Der Unternehmensverbund besteht im Kern aus einem kommunalen Mutterunternehmen, um das herum ein Verbund aus verschiedenen Unternehmen entstanden ist, die fachspezifische Leistungen für Dritte erbringen. Die Muttergesellschaft ist u.a. zuständig für Prüfungen der Tochtergesellschaften auf Einhaltung von Compliance- und Sicherheitsrichtlinien. Auf Basis der internen Revisionspläne wurden Prüfungen der ProPotsdam GmbH selbst sowie von 5 Tochtergesellschaften angesetzt. Durch BAREMOS IT wurden in Anlehnung an den „IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)“ diese Prüfungen durchgeführt und in Prüfberichten dokumentiert.
Die Aufgabe der Muttergesellschaft besteht in der Steuerung des Unternehmensverbundes und der Bereitstellung der für den Geschäftsbetrieb der Einzelgesellschaften erforderlichen Dienstleistungen sowie einer modernen Informations- und Kommunikationsinfrastruktur. Im Rahmen ihrer Prüf- und Revisionspflichten ist sie darüber hinaus auch dafür verantwortlich, in den Tochtergesellschaften die Einhaltung von gesetzlichen und anderen Vorgaben sowie der Unternehmensrichtlinien zu gewährleisten.
Ziel des Projektes war eine Prüfung der IT-Strukturen der Muttergesellschaft sowie von 5 Tochterunternehmen. Auf Basis einer methodischen Vorgehensweise sollten relevante Prüfbereiche untersucht und die Feststellungen bewertet werden, so dass zum einen Schwachstellen und zum anderen Verbesserungspotenziale erkannt werden können. Die Prüfberichte wurden vom Bereich Compliance- und Risikomanagement für den Vorstand der Gesellschaft sowie für die kommunalen Kontrollgremien benötigt.
BAREMOS IT erhielt den Auftrag zur Durchführung der Prüfungen und die Erstellung der Prüfberichte. In Anlehnung an die Systematik des Prüfstandards IDW PS 330 wurden in Abstimmung mit dem Auftraggeber für die gegenständlichen Prüfungen die folgenden Themen festgelegt:
- Prüfung der IT-Strategie
- Prüfung des IT-Umfeldes
- Prüfung der IT-Organisation
- Prüfung der IT-Infrastruktur
- Prüfung der IT-Anwendungen
- Prüfung der IT-gestützten Geschäftsprozesse
- Prüfung des IT-Überwachungssystems
- Prüfung des IT-Outsourcing
- Besonderheiten der Internet-Nutzung
Die Vorgehensweise gestaltete sich wie folgt:
Projekt Kickoff
- Bekanntmachung der einzelnen Ansprechpartner
- Darstellung von Motivation und Ausgangssituation
- Bewertung und Selektion der relevanten Prüffelder
- Abstimmung zur Vorgehensweise innerhalb der Prüfung
- Aufnahme der bestehenden Dokumentenlage (IT-Dokumentationen, IT-Konzepte, Regelungen zur Ablauf-Organisation, Vertragslage mit externen Dienstleistern)
Begehungen der relevanten Standorte
- Prüfung der Verantwortlichkeiten für die Bereitstellung einzelner IT-Services
- Sichtprüfung der IT-Strukturen
- Interviews zu organisatorischen und technischen Aspekten der IT-Nutzung und des IT-Betriebs
Prüfung und Bewertung der erhobenen Informationen
- Prüfung von übergebenen Dokumentationen, Verträgen und Regelungen zur Ablauf-Organisation
- Prüfung der erhobenen Informationen auf technische, organisatorische und Compliance Risiken
- Prüfung der erhobenen Informationen auf Konformität mit relevanten Vorgaben der ProPotsdam GmbH sowie gesetzlichen und anderen Regelungen
- Bewertung der Feststellungen der Prüfungen und der erkannten Risiken
Erstellung der Prüfberichte
- Beschreibung der Erhebung der Daten und der Methodiken der Prüfungen und Bewertungen
- Darstellung der spezifischen Situationen der Unternehmen
- Dokumentation der Prüfungen und der Feststellungen innerhalb der Prüfungen
- Übersichten der erkannten Risiken nach Art und Auswirkungen
- Beschreibungen der einzelnen Risiken in den Prüffeldern
- Empfehlungen von Maßnahmen zur Minimierung der Risiken
- Übergabe einer Vorab-Versionen zur Prüfung der sachlichen Richtigkeit durch den Auftraggeber
Konsolidierung und Abschluss
- Erstellung der finalen Versionen nach Prüfung der sachlichen Richtigkeit
- Übergabe der finalen Versionen elektronisch und in gebundener Form
- Nachbetrachtungen und Auswertungen mit den Verantwortlichen
Abschlussbetrachtung
Mit der Durchführung der Prüfungen und der Vorlage der Prüfberichte wurde den Unternehmen ermöglicht, empfohlene Maßnahmen zur Verringerung der Risiken nach Prioritäten zielgerichtet umzusetzen und künftig effiziente interne Kontrollen zu planen und durchzuführen.
Die Unternehmen bekamen hiermit Empfehlungen zur Vorgehensweise bei der Absicherung der Nutzung der IT und deren Betrieb sowie hinsichtlich bewährter Prinzipien zu Informationssicherheit und Datenschutz zur Optimierung der diese Themen betreffenden Aspekte.