IT-Gefährdungsanalysen

IT-Gefährdungsanalysen fokussieren auf ERP-Systeme mit den Schwerpunkten

Systemlandschaft und Schnittstellen
Abstimmungen und Kontrollen (Internes Kontrollsystem)
Berechtigungskonzepte (SoD – Segregation of Duties)
Kritische Systembenutzer, Rollen, Berechtigungen und Transaktionen.

Sie stellen eine wichtige Ergänzung beziehungsweise bei einer wirkungsvollen Gefährdungsanalyse einen unabdingbaren ersten Schritt dar.

Im Rahmen von IT-Gefährdungsanalysen können die Prüfer auf den Ergebnissen der IT-Analyse aufbauen. Sie bringt ihnen wichtige Hinweise zum Stand des Anti-Fraud-Management-Systems, wie zum Beispiel:

Systembrüche (manuelle Schritte außerhalb eines ERP-Systems mit Kontrollschwächen)
Systembrüche (Nutzung verschiedener Systeme mit Schnittstellenrisiken)
Unzureichende Funktionstrennungen oder weitreichende Berechtigungen für einzelne Mitarbeiter

Wesentlicher Bestandteil einer umfassenden Gefährdungsanalyse sind die in den ERP-Systemen abgebildeten Geschäftsprozesse der Unternehmen. Die Sicherheit der Verarbeitung sowie der zugrunde liegenden IT-Infrastruktur untersuchen Spezialisten beispielsweise in einem Basischeck, bei dem u. a. die Parametrisierung, die Protokollierung, die Systemsicherheit und die Berechtigungskonzeption untersucht werden.

Auch die Kontrollen und Abstimmungen in den rechnungslegungsrelevanten Prozessen werden auf mögliche Einfallstore für dolose Handlungen analysiert. Bei der Beurteilung der IT-Umgebung müssen die aktuellen Standards der IT (z. B. COBIT, ITIL und ISO 27001) berücksichtigt werden.

Der Aufbau einer IT-Gefährdungsanalyse ist modular und skalierbar; damit ermöglicht sie eine hohe Absicherung gegen Risiken doloser Handlungen durch interne und externe Täter.

Weiterführende Informationen

Einschätzung der Wirksamkeit

Überblickspräsentation zu einem SAP-Basischeck