6 Minuten Lesezeit 18 Februar 2019
Sechs Wege, wie die Interne Revision (IR) digitale Risiken mindern kann

Sechs Wege, wie die Interne Revision (IR) digitale Risiken mindern kann

Von Esi Akinosho

EY Global Advisory Internal Audit Leader

Global Leader in value-driven Internal Audit innovation, Passionate about diversity in business. Travel enthusiast. Avid mystery fiction reader. Wife. Mother.

Co-Autoren
6 Minuten Lesezeit 18 Februar 2019

Weitere Materialien

  • In a digital world, do you know where your risks are? (pdf)

Interne Revision kann helfen, die Risiken von morgen schon heute zu bewerten. Ein Schlüsselbereich im Unternehmen liegt hierbei in der Anwendung von Technologie.

Vorstände und Geschäftsführer fordern den Einsatz neuer Technologien mit Nachdruck, um dadurch Geschäftsmodelle zu transformieren, das Wachstum voranzutreiben und die Effizienz zu steigern. Durch den wirksamen Einsatz von Big Data werden Erkenntnisse gewonnen, die für den Wettbewerb relevant sind. Außerdem gehen sie strategische Transaktionen ein (zum Beispiel Fusionen, Übernahmen, Veräußerungen, Partnerschaften oder Joint Ventures), um ihren Wettbewerbsvorteil zu verbessern. Die Unternehmensführung prüft außerdem das bestehende Betriebsmodell, um Wege zu finden, agiler und effizienter zu werden. Dadurch kann sie Ergebnisse liefern und dennoch schnell reagieren, wenn eine neue Herausforderung auftritt.

Dieser Druck, ob aus internen oder externen Quellen, erzeugt sowohl eine Chance als auch eine Herausforderung für die Funktion der Internen Revision (IR). Die IR muss sich auf die Grund- und Kernaktivitäten konzentrieren, aber auch bereit sein, eine eher beratende Funktion einzunehmen und vorausschauend die Risiken von morgen bereits heute zu erkennen. Die Risikobewertung sollte unternehmensweit erfolgen und alle Kategorien von Risiken einschließen – auch die technologischen.

Bei jedem technologischen Fortschritt sollte ein Unternehmen erst die Risiken identifizieren und angehen und danach deren Umfeld überwachen.
Amy Brachio
Global and Americas Advisory Risk Leader

1. Blockchain

Blockchain ist eine Art Datenbank, die als Distributed Ledger Technologie (DLT) ohne zentralen Administrator auf Konsensgrundlage arbeitet. Sie ermöglicht dezentralen Gruppen von jedem Punkt der Erde aus sicher, zuverlässig und nachprüfbar zusammenzuarbeiten. Da Systeme auf Basis von Blockchain sichere, dezentrale Arbeitsprozesse ermöglichen, erlauben sie auch die Ausführung von Aufgaben durch Teams, deren Mitglieder auf verschiedene Standorte verteilt sind. Sie arbeiten räumlich getrennt viel loser zusammen, aber mit der gleichen Sicherheit, als täten sie es Seite an Seite.
Da Blockchain die Grenzen von Unternehmen verwischt und eine gemeinsame Nutzung von Daten und Prozessen außerhalb dieser Grenzen erfordert, sollten Unternehmen genau verstehen, wie die Technologie implementiert wird, um geeignete Risikomanagementstrategien zu etablieren.

Ein Risiko in Zusammenhang mit Blockchain ist die Nutzung privater, digitaler Kennungen zur Identitätsprüfung. Wäre diese Kennung unsicher, könnten externe Akteure Zugriff auf die Blockchain erhalten. Ein weiteres Risiko sind Smart Contracts, also intelligente, digitale Verträge, die einen selbst ausführenden Code enthalten, der bestimmte Regeln ausführt, wenn vordefinierte Bedingungen erfüllt sind. Je komplexer diese intelligenten Verträge werden, desto anfälliger sind sie für Fehler, was wiederum Akteuren von außen die Möglichkeit bieten könnte, das System zu gefährden. Unternehmen sollten Risiko- und Kontrollstrategien umsetzen, um die Integrität dieser intelligenten Verträge zu fördern.

Beispiele für Audits könnten Folgendes umfassen:

  • Blockchain Implementation Governance: Bewertung der Strategie des Unternehmens, mit der die Implementierung der Blockchain-Nutzung gesteuert wird.
  • Sicherheits- und Risikobewertung der Blockchain: Beurteilung von Kontrollen und Strategien des Unternehmens, die die Risiken rund um Blockchain bewältigen und entschärfen.

2. Cloud Computing

Cloud Computing ermöglicht Unternehmen, komplexe interne IT-Strukturen zu verkleinern. Das erlaubt ihnen, sich weniger auf betriebliche Abläufe und mehr auf Strategien zu konzentrieren sowie schnell auf veränderte Marktbedingungen reagieren zu können. Cloud Computing ist ein Modell für den komfortablen, bedarfsgerechten Netzwerkzugriff auf einen gemeinsamen Pool von konfigurierbaren Computerressourcen (z. B. Netzwerke, Server, Speicher, Anwendungen und Dienste). Dieser Zugriff kann mit minimalem Verwaltungsaufwand oder Interaktion mit Dienstleistern schnell bereitgestellt und freigegeben werden. Cloud Computing entwickelt sich rasant und bietet Unternehmen vielfältige Möglichkeiten. Wie andere Technologien bringt auch die Cloud ihre ganz eigenen Risiken und Herausforderungen mit sich, die oft übersehen oder nicht vollständig verstanden werden.

Beispiele für Audits könnten Folgendes umfassen:

  • Cloud-Strategie und -Governance: Es sollte geprüft werden, ob die Cloud-Strategie des Unternehmens auf die allgemeinen Geschäftsziele ausgerichtet ist.
  • Cloud-Sicherheit und Datenschutz: Hier sollten die Verfahren und Praktiken des Cloud-Anbieters zur Informationssicherheit untersucht werden.
  • Leistungen des Cloud-Anbieters: Bewertet werden sollte, ob der Cloud-Anbieter die im Vertrag vereinbarten Service-Level-Agreements (SLA) und Notfallpläne bei Ausfällen einhalten oder gar übertreffen kann. Außerdem sollten die Haftungsvereinbarungen, erweiterter Support, die Einbeziehung weiterer Bedingungen in den Serviceverträgen sowie Verfügbarkeit, Vorfall- und Kapazitätsmanagement und Skalierbarkeit evaluiert werden.

3. Cybersecurity

Cyber-Bedrohungen nehmen zu und entwickeln sich laufend weiter – anscheinend ohne Regeln oder Einschränkungen, wer unvorhersehbar Opfer eines Angriffs werden kann. Nutzer müssen nicht mehr physisch in ein Unternehmen eindringen, um ihm Schaden zuzufügen. Sie verschaffen sich Zugriff durch Malware- und Phishing-Attacken, über Verbindungen mit Dritten, über neue Technologien und andere neue und entstehende Wege.
Unternehmen sollten sich auf IT-Sicherheit und Informationssicherheit konzentrieren, wenn sie Cyber-Bedrohungen vermeiden wollen. Hierfür können sie ein Cyber-Auditprogramm entwickeln, das folgende Bereiche beinhaltet:

  • Sicherheitsbewusstsein: Prozesse und Kontrollen bei Schulungen von Nutzern sollten daraufhin geprüft werden, ob sie deren Aufmerksamkeit und Sensibilität erhöhen. Damit die Nutzer Versuche erkennen, bei denen Unbefugte physischen oder logischen Zugriff auf Informationen und Systeme des Unternehmens erlangen wollen.
  • Asset-Management: Dies beinhaltet die Bewertung der Prozesse und Kontrollen, die der Aufbewahrung eines umfassenden Bestands an Technologie-Assets dienen, mit denen sich das Unternehmensnetzwerk verbinden lässt.
  • Lieferanten-Risikomanagement: Hierbei sollten Prozesse und Kontrollen gegenüber externen Service- und Lieferkettenanbietern bewertet werden.
  • Reaktion auf Vorfälle: Auch die Prozesse und Kontrollen der Reaktionsverfahren, die das Management bei auffälligen Aktivitäten einsetzt, sollten geprüft werden.

4. Mobile Computing

Das Mobilgerät von heute sitzt an der Schnittstelle zwischen persönlicher Nutzung und hochsensiblen Geschäftsinformationen. Wie schon ein altes Sprichwort besagt, ist eine Kette nur so stark wie ihr schwächstes Glied – Geschäftsdaten auf mobilen Geräten bilden da keine Ausnahme.

Dank dieser Technologie können Mitarbeiter jederzeit und überall auf Unternehmensinformationen zugreifen und diese verbreiten, was die Effizienz und Produktivität der Mitarbeiter erhöht. Doch genau diese Fähigkeit zu Zugriff und Verbreitung birgt auch signifikante Risiken. Beispielsweise setzen Geschäftsleute durch die zunehmende Nutzung öffentlicher WLAN-Spots für fremde Personen sensible Daten frei, wenn diese nicht ordnungsgemäß verschlüsselt sind.

Wie bei jedem technologischen Fortschritt müssen Unternehmen auch hier Risiken zunächst erkennen und angehen und dann deren Umfeld überwachen. So lassen sich die Auswirkungen der Mobilität auf das Risikoprofil eines Unternehmens besser verstehen.

Mögliche Audits könnten Folgendes umfassen:

  • Gerätekonfiguration: Risiken in den Einstellungen und Schwachstellen von Mobilgeräten sollten identifiziert werden.
  • Black Box für mobile Anwendungen: Front-End- und Black-Box-Testtechniken können die in mobilen Anwendungen identifizierten Schwachstellen ausräumen.
  • Gray Box-Tests für mobile Anwendungen: Mit Hilfe von Gray Box-Tests werden risikoreiche Bereiche des Codes priorisiert, die Codeabdeckung maximiert und die Hauptursache der erkannten Schwachstellen identifiziert.

5. Robotic Process Automation

Die Robotic Process Automation (RPA) verspricht Kosten, Effizienz und Qualität bei der Ausführung vieler Backoffice- und kundenorientierten Prozesse, bei denen Unternehmen auf die Leistung ihrer Mitarbeiter angewiesen sind, zu transformieren. Diese Automatisierung birgt jedoch ganz eigene Risiken. Die IR-Funktion sollte von Anfang an involviert sein. Sie identifiziert Risiken und unterstützt das Management angesichts der rapiden technologischen Entwicklungen darin, diese Risiken schnell zu mindern.

Eine RPA-Strategie, die umfassende Governance-, Risiko- und Kontrollmethoden enthält, ist essenziell für Unternehmen. Die Interne Revision kann Geschäfts-, Risiko- und interne Kontrollinformationen in diese Strategie einbringen.

RPA-Audits könnten Folgendes umfassen:

  • Governance: Geprüft werden sollte, ob ein Rahmenwerk für die Governance der Robotik besteht, das die wichtigsten Unternehmensrisiken abdeckt und eine definierte Aufsicht liefert. Die ist erforderlich, um festzustellen, ob der Support auf die Unternehmensziele ausgerichtet ist.
  • Investitionen: Es sollten Leistungskennzahlen (Key Performance Indicators) definiert sein, die eine angepasste Überwachung bezüglich der Steuerung von Robotik-Prozessen bereitstellen.
  • Benutzerzugriff: Die Unternehmensstrategie sollte auf folgende Definitionen hin überprüft werden: 1) Wie wird der Zugriff auf Robotik-Funktionen bereitgestellt? 2) Wie sind die Robotik-Ressourcen geschützt? 3) Welche Methode wendet das Unternehmen an, um Sicherheitsrisiken beim Einsatz von Robotik zu bestimmen?

6. Soziale Medien

Das Fehlen einer soliden und umfassenden Social-Media-Strategie führt zu potenziell erheblichen und unvorhersehbaren Geschäftsrisiken. Unternehmen sollten verschiedene organisatorische und kulturelle Aspekte bei der Nutzung sozialer Medien sowie von Technologieplattformen und Infrastruktur berücksichtigen, um deren Risiken zu minimieren.
Ohne eine Social-Media-Strategie können folgende Risiken auftreten:

  • Versehentliches Durchsickern vertraulicher Informationen durch Mitarbeiter des Unternehmens 
  • Absichtliche Übermittlung und Verteilung vertraulicher Informationen durch eine externe Partei 
  • Marken- und Rufschädigung 
  • Höheres Risiko von Hackerangriffen oder gefälschten Executive Accounts auf Social Media-Plattformen 
  • Höheres Risiko für Viren, Malware und Phishing 
  • Unzulässige oder missbräuchliche Verwendung von Social Media-Plattformen durch Mitarbeiter 
  • Mitarbeiterzahlungen an externe Parteien über Social Media-Plattformen

In die Risikobewertungen sollte die Beteiligung des Managements sowie eine direkte Verbindung zur Gesamtstrategie und zum Risikomanagementprogramm des Unternehmens einfließen.
Angesichts der rasanten Veränderungen am Markt sollte die IR-Funktion Technologien wie fortschrittliche Datenanalysen oder Vorhersage- und Verhaltensmodelle für sich nutzen, um Veränderungen im Risikoprofil des Unternehmens rechtzeitig zu erkennen.
Diese Prozesse können nicht kurzfristig durchgeführt werden. Führende IR-Funktionen implementieren sie heute, um sich auf das Morgen vorzubereiten. Häufigere, am besten laufende Risikobewertungen können dazu beitragen, dass sich die IR und das gesamte Unternehmen auf die relevanten Risiken konzentrieren.

Fazit

Unternehmen setzen mit Nachdruck auf neue Technologien, um ihre Geschäftsmodelle zu transformieren, das Wachstum voranzutreiben und die Effizienz zu verbessern. Für die Interne Revision besteht darin die Chance, die Risiken dieser neuen Technologien zu bewerten und vorausschauend die Risiken von morgen schon heute einzukalkulieren und einzudämmen.

Über diesen Artikel

Von Esi Akinosho

EY Global Advisory Internal Audit Leader

Global Leader in value-driven Internal Audit innovation, Passionate about diversity in business. Travel enthusiast. Avid mystery fiction reader. Wife. Mother.

Co-Autoren