e-Government - ein Prüfungsleitfaden - EUROSAI IT Working Group
e-Government - ein Prüfungsleitfaden - EUROSAI IT Working Group
e-Government - ein Prüfungsleitfaden - EUROSAI IT Working Group
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
64<br />
Auf der Grundlage von Wesentlichkeits- und Risiko-Kriterien wird die Bedeutung<br />
der <strong>IT</strong>-Anwendung und das Risiko bedeutsamer finanzieller Verluste beurteilt,<br />
falls die <strong>IT</strong> ausfällt oder nur in vermindertem Umfang zur Verfügung steht.<br />
b. Prüfung der verfahrensunabhängigen, standardmäßig vorhandenen <strong>IT</strong>-Kontrollen<br />
Ziel der Prüfung der verfahrensunabhängigen, standardmäßig vorhandenen <strong>IT</strong>-<br />
Kontrollen ist, festzustellen, ob die System-, Daten- und Ablaufsicherheit als<br />
Grundlage der Prüfung der Benutzersysteme ausreichend sind.<br />
Als verfahrensunabhängige, standardmäßig vorhandene <strong>IT</strong>-Kontrollen gelten<br />
solche Kontrollen, die so im <strong>IT</strong>-Umfeld implementiert werden, dass die<br />
erreichbaren Grenzwerte der System-, Daten- und Ablaufsicherheit bezogen auf<br />
die Anforderungen der Verwaltung akzeptabel sind.<br />
Diese Prüfungen folgen verschiedenen Ansätzen und können sich auf die<br />
Organisation oder physische Kenngrößen beziehen, sie können vorprogrammiert<br />
oder manuell s<strong>ein</strong>.<br />
Die Prüfung der verfahrensunabhängigen, standardmäßig vorhandenen <strong>IT</strong>-<br />
Kontrollen wird vornehmlich mittels Interview, Beobachtungen und Auswertung<br />
erhaltener Informationen durchgeführt.<br />
Die Prüfung richtet sich üblicherweise auf die <strong>IT</strong>-Strategie und <strong>IT</strong>-Politik,<br />
organisatorische Bedingungen, die System-Entwicklung und den System-Betrieb,<br />
Zugriffskontrollen, Datenaustausch, physikalische Sicherheit, Back up- und<br />
Notfallpläne.<br />
Die Prüfung umfasst beispielsweise das Vorhandens<strong>ein</strong> <strong>ein</strong>er Aufgabentrennung<br />
innerhalb und im Umfeld von <strong>ein</strong>zelnen <strong>IT</strong>-Funktionalitäten, von System-<br />
Entwicklung und <strong>IT</strong>-Management, und ob in diesen Bereichen hinreichende<br />
Zugriffskontrollen bestehen.<br />
Ein Rechnungshof sollte nicht zuletzt untersuchen, ob die für die<br />
Datenverarbeitung bestehenden Rechtsvorschriften <strong>ein</strong>gehalten werden.