Die ProPotsdam GmbH ist die Dachgesellschaft eines Unternehmensverbandes mit einer Anzahl von Tochtergesellschaften. In dieser Funktion ist sie u.a. zuständig für Prüfungen der Tochtergesellschaft auf Einhaltung von Compliance- und Sicherheitsrichtlinien. Aufgrund eines Bedarfes zur Prüfung der IT-Strukturen in einer Tochtergesellschaft benötigte die ProPotsdam GmbH externe Unterstützung zur Umsetzung dieser Prüfungsaufgabe. In Anlehnung an den „IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)“ wurden durch die BAREMOS IT eine IT-Systemprüfung und Bewertung umgesetzt.
Der Unternehmensverbund ProPotsdam besteht im Kern aus einem kommunalen Wohnungsunternehmen mit rund 17.000 Mieteinheiten (ca. 22% des Potsdamer Wohnungsbestandes), um das herum ein Verbund aus verschiedenen Unternehmen entstanden ist, die fachspezifische Leistungen für Dritte erbringen und stellt sich damit als ein umfassender Immobiliendienstleister dar.
Die ProPotsdam GmbH erteilte BAREMOS IT den Auftrag zur Systemprüfung und Bewertung der IT-Strukturen in einer ihrer Tochtergesellschaften. Ziel war hierbei das Erkennen bestehender Schwachstellen in Technik und Organisation sowie die Einhaltung bestehender Normen, Richtlinien und gesetzlicher Vorgaben.
Die Prüfung und Bewertung von IT-Strukturen erfordert eine Systematik, in der alle für die jeweilige Umgebung relevanten Prüffelder im jeweils notwendigen Umfang betrachtet werden. Hierbei hat sich in den vergangenen Jahren der „IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)“ als ein Mittel erwiesen, dessen Anwendung die methodische Vorgehensweise unterstützt. In Anlehnung an die Systematik des genannten Prüfstandards wurden durch BAREMOS IT für den gegenständlichen Prüfauftrag folgende Themen näher betrachtet:
▪ Prüfung der IT-Strategie
▪ Prüfung des IT-Umfeldes
▪ Prüfung der IT-Organisation
▪ Prüfung der IT-Infrastruktur
▪ Prüfung der IT-Anwendungen
▪ Prüfung der IT-gestützten Geschäftsprozesse
▪ Prüfung des IT-Überwachungssystems
▪ Prüfung des IT-Outsourcing
▪ Besonderheiten der Internet-Nutzung
Da im Vorfeld bereits eine Abstimmung zur Begrenzung des Leistungsumfanges erfolgt ist, wurden die einzelnen Themen entsprechend ihrer Relevanz in unterschiedlichem Umfang geprüft. Ziel war es, dass zu allen Themen Feststellungen getätigt werden konnten, die eine Beurteilung seitens der Muttergesellschaft darüber zulassen, ob eine ordnungsgemäße Datenverarbeitung vorliegt bzw. ob weitere Tiefenprüfungen notwendig sind, um einzelne erkannte Abweichungen detaillierter zu untersuchen.
Zunächst wurden in einem Projekt-Kickoff der Prüfungsumfang und die dabei zu prüfenden Punkte vorgestellt. In Vor-Ort-Terminen wurden Besichtigungen der Lokalitäten und der Technik sowie Interviews mit internen und externen Verantwortlichen für die IT umgesetzt. Die Termine wurden protokolliert und sich ergebende offene Punkte und Fragen weiterverfolgt. Im Anschluss wurden die Ergebnisse der Aufnahme thematisch gruppiert und dokumentiert. Die erkannten Abweichungen und Risiken wurden jeweils benannt, hinsichtlich Eintrittswahrscheinlichkeit und Auswirkungen bewertet. Darüber hinaus wurden Vorschläge zur Abhilfe bzw. Reduzierung der Risiken dargestellt.
Die Ergebnisse der Prüfung, die Bewertungen der Abweichungen und Risken sowie die erarbeiteten Vorschläge zur Verbesserung wurden der ProPotsdam GmbH übergeben und werden sowohl dort als auch bei der betreffenden Tochtergesellschaft im Rahmen der weiteren Tätigkeit Beachtung finden.
Abschlussbetrachtung
Mittels einer Prüfung und Bewertung der IT-Strukturen durch einen externen Prüfer nach praxisbewährten Methoden und Standards konnten Abweichungen bzgl. allgemein anerkannter Regeln sowie technische und organisatorische Risiken aufgezeigt werden. Aufgrund der Bewertung hinsichtlich Auswirkungen und Eintrittswahrscheinlichkeit ist es möglich, die vorgeschlagenen Maßnahmen zur Reduzierung der Risiken bzw. Verbesserung zu priorisieren und die Umsetzung entsprechend zu planen.