Sollten Sie zum ersten Mal über den Begriff des internen Auditors stolpern, so sind Sie wahrscheinlich verwirrt. Warum sollte ich eine weitere Maßnahme benötigen? Wer wird das bezahlen? Wen sollte ich einstellen, um es zu tun? Es ist eine solche Zeitverschwendung …
Nun, so schlimm muss es nicht sein – neben der Einhaltung der Normen ISO 27001 und BS 25999-2 können interne Audits für Ihre weiteren Geschäfte (ob im Zusammenhang mit Informationssicherheit und betrieblichem Kontinuitätsmanagement oder nicht) recht nützlich sein.
Der springende Punkt bei internen Audits ist, dass sie Probleme auftreten sollten, die ansonsten verborgen bleiben und somit das Geschäft beeinträchtigen würden. Seien wir realistisch – es ist menschlich, Fehler zu machen. Daher ist ein fehlerfreies System unmöglich zu erzielen. Es ist jedoch möglich, ein System zu führen, das sich selbst verbessert und aus seinen Fehlern lernt. Interne Audits sind ein wichtiger Teil eines solchen Systems.
Es gibt mehrere Möglichkeiten, um interne Audits durchzuführen:
- Stellen Sie einen internen Vollzeitprüfer ein – dies ist nur für größere Unternehmen geeignet, die genug Arbeit für eine solche Person (einige Unternehmen – z. B. Banken – sind gesetzlich verpflichtet, solche Positionen zu besetzen)
- Stellen Sie einen internen Teilzeitprüfer – dies ist der häufigste Fall. Die Unternehmen greifen auf ihre eigenen Mitarbeiter zurück, die neben ihren regulären Arbeitsaufgaben interne Audits durchführen. Auf eine wichtige Sache sollten Sie achten: Um Interessenkonflikte zu vermeiden (die Prüfer können nicht ihre eigene Arbeit überprüfen), sollte es mindestens zwei interne Prüfer geben, so dass einer die reguläre Arbeit des anderen überprüfen kann.
- Stellen Sie einen internen Prüfer von außerhalb des Unternehmens ein – selbst wenn dies keine Person ist, die im Unternehmen beschäftigt ist, wird dies noch als internes Audit angesehen, weil dieses vom Unternehmen selbst nach seinen eigenen Regeln durchgeführt wird. Normalerweise geschieht das Audit durch eine Person durch eine in diesem Bereich kenntnisreiche Person (unabhängiger Berater usw.).
Aber aus meiner Erfahrung als Auditor ist die traurige Wahrheit, dass die meisten Organisationen nur interne Audits durchführen, um damit der Zertifizierungsstelle zu genügen. Das Ergebnis solcher interner Audits sind ein paar Nichteinhaltungen, welche die wirklichen Probleme des Informationssicherheits-Managementsystems (ISMS) oder des betrieblichen Kontinuitätsmanagements (BCMS) nicht tangieren. Es ist eine Zeitverschwendung – wenn Unternehmen die Zeit ihrer internen Auditoren investieren, dann sollten sie auch einige Vorteile daraus ziehen.
Aber wie werden interne Audits richtig vorbereitet? Hier ein paar Gedanken:
- Das Management sollte das interne Audit als eines der besten Werkzeuge ansehen, um das System zu verbessern, und nicht nur als Hilfsmittel, um zertifiziert zu werden.
- Der interne Auditor sollte qualifiziert sein – das bedeutet, dass er/sie Erfahrung in den Bereichen Informationssicherheit, Informationstechnologie und Auditing-Techniken haben muss. Das bedeutet nicht, dass der Auditor ein Experte auf diesem Gebiet sein muss.
- Das interne Audit sollte auf eine positive Weise durchgeführt werden – das Ziel sollte es sein, Ihr System zu verbessern und nicht etwa, die Mitarbeiter für ihre Fehler verantwortlich zu machen.
Auf der positiven Seite habe ich als Zertifizierungsbeauftragter einige Unternehmen erlebt, die interne Audits korrekt durchgeführt haben. Obwohl ihre Mitarbeiter sich immer ein wenig unwohl fühlen, dass jemand ihre Tätigkeiten überprüft, haben sie sehr schnell die Vorteile dieser Methode erkannt: Probleme wurden transparent und wurden recht schnell gelöst.
Erfahren Sie, wie Sie eine interne Prüfung mit diesem ISO 27001 Internal Auditor Online Course durchführen.