Beurteilung von Cloud-Computing durch die Interne Revision

Einleitung

Die Geschäftsprozesse in Unternehmen verändern sich zunehmend dynamischer. Ursachen dafür sind interne und externe Anforderungen aus der Geschäftstätigkeit wie auch regulatorische Vorgaben.

Diese dynamischen Geschäftsprozessveränderungen erfordern auch eine dynamische Unterstützung durch die Informationstechnologie.

Der Einsatz von Cloud-Computing ist eine Möglichkeit, schnell und flexibel auf geänderte Anforderungen an die Informationstechnologie zu reagieren.

Je nach der benötigten Dienstleistung kann die Beschaffung und Nutzung von Cloud-Computing sehr einfach sein. Selbst technisch komplexe Cloud-Computing-Anwendungen wie z.B. Übersetzungsdienstleistungen (Google-Translate) sind heute sind kostenlos und spontan nutzbar.

Allerdings birgt die Nutzung solcher Cloud-Computing-Anwendungen diverse Risiken, u.a.:

  • Verstoß gegen geltendes Recht (z.B. EU-DSGVO, UrhG)
  • Verletzung der Vertraulichkeit (z.B. bei Übersetzung von internen Dokumenten durch Google)
  • Fehlende Datenintegrität / -authentizität (z.B. durch unverschlüsselte Datenübertragung im öffentlichen Internet)
  • Fehlende Verfügbarkeit (z.B. Dienstleister beschließt, kostenlosen Dienst einzustellen)

Ein erster Reflex beim Thema „Prüfung von Cloud-Computing“ ist häufig die Überlegung, wie beim Dienstleister Vorort geprüft werden soll. Nutzt ein Unternehmen Cloud-Dienste von Microsoft, Amazon, SAP oder von einem der großen Internetprovider, wird sich die Antwort auf diese Frage als äußerst schwierig erweisen.

Bei weiterer Überlegung stellt sich dann die Frage, welche internen und externen Anforderungen als Prüfungsmaßstäbe heranzuziehen sind.

Doch bevor diese beiden Fragen beantwortet werden können, ist zu erheben, welche Cloud-Computing-Anwendungen welche Geschäftsprozesse im Unternehmen unterstützen.

Im Folgenden wird skizziert, wie eine Erhebung der Cloud-Computing-Anwendungen erfolgen kann und welche wesentlichen internen und externen Anforderungen durch die Interne Revision bei der Prüfung von Cloud-Computing berücksichtigt sollten.

„Beurteilung von Cloud-Computing durch die Interne Revision“ weiterlesen