317
·
04.10.2016
Lösung
Mobile Lösung für Cobit-Prüfaufgaben
Alle Jahre wieder steht die Testierung der RZ-Aktivitäten nach der Prüfungsnorm IDW PS 951 Typ 2 an. Die einzelnen Prüfaufgaben können vom kommenden Jahr an flexibel vom mobilen Endgerät aus erledigt werden. Denn die neue Version des Prüfungskatalogs Cobit 5.0 steht nun auf easysquare zur Verfügung.
Der IT Managed Services Bereich der PROMOS hat den Prüfungskatalog Cobit 4.1 auf die neue Version Cobit 5.0 umgestellt. Dieser berücksichtigt weiterhin die bereits definierten Kontrollziele einer allgemeinen IT-Prüfung. Darüber hinaus richtet sich das Augenmerk bei Cobit 5.0 auf Aspekte der IT-Governance und der IT-Compliance im jeweiligen Unternehmen.
PROMOS hat sich zum Ziel gesetzt, diese Prüfungsnorm von Beginn an im Sinne der Kunden anzugehen. Dazu bedarf es einer frühestmöglichen praktischen Anwendung. Dies bedeutet, dass sich PROMOS selbst ab dem Frühjahr 2017 dieser neuen Prüfungsnorm unterziehen wird. Die Resultate beziehen sich auf die vollendeten Projekte im Jahr 2016 und geben Aufschluss über die Arbeitsweise und Wirtschaftlichkeit der jeweiligen Abteilung.
Cobit Prüfkatalog in easysquare
Zur IT-technischen Unterstützung der Durchführung der Prüfungsaufgaben und um die Durchführung der Prüfungsaufgaben möglichst einfach sowie effizient zu gestalten, wurde der Katalog in die easysquare Plattform übertragen. Dort ist er vollumfänglich, mit den jeweiligen Kontrollen in der Qualitätssicherung abgebildet. Durch die Integration in easysquare ist die Erledigung der Prüfungsaufgaben auf dem mobilen Endgerät möglich. Konkret erhalten die jeweiligen Verantwortlichen ein Formular mit den betreffenden Handlungsaufforderungen. Die Zeiteinteilung obliegt dem Ermessen jedes Einzelnen und kann nach einem frei gewählten Rhythmus erfolgen.
Abbildung 1: Mobiles Formular für die Prüfaufgaben.
Die Handlungsaufforderung gemäß Cobit-Katalog bildet die Grundstruktur des Prüfverfahrens. Ihr ist eine Interpretation des Kontrollziels beigefügt, die den spezifischen Umständen und Bedürfnissen von PROMOS Rechnung trägt. Darüber hinaus steht dem Verantwortlichen eines Kontrollziels der gesamte Cobit-Katalag als PDF auf dem mobilen Endgerät zur Verfügung.
Die jeweilige Kontrollaufgabe kann nicht nur durchgeführt, sondern auch mit einem Prüfergebnis bewertet werden. Hierbei geht es um eine Statusanzeige zur eigenen Kenntnisnahme und zur besseren Einsicht durch die übergeordneten Ebenen. Dabei stehen verschiedene Kategorien wie „in Ordnung“, „zurückgestellt“ oder „weitere Aktion notwendig“ zur Auswahl.
Eine übergeordnete Soll/Ist Liste stellt für den Wirtschaftsprüfer wie auch für die internen Kontrollgremien sicher, dass der Status der Kontrollaufgaben transparent zu jedem Zeitpunkt im Jahr nachvollzogen werden kann. Die einzelnen Spalten geben einen Überblick über die zuvor definierten Fristen. Verschiedene Farben sorgen für eine bessere Übersichtlichkeit und orientieren bei der Ermittlung des aktuellen Prüfstatus. „Erledigt“ und „in Ordnung“ sind folglich in grüner Farbe gehalten. In der Spalte „Arbeitsanweisung“ findet sich neben der Überschrift des Prüfauftrags eine genaue Beschreibung.
Abbildung 2: Soll/Ist Liste im Webportal.
Wählt man eine einzelne
Aufgabe aus der Soll/Ist Liste aus, so ist in der Spalte Dokument jederzeit die
durchgeführte Prüfungsmaßnahme in einem PDF-Dokument nachvollziehbar aufgelistet. Verweise zu weiteren Prüfdokumenten sind
darin enthalten. Die mit dem Prüfauftrag verbundene PROMOS Interpretation ist
in vielen Fällen eine Zielvorgabe als Bestandteil unserer bestehenden
Qualitätskriterien und Compliance-Vorschriften. Ein verändertes Marktumfeld und
die dynamische Unternehmensentwicklung sind mögliche Kriterien für eine
Anpassung und Ergänzung dieser Interpretationen.
Abbildung 3: PDF-Dokument zum Nachweis durchgeführter Prüfmaßnahmen.
Fazit
Aus der zu Jahresbeginn produktiv gesetzten Lösung haben die Verantwortlichen des IT Managed Services Bereiches innerhalb des Bearbeitungsprozesses bestimmte Handlungserkenntnisse abgeleitet. Zukünftig werden neben den Prüfungsaufgaben zur Cobit 5.0 auch die erweiterten Datenschutzmaßnahmen abgebildet werden können. Hierzu zählen beispielsweise die „Stichprobenprüfung Datenschutzmaßnahmen im Unternehmen“ und „zyklische Prüfungen der Technisch/Organisatorischen Maßnahmen zum Datenschutz“. Diese werden dann eine weitere Komponenten des Prüfungskatalogs sein, der Eingang in die QS-Lösung der easysquare Plattform findet.
Zur Person:
Volker Schulz
Chief Information Officer
PROMOS consult
