apsec Tipps & Tricks zur Einführung eines Audits

In unserer digitalen Welt unterliegen Firmen immer häufiger regulatorischen und gesetzlichen Anforderungen. Unternehmen werden durch diese dazu aufgefordert ihre Prozesse und implementierten Maßnahmen zu prüfen und zu verbessern. In diesem Zusammenhang fällt zumeist der Begriff „Audit“.

 

Applied Security GmbH

Großwallstadt, 25.04.2018

Doch was ist ein Audit überhaupt und was sind die Vorteile eines Audits?

Ein Audit ist ein systematisch geplanter, sachlicher, unabhängiger und dokumentierter Prozess, um die Erfüllung von Anforderungen und Richtlinien zu bewerten. Es kann unterschiedlichste Motivationsgründe für die Durchführung eines Audits geben, wie z.B. die Regulatorische Vorgabe des Gesetzgebers, Einhaltung von Lieferanten- und Kundenverträgen oder das Anstreben einer Zertifizierung.

Sollten Sie mit dem Gedanken spielen, ein Audit in Ihrem Unternehmen durchführen zu wollen, sollten Sie sich im Vorfeld folgende Fragen beantworten:

 

  • Wieso wollen Sie das Audit durchführen?
    Halten Sie zu Beginn Ihrer Planungen Ihre Motivation schriftlich fest und kommunizieren Sie diese offen an die Geschäftsführung. Stellen Sie sich die Frage, weshalb und aus welchen Beweggründen Sie vorhaben ein Audit durchzuführen. Das hilft Ihnen im Laufe der Planungsphase das Ziel des Audit nicht zu verfehlen.
  • Wer muss bei dem Audit informiert und involviert werden?
    Das wichtigste bei einem angedachten Audit ist es die Geschäftsführung mit zu involvieren. Das Audit wird in den meisten Fällen in operative Prozesse eingreifen und diese auch ggf. für eine kurze Zeit beeinträchtigen bzw. stören. Auch spielt ist der geschätzte Zeitaufwand des Auditors und der betroffenen Mitarbeiter eine tragende Rolle.
  • Was muss bei der Durchführung von dem Audit beachtet werden?
    Nachdem Sie die involvierten Parteien informiert und von Ihren Vorgeksetzten die „Freigabe“ für das Vorhaben erhalten haben, empfehlen wir, ein Audit-Programm zu erstellen. Bei einem Audit müssen die Ergebnisse reproduzierbar sein um erneut durchgeführt werden zu können. Daher sollten alle Audits für ein Kalenderjahr bereits sorgfältig geplant und kommuniziert werden. Dadurch können etwaige Überraschungseffekte und Ressourcenengpässe vermieden werden.
  • Bei der Planung von Audits hat sich in der Praxis folgende Herangehensweise bewiesen:
    1. Halten Sie den Zweck, den Zeitraum und die Anzahl der durchzuführenden Audits schriftlich fest. Somit erstellen Sie automatisch das benötigte Audit-Programm.
    2. Im zweiten Schritt erarbeiten Sie den Audit-Plan. Dieser beschreibt ein Audit, inklusiver aller auszuführenden Tätigkeiten und Vorkehrungen.
    3. Zuletzt werden die Informationen des Audit-Umfangs dokumentiert. Hierzu gehören neben dem Umfang auch die Grenzen eines Audits, die physischen Standorte sowie die Organisationseinheit, in der das Audit abgehalten wird.
  • Wie sollten die Ergebnisse nachhaltig festgehalten werden?
    In der Praxis hat sich bewiesen, die Ergebnisse schriftlich in einer einheitlichen Form zu dokumentieren. In diesen Dokumenten sind alle Rahmenparameter (Audit-Plan, Umfang, Teilnehmer, Zeitraum etc.) sowie die Ergebnisse und die identifizierten Schwachstellen aufgeführt.

 

FAZIT:

  • Mit einem Audit lassen sich Verfahren und Prozesse auf ihre Effektivität, Aktualität und Angemessenheit prüfen.
  • Audits und die daraus resultierten Audit-Nachweise eigenen sich hervorragend zur Optimierung Ihrer Geschäftsprozesse / Verfahren und dienen bei Zertifizierungen als Revisionsnachweis.
  • Planen Sie Ihre Audits im Voraus und erstellen Sie ein Audit Programm.
  • Nutzen Sie vorhandene Hilfsmittel (Checklisten, Pentests, etc.)
  • Profitieren Sie von den Erfahrungen und dem Wissen externer Auditoren.
  • Führen Sie zum Ende eines Audits mit Ihrem Informationssicherheits-Team ein abschließendes Gespräch. Somit gewährleisten Sie ein gemeinsames Verständnis der Ergebnisse.
Claus Möhler

Claus Möhler

Leiter Consulting
1821

Sie möchten mehr Erfahren? Dann nehmen Sie teil an unserem kostenfreien Webinar „Das Audit – elementarer Bestandteil eines ISMS“ am 24.05.2018 um 10:00 Uhr.

Hier gleich anmelden

Sie haben noch Fragen bzw. benötigen Hilfe bei der Planung und/oder Durchführung eines Audits? Gerne unterstützen wir Sie dabei.

PS: Weiterführende Informationen zur Auditierung erhalten Sie „hier„.

(Visited 1 times, 1 visits today)


Neuer Kommentar