Egal in welcher Branche wir uns befinden: IT-bezogene Auditierungen sind oft ein gerne vernachlässigtes Thema bis die Auditoren vor der Tür stehen.
Nicht selten heißt es: „Das konnte doch keiner ahnen, wie sollen wir uns in dieser kurzen Zeit vorbereiten?“
Gehen wir erstmal einen Schritt zurück. Auditierungen (Audits) kennen die meisten ganz klassisch aus dem Qualitätsmanagement (ISO 9001). Im Zuge der Digitalisierung haben sich in den letzten Jahren immer mehr Normen und Prüfkataloge geformt bzw. wurden die „Veralteten“ überarbeitet und neu veröffentlicht.
Audits können dabei im Business viele Gründe haben:
- Gesetzliche Verpflichtung z.B. Betreiber kritischer Infrastrukturen (KRITIS).
- Notwendig um eine Zertifizierung gegenüber einem Kunden oder Auftraggeber nachzuweisen (z.B. VDA).
- Als vorzeigbares Verkaufsargument bei Vertragsverhandlungen
- Für gezielte Marketingaktionen: Nicht selten sind Zertifizierungen auf Grundlage der ISO 27001 Familie international das Aushängeschild einer Software, Dienstleistung oder einem kompletten Unternehmen.
Jeder, der dabei in seinem Unternehmen schon einmal mit der Compliance-Ebene und den zugehörigen Geschäftsprozessen in Berührung gekommen ist, weiß dass es sehr komplex werden kann. Die Wege werden länger und die Ziele rücken ohne passende Projektbegleitung in einer ungewisse Ferne. Hilfe wird oft und gerne extern gesucht und wenn nun noch ein Audit vor der Tür steht, werden die Kapazitäten schnell schmal und Unsicherheit macht sich breit.
In der Regel ist die Leitungsebene der Ansatzpunkt bzw. Kern der Auditierung. Hier laufen die Kernprozesse aus verschiedenen Abteilungen wie HR, IT, Produktion und QM zusammen. Genauso kann ein Audit aber auch direkt aus einer Abteilung gefordert werden oder notwendig sein.
Aufgrund der voranschreitenden Digitalisierung sind die Informationssysteme immer mit einzubeziehen, da heutzutage nahezu jeder Prozess IT gestützt abläuft.
Sobald ein Audit mal angekündigt, der Audittermin festgesetzt und der Geltungsbereich geschärft wurde, geht die Hektik los:
- Oftmals fehlen hier die grundlegenden Strukturen und Unterstützungsprozesse, um ohne großen Aufwand durch die Prüfung zu kommen.
- Oftmals erfährt man in letzter Minute von einem bevorstehenden Audit. Der Prozess ist irgendwo im Unternehmen hängengeblieben ist, da die zentrale Steuerung gefehlt hat. Hier ist nun die Aufgabe innerhalb kürzester Zeit eine Auditreife zu erreichen.
Vorbereitet sein: Mit einem praxisbezogenen, schmalen Prüfkatalog
Das Alles im Hinterkopf haben wir einen schmalen Prüfkatalog entwickelt, welcher sich mit den grundlegenden Fragen beschäftigt, die in einem IT-bezogenem Audit immer wieder auftauchen. Egal, ob es dabei um das Zentrale Rechenzentrum, die Betrachtung der KPIs oder eine Risikoanalyse der Kernprozesse geht: Aufgrund unserer jahrelangen Erfahrung haben wir einen Querschnitt zwischen all den verschiedenen Audits ermitteln können.
Zusätzlich ist es möglich diese Auditvorbereitung durch unser eigens entwickeltes Tool der „Compliance Suite“ zu stützen.
- Diverse Reports und ein Management Cockpit ermöglichen es die Schnittstelle für die Leitungseben zu schaffen.
- Ausgehend davon ist es möglich den Geltungsbereich jederzeit zu erweitern. Mit wenig Aufwand können weitere IT Assets (Hardware, Software und Prozesse) hinzuzufügt werden oder ganz konkret kann einer der implementierten Prüfkataloge für die üblichen Zertifizierungen genutzt werden.
Somit schaffen Sie eine perfekte Grundlage für Auditierungen und darüber hinaus sind Sie jederzeit flexibel aufgestellt.
Kommen Sie gerne auf uns zu und wir präsentieren Ihnen unsere Methodik zur Auditvorbereitung in einem 1-stündigen Online-Meeting.