Digitalisierung und Vernetzung schreiten rasant voran und bringen Wachstumschancen für Unternehmen auf der ganzen Welt mit sich. Die Technologie hat dabei einen großen Einfluss: Einerseits eröffnet und unterstützt sie neue Geschäftsfelder, andererseits übt sie bei etablierten Unternehmen Druck aus, Schritt halten zu müssen. Rasche technische Fortschritte können sich aber auch als Schwachpunkt herausstellen, das heißt, Unternehmen müssen wachsam sein, wenn es um das Erkennen und Bewerten von Risiken geht.

Wir haben für Sie die die zehn wichtigsten digitalen Herausforderungen zusammengefasst, die Unternehmen unter Kontrolle haben sollten und mit der Unterstützung von Internal-Audit-Teams gut meistern können: 

1. Datenanalyse und Big Data
2. Digitale Transformation
3. Cybersicherheit
4. Sicherheitskultur
5. Allgemeine Datenschutzverordnung (GDPR) und Datenschutz
6. Cloud-Anpassung
7. Robotik und künstliche Intelligenz
8. IT-Transformation
9. Drittanbieter-Sicherheit
10. IT-Resilienz

1.Datenanalyse und Big Data

Die interne Prüfung hat einen Wandel von der Werterhaltung zur Wertschöpfung vollzogen. Eine ausgefeilte Datenanalyse wird immer wichtiger. Die Audit-Teams konzentrieren sich auf Risikoindikatoren, die sich aus der risikobasierten Datenerhebung und deren Analyse ergeben. Verlässliche Daten helfen dabei, Manipulationen oder Fehler aufzudecken und können so Unternehmen vor Fehlentscheidungen und finanziellen Schäden bewahren. Unternehmen, die sich nicht der Datenanalyse verschrieben haben, haben es schwerer, Risiken zu identifizieren und können im Vergleich zu ihren Mitbewerbern ins Hintertreffen geraten.

> Zurück zur Übersicht

2.Digitale Transformation

Viele Unternehmen konzentrieren sich hauptsächlich auf die Anschaffung von neuen IT-Systemen und das Erstellen von Webseiten und Apps. Dies ist aber nur ein Teil der digitalen Transformation. Weitere Teile beschäftigen sich mit Verbesserungen von Geschäftsmodellen und Prozessabläufen oder dem Ausbau positiver Kundenerfahrungen. Die Frage, die sich jedes Unternehmen stellen sollte, lautet daher: „Unterstützen unsere digitalen Initiativen unsere Geschäftsstrategie?“ Um diese Frage beantworten zu können, bedarf es einer Prüfung von internen Prozessen, externen Kommunikationskanälen und IT-Systemen.

Digitale Transformationsprogramme müssen also mehr leisten, als nur einen Return on Investment zu bieten. Sie sollten die Nutzung von Daten aus allen Kanälen maximieren und den tatsächlichen Wert im gesamten Unternehmen steigern.

> Zurück zur Übersicht

3.Cybersicherheit

Das National Cyber Security Centre (NCSC) der britischen Regierung hat kürzlich seinen Jahresbericht über Cyberbedrohungen für Unternehmen veröffentlicht.

Denial-of-Service-Angriffe (Attacken auf Websites oder Server), Ransomware (Schadprogramme) und das Risiko von Datenschutzverletzungen, insbesondere in Bezug auf unsichere Drittanbieter, sind im Vergleich zum Vorjahr drastisch gestiegen.

Unternehmen aus den verschiedensten Branchen sind bereits Opfer von Datenschutzverletzungen und Angriffen geworden. Dies hat sowohl zu finanziellen Verlusten als auch zu Reputationsschäden geführt.

In Zukunft reicht es daher nicht aus, IT-Umgebungen vor Beeinträchtigungen zu schützen. Unternehmen müssen in der Lage sein, kritische Systeme zu überwachen, bösartige Aktivitäten zu erkennen und schnell darauf zu reagieren.

Unsere Leistungen:

Die Bereitstellung von Ressourcen für Informationssicherheit sind heutzutage eine Geschäftsinvestition. Die Auswirkungen eines erfolgreichen Cyberangriffes sind für ein Unternehmen stets kostspieliger, als wenn zuvor in Sicherheitsmaßnahmen investiert worden wäre. Um die relevanten Bereiche abzudecken, prüfen wir die Kontrollsysteme im Unternehmen insbesondere in Orientierung an die internationale Norm ISO/IEC 27001 sowie an das Cybersecurity Framework des NIST (National Institute of Standards and Technology).

> Zurück zur Übersicht

4.Security culture

Vielen Unternehmen fehlt eine gelebte Sicherheits- und Präventionskultur. Je nachdem, welche Verhaltensweisen die Mitarbeiter im Umgang mit der IT-Infrastruktur erkennen lassen, können sie entweder zu einem Risikofaktor werden oder zur Risikominimierung beitragen. Somit sind die Mitarbeiter automatisch Teil der "Sicherheitskette" im Unternehmen.

Bei der Datensicherheit geht es also nicht nur um IT-Kontrollen: Firmen, die eine nachhaltige Risiko- bzw. Sicherheitskultur anstreben, kommen am „Faktor Mensch“ nicht vorbei. Einen "one size fits all"-Ansatz gibt es allerdings nicht: Was für eine Organisation funktioniert, ist möglicherweise nicht ideal für eine andere.

Unsere Leistungen:

Informationssicherheit beschränkt sich nicht nur auf technische Maßnahmen. Das Erkennen von möglichen oder tatsächlichen Sicherheitsvorfällen durch die einzelnen Mitarbeiter und der Umgang damit im Rahmen eines effektiven „Incident Managements“ kann entscheidend dafür sein, ob ein Cyber-Angriff abgewehrt werden kann oder nicht. Die Sicherheitskultur sollte für die einzelnen Mitarbeiter fördernd und motivierend sein, Vorfälle zu melden. Im Rahmen des Internal Audit können unsere Spezialisten ein Unternehmen dabei unterstützen, eine geeignete Sicherheits- und Präventionskultur aufzubauen und zu erhalten.

> Zurück zur Übersicht

5.GDPR und Datenschutz

Die Allgemeine Datenschutzverordnung der EU (GDPR) ist im Mai 2018 in Kraft getreten und gilt für alle Unternehmen in der EU, die personenbezogene Daten verarbeiten. Die GDPR stärkt vor allem die Verbraucherrechte. Bei einem Verstoß gegen die GDPR kann gegen das betreffende Unternehmen eine hohe Geldbuße verhängt werden.

Unsere Leistungen:

Spezialisten für Datenmanagement, Datenschutz und IT überprüfen, ob die Vorschriften im Unternehmen eingehalten werden und die Kontrollen effektiv funktionieren. Wir unterstützen Unternehmen auch dabei, ein effektives und effizientes Datenschutz-Management mit Verschränkungen zu den Themenbereichen „Generelle IT-Kontrollen“ und „Cybersecurity“ zu implementieren.

> Zurück zur Übersicht

6.Cloud-Computing

Der Begriff Cloud-Computing beschreibt die Option, Software, Daten und Dienstleistungen über ein Netzwerk oder das Internet bereit zu stellen. Ein Teil der benötigten Software bzw. Hardware wird dabei nicht mehr vom Nutzer selbst zur Verfügung gestellt, sondern von einem Anbieter gemietet. Die Daten befinden sich somit nicht auf dem eigenen Rechner, sondern in einer sogenannten Cloud.

Es gibt mehrere Faktoren, die die Cloud-Nutzung beeinflussen, darunter finden sich sowohl Geschäfts- als auch Technologieelemente. Zu den Geschäftsfaktoren gehört beispielsweise die Zufriedenheit der Benutzer. Die Technologiefaktoren umfassen Punkte wie Skalierbarkeit, Agilität und Kostensenkung. Unternehmen, die Cloud-Lösungen einsetzen, haben geringere laufende Kosten und mehr Flexibilität in ihren IT-Ressourcen.

Unsere Leistungen:

Unser Internal Audit Team zeigt Unternehmen auf, ob und inwieweit IT-Investitionen optimal auf die Geschäftsstrategie ausgerichtet werden können, und in welchen Bereichen mit Risiken zu rechnen ist, wenn IT-Services ausgelagert werden.

> Zurück zur Übersicht

7.Robotik und künstliche Intelligenz

Robotic Process Automation (RPA) hilft Unternehmen, grundlegende Aufgaben zu automatisieren.  Fachkräften können sich auf komplexere Geschäftsbereiche konzentrieren und Ressourcen werden effektiver genutzt. Neben diesen Vorteilen gibt es aber auch Risiken, die das interne Audit minimieren kann.

RPA wird oft mit maschinellem Lernen oder künstlicher Intelligenz (KI) kombiniert, was unbeabsichtigte Folgen haben kann. Unternehmen müssen nicht nur sicherstellen, dass Roboter ethisch handeln, um ihre Kunden zu schützen, sondern auch die gesetzlichen Regelungen befolgen. Nach der Allgemeinen Datenschutzverordnung der EU (GDPR) bedürfen vollständig automatisierte Entscheidungsprozesse der ausdrücklichen Zustimmung der Verbraucher, sofern nicht gesetzlich etwas Anderes bestimmt ist.

Unsere Leistungen:

Prüfer können die kontrollierte technologische Entwicklung unterstützen und bei der Erstellung von Richtlinien helfen. Hierbei zeigen wir insbesondere auf, inwieweit bei der automatisierten Abarbeitung von Prozessen durch „Maschinen-Identitäten“ die Nachvollziehbarkeit und Ordnungsmäßigkeit von Daten und Prozessen sichergestellt werden sollten.

> Zurück zur Übersicht

8.IT Transformation

Bei der IT Transformation werden interne IT-Organisationen auf aktuelle und absehbar kommende Erfordernisse eingestellt. 

Aufgrund des hohen Tempos von Transformationen steigen Komplexität, Kosten und die damit verbundenen Risiken.

Interne Auditteams verfolgen in der Regel einen von zwei Ansätzen, um IT-Transformation zu prüfen - entweder einen einzelnen Zeitpunkt oder eine Reihe von Überprüfungen in einem definierten Zeitraum, beispielsweise die gesamte Laufzeit eines Programms.

Unsere Leistungen:

In diesem Bereich führen wir projektbegleitende Prüfungen durch. Gerade im Rahmen des Internal Audit besteht hier die Gelegenheit, digitale Projekte schon von deren Beginn an über den gesamten Lebenszyklus zu prüfen. Fehler und Risiken, sowie ein ungeeignetes Design von IT-Lösungen können rechtzeitig erkannt, und hoher Zusatzaufwand für nachträgliche Anpassungen somit vermieden werden.

> Zurück zur Übersicht

9.Drittanbieter-Sicherheit

Viele Unternehmen lagern einzelne oder mehrere Geschäftsprozesse an einen externen IT-Dienstleister aus, um sich stärker auf ihr Kerngeschäft zu konzentrieren und ihre Geschäftsprozesskosten zu reduzieren. Zu den typischen Dienstleistungen von Drittanbietern gehören Cloud-basierte Infrastrukturen, Softwareentwicklung sowie weitere technische oder geschäftliche Dienste.

Es darf aber nicht übersehen werden, dass die Verantwortung für die Auslagerung und die damit verbundenen operativen Risiken beim Unternehmen bleiben. Daher sollte man vom Drittanbieter einen Nachweis verlangen, dass Prozesse und Daten nach den geltenden Vorschriften gesichert und verwaltet werden. Ein Bericht über System- und Organisationskontrollen (SOC) kann Sicherheit geben. Standards wie z.B. ISAE 3402 stellen eine Methodik für die Prüfung des internen Kontrollsystems bei einem Dienstleistungsunternehmen bereit und liefern Erkenntnisse über die relevanten Prozesse und die Art und Weise, wie die Risiken beim Drittanbieter gemanagt werden.

Unsere Leistungen:

Unser Internal Audit Team ermöglicht Ihnen eine kompetente Durchsicht und Beurteilung der Prüfungsberichte über ausgelagerte IT-Dienstleistungen, um zu erkennen, ob alle relevanten Kontrollbereiche abgedeckt sind und die Kontrollen tatsächlich wirksam sind. Ebenso führen wir selbst Prüfungshandlungen durch, um beurteilen zu können, ob die Kontrollen bei den Dienstleistungsunternehmen geeignet und wirksam sind.

> Zurück zur Übersicht

10. IT Resilienz

IT-Ausfälle zählen zu den größten Störfaktoren für einen laufenden Betrieb. Für Unternehmen wird es immer wichtiger, sich vor Cyber-Attacken, Datenverlusten oder Infrastruktur-Ausfällen zu schützen. Krisenmanagement, Business Continuity und IT-Resilienz sind für die interne Prüfung also ein wichtiges Betätigungsfeld.

Unsere Leistungen:

Unser Internal Audit Team ist darauf spezialisiert, Desaster Recovery Pläne bzw. IT-Notfallpläne in Orientierung an gängige Standards zu prüfen und allfällige Risiken aufzuzeigen.

Grant Thornton Austria ist einer der größten Anbieter von professionellen Beratungsdienstleistungen für unterschiedliche Branchen wie Finanzdienstleistungen, Telekommunikation sowie kleine und mittlere Unternehmen (KMU).

Im Bereich der Technologierisikodienstleistungen besteht unser Kundenservice-Team aus hochspezialisierten und erfahrenen Fachleuten mit umfangreicher Expertise im Bereich Key-Risk-Management, einschließlich:

IT-Risikomanagement, Daten- und digitale Sicherheit, Datenverwaltung, Datenanalyse, Business- und IT-Resilienz, IT- und Geschäftsprozess-Outsourcing, Projektmanagement und Systementwicklung, Unternehmensressourcenplanung (ERP), IT-Betriebsabläufe, Cybersicherheit

> Zurück zur Übersicht

Sie haben noch Fragen? Unser IT-Experte Michael Dietrich unterstützt Sie gerne.