IT-Audits – Beitrag zum Unternehmenserfolg im Handel

PrintMailRate-it
Heute sind die meisten Geschäftsmodelle ohne IT nicht mehr denkbar. Die Komplexität sowie die Abhängigkeit von der IT nehmen rasant zu. Am Beispiel des Einzelhandels wird aufzeigt, welchen Beitrag IT-Audits zum Unternehmenserfolg liefern können.
 
Aufgrund der Erfolge des Online-Handels befindet sich der klassische Einzelhandel in einem radikalen Umbruchsprozess. Traditionelle und digitale Marketing- und Vertriebskanäle verschmelzen immer mehr. Neudeutsch: „Omni-Channel” oder „Bricks & Clicks”. 
 
Voraussetzung für das Überleben des traditionellen Einzelhandels ist, dass Marketing, stationäres Filialnetz, Website, Shop sowie Social Media-Auftritte zu einem einheitlichen „Kauferlebnis” vereint werden.
 
Das bedeutet z. B., dass ein Kunde über traditionelle Print-Werbung auf einen Artikel aufmerksam wird, sich auf der Firmen-Website detailliert darüber informieren kann und ihn aufgrund der positiven Resonanz auf Social Media-Seiten im Webshop bestellt. Er bezahlt über PayPal und wählt die Abholung in einer Filiale. Im Zuge der Abholung kommen weitere Artikel hinzu, welche er per EC-Karte an der Kasse bezahlt. 
 
Künftig wird es in einem solchen Multi-Channel-Einzelhandel kaum einen Geschäftsprozess mehr geben, der nicht von der IT abhängig ist. Darin stecken insbesondere folgende 3 Arten von Risiken.
 

Geschäftsprozessbezogene IT-Risiken 

Zu komplex sind die kanalübergreifenden IT-gestützten Bestell-, Liefer- und Abrechnungsprozesse, als dass traditionelle Kontrollen noch greifen. Man denke nur an Kundenneuanlage und Bonitätsprüfung, Warenrückgaben in der Filiale, Rücksendungen per Post, Gutschriften, Stornierungen, Barauszahlungen, Buchungen zwischen Filialen etc. Sind in diesem komplexen Umfeld nur rudimentäre interne Kontrollen vorhanden, entsteht ein Nährboden für dolose Handlungen. 
 
Deshalb muss das Interne Kontrollsystem (IKS) angepasst und, wenn nötig, neu aufgebaut werden. Eingerichtete Prozesse und Systemeinstellungen dürfen nicht zu falschen Steuerungsinformationen oder Fehlern in der Rechnungslegung führen. 
 
IT-gestützte Kontrollen müssen – im Idealfall in Echtzeit – die Ordnungsmäßigkeit beurteilbar machen. 
 

IT-Systemrisiken

Ein verlässlicher IT-Systembetrieb muss stets sichergestellt sein. Ein Systemstillstand bzw. ein nicht geregelter Notbetrieb wird im Ernstfall als IT-sicherheitstechnische Inkompetenz interpretiert. Aufgrund der Bereitstellung sensibler Informationen kann dies kundenseitig zu erheblichem Vertrauensverlust führen. 
 
IT-Systemrisiken zu beherrschen, umfasst u. a.: 
  • Wirksames Rechtekonzept mit entsprechender Funktionstrennung;
  • Jederzeitige Sicherstellung der Integrität und Verfügbarkeit der Datenbestände; 
  • Geregelter Systemhärtungs- und Wartungsprozess in Bezug auf alle beteiligten Systeme; 
  • Geregelte Entwicklungs-, Test- und Produktivumgebung mit entsprechenden Freigabeprozeduren; 
  • Adäquates IT-Sicherheits- und Datenschutzmanagement. 

 

IT-Projektrisiken

IT-Projekte berühren – unabhängig von ihrem Umfang – i. d. R. alle betriebswirtschaftlichen Bereiche eines Unternehmens, weshalb ein Misserfolg schon aufgrund der Komplexität nicht unwahrscheinlich ist. Erfahrungsgemäß hat ein Scheitern folgenden Ursprung: 
  • Ungeklärte Projektorganisation; 
  • Unklare Projektphasen; 
  • Keine Funktionstrennung von Fachbereich (wie Einkauf, Vertrieb, Rechnungswesen) und IT; 
  • Fehlende Überwachung (Qualitätssicherung, interne Revision).

 
Um die anstehenden Veränderungen der Geschäftsprozesse erfolgreich meistern zu können, ist es notwendig, auf die Expertise von Spezialisten zurückzugreifen. Insbesondere IT-Audits, die an den aufgezeigten Risiken ausgerichtet sind, können dazu beitragen, die erforderliche Sicherheit zu gewährleisten. 

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Bitte beachten Sie:

  • Beurteilung von Risiken bei IT-technischer Neuausrichtung.
  • Prüfung der Konzeption eines IT-Projekts vor Start.
  • Umsetzung von Test- und Produktivfreigaben.
  • Prüfung IT-gestützter Geschäftsprozesse.
  • Anpassung IT-gestützter Kontrollen.
  • Beurteilung der IT-Sicherheit bzw. des Datenschutzes.

Weitere Informationen

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu