Die rasante Entwicklung im Technologiebereich sowie die Herausforderungen der globalisierten Märkte führen dazu, dass die IT einen immer größeren Stellenwert bei der Bewältigung der komplexen Geschäftstransaktionen darstellt. Trotz seiner Bedeutung ist IT meist ein notwendiger aber nicht hinreichender Faktor bei der Verwirklichung der Unternehmensziele und daher Outsourcing Bestrebungen ausgesetzt.
Dies trifft insbesondere auch auf Banken zu, deren Geschäft die Verarbeitung von Informationen bedingt. Viele operative Bankprozesse sind grundsätzlich einfach strukturiert und wiederholen sich, sodass sie sich sehr gut für eine Automatisierung eignen. Dieser Prozess der Automatisierung begann schon in den 60er Jahren mit der Einrichtung von Mainframesystemen zur Verarbeitung der Massendaten. Daran zeigt sich die große Bedeutung, welche die IT im gesamten Wertschöpfungsprozess einer Bank hat. Den Chancen, welche sich durch den Einsatz von modernen IT-Lösungen wie beispielsweise Web Services ergeben, stehen aber auch Risiken gegenüber. Die Abhängigkeit von IT und zunehmende Komplexität von Systemen und Netzwerken führen zu neuen Gefahren im Hinblick auf die Erreichung der Unternehmensziele, sodass sich auch ein Abschlussprüfer damit auseinandersetzen muss. Risiken ergeben sich aber nicht nur aus der Verwendung von IT sondern auch aus der Auslagerung derselben.
Inhaltsverzeichnis
1 Einleitung
11 Problemstellung
12 Gang der Untersuchung
2 IT-Outsourcing
21 Begrifflich Grundlagen
211 Outsourcing
212 IT
22 Arten des Outsourcing
221 Einteilung nach inhaltlichem Umfang und sachlicher Art
222 Einteilung nach organisatorischer Form
23 Entwicklung des IT-Outsourcing
231 Geschichtlicher Abriss
232 Aktuelle Trends im Bankensektor
24 Potentiale im IT-Outsourcing
241 Gründe
242 Risiken und Nutzen
25 Das Service Level Agreement (SLA)
26 Zusammenfassung
3 Bankenrechenzentrum
31 Bankdienstleistungen
311 Die Bedeutung von IT
312 Geschäftsfelder und -prozesse
3121 Übersicht Bankleistungen
3122 Kernprozesse und -anwendungen
32 Leistungsspektrum von Rechenzentren
321 Grundlagen
3211 Das Rechenzentrum
3212 Aufgaben und Arbeitsabläufe im Rechenzentrum
322 Leistungen
3221 Querschnittsleistungen
3222 Technik und Service
3223 General Services
33 IT-Struktur eines Bankenrechenzentrums
331 Generische Systemarchitektur
332 Generische Anwendungsarchitektur
34 Die Situation in Österreich
341 iT-Austria
342 Raiffeisen Informatik (RI)
343 Allgemeines Rechenzentrum (ARZ)
35 Zusammenfassung
4 Wirtschaftsprüfung und IT
41 Rechtliche Grundlagen und Bestimmungen
411 Zentrale Grundsätze
4111 IKS
4112 IT
4113 GoB
412 Weiterführende Bestimmungen
4121 IKS
4122 IT und GoB
4123 Regelungen betreffend Outsourcing
4124 Sarbanes-Oxley Act (SOA)
42 Der risiko-, prozess- und systemorientierte Prüfungsansatz
421 Grundsatz der Wesentlichkeit
422 Modell der Prüfungssicherheit
423 Ausrichtung der Prüfungsstrategie nach möglichen Fehlern in den Aussagen
424 Weiterentwicklungen: Prozess- und Systemorientierung
425 ISA 315 und 330 im Überblick
43 Das interne Kontrollsystem und IT
431 Definition eines IKS und COSO
432 IT und interne Kontrollen
4321 Risiken und Bedrohungen
4322 IT-Kontrollen
433 CobiT
434 Konzept einer IT-Systemprüfung
44 Zusammenfassung
5 Die Prüfung ausgelagerter IT nach ISA 402
51 Der Standard ISA 402
511 Die Regelungen im Detail
512 Analyse des Standards ISA 402
5121 Schwächen
5122 Stärken
513 Ein Vergleich mit SAS 70
514 Schlussfolgerung
52 Aufbau des ISA 402 Berichts Typ B
521 Abschnitt 1 - Bestätigungsvermerk
522 Abschnitt 2 - Beschreibung des IKS
523 Abschnitt 3 - Testbeschreibungen und -ergebnisse
53 Die Prüfung zur Erstellung eines ISA 402 Berichts Typ B
531 Bestimmung des Prüfungsumfangs
5311 Allgemeines
5312 Prüfungsumfang ITGC
5313 Prüfungsumfang ITAC
532 Phasen der Prüfungsdurchführung
5321 Unterstützung des Managements
5322 Beurteilung der Richtigkeit des IKS
5323 Beurteilung der Eignung
5324 Prüfung der Wirksamkeit
54 Zusammenfassung
6 Zusammenfassung und Ausblick
7 Anhang
Zielsetzung & Themen
Die Arbeit untersucht die Anforderungen und die praktische Umsetzung der Prüfung ausgelagerter IT-Dienstleistungen gemäß dem Standard ISA 402. Der Schwerpunkt liegt dabei auf dem Bankensektor und der Rolle von Bankenrechenzentren als Serviceorganisationen. Die zentrale Forschungsfrage adressiert, wie ein Abschlussprüfer eines Unternehmens, das IT-Dienstleistungen auslagert, die Auswirkungen dieser Auslagerung auf sein internes Kontrollsystem (IKS) beurteilen und durch einen Prüfbericht der Serviceorganisation die notwendige Prüfungssicherheit gewinnen kann.
- Grundlagen des IT-Outsourcings und seiner verschiedenen Erscheinungsformen im Bankenwesen.
- Strukturen von Bankenrechenzentren und deren IT-System- und Anwendungsarchitekturen.
- Rechtliche Rahmenbedingungen und Standards für die Wirtschaftsprüfung bei IT-gestützten Prozessen (IKS, GoB, SOA).
- Detaillierte Analyse des Prüfungsstandards ISA 402 im Vergleich zu SAS 70.
- Praktische Methodik zur Erstellung und Prüfung eines ISA 402 Berichts Typ B unter Einbeziehung von CobiT.
Auszug aus dem Buch
311 Die Bedeutung von IT
Im Allgemeinen gibt es heute kaum einen Geschäftsprozess, der nicht IT-gestützt ist. Die rasante Entwicklung im Bereich der IT reicht von ersten elektromechanischen Geräten über Mainframes in den 1960ern, Minicomputer, PCs, Client/Server-Strukturen bis heute zum so genannten Network Computing, das die Client/Server-Architektur mit der Internettechnologie verbindet. Die folgende Grafik verdeutlicht dies:
Umso relevanter ist die technologische Entwicklung für Banken und deren Produkte sowie Geschäftsprozesse. Der Grund liegt darin, dass Bankprodukte hauptsächlich aus Informationen bestehen und die Geschäftsprozesse zu einem Großteil nicht physischer Art sind. Die Leistungserstellung von Banken besteht daher im Wesentlichen aus der Verarbeitung von Information. Damit eignet sie sich im Besonderen für eine Automatisierung bzw. eine Digitalisierung. Der Einsatz von IT beispielsweise zum Vertrieb und der Abwicklung von Bankprodukten ist allgegenwärtig und selbstverständlich. Man denke beispielsweise an Internet-Banking, SB-Automaten, Kontoführung, Wertpapiergeschäft mit elektronischen Schnittstellen zu Handels- Clearing- und Settlementsystemen, Zahlungsverkehr etc. Viele dieser Bankprodukte und Dienstleistungen werden durch den Einsatz von moderner IT erst ermöglicht. Die Technik kann eine Bank auch nutzen, um Wettbewerbsvorteile zu generieren, ein entsprechendes Innovations- und Technologiemanagement vorausgesetzt. IT-Outsourcing ermöglicht es der Bank, sich auf den wertschöpfenden Einsatz der IT zu konzentrieren. Die vorigen Ausführungen zeigen, dass die Durchdringung des Bankgeschäfts mit IT ist äußerst hoch ist. Die Abhängigkeit von Informationssystemen daher ebenfalls. Eine Bank ohne IT wäre nicht möglich. Somit wird klar, dass die Geschäftsvorfälle, die letztendlich als Ergebnis in Bilanz und GuV landen, alle von IT abhängen, und sei diese auch ausgelagert. Deswegen kommt ein Abschlussprüfer bei Banken nicht um das Thema der Informationstechnik herum. Es wird weiters klar, dass zur Steuerung der Vielzahl an Geräten in den einzelnen Filialen und Zentralen sowie zur Abwicklung der Bankgeschäfte einer großem Anzahl von Kunden, zur Administration der Bankanwendungen und Verarbeitung von Massendaten (beispielsweise Zahlungsverkehr) eine leistungsfähige IT-Infrastruktur erforderlich ist. Diese wird in Rechenzentren betrieben, welche das „Herz der Bank“ darstellen.
Zusammenfassung der Kapitel
1 Einleitung: Die Einleitung beleuchtet die zunehmende Bedeutung der IT im Bankenwesen und die daraus resultierenden Herausforderungen für den Abschlussprüfer bei IT-Outsourcing, insbesondere hinsichtlich der Prüfung nach ISA 402.
2 IT-Outsourcing: Dieses Kapitel definiert IT-Outsourcing und seine verschiedenen Arten, beleuchtet die historische Entwicklung und aktuelle Trends im Bankensektor und diskutiert die strategischen sowie finanziellen Vor- und Nachteile sowie die Rolle von SLAs.
3 Bankenrechenzentrum: Hier werden die zentralen Bankdienstleistungen, deren Abhängigkeit von IT sowie die Aufgaben, Organisation und IT-Struktur von Rechenzentren erläutert, ergänzt um eine Analyse der Situation in Österreich anhand dreier konkreter Beispiele.
4 Wirtschaftsprüfung und IT: Dieses Kapitel behandelt die rechtlichen Grundlagen für die IKS-Prüfung, den risikoorientierten Prüfungsansatz sowie die Bedeutung von IT-Kontrollen und Governance-Frameworks wie COSO und CobiT für eine IT-Systemprüfung.
5 Die Prüfung ausgelagerter IT nach ISA 402: Das Hauptkapitel analysiert den Standard ISA 402, vergleicht ihn mit SAS 70 und beschreibt detailliert den Aufbau eines Berichts Typ B sowie das praktische Vorgehen bei der Prüfungsdurchführung (Unterstützung, Beurteilung der Richtigkeit, Eignung und Wirksamkeit).
6 Zusammenfassung und Ausblick: Das abschließende Kapitel fasst die theoretischen und praktischen Erkenntnisse der Arbeit zusammen und gibt einen Ausblick auf die zukünftige Bedeutung der IT-Prüfung in einem zunehmend regulierten Umfeld.
Schlüsselwörter
IT-Outsourcing, ISA 402, Abschlussprüfung, Bankenrechenzentrum, Internes Kontrollsystem, IKS, Serviceorganisation, IT-Governance, CobiT, COSO, IT-Sicherheit, Risikoorientierter Prüfungsansatz, ITGC, ITAC, Sarbanes-Oxley Act.
Häufig gestellte Fragen
Worum geht es in dieser Diplomarbeit grundsätzlich?
Die Arbeit befasst sich mit der Prüfung ausgelagerter IT-Dienstleistungen von Banken an Rechenzentren unter Berücksichtigung des internationalen Prüfungsstandards ISA 402.
Was sind die zentralen Themenfelder der Untersuchung?
Zentrale Felder sind die Definition und Einordnung von IT-Outsourcing, die Struktur von Bankenrechenzentren, die rechtlichen Grundlagen der IKS-Prüfung sowie die methodische Umsetzung einer Prüfung nach ISA 402.
Welches primäre Ziel verfolgt die Arbeit?
Das Ziel ist es, den Grundlagen und der praktischen Umsetzung einer IT-Prüfung nach ISA 402 anhand eines Bankenrechenzentrums darzustellen, um Abschlussprüfern einen Leitfaden für die Beurteilung ausgelagerter Prozesse zu bieten.
Welche wissenschaftlichen Methoden werden angewandt?
Die Arbeit stützt sich auf eine fundierte Literaturanalyse, die Auswertung regulatorischer Anforderungen (ISA, HGB, SOA) sowie die Analyse bestehender IT-Governance-Frameworks wie CobiT und COSO.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die theoretische Fundierung der Prüfung (IKS, IT-Kontrollen, Prüfungsansätze) und die detaillierte Analyse des Standards ISA 402, inklusive des Aufbaus und der Erstellung eines Prüfberichts Typ B.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die wichtigsten Begriffe sind IT-Outsourcing, ISA 402, Bankenrechenzentrum, Internes Kontrollsystem (IKS), IT-Governance, CobiT und COSO.
Warum wurde das Beispiel eines Bankenrechenzentrums gewählt?
Das Bankenrechenzentrum ist ein klassisches Beispiel für ein umfassendes IT-Outsourcing, da Banken eine hohe Informationsverarbeitungsdichte aufweisen und eine funktionierende IT-Infrastruktur kritisch für ihre Geschäftstätigkeit ist.
Welchen Stellenwert nimmt der Standard SAS 70 im Vergleich zu ISA 402 ein?
SAS 70 ist der US-amerikanische Vorgänger bzw. das Pendant zu ISA 402. Da SAS 70 deutlich detaillierter ist und eine längere Anwendungspraxis aufweist, dient es in dieser Arbeit als wichtige Orientierungshilfe für die praktische Ausgestaltung der Prüfung nach ISA 402.
- Quote paper
- Mag. Markus Ramoser (Author), 2006, Die Prüfung ausgelagerter IT-Dienstleistungen nach ISA 402 in einem Bankenrechenzentrum, Munich, GRIN Verlag, https://www.grin.com/document/64253
