Die Risiken und Prüfungsansätze für die Prüfung von Social Media hat Dr. Urban Becker bereits im letzten Blog Artikel vorgestellt. Doch bislang ist die Frage offen geblieben, ob und in wie fern bestehende Frameworks, wie z.B. COSO, COBIT, ITIL oder diverse ISO-Normen in einer Prüfung Anwendung finden. Speziell COBIT 5 scheint für eine Prüfung von Social Media gut geeignet zu sein. Wieso, weshalb und warum erklärt Ihnen Dr. Urban Becker von Melitta:
Welche Frameworks können für Social Media-Prüfungen überhaupt sinnvoll eingesetzt werden?
Frameworks bieten Revisoren Anhaltspunkte für die Planung, Vorbereitung und Durchführung von Prüfungen. So lassen sich die Frameworks gut als Strukturierungsgrundlage nutzen. Eine übergeordnete Rolle aufgrund der allgemeinen Einsetzbarkeit spielen dabei die von der COSO-Organisation herausgegebenen COSO-Framework für Internal Control (IC) aus 2013 und das COSO- Enterprise Risk Management (ERM), das in der Version aus 2004 analog zum COSO-IC auf einer dreidimensionalen Struktur und in der Version aus 2017 jedoch konzeptionell grundlegend überarbeitet wurde. Für das Internal Control-Framework spielen die allgemein einsetzbaren Prinzipien aus Kontrollumgebung, Risikobewertung, Kontrollaktivitäten, Information und Kommunikation und Überwachungsaktivitäten eine zentrale Rolle. Acht Komponenten bilden den Schwerpunkt des ERM-Modells von 2004: Internes Umfeld, Zielfestlegung, Ereignisidentifikation, Risikobeurteilung, Risikosteuerung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung. In dem 2017-er Modell wurde eine Unterscheidung in 20 Komponenten und Prinzipien getroffen. Die Stärke des COSO-Modells liegt in der allgemeinen Klassifizierung. Ein fachlicher Bezug zu den Prüfungsfeldern des Social Media besteht nicht. Das COSO ERM-Framework lässt sich beispielsweise als Grundlage für einen formalisierten Prozess zur Identifikation und Bewertung von Risiken nutzen. Alternativ kann hierfür die ISO-Normenfamilie 31000 genutzt werden.
Analog zu anderen Prüfungsfeldern werden für die eigentliche Risikoidentifikation Instrumente wie z.B. Checklisten, Workshops, Befragungen, Brainstorming, Fehleranalysetools genutzt.
Für Revisionsprüfungen bei denen IT-Anwendungen in die Betrachtung einbezogen werden, sind auch spezifische Standards wie COBIT oder ITIL anwendbar.
Die aktuelle COBIT 5-Version beinhaltet gegenüber früheren Fassungen auch verstärkt Managementaspekte. ITIL ist ein Framework für die Steuerung, Koordination und Management von IT-Serviceprozessen, die ursprünglich für Behörden in Großbritannien entwickelt wurde. Auch in Bezug auf Social Media-Fragestellungen lassen sich COBIT als auch ITIL adaptieren.
Die ISO Normenserien ISO 27000 für die Prüfung von IT-Systemen und ISO 20000 für IT-Service-Prozesse als auch die IT-Grundschutzkataloge des BSI sind aufgrund einer stärkeren IT-Orientierung für Social Media-Fragestellungen nur bedingt geeignet.
Welche Ansätze sind für Social Media Prüfungen tatsächlich einsetzbar?
COBIT wird in mehreren Quellen im Zusammenhang mit Social Media Prüfungen genannt:
- In dem Social Media-Prüfungsansatz der ISACA (2011, S. 10) werden neun wesentliche COBIT 4.1-Prozesse und deren relevante Aktivitäten genannt. In einer recht umfassenden Checkliste von Prüfungsschritten entsprechend den Risikofeldern Strategie, Mitarbeiter, Prozesse und Technologie werden die Aktivitäten des COBIT 4.1-Modells referenziert, sofern diese anwendbar sind. In Einzelfällen sind auch weitere COBIT-Prozesse bzw. deren Aktivitäten referenziert, die in der Auflistung der wesentlichen Prozesse nicht enthalten waren. Anhand der als wesentlich charakterisierten COBIT 4.1-Prozesse wird zusätzlich eine Reifegradbewertung vorgeschlagen.
- Der Ansatz von Lehr & Robrecht (2012) wird danach abgegrenzt, ob die in COBIT 4.1 enthaltenen Prozesse für die Social-Media-Aktivitäten direkt anwendbar sind, ob diese abgeleitet werden können oder ob diese nicht durch COBIT abgedeckt sind. Die Zuordnung der direkt anwendbaren sieben COBIT-Prozesse entsprach nur in vier Fällen der Klassifizierung der wesentlichen COBIT-Prozesse nach dem ISACA-Ansatz (2011). Acht Prozesse konnten auf die Social Media-Fragestellungen abgeleitet werden, in denen auch die fünf weiteren wesentlichen Prozesse des ISACA-Ansatzes enthalten waren. Die weiteren für eine Social Media-Prüfung relevanten Aktivitäten des Managements von Kommunikationskampagnen und des Community-Managements ordnen die Autoren der Gruppe DS (Deliver, Support) zu und das Web-Monitoring wird der Gruppe ME (Monitor, Evaluate) zugewiesen, obwohl diese nicht aus den COBIT-Prozessen nach Bewertung der Autoren ableitbar sind. Die Vorgehensweise von Lehr & Robrecht ist aber für die Nutzung eines Frameworks, der nicht direkt auf ein Thema zugeschnitten ist geeignet. Für die Darstellung und Dokumentation des Prüfungsvorgehens ist die Abgrenzung zwischen anwendbaren, ableitbaren und nicht enthaltenen Fragestellungen eines Frameworks vorbildlich.
- In dem Ansatz von Gerber (2015 und 2016) werden die COBIT 5-Prozesse auf ihre Anwendbarkeit von vier abgeleiteten Risiken durch die Social Media-Nutzung bewertet. Insgesamt werden 17 COBIT-Prozesse aus den Gebieten EDM (Evaluate, Direct and Monitor), APO (Align, Plan and Organise) und DSS (Deliver, Service and Support) als relevant erachtet. Im Gegensatz zu den Ansätzen von ISACA und Lehr & Robrecht wird kein Bezug zu den MEA (Monitor, Evaluate, Access) und den BAI (Build, Acquire, Implement) Prozessen genommen. Gerber entwickelt aus den Beschreibungen der COBIT-Prozesse Konkretisierungen für die Anwendung bei Social Media.
- Diese drei analysierten Ansätze weichen in ihrem Vorgehen weit voneinander ab. Dies ist darin begründet, dass COBIT vom Grundsatz eher allgemein aufgebaut ist und daher eine Adaptierung auf eine gegebene Fragestellung verlangt.
Wie ließe sich ITIL für Social Media-Prüfungen nutzen?
Nach dem IT-Verständnis von ITIL ist die IT organisatorisch in die Bereiche IT-Anwendungen und IT-Infrastruktur sowie IT-Service gegliedert und orientiert sich an Geschäftszielen. ITIL wird häufig in Verbindung mit anderen Frameworks wie beispielsweise COBIT eingesetzt. Eine Untersuchung von Aliman ist entsprechend dem ITIL-Ansatz an fünf Phasen ausgerichtet (Aliman, 2017): Strategie, Design, Service Transition (Übertragung in den produktiven Betrieb), Service Operation und kontinuierliche Verbesserungen. Der erste Teil der Untersuchung umfasste eine Literaturbetrachtung. Darauf aufbauend werden Verbesserungen für das Social Media-Management abgeleitet. Im Gegensatz zu den oben aufgezeigten Ansätzen mit COBIT-Framework ist eine Ausrichtung auf eine Sichtweise der Revision als zeitpunktbezogene Prüfungstätigkeit nicht erkennbar. Die phasenorientierte Sichtweise wäre eine mögliche Option für die Durchführung von projektbegleitenden Revisionen für die Implementierung des Social Media-Einsatzes im Unternehmen.
Welches Fazit können wir daraus ziehen?
- Grundsätzlich kommen COBIT und ITIL als mögliche Ansätze in Frage.
- COBIT bietet breite Ansatzpunkte, die sich auf die Fragestellungen von Social Media-Audits adaptieren lassen.
- ITL kann am ehesten für projektbegleitende Prüfungen eingesetzt werden.
- Bei beiden Ansätzen ist aber in jedem Fall ein Transfer auf die spezifischen Fragestellungen von Social Media-Audits notwendig.
Quellen:
Aliman, M., Bertin, E. & Crespi, N. (2017). ITIL perspective on enterprise social media. International Journal of Information Management, 37(4), 317-326
Gerber, P. (2015). Addressing the incremental risks associated with social media by using the COBIT 5 Control Framework. Master Thesis, Stellenbosch University-ZA
Gerber, P. (2016). Achieving IT Governance of social media at strategic and operational levels. International Business & Economics Research Journal, 15(4), 147-162
ISACA (2011). Social Media – Audit/Assurance Program. Information Systems Audit and Control Association (ISACA) (Eds.), Rolling Meadows, IL (USA). www.isaca.org<http://www.isaca.org/>. Letzter Zugriff am 28.12.2017
Lehr, C. & Robrecht, A. (2012). Ableitung einer Social Media Governance aus COBIT, in: IT-Governance, 2012(11), 2-7
