IT-Audit: Warum verlässliche Geschäftsprozesse funktionierende IT-Kontrollen benötigen
Unternehmen verlassen sich heute in nahezu allen Bereichen auf ihre IT-Systeme. ERP-Systeme steuern zentrale Geschäftsprozesse – von der Bestellung über die Finanzbuchhaltung bis hin zum Zahlungsverkehr oder zur Stammdatenverwaltung. Zahlreiche Geschäftsprozesse und Kontrollen werden dabei unmittelbar durch die Systeme gesteuert oder automatisiert ausgeführt. Gleichzeitig basieren Reports, Auswertungen und Managemententscheidungen auf genau diesen Systemen und Daten. Die zentrale Fragestellung aus Sicht der Geschäftsleitung sollte daher lauten: Wie verlässlich sind die zugrunde liegenden IT-gestützten Prozesse tatsächlich?
Ferner bedeutet ein funktionierendes System allein nicht automatisch, dass Prozesse auch nachvollziehbar, sicher und manipulationsgeschützt ablaufen.
In der Praxis zeigen sich häufig Schwachstellen wie:
- übergreifende oder kritische Berechtigungen,
- fehlende Funktionstrennungen,
- unzureichende Änderungsprotokollierungen,
- nicht dokumentierte Systemänderungen,
- Protokollierungen von Schnittstellen und automatischen Verarbeitungen,
- oder historisch gewachsene Rollen- und Berechtigungskonzepte.
Genau hier setzt ein modernes IT-Audit an.
IT-Audit bedeutet mehr als reine Technikprüfung
Ein IT-Audit betrachtet nicht ausschließlich technische Komponenten wie Server oder Netzwerke. Vielmehr geht es um die Frage, ob IT-gestützte Geschäftsprozessevollständig, richtig, nachvollziehbar, unveränderbar und kontrollierbar ablaufen.
Im Mittelpunkt stehen dabei insbesondere folgende Fragestellungen:
- Wer besitzt Zugriff auf kritische Funktionen?
- Sind Funktionstrennungen angemessen umgesetzt?
- Sind Protokollierungen aktiviert?
- Werden Änderungen im System nachvollziehbar protokolliert und werden diese Protokolle auf kritische Sachverhalte turnusmäßig überprüft?
- Können Protokolle verändert oder gelöscht werden?
- Werden kritische Tabellen oder Systemeinstellungen überwacht?
- Existieren geregelte Änderungs- und Freigabeprozesse?
- Sind Daten vollständig, nachvollziehbar und unveränderbar?
Besonders relevant wird dies in ERP-Systemen, da dort zentrale Unternehmensprozesse zusammenlaufen und häufig eine hohe Abhängigkeit vom ordnungsgemäßen Systembetrieb besteht.
Die Themenfelder innerhalb eines IT-Audits sind dabei äußerst vielfältig. Abhängig von Unternehmen, Systemlandschaft und Risikoprofil können beispielsweise Berechtigungen, Änderungsmanagement, Datensicherungen, Schnittstellen, Notfallkonzepte, ERP-Migrationen oder Cloud-Prozesse im Fokus stehen. Nicht jedes IT-Audit betrachtet dabei sämtliche Themen gleichermaßen, vielmehr erfolgt die Prüfung regelmäßig risikoorientiert und unter Berücksichtigung der jeweiligen Unternehmens- und Prozesslandschaft.
Warum allgemeine IT-Kontrollen (ITGC) entscheidend sind
Eine wesentliche Grundlage verlässlicher IT-gestützter Prozesse bilden sogenannte IT General Controls (ITGC). Hierbei handelt es sich um allgemeine IT-Kontrollen, die unabhängig von einzelnen Geschäftsprozessen sicherstellen sollen, dass Systeme ordnungsgemäß betrieben und geschützt werden.
Hierzu gehören unter anderem:
- Zugriffsschutz
- Berechtigungsmanagement
- Benutzer- und Rollenverwaltung
- Änderungsmanagement
- Überwachung kritischer Änderungen
- Notfall- und Wiederanlaufkonzepte
- Datensicherungen
- Betriebssicherheit
Die Bedeutung dieser Kontrollen wird in der Praxis häufig unterschätzt. Denn selbst automatisierte Prozesskontrollen verlieren ihre Aussagekraft, wenn grundlegende IT-Kontrollen nicht funktionieren.
Beispiel: Ein ERP-System kann einen systemseitigen Freigabeprozess besitzen. Wenn jedoch Benutzer mit erweiterten Berechtigungen diesen Prozess jederzeit verändern oder umgehen können, verliert die Kontrolle ihre Wirksamkeit.
Oder anders formuliert: Ohne funktionierende ITGC kann man sich auf die IT-gestützten Kontrollen innerhalb der Geschäftsprozesse nicht verlassen.
Nachvollziehbarkeit und Unveränderbarkeit von Daten
Ein zentraler Bestandteil moderner IT-Audits ist die Nachvollziehbarkeit von Änderungen innerhalb der Systeme.
Unternehmen verlassen sich täglich auf:
- Buchungsdaten,
- Stammdaten,
- Reports,
- Freigaben (zum Beispiel Workflow-Systeme oder 4-Augen-Prinzipien)
- Systemeinstellungen
- und Schnittstelleninformationen.
Umso wichtiger ist die Frage, ob Änderungen vollständig und nachvollziehbar protokolliert werden. Im Fokus stehen dabei unter anderem folgende Fragestellungen:
- Welche Tabellen oder Systemeinstellungen werden protokolliert?
- Welche Benutzer verfügen über kritische Berechtigungen?
- Wer hat Änderungen durchgeführt?
- Wann wurden Änderungen vorgenommen?
- Welche kritischen Aktionen wurden durchgeführt?
- Können Protokolle gelöscht, verändert oder manipuliert werden?
- Werden Änderungen im Produktivsystem überwacht?
Gerade ERP-Systeme bieten häufig umfangreiche Möglichkeiten zur Protokollierung kritischer Änderungen. In der Praxis zeigt sich jedoch regelmäßig, dass entsprechende Funktionen zwar vorhanden wären, jedoch nie aktiviert oder ausgewertet wurden. Dadurch entsteht ein erhebliches Risiko: Kritische Änderungen oder Manipulationen könnten durchgeführt werden, ohne dass diese später nachvollziehbar wären.
Schutzbedarfsanalysen als Grundlage eines wirksamen Berechtigungskonzepts
Ein wirksames Berechtigungskonzept setzt voraus, dass Unternehmen ihre kritischen Geschäftsprozesse und Informationen kennen und bewerten. Genau hier spielt die prozessuale Schutzbedarfsanalyse eine zentrale Rolle im Risikomanagement.
Dabei wird bewertet,
- welche Geschäftsprozesse besonders kritisch sind,
- welche Informationen schützenswert sind,
- welche Auswirkungen unberechtigte Änderungen hätten
- und welche Systeme für den Geschäftsbetrieb besonders relevant sind.
Denn nicht jede Information und nicht jeder Prozess besitzt denselben Schutzbedarf. Maßnahmen sollten daher zielgerichtet und risikoorientiert umgesetzt werden. Kritische Prozesse und Informationen benötigen regelmäßig deutlich höhere Schutzmaßnahmen als weniger kritische Bereiche.
Während einzelne Auswertungen möglicherweise nur geringe Auswirkungen verursachen, können unkontrollierte Änderungen an:
- Zahlungsdaten,
- Berechtigungen,
- Buchhaltungsdaten,
- Lieferantenstammdaten
- oder produktiven Systemeinstellungen
erhebliche finanzielle oder operative Risiken verursachen.
Die Schutzbedarfsanalyse bildet damit eine wesentliche Grundlage für die Ausgestaltung eines angemessenen Berechtigungskonzepts.
Nur wenn Unternehmen wissen,
- welche Prozesse kritisch sind,
- welche Funktionen besonders schützenswert sind
- und welche Risiken bestehen,
können Berechtigungen angemessen vergeben und kritische Funktionstrennungen definiert werden. In der Praxis zeigt sich jedoch häufig, dass Berechtigungskonzepte historisch gewachsen sind und Rollen über Jahre erweitert wurden, ohne die tatsächlichen Risiken oder Schutzbedarfe systematisch zu bewerten. Nicht selten existieren dabei Rollenbezeichnungen wie „Alle Berechtigungen“ oder „Alle Berechtigungen Einkauf“, die im Laufe der Zeit immer weiter ergänzt wurden und dadurch erhebliche Risiken innerhalb der Geschäftsprozesse verursachen können.
Kritische Berechtigungen und Funktionstrennungen
Ein weiterer Aspekt moderner IT-Audits ist die Analyse kritischer Berechtigungen und möglicher Funktionstrennungskonflikte. Besonders kritisch sind Berechtigungskombinationen, mit denen einzelne Benutzer vollständige Prozesse alleine durchführen oder manipulieren könnten.
Hierzu zählen beispielsweise:
- Beantragung und Genehmigung von Bestellungen
- Pflege von Lieferantenstammdaten und Durchführung von Zahlungen
- Buchung von Eingangsrechnungen und Durchführung von Zahlungsausgängen
- Erfassung von Kundenaufträgen und gleichzeitige Pflege von Kunden- oder Artikelstammdaten
- Durchführung von Buchungen und gleichzeitige Pflege von Stammdaten
- Berechtigungsverwaltung und Systemadministration
- Programmierung und produktive Systemadministration
- Durchführung von Buchungen und gleichzeitige Systemadministration
Solche Kombinationen widersprechen häufig dem Grundprinzip der Funktionstrennung und erhöhen das Risiko, dass:
- Prozesse umgangen werden,
- Fehler unentdeckt bleiben,
- unberechtigte Änderungen vorgenommen werden
- oder Manipulationen nicht rechtzeitig erkannt werden.
Besonders kritisch wird dies, wenn zusätzlich:
- keine ausreichenden Protokollierungen aktiviert sind,
- Änderungen nicht überwacht werden
- oder privilegierte Benutzer keiner regelmäßigen Kontrolle unterliegen.
Ziel eines IT-Audits ist daher nicht nur die reine Betrachtung einzelner Berechtigungen, sondern insbesondere die Bewertung tatsächlicher Risiken innerhalb der Geschäftsprozesse und der zugrunde liegenden Kontrolllandschaft.
Moderne IT-Audits schaffen Transparenz und Verlässlichkeit
Moderne IT-Audits dienen nicht ausschließlich der Identifikation technischer Schwachstellen. Vielmehr geht es darum,
- Transparenz zu schaffen,
- Risiken frühzeitig zu erkennen,
- Geschäftsprozesse belastbarer zu machen,
- regulatorische Anforderungen zu unterstützen
- und die Verlässlichkeit IT-gestützter Prozesse nachhaltig zu erhöhen.
Ergänzend kommen zunehmend datenanalytische Prüfungshandlungen zum Einsatz, beispielsweise zur Analyse kritischer Berechtigungen, auffälliger Systemaktivitäten oder ungewöhnlicher Prozessmuster. Auf diese Themen werden wir in einem gesonderten Fachbeitrag näher eingehen. Gerade im Umfeld von:
- ERP-Migrationen,
- Digitalisierungsvorhaben,
- Cloud-Transformationen,
- steigenden regulatorischen Anforderungen
- und wachsender Systemkomplexität
gewinnen strukturierte IT-Audits zunehmend an Bedeutung.
Denn am Ende steht immer dieselbe zentrale Frage: Können Unternehmen sich auf ihre IT-gestützten Prozesse und Daten tatsächlich verlassen?
RWTkompakt Ausgabe Juni 2026
