Deine Frage ist sehr generisch. Sie komplett zu beantworten würde sehr, sehr viel Text erfordern. Ich versuche mal die wichtigsten Punkte kurz zu beschreiben.
Grundsätzlich schauen IT-Auditoren erstmal was das Risiko ist. In der Regel gibt es in diesem Bereich 3 relevante Risiken.
- Jemand hat falsche Berechtigungen erhalten
- Jemand wurden die Berechtigungen nicht entzogen (z. b. nach Entlassung)
- Weitreichende Berechtigungen wurden zu umfangreich vergeben
Dabei schauen die Prüfer zunächst einmal, wie die Prozesse bei euch aufgebaut sind und bewerten, ob die Prozesse zur Berechtigungsvergabe/entzug etc. geeignet sind, die oben genannten Risiken abzudecken. Kurz gesagt, ob eure Berechtigungsprozesse allgemeinen Standards entsprechen. Danach wird der Prüfer eine Stichprobe aus allen Berechtigungsvergaben und aus allen entlassenen/versetzen Mitarbeitern ziehen und für diese Stichprobe testen, ob gem. eurem Prozess verfahren wurde. Also ob z. B. Genehmigungen erteilt wurden usw.
Normalerweise prüft der Prüfer nicht explizit, ob auch die richtige Berechtigung vergeben wurde, sondern nur ob der Prozess eingehalten wurde. Sollte allerdings jemand aus dem Lager eine Berechtigung für die Buchhaltung freigeben, fällt das dem Prüfer nat. auf.
Die Prüfer schauen ohne besonderen Grund nicht danach auf welche Dateien zugegriffen wurde. Dies erfolgt nur, wenn Verdacht auf Unregelmäßigkeiten besteht.
Welche (betriebswirtschaftlichen) Vorgänge bearbeitet wurden, wird aber die Finanzprüfung überprüfen.
Beantwortet das so in etwa deine Frage?