Definition und Zweck

Der Hauptzweck der ITGC besteht darin, die ordnungsgemäße Entwicklung und Implementierung von Anwendungen sowie die Integrität von Programm- und Datendateien und Computeroperationen zu gewährleisten. ITGCs sind typischerweise in verschiedene Bereiche wie Änderungsmanagement, Zugangskontrollen, Backup und Wiederherstellung sowie Netzwerksicherheit kategorisiert. Sie sind grundlegend für die Erreichung finanzieller, operativer und Compliance-Ziele.

Regierungsorgan

Obwohl die ITGCs nicht von einem einzigen Organ geregelt werden, sind sie oft an Standards und Rahmenwerke ausgerichtet, die von Organisationen wie der International Organization for Standardization (ISO) und der Information Systems Audit and Control Association (ISACA) festgelegt wurden, und an Regelungen wie dem Sarbanes-Oxley Act (SOX) angepasst.

Zuletzt aktualisiert

Da sich Technologie und regulatorische Umgebungen ständig ändern, entwickeln sich auch die ITGC-Praktiken und -Anforderungen kontinuierlich weiter.

Gilt für

ITGCs gelten für alle Organisationen, die Informationssysteme zur Unterstützung ihrer Geschäftsprozesse verwenden. Dazu gehören eine Vielzahl von Branchen wie Finanzen, Gesundheitswesen, Fertigung und Technologie. Sie sind besonders kritisch für börsennotierte Unternehmen aufgrund von regulatorischen Anforderungen.

Kontrollen und Anforderungen

Typische ITGC-Bereiche und ihre zugehörigen Kontrollen umfassen:

• Änderungsmanagement-Kontrollen: Sicherstellen, dass Änderungen an Systemen und Anwendungen autorisiert, getestet, genehmigt und ordnungsgemäß implementiert werden.
• Zugangskontrollen: Beschränkungen, wer bestimmte Daten oder Systemkonfigurationen anzeigen und ändern kann.
• Sicherheitskontrollen für Netzwerke und Systeme: Maßnahmen zum Schutz vor unbefugtem Zugriff auf Systeme und Daten.
• Backup- und Wiederherstellungskontrollen: Sicherstellen, dass Daten regelmäßig gesichert werden und im Falle eines Verlusts oder einer Beschädigung wiederhergestellt werden können.
• Datenverarbeitungskontrollen: Sicherstellen, dass Datenverarbeitungsoperationen genau, vollständig und autorisiert sind.
• Physische Sicherheitskontrollen: Schutz von physischen IT-Ressourcen und Infrastruktur.

Audittyp, Häufigkeit und Dauer

ITGC-Audits werden typischerweise intern oder von externen Prüfern durchgeführt, wobei der Schwerpunkt auf der Einhaltung interner Richtlinien und externer Vorschriften liegt. Regelmäßige Audits werden empfohlen, oft jährlich, insbesondere für Organisationen, die Vorschriften wie SOX unterliegen.

Die Dauer eines ITGC-Audits hängt von der Größe der Organisation, der Komplexität ihrer IT-Umgebung und dem Umfang des Audits ab.