Herausgegeben vom Normierungsausschuß der Information Systems Audit and Control Association
EINFÜHRUNG
Die Prüfung von Informationssystemen ist ein hochspezialisiertes Fachgebiet, das besondere Kenntnisse und Fähigkeiten voraussetzt. Die Information Systems Audit and Control Association (ISACA) hat aus diesem Grund allgemeine Standards für die Prüfung von Informatik-Systemen und DV-Verfahren entwickelt.
Die Prüfung von Informationssystemen hat die Untersuchung und Bewertung aller Aspekte oder Komponenten von automatisierten IT-Verfahren sowie die dazugehörigen nicht-automatisierten Abläufe und die dazwischenliegenden Schnittstellen zum Gegenstand.
Die von der Information Systems Audit and Control Association entwickelten und veröffentlichten Standards gelten für Revisionsarbeiten, die von Mitgliedern der Information Systems Audit and Control Association und von Inhabern der Berufsqualifikation „Certified Information Systems Auditor" (CISA), deutsch "zertifizierter DV-Revisor" ausgeführt werden.
ZIELSETZUNG
Für DV-Revisoren sollen diese Standards die Mindestanforderungen für die im professionellen Ehrenkodex festgelegten beruflichen Kompetenzen und Aufgaben definieren. Management und andere interessierte Parteien können hieraus entnehmen, was der Berufsverband von seinen Mit-gliedern erwartet.
ALLGEMEINE STANDARDS FÜR DIE REVISION VON INFORMATIONSSYSTEMEN
010 Prüfungsauftrag
010.010 Verantwortungsbereiche, Kompetenzen und Rechenschaftspflicht
Die Verantwortungsbereiche, Kompetenzen und Rechenschaftspflicht für die Revision müssen durch eine entsprechende Geschäftsordnung oder einen schriftlichen Revisionsauftrag ordnungsgemäß dokumentiert werden.
020 Unabhängigkeit
020.010 Berufliche Unabhängigkeit
Der DV-Revisor muß in allen mit der Prüfung zusammenhängenden Aspekten sowie in Einstellung und Auftreten von den geprüften Organisationseinheiten unabhängig sein.
020.020 Organisatorische Unabhängigkeit
Um Objektivität der Revision zu gewährleisten, muß eine absolute Unabhängigkeit der Revisionsfunktion von dem zu prüfenden Bereich gegeben sein.
030 Berufsethik und Standards
030.010 Professioneller Ehrenkodex
Der DV-Revisor muß die Bestimmungen des Ehrenkodex der Information Systems Audit and Control Association einhalten.
030.020 Angemessene professionelle Sorgfalt
Die Arbeit des DV-Revisors muß in jeder Hinsicht mit angemessener professioneller Sorgfalt und unter Einhaltung der anwendbaren Revisionsstandards ausgeübt werden.
040 Fachkompetenz
040.010 Fachkenntnisse und Wissen
Der DV-Revisor muß technisch kompetent sein und über die zur Ausführung der Revisionsarbeiten erforderlichen Kenntnisse und Fähigkeiten verfügen.
040.020 Berufliche Weiterbildung
Der DV-Revisor ist verpflichtet, seine technische Kompetenz durch laufende Weiterbildung zu erhalten.
050 Planung
050.010 Planung der Revisionsarbeiten
Der DV-Revisor hat die Prüfung der Informationssysteme so zu planen, daß die Prüfungsziel erreicht und alle anwendbaren Prüfungsstandards eingehalten werden.
060 Ausführung der Revisionsarbeiten
060.010 Beaufsichtigung
Die an einer DV-Revision beteiligten Mitarbeiter sind ausreichend zu beaufsichtigen, um zu gewährleisten, daß die Prüfungsziele erreicht und alle anwendbaren Prüfungsstandards eingehalten werden.
060.020 Nachweispflicht
Der DV-Revisor ist verpflichtet, im Rahmen der Revisionsarbeiten ausreichende, zuverlässige und relevante Informationen zusammenzustellen, um die rüfungsziele effektiv zu erreichen. Prüfungsergebnisse und Bewertungen sind durch ent-sprechende Analysen und Interpretationen des Materials zu belegen.
070 Berichterstattung
070.010 Inhalt und Form des Prüfungsberichts
Nach Abschluß der Revisionsarbeiten hat der DV-Revisor den bezeichneten Empfängern einen in angemessener Form abgefaßten Prüfungsbericht vorzulegen. Aus diesem Bericht müssen Prüfungsbereiche und Prüfzeiträume sowie Ziele, Art und Umfang der durchgeführten Prüfungshandlungen hervorgehen. Weiterhin muß der Bericht die geprüften Organisationseinheiten und die Empfänger des Berichts bezeichnen sowie etwaige Verwendungsbeschränkungen vermerken. Schließlich muß er Prüfungsfeststellungen, Folgerungen und Empfehlungen enthalten, weiterhin evtl. bestehende Vorbehalte oder Einschränkungen, die der DV-Revisor in bezug auf die Prüfung hat.
080 Nachbearbeitung
080.010 Follow-Up
Im Nachgang zu den Revisionsarbeiten muß der DV-Revisor die für die Befunde, Empfehlungen und Folgerungen der Revision relevanten Informationen anfordern und auswerten, um festzustellen, ob die erforderlichen Maßnahmen termingerecht umgesetzt worden sind.
