Planung eines internen Audits

In diesem Beitrag beschäftigen wir uns um die Planung und die Vorgaben bzw. Kriterien für ein internes Audit.

Allgemeine Vorgaben und Kriterien

Unabhängiges Audit: Der jeweilige Managementbeauftragter darf sich nie selber auditieren. Dies bedeutet für die ISO/IEC 27001, das der ISB die Kapitel 9-10 der Norm (HLS) nicht selbst auditieren darf. Auch der DSB kann aufgrund der Nähe zum ISMS als befangen gelten. Für die ISO 9001 gilt die Kapitel 4-7, 9-10 dürfen nicht durch den QMB auditiert werden.

Hat ein Unternehmen ein integriertes Managementsystem aus mehr als einer Norm (z. B. ISO/IEC 27001 und ISO 9001) so sind beide Beauftragten befangen. Oft bleibt es nicht aus, dass man keine Lösung für dieses Problem im Unternehmen findet und muss das interne Audit auslagern. Wie bieten für die folgenden Normen interne Audits an: ISO/IEC27001, TISAX, ISO 9001

Auditprogramm: Für die ISO/IEC 27001 gilt das die Kapitel 4-10 jedes Jahr und der Annex, auf die 3 Jahre verteilt werden darf. Bei einer erst Zertifizierung und bei einer Umstellung müssen alle Kapitel geprüft werden.

Die folgende Tabelle zeigt eine mögliche Aufteilung der Themen/ Prozesse aus dem Annex A.

Prozesse/ Themen	Kontrollen	1 Jahr	2 Jahr	3 Jahr
HLS (ISMS)	4-10	x	x	x
Governance	A 5.1, A 5.2, A 5.3, A 5.4, A 5.5, A 5.6, A 5.8	x	x	x
Personal Management	A 6.1, A 6.2, A 6.3, A 6.4,6.5, A 6.6	x
Information protection	A 5.12, A 5.13, A 5.14, A 5.33		x
Asset Management	A 5.9, A 5.10, A 5.11, A 7.10, A 7.14, A 8.1			x
Threat intelligence, Management of technical vulnerabilities	A 5.7, A 5.33, A 8.7, A 8.8, A 8.12, A 8.15, A 8.34	x
IT Service Management/ Change-Management	A 5.37, A 8.9, A 8.19, A 8.31, A 8.32, A 8.33		x
Information backup	A 8.13			x
Identitäts- und Zugangsmanagement	A 5.3, A 5.16, A.5.17, A 5.18, A 8.2, A 8.3, A 8.4, A 8.5, A 8.18	x
Kryptografie	A 8.24		x
Physische und umgebungsbezogene Sicherheit	A 5.15, A 7.1, A 7.2, A 7.3, A 7.4, A 7.5, A 7.6, A 7.7, A 7.8, A 7.9, A 7.11, A 7.12, A 7.13	x	x	x
System and Networksecurity	A 6.7, A 8.6, A 8.20, A 8.21, A 8.22, A 8.23, A 8.26			x
Softwareengeneering	A 8.4, A 8.11, A 8.25, A 8.26, A 8.27, A 8.28, A 8.29, A 8.30, A 8.31, A 8.33	x
Suppliermanagement	A 5.19, A 5.20, A 5.21, A 5.22, A 6.6		x
IS-Ereignisse und Vorfälle	A 5.24, A 5.25, A 5.26, A 5.27, A 5.28, A6.8, A 8.16, A 8.17			x
BCM	A 5.29, A 5.30, A 8.14	x
Compliance	A 5.3, A 5.32, A 5.34, A 5.35, A 5.36, A 8.10, A 8.11		x
Cloud Services	A.5.23			x

Für die ISO 9001 muss das QMS jedes Jahr und die Prozesse können über die drei Jahre verteilt werden.

Prozesse/ Themen	Kontrollen	1 Jahr	2 Jahr	3 Jahr
HLS (QMS)		x	x	x
HR		x
Einkauf			x
Marketing/ Vertrieb				x
Buchhaltung		X
Produktion			X
IT				x

Befähigung der Auditoren: Das Unternehmen muss sicherstellen, dass die Auditoren die ausreichenden Schulungen haben, um das Managementsystem zu prüfen.

Für die ISO/IEC 27001sollten die folgenden Vorgaben gelten:

Ausbildung bzw. Studium in der IT/ Wirtschaftsinformatik
Berufserfahrung in der IT
Weiterbildung als Auditor
Weiterbildung für die jeweilige Version der Norm.

Für die ISO 9001 sollten die folgenden Vorgaben gelten:

Ausbildung bzw. Studium im kaufmännischen Bereich
Berufserfahrung im kaufmännischen Bereich
Weiterbildung als Auditor
Weiterbildung für die jeweilige Version der Norm.
Weiterbildung im Bereich Prozessmanagement

Auditdokumentation: Zum internen Audit gehört eine aussagefähiger Auditdokumentation.

Auditplan:

Geprüfte Standorte
Geprüfte Prozesse
Geprüfte Normpunkte
Geprüfter Standard inkl. der Version
Start und Ende der Audittage
Name und Kompetenz des Auditors
Name der Ansprechpartner

Auditbericht:

Informationen zum Unternehmen
Geprüfter Standard inkl der Version
Start und Ende des Audits
Beschreibung der Abweichungen und Empfehlungen
Beschreibung der Umsetzung des Managementsystems