Welcher Standard zählt?

04.02.2015

In der IT-Revision haben sich in den letzten Jahren der ISACA- und der IIA-Standard etabliert. Welcher Standard ist für die IT-Prüfung relevant - und worin unterscheiden sie sich?

Die IT-Revision in den Unternehmen hat sich von einer "Annexprüfung" zu einem eigenständigen Prüfungsfeld etabliert. Um die immer komplexer werdenden IT-Infrastrukturen sicher zu prüfen, haben sich in den vergangenen Jahren zwei Standards etabliert: So gibt es den von der international anerkannten Dachorganisation der IT-Revisoren (ISACA) etablierten Standardrahmen. Zudem hat Dachorganisation der Internen Revisoren (IIA) einen eignen Standard entwickelt. Nach Auffassung von Peter Duscha, Mitglied im DIIR-Arbeitskreis "MaRisk", ist es ratsam, die vorhandenen Standards einzuhalten, auch wenn sie rechtlich nicht bindend sind.

Laut Duscha sprechen zwei Gründe dafür: Die Standards wurden zum einem von erfahrenen Auditoren entwickelt und haben dabei mehrfache Anhörungsrunden durchlaufen. Zum anderen ist es auch nur möglich, die Bestätigung der Qualität Innenrevision zu erhalten, wenn sich die Prüfung an bekannten Standards hält.

Duscha: Standards unterscheiden sich nur im Detail voneinander

Die Standards des IIA und des ISACA unterscheiden sich nach Auffassung von Duscha nur in Details. Ferner haben die Standards des IIA eine höhere Regelungstiefe als die Standards von der ISACA. Die Gegenüberstellung zeigt auch, dass sich beide Standards gegenseitig beeinflusst haben.

Für IT-Revisoren ist es dennoch sinnvoll, sich mit beiden Systemen auseinanderzusetzen, "um eine andere Sichtweise und damit auch eine größere Klarheit zu erreichen", so der Experte. Den Beitrag "Standards für die IT Revision" von Peter Duscha mit einer Übersichtstabelle finden Sie in der aktuellen Ausgabe der ZIR (1/2015). Abonnenten von INTERNE REVISIONdigital steht der Beitrag kostenfrei zur Verfügung.

Mario Schulz, ESV-Redaktion INTERNE REVISIONdigital | 10:00 Uhr, 04.02.2015