IT-Revisionsprüfungen

Behördliche oder aufsichtsrechtliche Anforderungen sehen regelmäßige unabhängige Revisionsprüfung im IT-Bereich vor. Gerade Banken, Versicherungen und Konzerne sind von diesen Anforderungen betroffen.

Häufig fehlt es gerade kleinen und mittelständigen Unternehmen an unabhängigen Prüfern oder dem erforderlichen Know-how zur Durchführung dieser Revisionsprüfungen. Hierfür stehen Ihnen unsere erfahrenen und durch unabhängige Stellen zertifizierten Prüfer zur Verfügung.

Unser Vorgehen

Erstellen eines individuellen Prüfprogramms

Zusammen mit Ihnen definieren wir ein Prüfprogramm, was Ihren gesetzlichen und aufsichtsrechtlichen Anforderungen entspricht. Hierbei richten wir uns nach Ihren Vorgaben und den bereits implementierten Methoden. Basierend auf dem erstellten Prüfprogramm entwerfen oder ergänzen wir für Sie Checklisten mit angemessenen Kontrollfragen zur Wirksamkeit Ihres internen Kontrollsystems (IKS). Hierbei richten wir uns nach gängigen Standards, zum Beispiel:

  • DIN ISO/IEC 27001:2017 „Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen
  • DIN ISO/IEC 27002:2017 „Leitfaden für Informationssicherheitsmaßnahmen”
  • ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security controls
  • BSI IT-Grundschutz KOMPENDIUM
  • Mindestanforderungen an das Risikomanagement – MaRisk gemäß BaFin Rundschreiben 05/2023 (BA) vom 29.06.2023
  • Bankaufsichtliche Anforderungen an die IT (BAIT) gemäß BaFin Rundschreiben 10/2017 (BA) vom 03.11.2017
  • Datenschutz-Grundverordnung DSGVO
  • Ggf. vorhandene Standards für Ordnungsmäßigkeit Ihrer eigenen IT-Dienstleister

Durchführung von Revisionsprüfungen

Screenshot: Checkliste zur Durchführung von IT-Revisionen

Unsere erfahrenen IT-Prüfer führen die Revisionsprüfungen nach Vorgabe Ihres Prüfprogramms durch. Hierbei werden verantwortliche Stellen befragt, Konfigurationen eingesehen, Nachweise und Aufzeichnungen geprüft sowie Begehungen durchgeführt.
Die Ergebnisse werden in einem Bericht zusammengefasst und können auf Wunsch auch für eine Abschlusspräsentation vor Ort aufbereitet werden.

Die Nutzung unserer Werkzeuge ermöglicht es uns, die Ergebnisse grafisch aufzubereiten, was gerade für die regelmäßig Berichterstattung von Vorteil ist. Die nebenstehende Grafik zeigt einen Auszug aus unserem Prüftool.

Coaching der IT-Revision

Sie möchten IT-Revisionsprüfungen selbst durchführen, benötigen hierbei aber Unterstützung? Gerne coachen wir Ihre eigenen Prüfer in den Revisionsprüfungen oder versorgen Sie mit Know-how bei Fragestellungen rund um die Auswertung von Logfiles, Monitoring-Systemen oder die Sicherheit-Konfiguration von Firewalls etc.

Unsere Werkzeuge

Zur Durchführung der Revisionsprüfungen nutzen wir die folgenden Werkzeuge:

  • KonzeptAcht Vorgehensweise zur Durchführung von Revisionsprüfungen
  • Framework zur Durchführung von Revisionsprüfungen
    • Vorlagen zu Prüfprogrammen
    • Werkzeuge und Checklisten zur Prüfung

Ihr Nutzen

  • Unabhängige Durchführung Ihrer Revisionsprüfung
  • Zugriff auf das Know-how erfahrener Prüfer, die in ständigem Austausch mit Prüfungs- und Zertifizierungsstellen stehen
  • Langjährige Erfahrung aller Prüfer bei Banken und Versicherungen sowie regelmäßigen Erfahrungsaustauschen der Prüfer
  • Auditoren mit den folgenden Kompetenzen
    • Von unabhängigen Zertifizierungsstellen berufene ISO/IEC 27001:2013 und ISO/IEC 27001:2022 Lead Auditoren
    • Auditteamleiter für ISO 27001 Audits auf der Basis von IT-Grundschutz (BSI Berufung)
    • BSI IS-Revisoren / IS-Berater (BSI Berufung)
    • Auditor gemäß Abschnitt 4 des Konformitätsbewertungsprogramms nach §11 Abs. 1a EnWG
    • Auditor gemäß Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den
      IT-Sicherheitskatalog gemäß § 11 Absatz 1b EnWG
    • Auditor „Smart Meter Gateway Administrator“ für BSI TR-03109-6
    • Prüfverfahrenskompetenz für §8a BSIG
    • Certified Information Systems Auditor (CISA)
    • Certified in Risk and Information Systems Control (CRISC)