IT-Audits sind für viele Unternehmen so angenehm wie eine Zahnwurzelbehandlung. Man mag sie nicht wirklich. Keine Überraschung, denn selbst im allerbesten Fall verschlingt die Prüfung der IT zumindest sehr viel Zeit. Ein nicht bestandener IT-Audit ist noch schlimmer und kann Ihre Arbeitswelt schnell durcheinanderwirbeln. In manchen Fällen kann ein IT-Audit mit negativem Ausgang auch als Indiz von Managementschwäche verstanden werden.

Für das erfolgreiches Bestehen eines Audits spielen Umfang, Qualität und Detailgenauigkeit von Dokumentation eine immer wichtigere Rolle. Wenn also der nächste Audit Ihrer IT-Infrastruktur, Ihrer Policies und Ihrer Prozesse ansteht, ist täglich gelebtes, aktives Informationsmanagement ein Garant das Audit zu bestehen. Seien Sie einfach richtig vorbereitet.

 

Eine professionelle Auditvorbereitung

Die beste Vorbereitung mit Blick auf Dokumentation ist ein lebendes Informationsmanagement. Schwierig wird es im Audit immer, wenn die Dokumentation erst unmittelbar vor dem Zertifizierungsaudit erstellt und freigegeben wurde. Wenn dann dem Auditor wenig abgestimmte und in der Organisation unbekannte Dokumente vorgelegt werden, ist das Ergebnis vorhersehbar.

 

Dokumentation für eine konstruktive Auditsituation im externen Audit

Ein zentraler Grundsatz vor allem bei einem externen Audit lautet: „Der erste Eindruck kann entscheidend sein“. Der wird durch Art, Umfang und Qualität der Dokumentation maßgebend geprägt. Wichtige Kriterien für diesen positiven ersten Eindruck in Bezug auf Dokumentation sind:

  • Offene Beantwortung aller Fragen zur IT auf Basis von Dokumentation
  • Der Auditor darf Mitarbeiter der IT direkt ansprechen und die kennen die Dokumentation und arbeiten nach den aufgestellten Regeln
  • Keine Vertuschung oder falschen Angaben zur Vollständigkeit der Dokumentation
  • Ansprechpartner stehen wie im Auditplan vorgesehenen zur Verfügung und sind vertraut mit der Dokumentation

 

Audit Vorbereitung

Die Vorbereitung auf einen IT-Audit ist ein kontinuierlicher Prozess und in die täglichen Aufgaben und Prozesse der IT Organisation fest eingebunden. Idealerweise entfällt dann der Einmalaufwand beim IT-Audit.
Solche Vorbereitungen umfassen zum Beispiel:

  • Integration der gesamten IT Organisation in das IT Informationsmanagement, vor allem auch der Führungskräfte. Machen Sie Ihre Organisation vertraut mit der Dokumentation und bringen Sie alle Ebenen dazu, einen Beitrag zu leisten.
  • Continuous Documentation Improvement: Sorgen Sie für regelmäßige, kontinuierliche Anpassung und Verbesserung der Dokumentation. Das verringert Aufwände und erspart Neuerstellen zum ungünstigsten Zeitpunkt.
  • Regelmäßige Bewertung der Dokumentation und Abgleich mit der Infrastruktur und den Prozessen ist hilfreicher als gelegentliche Durchführung vollständiger Reviews (internen Audits) der Dokumentation.

 

Checkliste

#1  Kennen Sie Ihre IT wirklich?

Sie sollten ihre IT wirklich kennen. Auditoren prüfen immer genauer und entdecken Widersprüchlichkeiten fast immer.
Eine gute Online-Dokumentation hilft Ihnen bei nahezu allen Fragestellungen. Nichts beeindruckt in einer Prüfung mehr als dass Sie unmittelbar die erfragten Informationen bereitstellen können.

#2  Audits Ihrer Service Suppliers sind ein kritischer Punkt

Täusche Sie sich nicht: die Leistungen Ihrer Supplier sind auditrelevant. Kennen die Ihre Policies und halten sich daran? Wie prüfen Sie das? Welche Dokumentation über deren Services steht Ihnen zur Verfügung? Wie sind Lieferanten in Ihr Informationsmanagement eingebunden?

#3  Zeigen Sie auf, dass Sie standardisierte Prozesse in der IT haben und entsprechende Arbeitsanweisungen etabliert haben

Auditoren lieben Automatisierung und schauen bei manuellen Abläufen gerne genauer hin. Vieles lässt sich aber nicht mit wirtschaftlich vertretbarem Aufwand automatisieren. Zeigen Sie auf, dass Sie Ihre Policies ernst nehmen und mit Arbeitsanweisungen für die kritischen Bereiche eine einheitliche und Policy-getreue Arbeitsweise Ihrer Teams auch bei nicht automatisierten Aufgaben sichern (Work Instructions).

#4  Der Umgang mit Ausnahmen

Ihre IT ist hoch standardisiert und automatisiert. Dennoch gibt es Anwendungen und Systeme für die Ausnahmen gelten. Beispielsweise benötigen diese veraltete Software Releases oder einen unzureichenden Patch Level.
Zeigen Sie auf, wie Sie mit solchen Ausnahmen umgehen und dokumentieren Sie genau, warum das im Einzelfall so sein muss und welche Maßnahmen Sie deshalb zusätzlich ergriffen haben.

#5  Handeln Sie bei unzureichender Dokumentation schnell genug

Wenn Sie beim Audit aufgrund von Dokumentationsmängeln durchfallen, müssen Sie schnell reagieren können. Sie müssen aufzeigen können, dass Sie in Ihrer Organisation die Bereitschaft und vor allem auch die Kompetenz haben, hier schnell qualitativ hochwertige Lösungen zu schaffen.

#6  Betrachten Sie ein IT-Audit als das was es sein sollte: Ein professioneller Input für Ihre IT und die IT Dokumentation

Sehen Sie es einfach mal positiv: Ein Auditor ist wie ein Zahnarzt – auf Dauer kann er sehr hilfreich sein. Betrachten Sie den Auditor einfach als einen weiteren Stakeholder und beziehen Sie ihn frühzeitig ein. Auch hier gilt: Vorsorge ist besser als bohren.
Auditoren haben in der Regel Erfahrung und kennen Standards sowie Best Practices. Das kann nützlicher Input sein, gerade wenn es um Prozesse und Security-Fragen geht.

#7  Ihre Teams kennen sich aus und sind auf Fragen gut vorbereitet

Ihre Teams sind dann am besten vorbereitet, wenn Sie ein funktionierendes Informationsmanagement etabliert haben. Dann kennen Ihre Mitarbeiter die IT Prozesse, und arbeiten kontinuierlich an der Optimierung von Abläufen und der Dokumentation. Dann ist das Audit so wie es der Besuch beim Zahnarzt sein sollte: ein kurzer Check ohne Behandlung.

#8  Betreiben Sie Informationsmanagement und keine „Single Purpose Documents“

Dokumentation speziell für ein Audit zu erstellen ist nicht nur sehr aufwändig, sondern im Zweifel auch riskant. Solche „Single Purpose Documents“ werden schnell als das entlarvt, was sie sind: Schnell erstellte Dokumente, die mit der gelebten Praxis wenig übereinstimmen und in der Organisation auch nicht bekannt sind. Fragt ein Auditor gezielt nach, reagieren Mitarbeiter in der Regel verunsichert. Sie merken, es zieht sich durch: Einmaliges Zähneputzen vor dem Zahnarztbesuch hilft eben nicht wirklich.

#9  Mit Informationsmanagement die Komplexität managen

IT wird immer komplexer, und interne Richtlinien sowie interne Prozesse werden in gleichem Maße umfangreicher. IT Informationsmanagement ist der Weg, diese Komplexität so zu managen, dass zum einen Ihre Mitarbeiter die Komplexität weiterhin verstehen und beherrschen, und zum anderen der Aufwand für Dokumentation nicht selbst zum Problem wird.
Hierbei gilt: Je schlanker die IT Richtlinien und IT Prozesse eines Unternehmens sind, desto besser lassen sie sich umsetzen und desto erfolgreicher bestehen Sie ein Audit in der IT.

#10  IT Continuity und DR genau beschreiben

Disaster Recovery ist einer der zentralen Punkte im IT-Audit. Die Wiederherstellung von IT Systemen wird beispielsweise bei Finanzdienstleistern durch unterschiedliche regulatorische Vorschriften verlangt. Beschreiben Sie die Prozesse genau und achten Sie für ein Audit darauf, dass diese Prozesse in der Organisation bekannt sind, dass zumindest der schnelle Zugriff aller auf die aktuellen Versionen gewährleistet ist.

 

Summary

IT ist komplex. Die Integration von Cloud Services sowie die steigende Anzahl von Service Providern erhöhen die Anforderungen an Sie in einem IT-Audit immer mehr. IT Informationsmanagement ist ein Weg aus der IT-Auditfalle. Oder, um im Bild zu bleiben: IT Informationsmanagement ist Schmerzvermeidung.
Daneben sparen Sie auch noch viel Geld und schaffen strategischen Mehrwert.

10 Tipps wie Sie IT-Audits meistern (PDF)
Dokumentation vermeidet Schmerzen

Haben Sie weitere Fragen? Wir beraten Sie gerne: marketing@avato.net

Impressum: 
Datum: Juni 2019
Autoren: Gregor Bister, Jennifer Gitt
Kontakt: marketing@avato.net
www.avato-consulting.com
© 2019 avato consulting ag
All Rights Reserved.