von Martín Rubione, Leiter der Abteilung für die Prüfung der Informationstechnologie, Oberste Rechnungskontrollbehörde von Argentinien
Prüfungen im Bereich der Informationstechnologie (IT) sind oft komplex, und die Ergebnisse der Prüfungen führen in der Regel zu technischen Berichten, die in Fachsprache verfasst sind. Wie in den Internationalen Normen der Obersten Rechnungskontrollbehörden (ISSAI) 5300 dargelegt, finden nur sehr wenige Menschen solch langatmige und komplizierte Dokumente ansprechend oder verständlich.
Die Oberste Rechnungskontrollbehörde (ORKB) Argentiniens führt seit mehr als einem Dutzend Jahren IT-Prüfungen durch und hat Schritte unternommen, um diese Realität zu ändern.
Die ORKB Argentinien ist kein Rechnungshof, sondern ein Rechnungsprüfungsamt. Die ORKB kann zwar Empfehlungen aussprechen, diese aber nicht durchsetzen. Die geprüften Stellen davon zu überzeugen, das IT-Management auf der Grundlage der Prüfungsfeststellungen zu verbessern, kann daher komplex und vielfältig sein und umfasst oft auch die Meinung der Betroffenen (die den Bericht verstehen müssen).
Die Vision der argentinischen ORKB – einen Beitrag zur Verbesserung der öffentlichen Verwaltung zu leisten – leitete den Weg zur Schaffung wirksamerer IT-Prüfungen und verständlicherer Berichte für alle Beteiligten. Die Vertiefung und Vereinfachung dieses Konzepts brachte drei wesentliche Maßnahmen ans Licht: die Verlagerung des jährlichen Planungsansatzes, die Überarbeitung des Umfangs und der Art der IT-Prüfungen und die Erschließung neuer Kommunikationswege.
Verlagerung des IT-Planungsansatzes
Der IT-Prüfungsbereich der argentinischen ORKB begann, den jährlichen Planungsprozess zu systematisieren, indem er (1) öffentliche Organisationen, die IT-Kontrollen unterliegen, identifizierte und (2) eine Reihe von Variablen auswählte, die auf die Art der IT-Prüfungen abgestimmt waren, was sich als problematisch erwies, da der Prozess eine Messung und Einstufung jeder Organisation auf der Grundlage des Risikos erforderte.
Aus der Umstellung auf diesen systematisierten jährlichen Prozess wurden unter anderem folgende Lehren gezogen:
- Die ursprünglich identifizierte Population der “öffentlichen Organisationen” sollte nicht der einzige Aspekt sein, der bei der Auswahl der besten zukünftigen Prüfungen berücksichtigt wird – es gibt noch andere mögliche Dimensionen, die analysiert werden können, einschließlich Anwendungssoftware; und
- Es ist wichtig, die Faktoren zu berücksichtigen, die die Betroffenen betreffen und die je nach Ort und Region unterschiedlich sein können.
Die Verlagerung des Planungsansatzes trägt dazu bei, die Prüfungsarbeit an der institutionellen Vision auszurichten, und ermöglicht interessantere und wirksamere IT-Prüfungsberichte, insbesondere durch die Messung und Analyse der sozialen Dimensionen.
Überarbeitung des Umfangs und der Art von IT-Prüfungen
IT-Auditoren verfügen über spezielle Kenntnisse und Fähigkeiten – Hardware, Software, Kommunikation und Sicherheit – und konzentrieren sich bei ihren Prüfungen in der Regel auf die IT-Infrastruktur und -Verfahren.
Eigenständige IT-Audits sind wertvoll, gewinnen aber noch mehr an Wert, wenn sie in ihrem Umfang erweitert werden. Die Überarbeitung des Umfangs und der Art der IT-Prüfung, um den gesamten Prozess des Informationssystems (IS) einzubeziehen, kann zu effektiveren IT-Prüfungen führen.
Am IS-Prozess sind viele Menschen, große Mengen an Software, IT-Infrastruktur, Datenbanken und manuelle Verfahren beteiligt. Es beginnt mit der Haushaltskoordinierung, um die richtigen Ressourcen auf die richtige Weise zu beschaffen und dabei zeitnahe und zuverlässige Informationen für die Entscheidungsträger zu erhalten.
Die Prüfung des IS-Prozesses geht zwar über den konventionellen Rahmen hinaus, erweist sich aber als nützlicher, da Prüfungen, die sich auf einen bestimmten Aspekt (z. B. eine Softwareanwendung) konzentrieren, ohne die IS-Prozessschritte zu berücksichtigen, zu Ergebnissen führen können, bei denen der IS (als Ganzes) unzuverlässig ist.
Zu den Herausforderungen, die sich den ORKB bei der Ausweitung des Umfangs und der Art einer IT-Prüfung stellen, gehören die große Vielfalt der Organisationsstrukturen und die unterschiedlichen Rahmenbedingungen, in denen sie tätig sind. Auch wenn multidisziplinäre Teams IT-Prüfungen möglich machen, hat jeder Prüfer eine bestimmte Qualifikation und Spezialisierung. Die Aufteilung der Prüfer auf verschiedene Teams für Wirtschaftlichkeitsprüfungen bringt also möglicherweise nicht denselben Mehrwert wie die gemeinsame Nutzung eines Raums. In diesem Bereich ist eine eingehendere Analyse erforderlich.
Neue Wege der Kommunikation entdecken
Es ist schwierig, Menschen dazu zu bringen, ein gutes Buch zu lesen, wie können wir sie also davon überzeugen, einen Prüfungsbericht zu lesen? Die Kommunikation von Prüfungsberichten, insbesondere von IT-Prüfungsberichten, ist seit vielen Jahren ein Problem, da IT-Prüfungsberichte in der Regel langatmig und voller Fachjargon sind.
Viele Manager und Behörden haben eine Verkürzung der IT-Prüfungsberichte gefordert, und die Appelle an die Prüfer, eine praxisbezogenere Sprache zu verwenden, nehmen zu.
Die SAI Argentinien zieht immer wieder eine Analogie zum Wetter heran, um ihren Prüfern zu helfen, die Kluft zwischen technischer und praktischer Sprache besser zu verstehen: Die Meteorologie mag eine härtere Wissenschaft sein als die Informatik, da sie auf Chaostheorien beruht. Accuweather” besteht jedoch darauf, uns (Nichtfachleuten, die so gut wie nichts über Isobaren und Isothermen wissen) Bilder von Wolken, Sonnen und Regenschirmen zu zeigen.
Die Verbreitung sozialer Netzwerke, durch die Informationen leichter in die Hände von Interessengruppen gelangen, hat die Notwendigkeit erhöht, die Kluft zwischen den Fachsprachen zu überbrücken, und zwar auf neue Weise und mit weniger Worten, z. B. durch Videos und Infografiken.
Als Reaktion auf diesen Bedarf hat die ORKB Argentinien eine Videoproduktion erstellt, die hier (auf Spanisch) verfügbar ist und die Ergebnisse einer IT-Prüfung der Informationssysteme der Fischereikontrolle (FIC) detailliert darstellt.
Die FIC-Prüfung spiegelt in vollem Umfang die drei wichtigsten Maßnahmen wider, die die argentinische ORKB als vorteilhaft für die Schaffung wirksamerer IT-Prüfungen und verständlicherer IT-Prüfungsberichte erachtet:
- Verlagerung des IT-Planungsansatzes: Die Prüfung wäre nicht als wichtig erachtet worden, wenn sich die argentinische ORKB ausschließlich auf die Bewertung öffentlicher Einrichtungen konzentriert hätte;
- Überarbeitung des Umfangs und der Art der IT-Prüfungen: Die argentinische ORKB erweiterte den Prüfungsumfang, um den IS-Prozess als Ganzes zu erfassen; und
- Neue Wege der Kommunikation entdecken: Um allen Beteiligten das Audit besser zu erklären, wurde es in ein Video umgesetzt.