Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 36

Diese Abteilung hat im Organigramm die gleiche Position wie der DS-Beauftragte und das Zentrale Sicherheitsmanagement, nämlich als Stabstelle. Eine übliche Bezeichnung für diese Stelle ist auch „Interne Revision“. Dieser Begriff impliziert, dass auch eine „Externe Revision“ existiert. Deren Aufgaben und Unterschiede zur hier behandelten Abteilung werden unter Externes Personal beschrieben.

Die Revision führt die rückwirkende Betrachtung vergangener Geschäftsfälle durch. Mögliche Fehler werden untersucht und die Klärung des Sachverhaltes angestrebt. Die Ergebnisse der Prüftätigkeit erfolgen direkt an die Geschäftsführung. Da die Revision per Definition aufgrund der Erhebungsresultate nur Empfehlungen aussprechen kann, aber grundsätzlich nicht operativ tätig wird, ist eine enge Zusammenarbeit mit dem zentralen Sicherheitsmanagement notwendig. Aus diesem Grund ist diese Abteilung auf jeden Fall im InfSecC vertreten.

Als Hauptaufgaben sind hier stichwortartig angeführt:

1 Prüfung der Ordnungsmäßigkeit nach den gesetzlichen Bestimmungen.

1 Aufbau, Kontrolle und Verbesserung des internen Kontrollsystems (IKS).

1 Vorschläge zur Verbesserung des Berichtswesens, der Informationsqualität und -sicherheit.

1 Check der Rationalisierung und Wirtschaftlichkeit der Ablauforganisation.

Der Umfang der Prüfungen erstreckt sich über Finanz- und Rechnungswesen, und führt über die Prozessabläufe bis zur inhaltlichen und formellen Kontrolle unternehmerischer Entscheidungen. Im Speziellen finden folgende Vorgehensweisen Verwendung:

1 Eingaben werden mit den Ergebnissen verglichen. Dabei bleibt das verarbeitende System mehr oder weniger unberücksichtigt.

1 Die Funktionsweise des Werkzeuges wird nachvollzogen, indem Verarbeitungsvorgänge genau betrachtet werden. Dies erfolgt mittels Überprüfung einzelner Fälle oder des gesamten Systems.

Zur Erlangung aller notwendigen Informationen verfügt die Revision über ein geregeltes Informationsrecht, das üblicherweise - ähnlich der InfSec-Policy - schriftlich festgehalten wird. Aufgrund dessen sind alle Stellen innerhalb der Firma verpflichtet, Auskunft zu erteilen.