Gegenstand dieser Ausschreibung ist der Abschluss einer Rahmenvereinbarung (RV) über die Durchführung von IT-Prüfungen zur Abdeckung von Kapazitätsspitzen bzw. zur Nutzung externen Know-hows.
Diese IT-Prüfungen sind in Übereinstimmungen mit den einschlägigen Internationalen Revisionsstandards (wie IIA, ISACA und ISO/IEC) durchzuführen. Auf Wunsch der AG sind Prüfungen auch mit gemischten Prüfungsteams bestehend aus Mitarbeiter*innen der StS Revision und der AN durchzuführen (sog. "Joint Audits"). Dabei wird ein Transfer von Fach- und Methodenwissen /-kompetenz von der AN zur AG angestrebt.
Prüfungen können Reisen vor Ort erfordern, auch in fragile Staaten und Krisenländer. Reisen in fragile Staaten und in Krisenländer werden von der AN dann erwartet, wenn die GIZ auch aus Deutschland entsandte Mitarbeiter*innen vor Ort hat. Wenn die GIZ dieses Personal aus Sicherheitsgründen abzieht, erwarten wir von den Arbeitnehmer*innen der AN nicht, vor Ort zu prüfen.
Der Prüfauftrag bezieht sich auf die Durchführung folgender Prüfungen:
IT-Prozesse
Zur Erbringung ihrer Dienstleistungen ist die GIZ auf eine adäquate, zuverlässige und sichere IT-Unterstützung zwingend angewiesen. Zugleich gehören zu den strategischen Zielen der GIZ eine konsequente Digitalisierung der Geschäftsprozesse. Hierfür sind u.a. umfangreiche Digitalisierungsprojekte mit substantiellen Budgets initiert worden.
Die Beauftragung kann sowohl die IT-Prozesse als auch technische IT Sicherheitsaspekte umfassen. Zu den Prüfungsgebieten entsprechend dem IT-Audit Universe der StS Revision zählen u.a.:
- IT Governance, Strategy and Organisation
- IT Betrieb (u.a. Archiving, Hosting, Cloud, License-Management, Third-Party-Provider, Maintenance)
- IT Support
- IT Security (u.a. User- and Identity Access Management, Screening and Monitoring, Intrusion Detection, ATP, Incident Management)
Daneben können projektbegleitende Prüfungen entsprechend den Vorgaben des IDW PS 850 für ausgewählte (Groß-)Projekte der GIZ in Auftrag gegeben werden.
Auf der Applikationsebene sind insbesondere Applikationssicherheits-Prüfungen für die SAP-Anwendung (aktuell SAP S/4HANA) vorgesehen. Hierbei sind die berufsständisch relevanten ITGC (IT General Controls) anzuwenden, sowohl auf der Applikations- als auch auf der Datenbank und Betriebssystem-Ebene.
Die Beauftragung von IT-Prüfungen kann dabei auch Teil-Aspekte/Prüfungsgebiete im Rahmen einer größeren (IT-)Prüfung umfassen. So kann z.B. der Bedarf eines Vulnerability Assessment and Penetration Testing (VAPT) von einzelnen Applikationen im Rahmen einer Prozessprüfung entstehen.
Die jeweiligen Prüfungen werden durch Mitarbeiter*innen der Stabsstelle Revision begleitet und ein dementsprechender Wissenstransfer von Fach- und Methodenwissen von der AN zur AG wird erwartet.