Ansprüche an IT-Security und IT-Governance

Das Fehlen einer gesellschaftsexternen Qualitätssicherung im Hinblick auf das interne Kontrollsystem von Aktiengesellschaften hat die Glaubwürdigkeit der Abschlussprüfung von Aktiengesellschaften in Zweifel gezogen. Die Amerikaner haben mit dem Sarbanes Oxley Act einen mutigen Wurf getan. Section 404 des erwähnten Acts fordert die Dokumentation und Prüfung des internen Kontrollsystems durch die Revisionsstelle. In der Schweiz sind ähnliche Tendenzen zu beobachten. Zurzeit ist eine grundlegende Neuordnung des schweizerischen Revisionsrechts im Gange. Der neu geschaffene Artikel 728a des Obligationenrechts fordert ebenfalls ausdrücklich, dass die Revisionsstelle zu prüfen hat, ob ein internes Kontrollsystem in der Aktiengesellschaft existiert.

Das interne Kontrollsystem (IKS) eines Unternehmens dient dazu, die Richtigkeit der finanziellen Berichterstattung der Aktiengesellschaft sicher zu stellen und besteht im Wesentlichen aus folgenden Komponenten:

Entity Level Controls (ELC): Die Entity Level Controls bestehen aus Kontrollmassnahmen im Bereich der Unternehmensführung (Regelungen der Aufsichtspflicht der Geschäftsleitung, Strategien, Verantwortlichkeiten, Policies, Weisungen und Bestimmungen im Unternehmen).

Process Level Controls (PLC): Bei PLC geht es darum, durchgreifende Kontrollmassnahmen in den Prozessen einzubauen, die es erlauben, die Abläufe zu kontrollieren. Es geht dabei um präventive Massnahmen wie Unterschriftenregelungen, das Vier-Augen-Prinzip bei kritischen Vorgängen und detektierende Vorkehrungen wie Kontrollen durch den Vorgesetzten, welche in Prozessen verankert werden.

Application Controls (AC): Da viele Vorgänge (Abläufe, Prozesse) in einem Unternehmen automatisiert ablaufen, das heisst mit Hilfe entsprechenden Computerprogrammen ausgeführt werden, nehmen AC innerhalb eines IKS eine wichtige Rolle ein. AC stellen sicher, dass das jeweilige Computerprogramm korrekt funktioniert und dass allfällige Fehler verhindert bzw. rechtzeitig erkannt werden. In diesem Sinne stellen AC eine Schnittstelle zwischen den Prozessen und der IT dar.

General IT Controls (GITC): GITC sind das Rückgrat des internen Kontrollsystems. Sie bilden die Grundlage, in welche die AC eingebettet sind. Wenn keine effektiven GITC etabliert wurden, ist nicht sichergestellt, dass die AC zur Anwendung kommen. Dies kann aus Sicht der Revisionsstelle so ausgelegt werden, dass die Richtigkeit der finanziellen Berichterstattung nicht testiert werden kann. In diesem Kontext betrachtet, lässt sich die Bedeutung der GITC erkennen zumal die Bemühungen um den Aufbau einer guten IT-Governance auch eine wirtschaftliche Bedeutung haben.

Die wichtigsten GITC-Themen sind:

IT Sicherheit: Controls im IT-Sicherheitsbereich, die die physische und logische Sicherheit von Informationen und Produktionsmitteln schützen.

Change Management: Kontrollmassnahmen im Bereich des Change- und Release-Managements, die verhindern, dass nicht getestete oder abgenommene Programme und Änderungen in die produktive IT-Umgebung gelangen.

Benutzerverwaltung: Kontrollmassnahmen, die verhindern, dass nicht autorisierte Benutzer Zugang zu Informatikressourcen und Funktionen (innerhalb von Computerprogrammen) erhalten.

Backup/Restore: Kontrollmassnahmen im Bereich des Backup und Restore, welche sicherstellen, dass alle aus finanzieller Sicht relevanten Unternehmensdaten und IT Systeme jederzeit vorhanden sind oder wiederhergestellt werden können.