Vorbereitung

• Dr. Stefan Beißel

Ein Prüfungsauftrag definiert das Rechtsverhältnis und die gegenseitigen Verpflichtungen zwischen einem Auditor und einem Auditierten. Er beschreibt vor allem die Geschäftsbedingungen und den Umfang des IT-Audits.
Der Prüfungsauftrag wird schriftlich in einem Dokument festgehalten und umfasst in der Regel die folgenden Inhalte:
– die Benennung der beteiligten Parteien, im Speziellen des Auditierten, inklusive eines Adressaten im Senior Management, und des Auditors,
– die Beschreibung der zu erbringenden Dienstleistungen, also Art und Umfang des IT-Audits und optional weiterer Dienstleistungen rund um das IT-Audit, z. B. der Vorbereitung regulatorischer Berichte an Dritte.
– die Verantwortlichkeiten des Auditors und generelle Anforderungen an seine Leistungserbringung,
– eventuelle Einschränkungen bei der Arbeit des Auditors, z. B. eine zeitliche Begrenzung des Datenzugriffs oder Gebäudezutritts,
– festgelegte Zeitvorgaben in Bezug auf die Fertigstellung des IT-Audits, die Herausgabe der Berichte und die Planung von bestimmten Auditaktivitäten,
– erforderliche Unterstützungsleistungen durch den Auditierten, z. B. Hilfsleistungen bei der Datenerhebung und -auswertung,
– die Benennung der Personen, mit denen der Auditor interagieren soll, um Expertenurteile zu bilden, z. B. der Spezialisten aus der IT und aus Fachabteilungen, der internen Auditoren und Auditoren des Vorjahres,
– einen Haftungsausschluss, der durch die Grenzen eines Audits begründet ist, z. B. der praktischen Unmöglichkeit, alle Arten und Formen von Betrug oder illegalen Aktivitäten aufzudecken,
– das Gebührenmodell des Auditors, das in der Regel aus einem Fixbetrag für das IT-Audit und variablen Beträgen für optionale Beratungsleistungen besteht,
– eine Vertraulichkeitsverpflichtung des Auditors und die Offenlegung der Weiterleitung von Informationen an Dritte.

Seiten 75 - 245