Mehr als nur Papier: Warum die Systembeschreibung über den Erfolg Ihrer nächsten IT-Systemprüfung entscheidet
Fragen Sie eine kostenfreie IT-Systemanalyse an!
Unverbindliches 15-Minuten-Erstgespräch mit einem Transition Architect vereinbaren.
Nach über einem Jahrzehnt in der IT-Beratung habe ich eine einfache Wahrheit gelernt: Die Qualität Ihrer IT-Systembeschreibung ist ein direkter Indikator für die Maturität Ihrer IT-Organisation. Ich habe Audits eskalieren sehen – und der Grund war fast immer derselbe: eine lückenhafte oder veraltete Dokumentation.
Der Moment der Wahrheit
Der Wirtschaftsprüfer kündigt die Jahresabschlussprüfung an und fragt sofort: "Bitte stellen Sie uns eine aktuelle Übersicht Ihrer rechnungslegungsrelevanten IT-Systemlandschaft zur Verfügung."
Was nun passiert, trennt die Spreu vom Weizen. In manchen Unternehmen bricht Hektik aus. IT-Mitarbeiter basteln in Windeseile aus veralteten Diagrammen und Excel-Listen eine "Landkarte" zusammen. Der Prüfer muss unzählige Nachfragen stellen, die Prüfung wird ineffizient und teuer.
In anderen Unternehmen zuckt der CIO nur mit den Schultern, öffnet ein zentrales Repository und exportiert ein Dokument. Präzise, aktuell, vollständig. Der Prüfer kann effizient arbeiten, die Prüfung verläuft reibungslos. Der Unterschied? Die einen haben Dokumentation als lästige Pflicht verstanden, die anderen als strategisches Instrument.
Was der Prüfer wirklich braucht
Der neue Standard ISA [DE] 315 hat die Anforderungen deutlich verschärft. Der Prüfer muss die rechnungslegungsrelevante IT-Umgebung wirklich verstehen. Das bedeutet konkret:
Eine Systemlandkarte, die zeigt, wie Ihre Daten wirklich fließen – von der Erfassung bis zur Bilanz. Eine Kontrolldokumentation, die beweist, dass Ihre Systeme geschützt sind: Berechtigungen, Programmänderungen, Backups, Funktionstrennungen. Eine Risikoanalyse, die ehrlich benennt, wo die kritischen Abhängigkeiten liegen. Und eine Dokumentation ausgelagerter Funktionen, wenn Sie Cloud oder externe Dienstleister nutzen.
Das ist kein theoretisches Konzept. Das sind die Anforderungen, die ein Prüfer nach ISA [DE] 315 stellt. Und eine gute Systembeschreibung macht diese Prüfung überhaupt erst möglich.
Der perfekte Moment
Viele Unternehmen haben einen natürlichen Anlass, ihre Systembeschreibung wirklich in Ordnung zu bringen: wenn sie ihre IT-Infrastruktur modernisieren oder ein neues System einführen. Der Veränderungsprozess zwingt dazu, die alte Landschaft zu verstehen, bevor man sie verändert. Und wenn man das ohnehin macht, dann lohnt es sich, es richtig zu machen – so, dass die Dokumentation nicht nur für den Übergang nützlich ist, sondern auch den Anforderungen einer echten IT-Systemprüfung standhält.
Fazit
Eine solide Systembeschreibung kostet Zeit und Geld – aber die Kosten der Untätigkeit sind ungleich höher. Längere Audits, unerkannte Risiken, blindes Fleck in Ihrer Governance. Eine gute Dokumentation ist nicht nur für externe Prüfer wertvoll. Sie ist auch für Ihr eigenes IT-Management unverzichtbar.
Wenn Sie nicht sicher sind, ob Ihre aktuelle Dokumentation den Anforderungen des ISA [DE] 315 standhält, dann lohnt sich eine ehrliche Bestandsaufnahme. Der Prüfer kommt früher, als Sie denken.
