Unternehmen mit finanzrelevanten IKT-Infrastrukturen, Anwendungen und Daten sollten die Praxishilfe «Generelle IT-Kontrollen» von EXPERTsuisse kennen, da diese im Rahmen von Abschlussprüfungen von IT-Prüfern genutzt wird. Die schon etwas in die Jahre gekommene Praxishilfe wurde vor Kurzem aktualisiert. Die Veränderungen betreffen vor allem die Anpassung der Hilfe an neuere Entwicklungen im IT-Umfeld. Warum diese Praxishilfe nicht nur für Prüfer, sondern auch für Unternehmen unverzichtbar ist, erfahren Sie im Beitrag.

Was ist die EXPERTsuisse Praxishilfe?

Die Praxishilfe unterstützt Finanzprüfer, meist spezialisierte IT-Prüfer, dabei, sich strukturiert davon zu überzeugen, dass das IKT-Umfeld der finanzrelevanten Anwendungen ordnungsgemäss und ausreichend sicher betrieben werden kann. Der Fokus der Prüfung liegt auf den generellen IT-Kontrollen von finanzrelevanten IKT-Infrastrukturen, Anwendungen und Daten.

Das Dokument deckt vor allem die generellen Kontrollen ab, die nach den Prüfungsstandards bzw. nach dem Handbuch der Wirtschaftsprüfung (HWP) minimal vorhanden sein sollten, geht aber an einigen Stellen auch darüber hinaus bzw. präzisiert diese.

Die generellen IT-Kontrollen der EXPERTsuisse Praxishilfe

Bei den generellen IT-Kontrollen geht es um allgemeine Kontrollen, welche aus der Sicht des Abschlussprüfers einen sicheren Betrieb der finanzrelevanten IKT-Infrastrukturen, Anwendungen und Daten abdecken. In der Praxishilfe der EXPERTsuisse werden generelle IT-Kontrollen für die folgenden fünf Bereiche genannt:

• IT-Betrieb (Produktion)
• Unterstützende Anwendungskontrollen
• Zugriffsschutz (Identity and Access Management)
• Physische Sicherheit und IT-Sicherheit
• Change Management

Insgesamt werden in der Praxishilfe 18 generelle IT-Kontrollen aufgeführt. Dazu gehört jeweils auch ein konkretes Kontrollziel, das durch die Kontrolle abgedeckt werden soll. Ausserdem werden für jede der Kontrollen sinnvolle Nachweise aufgeführt, mit denen das Erreichen des Kontrollziels belegt werden kann. Hierzu gehören z. B.:

• Spezifische Weisungen
• Richtlinien und Vorgaben
• Prozessbeschreibungen
• Listen der für die Nachweise notwendigen Aktivitäten
• Protokolle der effektiv durchgeführten Aktivitäten

Was Prüfer von Ihrem IT-Kontrollsystem erwarten

Der Prüfer muss sich davon überzeugen, dass das interne IKT-Kontrollsystem geeignet ist, einen sicheren Betrieb zu gewährleisten. Dafür fokussiert er sich auf Schlüssel-Kontrollen mit direktem Bezug zu finanzrelevanten Anwendungen, Prozessen und Daten.

Wie die Kontrollen konkret umgesetzt werden, hängt von verschiedenen Faktoren ab, wie der Unternehmensgrösse, den mit der Unternehmenstätigkeit zusammenhängenden Risiken, der vorhandenen IT-Infrastruktur und anderen spezifischen Gegebenheiten.

Die EXPERTsuisse Hilfe im Vergleich zu anderen Standards

Die aktualisierte EXPERTsuisse Praxishilfe «Generelle IT-Kontrollen» bietet eine kompakte und praxisnahe Grundlage, um zentrale Kontrollen im IKT-Umfeld schnell zu identifizieren und effizient zu prüfen.

Im Vergleich zu bekannten Normen und Standards wie:

• ISO 2700x
• NIST SP 800-53
• ISAE 3000 und 3402
• SOC 2
• DORA

… die oft deutlich umfangreicher und detaillierter sind, liefert die Praxishilfe eine klare Orientierungshilfe für spezifische Anforderungen in der Abschlussprüfung.

Für Unternehmen ist die Praxishilfe besonders wertvoll, da sie dabei unterstützt, IT-Kontrollen gezielt auf Prüfungsanforderungen auszurichten und Schwachstellen effizient zu adressieren. Sie hilft, die eigenen IT-Systeme optimal auf Prüfungen vorzubereiten und so den Aufwand sowie potenzielle Risiken zu minimieren. Obwohl sie sich primär an IT-Prüfer richtet, profitieren geprüfte Unternehmen ebenfalls erheblich von ihrer Anwendung.

Wenn Sie sich effizient auf eine Prüfung vorbereiten möchten, unterstützen wir Sie gerne – auch bei einer IT General Controls (ITGC)-Prüfung. Kontaktieren Sie uns noch heute für eine unverbindliche, persönliche Beratung.