IT-Revisionsunterstütztung

Effektive und effiziente Kontrollen in den IT-Systemen sind für die Korrektheit, Integrität und Verfügbarkeit der Informationen und der Systeme entscheidend.

Im Rahmen von IT-Revisionen wird durch geeignete Prüfungshandlungen sichergestellt, dass angemessene allgemeine IT-Kontrollen wie auch applikatorische Kontrollen bestehen und wirksam sind.

IT-Revisionen sind keine Bilanzrevisionen. Die Ergebnisse von IT-Revisionen haben jedoch in zweierlei Hinsicht einen Einfluss auf die Revision der finanziellen Berichterstattung einer Gesellschaft:

  • Effizienz (Abstützen der Revision auf Kontrollen statt auf subtanzeillen Prüfungshandlungen)
  • Effektivität (Substantielle Test reichen unter Umständen nicht aus, um eine verlässliche Aussage zu machen).

Unsere Dienstleistungen

COREVA unterstützt Unternehmen und Organisationen bei der IT-Revision mit dem Ziel der Risiko-Kontrolle. Grundlagen hierfür sind die Identifikation der Risiken und das Kontrolldesign der Kontrollen, die risikoreduzierend wirken.

Unsere Tätigkeit in IT-Revisionen ist darauf ausgerichtet, Kontrollen zu identifizieren und zu gestalten.

Unsere Revisionsdienstleistungen passen sich dem Umfang Ihrer Anforderungen und der Grösse Ihrer Organisation an. Wir führen Reviews auf unterschiedlichen Ebenen und in unterschiedlichen Detaillierungsgraden sowohl von finanziellen als auch operationellen Prozessen und Systemen durch.

Ein allgemeiner Review gibt Sicherheit hinsichtlich der Angemessenheit der wichtigen Kontrollen in den Kernprozessen. Als Ergebnis erhalten Sie Hinweise für konkrete Verbesserungen des Kontrollsystems. Zudem weisen wir auf Bereiche mit hohem Risiko hin, in denen eine detaillierte Revision erfolgen sollte.

Detaillierte Revisionen werden in der Regel für spezifische Bereiche mit hohem Risiko oder unbekanntem Zustand durchgeführt. Sie setzen sich im Detail mit dem Kontrollsystem in den Prozessen und den sie unterstützenden Systemen auseinander. Die Ergebnisse helfen Ihnen mit konkreten Massnahmenvorschlägen schnell zu einer Verbesserung des Kontrollsystems.

Bei grossen und risikoreichen Projekten gibt Ihnen eine vertiefte Analyse die Zuversicht, nichts Wichtiges übersehen zu haben. Erfahrungsgemäss ist es aufwendiger und teurer, das Kontrollsystems nach der Produktivsetzung eines Systems zu verbessern, als bereits während des Designs und der Implementierung des Systems die notwendigen Kontrollen zu berücksichtigen. Unser Vorgehen basiert darauf, Ihre Prozesse und geplanten und existierenden Systeme wirklich zu verstehen und zu beurteilen, ob sie die vorgegebenen Geschäftsziele unterstützten.

Vorgehen

Ausgangspunkt der IT-Revisionen sind die Analysen von Risiken und Prozessen. Diese stützen sich unter anderem auf die seitens des Management genutzten Key Performance Indicators. Unser Vorgehen ist dreistufig:

Strategische Analyse? Aufbau des Verständnisses des Kontext der Prozesse und Systeme, die revidiert werden sollen.

Prozessanalyse ? Identifikation und Bewertung der Geschäfts- und IT-Risiken, denen sich der Prozess gegenübersieht, der Kontrollen, die diese Risiken kompensieren sollen und des resultierenden Restrisikos.

Die Prozessanalyse umfasst 4 Schritte:

  • Identifikation des potentiellen Risikos
  • Identifikation der Kontrollen
  • Bewertung des Geschäftsrisikos
  • Ermittlung des Restrisikos
  • Dokumentation

Testen der Kontrollen ? abhängig von der erwünschten Verlässlichkeit der Aussage beobachten wir entweder die Durchführung des Prozesses von Anfang bis Ende ("Walk-Through") oder testen die Kontrollen detailliert.

Dokumentation

Die Dokumentation unseres Vorgehens besteht - neben der auf Ihre Bedürfnisse ausgerichteten Berichterstattung - aus Risikomatrizen und Flussdiagrammen. Diese sind einfach zu verstehen und zu handhaben und erfordern deshalb seitens der Beteiligten auf Ihrer Seite kein Spezialistenwissen.

Die Kernelemente der Geschäftsprozesse werden in Flussdiagrammen dargestellt. diese dokumentieren die Nutzung der erforderlichen Systeme und die wichtigen Informationsflüsse.

Die Risikomatrizen stellen die Bedrohungen, die die Erreichung der Geschäftsziele erschweren oder verhindern können für jeden wichtigen Prozess dar und stellen Sie den Kontrollen, die den Bedrohungen entgegenwirken sollen, gegenüber. Auomatisierte und manuelle Kontrollen werden hierbei gleichzeitig berücksichtigt, sodass fehlende, ineffiziente oder doppelte Kontrollen leicht erkannt werden können. Für jeden Prozess kann hieraus das Restrisiko bei gegebenen Kontrollen abgeleitet werden. Zudem können wir Ihnen - wo erforderlich - effiziente Vorschläge zu Reduktion des Risikos aufzeigen.

Dienstleistungsumfang

Wir unterstützen Sie sowohl bei einzelnen Revisionen, für die Sie z.B. das Wissen von Spezialisten für ein bestimmtes System benötigen, als auch als Partner, der für Sie den gesamten IT-Revisionszyklus von der Planung über die Durchführung bis hin zur Berichterstattung und Überwachung der Umsetzung der Massnahmen übernimmt.

Ihr Nutzen

Neben der Möglichkeit auf Spezialistenwissen und unsere Erfahrung zurückzugreifen, bietet Ihnen unser Vorgehen folgende Vorteile:

  • Unser Vorgehen ist risiko-orientiert und damit effizient.
  • Die Dokumentation mittels Risikomatrizen und Flussdiagrammen ist einfach zu lesen und zu verstehen.
  • Sie erhalten Vertrauen darauf, dass die Kontrollen in Ihren Prozessen den bestehenden Risiken angemessen begegnen.
  • Die Auswirkungen von Prozessfehlern werden reduziert.
  • Die Wahrscheinlichkeit von Betrug und Fehlern wird reduziert.
  • Sie erhalten Vertrauen darauf, dass Ihre Geschäftsprozesse effizient, effektiv und verlässlich funktionieren.
  • Konkrete Empfehlungen, wie Ihr Kontrollsystem wie auch das Funktionieren einzelner verbessert werden kann.
  • Sie erhalten eine Dokumentation der wichtigen Geschäftsprozesse und der darin durchgeführten Kontrollen.