen Richtigkeit
- Übergabe der finalen Version elektronisch und in gebundener Form
Abschlussbetrachtung
Mit der Durchführung der Prüfungen und der Vorlage der Prüfberichte ist es der Muttergesellschaft möglich, gemeinsam mit den Tochtergesellschaften die Maßnahmen zur Verringerung der Risiken nach Prioritäten zielgerichtet umzusetzen und entsprechende Kontrollen durchzuführen.
Den Tochtergesellschaften wird es somit möglich, die Nutzung der IT sowie deren Betrieb abzusichern und hinsichtlich bewährter Prinzipien zur Informationssicherheit und zum Datenschutz zu optimieren.