Baurevision
Wie in allen betriebswirtschaftlichen Funktionen, so sind auch im Bereich Bau, Objektverwaltung/Mietabwicklung und Facility Management Revisionsprüfungen angezeigt. Baurevisorische Aktivitäten sind von besonderem Nutzen für jede Organisation, da in diesem Prüfungsfeld erhebliche Vermögensverluste drohen. Dies trifft vor allem dort zu, wo Organisationen, die nicht das Bauwesen zu ihrem Kerngeschäft zählen, zum „Bauherrn“ werden.
Schon im „normalen“ Geschäft ist jede Organisation zumindest am Rande mit Themen befasst, die wir der Baurevision zuordnen. So bestehen i.d.R. Mietverträge inkl. Nebenkostenvereinbarungen aus Anmietungen und es werden Leistungen für Instandhaltung, Wartung und Pflege sowie Um- und Einbauten bezogen.
Oft besteht auch eigengenutztes Immobilienvermögen oder sonstige Liegenschaften mit entsprechenden Verträgen zur (Unter-)Vermietung. Wir verstehen es zudem, Bauprojekte betreffend die Vergabe, Dokumentation und Abrechnung projektbegleitend kaufmännisch genauestens unter die Lupe zu nehmen.
Folgende Themen stehen bei unserer Arbeit in den Teilbereichen der Baurevision i.d.R. „ganz oben auf der Agenda“:
Bau/Instandhaltung/Wartung
- Genehmigungswesen
- Vergabe inkl. Spezifikation, Kontrahierung
- Vertragswesen sowie Änderungs- und Nachtragsmanagement
- Budgetierung, Forecasting/Reporting
- Abnahmewesen
- Abrechnungsbasisunterlagen, Rechnungsprüfung, Regulierung
- Gewährleistungs- und Garantieabwicklung/Claim Management.
Objektverwaltung/Mietwesen
- Vertragsmanagement
- Mietpreisfindung und -anpassung
- Nebenkostenabwicklung
- Maklereinsatz
- Dauerbuchungsbelegwesen, Mietregulierung.
Facility Management
- Vergabe inkl. Spezifikation, Kontrahierung
- Budgetierung, Monitoring
- Instandhaltungs- und Reinigungsleistungen
- Sicherheitsmanagement
- Entsorgung.
Revision der Informationssicherheit
Die Informationssicherheit bildet die tragende Säule für eine erfolgreiche Digitalisierung unserer Wirtschaft und Gesellschaft. „Internet of Things“ (IoT) sowie Industrie 4.0 erfordern ein dediziertes Auseinandersetzen mit den Risiken der Informationssicherheit und -technologie.
Aber Informationssicherheit ist weit mehr als IT-Sicherheit und viel umfassender als bloßer regulatorischer Datenschutz. Informationssicherheit ist ein integratives Vorgehen, das alle Unternehmens- und Wirtschaftsprozesse umfasst und Mitarbeiter aller Hierarchieebenen einbindet.
Die Basis für eine erfolgreiche Revisionsprüfung in diesem Bereich bilden die Standards der ISO2700x Familie, sowie der BSI Grundschutz und das COBIT 5 Rahmenwerk der ISACA. Damit können interne Regelungen auf ihre Wirksamkeit und Effizienz sowie ungeregelte Prozesse auf deren Risikopotential hin geprüft werden.
Im Rahmen der Revision der Informationssicherheit sehen wir 4 Prüfungsschwerpunkte:
1) Informationssicherheit zum Schutz vor Angriffen von außen
Dieser Bereich der Informationssicherheit genießt die größte öffentliche Aufmerksamkeit. Erfolgreiche Angriffe von außen führen regelmäßig zu großen Schäden oder Datenverlusten. Aktuelle Angriffsszenarien sind derzeit:
- gezielte Hackerattacken auf Unternehmen
- Breiter Einsatz von Verschlüsselungstrojanern
- Angriff von Webpräsenzen und Anwendungen.
Eine Revisionsprüfung kann dabei folgende Themen umfassen:
- Aufbau von ISMS Richtlinien (ISMS: Informationssicherheitsmanagementsystem)
- Wissen und Bewusstsein bei Mitarbeitern
- Einsatz von Anti-Viren-Lösungen
- Aufbau von Netzwerkinfrastrukturen
- Prüfung von MDM (Mobile-Device-Management) Prozessen
2) Informationssicherheit zum Schutz vor Angriffen von innen
Bei Angriffen von innen werden Mitarbeiter und externe Geschäftspartner, die bereits Zugang zu Informationen und Systemen haben, zum Täter oder unbeabsichtigt zum Einfallstor. Diese Personen kennen die internen Unternehmensprozesse und womöglich sogar deren Schwachstellen und nutzen diese aus unterschiedlichen Motiven aus.
Angriffe von innen bilden die weitaus größte und bedeutendste Gruppe von Risikoszenarien. Die quantitative Menge an solchen Angriffen, verglichen mit Angriffen von außen, ist zwar geringer, die Erfolgsquote dabei aber viel höher.
Revisorisch konzentrieren wir uns daher zunehmend auf:
- Zugangsregelungen ("Need-to-know" & "Need-to-have")
- Einsatz und Kontrolle von externen Mitarbeitern
- Definitionen von Datenklassen und deren Schutz
- Zutrittsregelungen
- Einsatz von Cloud-Lösungen
- Einsatz von mobilen Endgeräten
- Home-Office und Remote-Access-Lösungen
3) Informationssicherheit zur Vermeidung von Fehlerfällen
Oftmals ist es nicht die kriminelle Energie von internen oder externen Angreifern, die zum Datenverlust oder Schäden führt, sondern vielmehr menschliches Versagen im Umgang mit Informationen. Zu weitreichende Benutzerberechtigungen oder der ungeregelte Zugang zu Daten, womöglich gepaart mit fehlendem Bewusstsein (lack of awareness), erzeugen ein unkalkulierbares Risiko:
Prüfungsthemen dazu können u.a. sein:
- Richtlinien im ISMS Umfeld
- Schulungsstand der Mitarbeiter
- Access & Identity Management
- Projekt Management
- Change Management
- Incident Management.
4) Informationssicherheit für den Katastrophenfall
Dieser Bereich der Informationssicherheit umfasst das Gebiet der „höheren Gewalt“ und ist im Kontext von BCM (Business Continuity Management) zu sehen. Bei einer Revisionsprüfung gilt unsere Aufmerksamkeit besonders den folgenden Szenarien:
- Loss of Building (Feuer, Wasser, Sturm, etc.)
- Loss of Staff (Streik, Pandemie, Kündigungswelle, etc.)
- Loss of IT (Stromausfall, Brand im Rechenzentrum, etc.)
- Loss of external Service Provider (Insolvenz, neue rechtliche Regelungen, etc.).
Jedes generische Katastrophenszenario erfordert einen kundenspezifischen Ansatz zur Wahrung bzw. Wiederherstellung der Serviceverfügbarkeit.
Und ganz gewiss sind entsprechende vorbereitende Übungen und deren Abwicklung essentiell, um auf den Fall der Fälle so gut wie möglich vorbereitet zu sein.