IT-Revision als Baustein einer wirksamen Internen Revision

IT-gestützte Prozesse sind heute in vielen Organisationen Standard. Fachliche Abläufe werden über Applikationen, Schnittstellen, Berechtigungen und zunehmend auch über Cloud-Dienste und externe Provider gesteuert. Gleichzeitig steigen die Anforderungen: Kontrollen sollen verlässlich funktionieren und Risiken nachvollziehbar adressieren.

In der Praxis bleibt die Transparenz über IT-Risiken und IT-Kontrollen jedoch häufig hinter den Erwartungen zurück. Regelwerke existieren, sind aber nicht konsistent zur gelebten Prozessrealität. Kontrollen sind definiert, werden jedoch nicht durchgängig nachweisbar umgesetzt. Zuständigkeiten sind formal definiert, in der Praxis jedoch oft unklar oder uneinheitlich umgesetzt.
Die Ursache liegt dabei selten allein in einem einzelnen System oder Tool. Viel häufiger zeigen sich Grenzen dort, wo Prozesse unklar sind, Schnittstellen nicht sauber beherrscht werden oder Verantwortlichkeiten und Kontrollen nicht eindeutig geregelt sind.

An genau dieser Stelle setzt IT-Revision im Rahmen der Internen Revision an: Sie beginnt nicht bei der Einzelfeststellung als Selbstzweck, sondern bei der transparenten Betrachtung der Abläufe, Kontrollen und Nachweise, aus denen Steuerbarkeit und Sicherheit überhaupt erst entstehen.

Warum IT-Revision oft an Grenzen stößt

Ein weit verbreitetes Missverständnis besteht darin, IT-Revision primär als „Technikprüfung“ zu verstehen. Selbst wenn IT-Prozesse (z. B. Change-, Incident- und Access-Management) dokumentiert sind, ist damit noch nicht beantwortet, ob sie im operativen Alltag konsistent gelebt werden – insbesondere an Schnittstellen zwischen Fachbereich, IT und Dienstleistern.
In vielen Fällen entstehen relevante Risiken nicht im „Kernsystem“, sondern an Übergängen, beispielsweise durch:

  • Medienbrüche und manuelle Eingriffe in Prozessketten,
  • unklare Verantwortlichkeiten bei Shared-Responsibility-Modellen (z. B. Cloud),
  • fehlende oder uneinheitliche Nachweise (z. B. Rezertifizierungen, Logging, Ausnahmegenehmigungen),
  • eine fehlende Verknüpfung zwischen Risiko, Kontrolle und tatsächlicher Wirksamkeit.

IT-Readiness als vorgelagerte Fragestellung

IT-Readiness beschreibt den systematischen Ansatz, IT-gestützte Kontrollen so zu strukturieren, dass sie nachvollziehbar, prüfbar und im Tagesgeschäft steuerbar sind. Der Ausgangspunkt ist dabei stets die Frage, welche Prozesse, Systeme und Dienstleister für die wesentlichen Risiken tatsächlich maßgeblich sind – und wo Kontrollen wirken sollen.
Entscheidend ist, IT-Revision nicht isoliert zu betrachten, sondern im Zusammenhang mit:
•    Abläufen und Verantwortlichkeiten (Rollen, Freigaben, Vertretungen),
•    Daten- und Prozessflüssen (End-to-End inkl. Schnittstellen),
•    Kontrollmechanismen (Berechtigungen, Protokollierung, Monitoring, Ausnahmeprozesse),
•    sowie der tatsächlichen IT- und Provider-Landschaft (Applikationen, Plattformen, Cloud-Services).

Prüfungsplanung und Scoping als Grundlage

Eine wirksame IT-Revision beginnt mit einer strukturierten Aufnahme des Status quo und einer risikoorientierten Abgrenzung des Prüfungsobjekts. Im Fokus steht die tatsächliche operative Realität - nicht eine theoretische Sollvorstellung.
Typische Fragestellungen in dieser Phase sind:

  • Welche Systeme/Services sind geschäftskritisch (Verfügbarkeit, Integrität, Vertraulichkeit)?
  • Wo liegen wesentliche Abhängigkeiten (Schnittstellen, Provider, Schlüsselrollen)?
  • Welche Kontrollen sind für das Risiko-/Prozessziel entscheidend – und welche sind lediglich formal beschrieben?
  • Welche Nachweise existieren bereits – und sind diese konsistent, aktuell und prüffähig?
  • Welche Prüfungstiefe ist sinnvoll (Design/Angemessenheit vs. Wirksamkeit im Betrieb)?

Diese Transparenz ist entscheidend, um Prüfungsfokus und -tiefe so zu wählen, dass Feststellungen belastbar sind und Maßnahmen zielgerichtet priorisiert werden können.

Von Prüfungsfeldern zu Feststellungen und Maßnahmensteuerung

Auf Basis der Scoping- und Aufnahmephase lassen sich Prüfungshandlungen und Nachweise zielgerichtet ableiten. Dabei geht es nicht um „möglichst viel Prüfung“, sondern um belastbare Aussagen zu Kontrollzielen.

Typische IT-Revisionsfelder sind beispielsweise:

  • Identity & Access Management (Joiner/Mover/Leaver, Rezertifizierung, Funktionstrennung),
  • Change & Release-Management (Freigaben, Notfallchanges, Test-/Rollout-Nachweise),
  • Logging/Monitoring & Incident-Prozesse (Erkennung, Behandlung, Eskalation),
  • Resilienz (Backup- und Restore-Fähigkeit, Notfallprozesse, Tests),
  • Provider-Steuerung (Kontrollnachweise, SLAs/KPIs, Sicherheitsanforderungen, Exit-Überlegungen),
  • Applikations- und Schnittstellenkontrollen (Plausibilitäten, Batch-Kontrollen, Datenabstimmungen).

Gerade im Revisionsumfeld zeigt sich, dass eine strukturierte Ableitung von Feststellungen typischerweise Abstimmungen beschleunigt, Diskussionen über „gelebte Praxis“ reduziert und Maßnahmen priorisierbar macht, weil Risiken konkret verortet werden können.

Beauftragungsmodelle als organisatorischer Rahmen

Wie IT-Revision organisatorisch umgesetzt wird, ist stark von Größe, Reifegrad und Ressourcensituation abhängig. In der Praxis sind zwei Modelle besonders verbreitet:

  1. Einzelvergabe im Rahmen der Internen Revision
    Die IT-Revision wird punktuell als einzelne Prüfung oder als thematisches Paket vergeben (z. B. IAM-Prüfung, Cloud-Kontrollen, IT-Betrieb/BCM). Dieses Modell eignet sich insbesondere, wenn kurzfristig Expertise oder Kapazität für einen klar abgegrenzten Scope benötigt wird.
     
  2. Einbindung im Kontext der Gesamtbeauftragung / Co-Sourcing
    Die IT-Revision wird als Teil eines integrierten Modells organisiert, in dem externe Ressourcen die Interne Revision dauerhaft ergänzen. Wesentlich sind hier klare Rollen (Planung, Berichtslinie, Qualitätssicherung, Follow-up) sowie eine konsistente Methodik über Fach- und IT-Prüfungen hinweg.

Einordnung aus der Praxis

IT-Revision ist kein IT-Spezialthema, sondern bewegt sich an der Schnittstelle zwischen Fachbereichen, Prozessen, Daten und Systemen. Der Mehrwert entsteht dort, wo diese Ebenen gemeinsam betrachtet und aufeinander abgestimmt werden – insbesondere in Prozessketten mit vielen Übergängen und Schnittstellen, manuellen Eingriffen und externen Dienstleistern.
In der Praxis hat es sich bewährt, IT-Revisionen so aufzusetzen, dass sie sowohl fachlich anschlussfähig (für Prozessverantwortliche) als auch technisch belastbar (für IT- und Provider-Verantwortliche) sind – und damit Maßnahmen nicht nur definieren, sondern auch umsetzbar machen.

Ähnliche Beiträge

26. März 2026

GoBD-Compliance als Grundlage für prüffähige, digitale Belegprozesse

GoBD-Compliance beginnt nicht bei der Dokumentation, sondern bei klaren Prozessen. Der Beitrag zeigt, wie Unternehmen ihre Beleg- und Buchungsprozesse strukturiert analysieren und eine prüffähige, nachvollziehbare GoBD-Basis schaffen.
Compliance
IT-Prüfung und Beratung
Prozessberatung
Zurück

Malte Erdmann

Senior Manager IT-Audit

Zum Profil von Malte Erdmann

IT-Revision Interne Revision IT-Prüfung und Beratung

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden