Auditierung

Sowohl im Rahmen eines Informationssicherheits-Managementsystems (z. B. gemäß ISO 27001 oder BSI Grundschutz) als auch in der Datenschutz-Organisation gemäß Datenschutz-Grundverordnung (DSGVO) ist eine kontinuierliche Verbesserung und die Rechenschaftspflicht elementar. Aber fordern diesen Datenschutz- und Informationssicherheits-Normen auch die Überprüfung der Lieferanten bzw. Dienstleister im Hinblick auf die Einhaltung der Vorgaben.

Gestaltung eines Audits

Hierbei ist ein Audit zentrales Element und unverzichtbar. Das Audit ist ein

  • systematischer (erforderlich für die effiziente Durchführung)
  • unabhängiger und unparteilicher (Integrität der Ergebnisse bzw. unbeeinflusst)
  • objektiver (Vergleichbarkeit)
  • und dokumentierter Prozess (Nachweisbarkeit).

Probleme bei der Umsetzung

Die Umsetzung stellt nicht wenige Unternehmen und Behörden im Hinblick auf

  • Expertise (u.a. Fachkompetenz),
  • Erfahrung (für Effektivität maßgeblich),
  • Kapazitäten (in Punkto Personal und Budget) und
  • Werkzeugen (für Effizienz und Integrität wichtig)

vor Probleme, zumal das Durchführen nicht nur das bloße Abhaken von Checklisten ist. Vielmehr muss der Auditor kritisch hinterfragen, fachlich beurteilen und ggf. Optimierungspotentiale aufzeigen. Dies erfordert nicht nur fachliche Kompetenzen, sondern auch methodische Fähigkeiten und soziale Skills.

Auch ist es oftmals eine Herausforderung, wenn aufgrund der geringen Mitarbeiteranzahl die Unabhängigkeit des internen Auditors vom Auditee (also dem auditierten Bereich) sowie der Tätigkeit, die der Auditor innerhalb des Unternehmens wahrnimmt, nicht gewährleistet ist (Hintergrund: Der Mitarbeiter ist nicht Vollzeit-Auditor im Unternehmen). Ferner ist es oftmals problematisch, wenn diejenigen, die das ISMS oder DSMS aufgebaut haben, dieses System auch auditieren sollen (Stichwort: "Bock zum Gärtner machen").

Ergo: Es stellt sich die Frage, welche Personen von der Kompetenz, der Kapazität und der sonstigen Rolle im Unternehmen auditieren kann.

Mehrwert durch die UIMCert

Ein durch die UIMCert durchgeführtes Audit, dass wir neben der Bestätigung einer Normenkonformität (unabhängig, ob gemäß ISO oder DSGVO) auch Verbesserungsvorschläge für eine gesteigerte Effektivität und Effizienz liefern können. Ein Auditor der UIMCert ist stets unparteilich und kann durch die "geliehene Autorität" eines Externen wesentlich zielgerichteter auftreten als ein (interner) Kollege.

Auch bringen unsere Auditoren umfassende Erfahrungen, breites wie tiefes Fachwissen und Methoden-Know-How mit. So haben wir bspw. auch zertifizierte BSI-Grundschutz-Auditoren in unseren Reihen (und die UIMCert ist bei der DAkkS akkreditiert).

Darüber hinaus ist die UIMCert in der Durchführung erfahren und effizient. Auch die Erstellung eines aussagekräftigen Berichts erfolgt schnell und umfassend; Maßnahmenempfehlungen können auch gegeben werden. Durch eine quantitaive Auswertung können ferner Tendenzanalysen und ein Benchmarking durchgeführt.

Die UIMCert kann hierbei unterstützen!

Lieferantenauditierunginterne Audits