10 Wege in die IT-Audit-Hölle

Ein IT-Audit kann diabolische Folgen haben. Wenn Sie keine Lust auf einen Trip in die Untersuchungs-Hölle haben, sollten Sie diese Fehler unbedingt vermeiden. [...]

5. IHRE MITARBEITER SIND NICHT AUF INTERNE AUDITS VORBEREITET
Ohne Vorbereitung oder Führung dürfte ein Audit für Ihre Mitarbeiter eine eher beunruhigende Erfahrung werden. Davenport plaudert aus dem Nähkästchen: „Ein interner Audit soll dem Unternehmen dabei helfen, erfolgreich zu sein. Ich erkläre meinen Mitarbeitern, dass die Auditoren einen Job zu erledigen haben und wir sie dabei bestmöglich unterstützen müssen.“
Dieser Ansatz lässt sich zusätzlich unterfüttern, wenn Sie veranlassen, dass erfahrene Mitarbeiter die eher Unerfahrenen in Sachen Audit-Anforderungen auf den Stand der Dinge bringen. Dieser informelle Ansatz ist manchmal jedoch nicht genug. Sie sollten deshalb in Erwägung ziehen, sich auch regelmäßig mit dem internen Audit-Verantwortlichen auszutauschen.
Video: The IPPF: The Framework for Internal Audit Effectiveness 4. SIE HABEN KEIN AUDIT MANAGEMENT
Wenn Ihre Mitarbeiter im Gespräch mit einem Auditor unsicher oder gar angsterfüllt wirken, sind die Chancen auf einen reibungslosen Ablauf der Untersuchung ebenfalls eher gering. Ein Weg zur Besserung: Betrauen Sie einen oder mehrere Mitarbeiter mit der Aufgabe des Audit Managements.
„Als bei Hilton die heiße Phase angebrochen ist, waren viele unserer Mitarbeiter unsicher, wie mit Audit-Fragestellungen umzugehen ist. Daraufhin haben wir zwei neue Leute an Bord geholt, die seitdem für das Audit Management verantwortlich zeichnen und darin auch entsprechende Erfahrungen vorzuweisen hatten. Die beiden machen einen tollen Job und haben den Audit-Prozess für uns erheblich leichter gemacht“, erzählt Leidinger.
3. AUDITOREN SIND IHR NATÜRLICHER FEIND
Wenige Menschen sind erfreut, wenn Sie hören, dass in ihrer Abteilung ein Audit ansteht. Wer will schon freiwillig seine Arbeit und seine Mitarbeiter „durchleuchten“ lassen?
Auditoren als Feinde zu betrachten, führt allerdings nur zu weiteren Problemen. Das weiß auch der Hilton-CTO: „In vielen Fällen gleichen die Auditoren unsere Prozesse mit bekannten Standards und Best Practices ab. Diese Einschätzung hilft uns dabei, unsere Prozesse zu validieren. Als wir unsere Organisation auf agile Methoden umgestellt haben, hat der Audit uns dabei geholfen diesen Übergang erfolgreich zu gestalten.“
Ihre Mitarbeiter fit für den IT-Audit zu machen, spielt eine bedeutende Rolle bei der Erzielung positiver Ergebnisse. Möglich ist das aber nur, wenn Sie die Auditoren als Partner statt als Gegenspieler betrachten. Letztendlich befindet sich Ihr Unternehmen in einer Phase der Transformation und ein Audit kann einen Weg darstellen, Erfolge zu messen. Der Audit hat gar das Potenzial zur Ressourcen-Schaffung, falls die Auditoren zu der Überzeugung kommen, dass die gesteckten Ziele nur so zu erreichen sind.
2. SIE HABEN ZU KOMPLEXE POLICIES UND PROZESSE
Sobald ein Unternehmen eine gewisse Größe erreicht, werden Richtlinien und die Einrichtung von Prozessen unumgänglich, um das Wachstum managen zu können. Dennoch könnten Ihre Mitarbeiter Probleme damit haben, diesen Anforderungen gerecht zu werden. Das war offenbar auch im Hause Hilton der Fall, wie Leidinger preisgibt: „Unser Unternehmen hat vor einigen Jahren große Anstrengungen unternommen, als es um die Vereinfachung der Richtlinien ging. Wir wollten unsere Policies konsolidieren und verständlicher gestalten. Durch den Abbau der Richtlinien-Hürden sind positive Ergebnisse bei einem Audit nun leichter zu erreichen.“
Die Verschlankung der Richtlinien und Prozesse eines Unternehmens ist kein leichtes Unterfangen. Es ist wahrscheinlich, dass hierzu die Expertise aus mehreren Abteilungen erforderlich ist – inklusive Compliance, Buchhaltung, Audit und HR. Alternativ könnten Sie sich auch dazu entschließen, nur die Policies im Bereich Technologie anzupassen.
1. AUSNAHMEN SIND BEI IHNEN DIE REGEL
Die meisten Unternehmens-Richtlinien beinhalten auch einen Prozess, um Ausnahmen von der Regel möglich zu machen. Für Auditoren stellen diese Abweichungen eine Herausforderung dar. John Ray nennt ein Beispiel in Zusammenhang mit der Instandhaltung von Software: „Kürzlich musste sich einer unserer Kunden mit Fragen über seine Methoden zum Patchen von Software auseinandersetzen. Es gab zwar einen Dokumentationsprozess, aber einige Details waren nicht spezifiziert. Das wiederum wurde zum Problem, weil die Anwendung eines Security-Patches dazu geführt hätte, dass die Applikationzusammenbricht. Der Auditor wollte deswegen mehr darüber erfahren, wie Ausnahmen in den Prozessen gehandhabt werden.“
Eine verzögerte Installation von Sicherheitsupdates sorgt für erhöhte Risiken – es lohnt sich also, den Grund für die Patch-Verzögerung zu dokumentieren.
FAZIT: DER IT-AUDIT IST IHR FREUND!
Um die Ergebnisse Ihres Audits zu verbessern, sollten IT-Entscheider also diese Prinzipien verinnerlichen:

  • Erkennen Sie den Mehrwert, den Auditoren dem gesamten Unternehmen bringen können
  • Entwickeln Sie interne Prozesse, um die Audit-Aktivitäten zu managen
  • Bauen Sie eine fortlaufende Geschäftsbeziehung zu der Auditoren-Gruppe auf

Um es mit den Worten von Hilton-CTO Leidinger auszudrücken: „Sie sollten den Audit als weiteren Stakeholder betrachten, der Perspektiven eröffnet, die Sie bei Ihrer Arbeit miteinbeziehen müssen.“
Dieser Artikel basiert auf einem Beitrag der US-Publikation cio.com.
Video: Life of an Auditor *Bruce Harpham ist Autor der US-Publikation cio.com und Florian Maier beschäftigt sich für die computerwoche.de unter anderem mit dem Themenbereich IT-Security


Mehr Artikel

News

Künstliche Intelligenz kommt auf Endgeräten an

Das Jahr 2025 wird an vielen Stellen für Umbrüche und Neuerungen sorgen. Ein genereller Trend ist dabei der weiter greifende Einsatz von KI-Funktionen: Unternehmen werden immer mehr Anwendungsfälle erkennen sowie implementieren – und dabei auch verstärkt auf lokale KI-Ressourcen und On-Prem-Hardware zurückgreifen. […]

News

7 KI-Trends, die das Jahr 2025 prägen werden

2025 wird wegweisend für die Weiterentwicklung der Künstlichen Intelligenz. Experten weltweit arbeiten daran, KI praxisnäher, präziser und vertrauenswürdiger zu machen. Mit besonderem Blick auf Datenarbeit skizziert Michael Berthold, CEO von KNIME, sieben wichtige Trends. […]

Florian Brence, Partner bei Deloitte Österreich (c) Deloitte
News

Diese Trends bestimmen die Tech-Welt 2025

Deloitte-Analyse: Auch wenn der erste mediale Hype vorbei ist, wird vor allem das Thema Generative Artificial Intelligence (GenAI) den Markt in den kommenden Monaten aufmischen. Die Branche muss sich auf einen Umbruch einstellen, der neben Chancen und Potenzialen auch einige Herausforderungen bringen wird. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*