Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kunden-Wiedererkennung
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Statistik & Tracking
Endgeräteerkennung
Partnerprogramm

Audit in der IT – Aspekte & Einbindung in die Prozesse

it-audit

Ein Audit in der IT trägt dazu bei, dass die Qualität der relevanten IT-Prozesse im Unternehmen sichergestellt wird. Die IT fällt eigentlich immer nur dann auf, wenn etwas nicht funktioniert. Im Unternehmen kann die IT an vielen Stellen die Qualität von Arbeitsergebnissen beeinflussen. Hier kommt der präventive Ansatz des Qualitätsmanagements nach ISO 9001 ins Spiel, der eine Überprüfung aller relevanter Prozesse durch eine vorbeugende Auditierung vorsieht. Das heißt, auch der IT-Prozess ist im Auditprogramm zu berücksichtigen.

Die Frage ist nun, ob sich das Auditieren des IT-Prozesses von dem der sonstigen Prozesse unterscheidet? Die Antwort lautet: Nein! Auch für den IT-Prozess kann zum Beispiel das Turtle Modell herangezogen werden, um die Prozesskriterien zu berücksichtigen. Mit der Methodik eines internen Audits sollten also auch im Fall der Informationstechnik durch einen erfahrenen Auditor die Aspekte einer modernen IT und deren Einbindung in die Geschäftsprozesse hinterfragt werden. Dabei unterstützt natürlich eine gut vorbereitete Auditfrageliste, welche wir Ihnen hier unter anderem vorstellen.

Wo genau liegen die Gefahren einer unsicheren IT?

In den Medien erzeugen typischerweise solche Berichte große Aufmerksamkeit, die thematisieren, dass Unternehmen von Geheimdiensten, wie der NSA (National Security Agency) und Co. ausspioniert werden. Bei genauer Betrachtung des Themas wird jedoch schnell deutlich, dass sich daraus die geringsten Gefahren ergeben. Die wirklichen Gefahren ergeben sich aus Schwachstellen und Risiken, die sich aus einer oftmals isolierten Betrachtung der IT-Prozesse ergeben. Es ist jedoch unbestritten, dass die IT in jedem Unternehmen mit allen weiteren Geschäftsprozessen untrennbar verknüpft ist. Die elektronische E-Mail-Kommunikation, die Anbindung des Home-Office, das datenbankgestützte Management der Kundenbeziehungen (CRM), die Materialwirtschaft oder die Datenverbindungen zur Steuerung und Fernwartung von Maschinen und Anlagen und vieles mehr. Die IT ist daraus nicht mehr wegzudenken. In diesen komplexen und deshalb häufig nicht beherrschten Routinen liegen die eigentlichen, verdeckten Gefahren für Unternehmen. Die Durchführung eines Audits in der IT und der damit verbundenen Überprüfung der IT-Sicherheit von Prozessen ist also eine notwendige Sicherheitsmaßnahme.

Qualität erfordert eine sichere IT-Struktur durch IT-Audits

Was könnte passieren ohne eine wirksame Absicherung der Geschäftsprozesse, der in den Datenbanken gespeicherten Informationen oder der Zugriffsmöglichkeiten auf die Verwaltungs-, Entwicklungs-, Steuerungs- oder Produktionsinfrastruktur? Diese Frage lässt sich am schnellsten beantworten, indem wir uns vor Augen führen, an welchen Stellen wir aufgrund des Einsatzes der Informationssicherheit Einflüsse und ggf. Risiken / Schwachstellen berücksichtigen müssen. Beispielhaft lassen sich die folgenden Einflüsse bzw. Risiken der IT auf wichtige Prozesse im Unternehmen identifizieren:

  • Strategische Prozesse z.B. Strategische Planung (Kontext der Organisation); unautorisierter Zugriff auf Unternehmensgeheimnisse
  • Kundenbezogene Prozesse z.B. Vertrags- und Auftragsabwicklung. Löschungen oder Verfälschungen von Kunden- und Auftragsdaten
  • Produktions- oder Dienstleistungsprozess z.B. Maschineneinsatz oder Serviceleistung; fehlerhafte Erzeugnisse oder Leistungen durch falsche Parameter
  • Warenwirtschaftsprozess z.B. Logistik und Versand; Artikelstammdaten mit fehlerhaften Informationen
  • Beschaffungsprozess z.B. Verwaltung der Stammdaten der Lieferanten; Verlust der Zugriffsdaten auf Lieferantenportale oder EDI-Anbindung
  • Personalprozess z.B. Personalverwaltung und -entwicklung z.B. Bußgelder oder Strafen wegen Verletzung der Compliance (DSGVO)
  • Usw.

Bereits anhand dieser beispielhaften Aufzählung wird deutlich, dass die IT eine qualitätsrelevante Ressource darstellt. Somit ist sie entsprechend in die qualitätsrelevanten Aktivitäten – wie der Durchführung von einem IT-Audit – einzubeziehen.

Warum ist ein Audit in der IT wichtig?

Eine Organisation muss gemäß DIN EN ISO 9001 in festgelegten Abständen das eigene Managementsystem auditieren. Es muss festgestellt werden, ob dies die eigenen Anforderungen sowie die Normanforderungen erfüllt und wirksam verwirklicht und aufrechterhalten wird. Das hierfür anzuwendende Werkzeug ist das Auditprogramm. Und darin muss der IT-Prozess auftauchen. Bei der Festlegung des Auditumfangs ist unter anderem die Bedeutung eines Prozesses zu berücksichtigen. Da der IT-Prozess, wie bereits dargelegt, einen großen Einfluss auf andere Abläufe ausübt, ist dieser entweder häufiger zu auditieren oder der zeitliche Auditumfang ist entsprechend zu planen. Weiterhin kann ein prozessorientierter konkreter Fragenkatalog sehr hilfreich sein. Eine sehr gute Möglichkeit für dessen Struktur stellt das Turtle-Modell dar, dessen Anwendung für das IT-Audit im Folgenden dargestellt wird.

Mit dem Turtle-Modell das Audit in der IT planen

Eine systematische Möglichkeit zur Generierung von Auditfragen basiert auf dem Turtle-Modell (Schildkrötenmodell). Die Vorgehensweise stammt aus dem Prozessmanagement und ist zuerst im Automobilbereich angewendet worden. Das Turtle-Diagramm stellt Schnittstellen (Input und Output) sowie Abhängigkeiten im Prozess dar und sorgt für Transparenz und damit für ein gutes Prozessverständnis.

Mit der Anwendung des Turtle-Denkens bei IT-Audits kann eine Vielzahl von Fakten im Hinblick auf den zu betrachtenden Prozess zusammengetragen werden. Ein Auditor erhält mit dieser Darstellungsform eine geistige „Landkarte“ des zu auditierenden Prozesses und des Umfelds. Dazu gehören:

IT-Schnittstellen

  • Input (materiell, immateriell)
  • Prozessablauf (Verantwortlichkeiten) und Output (materiell, immateriell)

Abhängigkeiten der IT

  • Womit? (materielle Ressourcen)
  • Wer? (personelle Ressourcen)
  • Wofür? (Leistungsindikatoren)
  • Wie? (vorhandene Instrumente)

Von den so gewonnenen Erkenntnissen lassen sich in der Regel bereits Risiken ableiten, die dann beim IT-Audit von den Auditoren berücksichtigt werden können.

Grafik eines Fragenkatalogs für das IT Audit auf Basis des Turtle-Modells
 

Kostenlose Vorlage -
Erstellung einer Prozessbeschreibung

 

Kostenlose Vorlage -
Erstellung einer Arbeitsanweisung

 

Kostenloser E-Kurs -
Was ist Qualitätsmanagement?

 

Unsere Serviceangebote im Bereich Qualitätsmanagement ISO 9001

Anprechpartner Kati Schaefer
Sie haben Fragen oder wünschen ein Angebot?
Ich helfe Ihnen gerne weiter!

Kati Schäfer
Produktmanagement Training & PRO SYS
Tel.: 07231 92 23 91 - 0
E-Mail: kschaefer@vorest-ag.de

Wir nutzen Cookies und andere Technologien.

Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.

Alle akzeptieren Konfigurieren