IT-System Flashcards
Entwickeln Sie in Bezug auf das IT-bezogene Rechnungslegungssystem jeweils typische Prüfungshandlungen zur Überprüfung der Angemessenheit sowie der Wirksamkeit von
- physischen Sicherungsmaßnahmen
Angemessenheit:
- Durchsicht und Bewertung des festgelegten Sicherheitskonzepts
-Begutachtung des Bauplans und der Sicherheitsvorrichtungen einschl. Wartungskonzept)
-Berechtigungs- und Zutrittskonzept
Wirksamkeit:
- Begehung des Rechenzentrums und Prüfung der Existenz von Schutzvorkehrungen
- Stichprobenprüfung bei Zugangsberechtigungen
- Einsicht in Wartungsprotokolle
Entwickeln Sie in Bezug auf das IT-bezogene Rechnungslegungssystem jeweils typische Prüfungshandlungen zur Überprüfung der Angemessenheit sowie der Wirksamkeit von
- logischen Zugriffskontrollen
Angemessenheit:
- Prüfung des Konzepts zur Passwortvergabe einschl. Beantragung, Genehmigung, Einrichtung und Sperrung.
- Prüfung der Abwehrkonzepts in Bezug auf unberechtigte Zugriffe auf Daten sowie Veränderungen von Daten
- Prüfung, ob die Identität der Benutzer regelmäßig eindeutig rückverfolgbar ist
Wirksamkeit:
- Prüfung der Übereinstimmung von definierten Verfahren mit den tatsächlichen Abläufen der Benutzeradministration
- Stichprobenartige Prüfung von Benutzerberechtigungen, ob die eingerichteten Berechtigungen den beantragten Rechten und dem tatsächlichen Aufgabengebiet des Mitarbeiters entsprechen
Entwickeln Sie in Bezug auf das IT-bezogene Rechnungslegungssystem jeweils typische Prüfungshandlungen zur Überprüfung der Angemessenheit sowie der Wirksamkeit von
- Datensicherungs- und Auslagerungsverfahren.
Angemessenheit:
- Prüfung der organisatorische Regelungen (Kapazitätsbestimmung, Auslagerungskonzept, Dienstleisterverträge, Service Levels)
- technische Sicherungsmaßnahmen (z.B. redundante Auslegung der Hardware, Ausweich-Rechenzentrum, Back-up-Verfahren)
Wirksamkeit:
- Stichprobenhafter Abgleich von Medienverzeichnissen mit den im Archiv gelagerten Sicherungsmedien
- Begehung der Auslagerungsorte mit Inaugenscheinnahme der Zugangskontrollen und Schutzeinrichtungen
- testweise Rekonstruktion historischer Bestände von Programmen und Daten.
Kontrollmaßnahme zur fradulenten Handlung:
Abgabe von Angeboten an Kunden mit schlechter Bonität
- Systemseitige Neuanlage von Kunden-Stammdatensätzen erst nach Bonitätseinstufung und Festlegung der Kreditlimits durch das Management bzw. durch eine unabhängige Stelle
- Hinterlegung von Veränderungen der Kundenstammdaten und Konditionen (z.B. Zahlungsziel, Kontoverbindung) im IT-System, Erfordernis einer vorherigen Genehmigung des Managements
- Systemseitige Verweigerung des Abschlusses einer rechtsgültigen Transaktion bei fehlender Listung bzw. nicht erfolgter Freigabe durch eine unabhängige Stelle
Kontrollmaßnahme zur fradulenten Handlung:
Verlust von Aufträgen durch unvollständige, unrichtige oder verspätete Angebotserstellung
- Genehmigung von Abweichungen hinterlegter Konditionen/Bestelllimits nur durch Prozessverantwortlichen, automatische Protokollierung dieser Abweichungen
- Sicherstellung einer vollständigen und richtigen Erfassung der Kundenbestelldaten durch Implementierung von Eingabe- und Verarbeitungskontrollen (z.B. Plausibilitätsprüfungen, Mussfeldeingaben, Vergabe von durchgängigen ID-Nummern)
- Nachverfolgung, Klärung und Korrektur von Differenzen
Kontrollmaßnahme zur fradulenten Handlung:
Unrichtige Angebotserstellung oder -bestätigung durch falsche Konditionen und Stammdaten
- Freigabe von Angeboten ausschließlich auf Basis der im System hinterlegten Genehmigungsregeln und Kreditlimits
- Übernahme von Veränderungen der Preise- und Konditionsdaten ins IT-System nur bei Genehmigung durch das Management
- Überwachung der Funktionstrennung zwischen Eingabe der Bestellung und Vertrieb durch den Prozessverantwortlichen
Kontrollmaßnahme zur fradulenten Handlung:
Auftragserteilung durch nicht autorisierte Person
- Regelmäßige Aktualisierung des Nachweises der Vertretungsmacht des Kunden (z.B. Handelsregister, Internet etc.)
- Ausnahmslos schriftliche Bestätigung des Auftrags durch unabhängige Stelle
Kontrollmaßnahme zur fradulenten Handlung:
Mengen- und Zeitabweichungen bei Lieferung des Kundenabrufs
- Automatische Weitergabe der Bestelldaten (z.B. Liefermenge, Lieferdatum) an das Warenwirtschaftssystem
- Keine Befugnisse zur Datenänderung für prozessbeteiligte Mitarbeiter
Kontrollmaßnahme zur fradulenten Handlung:
Fehlerhafte Zuordnung von Preisen und Konditionen
- Protokollierung des Datenabgleichs der über die Schnittstellen übertragenen Daten bei automatisierten Übertragungen von Preis- und Konditionsdaten (Kontrolle der Integrität der IT)
- Nachverfolgung, Klärung und Korrektur von Differenzen
Kontrollmaßnahme zur fradulenten Handlung:
Unvollständiger, fehlerhafter oder/ und unautorisierter Versand
- Systemseitiger Ausdruck eines Lieferscheins nur bei vorheriger Erfassung der Kommissionierung im Warenwirtschaftssystem
- Versand/Warenabgang ausschließlich auf Grundlage des Lieferscheins und nach Kontrolle von dessen Freigabe
Kontrollmaßnahme zur fradulenten Handlung:
Unvollständige oder falsche Verbuchung des Warenausgangs
- Überwachung nicht fakturierter Lieferungen durch Abgleich von Lieferscheinen und Rechnungen
- Ermittlung von Abweichungen zwischen Finanzbuchführung und Warenwirtschaft durch Verprobung des bewerteten Warenausgangs gegen fakturierten Wert
Kontrollmaßnahme zur fradulenten Handlung:
Kein bzw. verspäteter Zahlungseingang
- Regelmäßige Überwachung der fälligen Forderungen auf Basis der Altersliste
- Hinterlegung von Eskalationsregeln im IT-System.
Angemessenheit und Wirksamkeit der IT-Organisation für das Kriterium:
Organisatorische Einbindung
Angemessenheit:
Klare Zielvorgaben, Richtlinien zur laufenden Aktualisierung des Zielsystems, Vermeidung einer Dominanz der IT-Abteilung
Wirksamkeit:
Prüfung auf Zielerreichung, regelhafte Behandlung von IT-Themen in Führungsgremien (Beschlüsse, Protokolle)
Angemessenheit und Wirksamkeit der IT-Organisation für das Kriterium:
Verantwortlichkeiten und Kompetenzen
Angemessenheit:
Durchgriffsmöglichkeiten zur Vermeidung von Insellösungen, Regelungen zur Vornahme automatischer Updates
Wirksamkeit:
durchgängige Verwendung der aktuellen und autorisierten Versionen, stichprobenartige Überprüfung der Updates
Angemessenheit und Wirksamkeit der IT-Organisation für das Kriterium:
Sicherungskonzept zur Steuerung des IT-Betriebs
Angemessenheit:
Angemessene Schutzmaßnahmen gegen Angriffe von außen, jederzeitige Rückverfolgbarkeit von Transaktionen, laufende Speicherungen, sachgerechte Aufbewahrung von Datenträgern
Wirksamkeit:
Retrograde Stichprobenprüfung von Transaktionen, Überprüfung der Einhaltung des Mehr-Generationen-Prinzips bei Speichermedien, Überprüfung der Vollständigkeit und Lesbarkeit archivierter Medien
Angemessenheit und Wirksamkeit der IT-Organisation für das Kriterium:
Regelungen für die Entwicklung, Einführung oder Änderung von IT-Anwendungen (Projektmanagement)
Angemessenheit:
Vorhandensein aussagefähiger Pflichten-/Lastenhefte, Aktualisierungsgrad der eingesetzten Programme
Wirksamkeit:
Kontrolle zeitlicher und budgetärer Meilensteine anhand der Budgetberichte, Überprüfung der Dauer bis zur vollständigen Umsetzung der Projektziele
Angemessenheit und Wirksamkeit der IT-Organisation für das Kriterium:
Richtlinien zum laufenden IT-Betrieb
Angemessenheit:
Zugangs- und Berechtigungskonzept, Passwortschutz, Parametrisierungen, Schulungskonzept, bauliche und technische Schutzmaßnahmen
Wirksamkeit:
Beobachtung von Abläufen und Vergleich mit Richtlinien und Prozessbeschreibungen, Abgleich von im Sicherheitskonzept festgelegten Richtlinien zum Zugriffsschutz (z.B. Passwortlänge) mit den entsprechenden Parametern in der Praxis
Definition und Maßnahmen zur Begrenzung des Risikos des IT-Betriebs:
Vertraulichkeit
Definition:
Ist gewährleistet, dass von Dritten erlangte Daten nicht unberechtigt weitergegeben oder veröffentlicht werden?
Maßnahmen zur Begrenzung:
- Verschlüsselungstechniken, Zugriffsbeschränkungen
- Logische Zugriffskontrollen wie z.B. Benutzer-IDs, durchgängige Protokollierung von Zugriffen
Definition und Maßnahmen zur Begrenzung des Risikos des IT-Betriebs:
Verfügbarkeit
Definition:
Stehen IT-Infrastruktur, Anwendungen und Daten sowie die erforderliche IT-Organisation in angemessener Zeit bereit und sind Maßnahmen der Notfallversorgung eingerichtet?
Maßnahmen zur Begrenzung:
- organisatorische Regelungen (Katastrophenfall-Handbuch, regelmäßige Schulungen)
- technische Sicherungsmaßnahmen (z.B. redundante Auslegung der Hardware, vertragliche Backup-Vereinbarungen, Ausweich-rechenzentrum, geeignete Back-up-Verfahren)
Definition und Maßnahmen zur Begrenzung des Risikos des IT-Betriebs:
Autorisierung
Definition:
Ist durch physische oder logische Zugriffsschutzmaßnahmen gewährleistet, dass nur im Voraus festgelegte, autorisierte Personen auf Daten zugreifen, d.h., diese lesen, anlegen, ändern oder löschen können?
Maßnahmen zur Begrenzung:
- Verwendungszwang von Passwörtern und deren automatisches Auslaufen, Zwang zur Wiederbeantragung
- Stellen- und personenbezogene Limits
- biometrische Zugriffsgenehmigungsverfahren
Definition und Maßnahmen zur Begrenzung des Risikos des IT-Betriebs:
Authentizität
Definition:
Kann ein Geschäftsvorfall einem Verursacher eindeutig zugeordnet werden?
Maßnahmen zur Begrenzung:
- Berechtigungsverfahren, digitale Signaturen
- Speicherung von IT-gestützten Transaktionen und deren sichere Aufbewahrung
- Ausschluss von Löschungen oder nachträglichen
Änderungen
