Internes Audit an der FH St. Pölten Auditprozessdarstellung und Beschreibung

Transkript

1 Internes Audit an der FH St. Pölten Auditprozessdarstellung und Beschreibung

2 Inhaltsverzeichnis zum Auditprozess 1 INPUT Begriff, Definitionen, Zweck: Ablauf des Audits Planung der Audits Vorbereitung des Audits VORBEREITUNG DURCHFÜHRUNG Erfassen und Verifizieren von Informationen NACHBEREITUNG Erarbeiten von Auditfeststellungen Erarbeiten der Auditschlussfolgerungen / Bewerten des Audits Abschlussbesprechung Auditbericht / Erstellung Auditfolgemaßnahmen Umsetzung kontrollieren OUTPUT Seiten 2-9

3 1 INPUT o Willige Mitarbeiter o Vorwissen o Aktuelle Daten/Bedrohungen o Bekannte (mögliche) Schwachstelle à MA (Sichtweise hinsichtlich IS miteinbeziehen)/wissensstand o Zielsetzung (zeitlich, aktuellen Stand ermitteln) o Entsprechende/passende Normen o Checkliste aus o Grundschutz o Frühere Audits o Vorgefertigt Checklisten für bestimmte Bereiche (IT verschiedenste Bereiche, Haustechnik, Sicherheit allge. ) o Eigens zusammengestellte Checkliste o Ergebnisse aus vergangenen Audits 1.1 Begriff, Definitionen, Zweck: Ein Audit ist eine systematische und unabhängige Überprüfung um festzustellen, ob Tätigkeiten und damit zusammenhängende Ergebnisse der zuständigen Bereiche / Abteilungen mit den vorgesehenen Vorgaben/Anforderungen übereinstimmen und ob diese Vorgaben/Anforderungen so wirksam umgesetzt werden und ausreichend geeignet sind, dass die gesetzten Qualitäts-, Sicherheits-, und Wirtschaftlichkeitsziele erreicht werden. 1.2 Ablauf des Audits o Planung des Audits o Vorbereitung des Audits o Durchführung des Audits Einführungsgespräch Erfassen und Verifizieren von Informationen Mängel aufzeigen danach suchen Erarbeiten von Auditfeststellungen Erarbeiten der Auditschlussfolgerungen / Audit bewerten Abschlussbesprechung Seiten 3-9

4 o Nachbereitung des Autits Auditbericht Auditfolgemaßnahmen Umsetzung kontrollieren 1.3 Planung der Audits Die für die Planung der Audits verantwortliche Person oder Stelle muss benannt werden. Audits sind regelmäßig in geplanten Zeitabständen durchzuführen oder können ausserplanmäßig aufgrund eines konkreten Anlasses durchgeführt werden. Das Audit kann Schwerpunkte setzen, auf einen spezifischen Zweck gerichtet sein und unterschiedlichen Umfang haben, z.b. Auditieren von Teilbereichen, Organisationseinheiten oder Auditieren von einzelnen Verfahren. Insgesamt müssen die durchgeführten Audits eine ausreichende Abdeckung aller relevanten Tätigkeitsbereiche über einen festgelegten Zeitraum gewährleisten. Insofern empfiehlt es sich, einen Auditjahresplan aufzustellen. Die Planung umfasst im Wesentlichen folgende Schritte: Terminierung der Audits Benennung des Auditteam-Leiter und Auditteam in Abhängigkeit vom Auditumfang Festlegung von Gegenstand und Umfang der Audits Festlegung der Auditkriterien Überprüfung, ob existierende Regelungen und Vorgaben eingehalten werden Überprüfung der Wirksamkeit des Managementsystems (Stärken und Schwächen aufzeigen) Ermittlung von Verbesserungsmöglichkeiten Feststellung der zeitlichen und organisatorischen Durchführbarkeit des Audits in Absprachen mit allen Beteiligten. 1.4 Vorbereitung des Audits Audit bei der zu auditierenden Organisationseinheit / Abteilung konkret ankündigen. Prüfung der Dokumentation: Vorbereitung auf die Audittätigkeiten vor Ort: o Erstellung des Audit-/ Detailplans o Vorbereitungsteam zusammenstellen setzt sich wie folgt zusammen: Controlling, GF, FH-Kollegium, QM o Scoping (Umfang festlegen) o Recherchen o Erfassen von Risiken o Regelmäßige Zusammenkünfte des entsprechenden Teams o Globale Ziele setzen / globales Scoping Seiten 4-9

5 Auditzyklus festlegen Zeitplan für Vorbereitung Team definieren welches die VB plant und definiert o KVP (Kontinuierliche Verbesserungsprozess) o Plan Do Check Act o Lokalisieren aller externen Firmen welche sich regelmäßig im Gebäude aufhalten. o Auditoren festlegen, bewerten (eventuell in die Vorbereitung mit einbeziehen) o Aufgabenverteilung im Auditteam o Vorbereitung von Arbeitsdokumenten: Die Mitglieder des Auditteams sollten die Informationen prüfen, die für ihre Auditaufgaben relevant sind und entsprechende Arbeitsdokumente als Referenz und zur Aufzeichnung der Audittätigkeiten vorbereiten. Solche Arbeitsdokumente sind zum Beispiel Checklisten. 2 VORBEREITUNG (6 Monate) o Scoping o Recherchen o Nicht Bequemlichkeit vor Sicherheit o Erfassen möglicher Risiken (Objekten) o Abhängigkeit zwischen den einzelnen IS Objekten Was ist schon vorhan den? Was ist im ISMS bereits definiert? ermitteln è und welche Risiken sich dadurch ergeben o IS Anforderungen definieren o 1 Monat vorher Verantwortliche/Betroffene informieren o Checklisten erstellen o Erstellen von Auditorenlisten interne Mitarbeiter/externe Auditoren/CIS o Bekannte Schwachstellen/Fehler beheben o Was wird geprüft ISMS /ISO27001 o Festlegen nach welchen Normen geprüft wird - ISMS ISO o To Do Liste erstellen o Durchführungsplaning (Wie viele Auditoren/Assistenten?) Seiten 5-9

6 o Sensibilisierung in Sicherheitsaspekten o Firmenpolicy miteinbeziehen o Management Review des letzten Jahres miteinbeziehen 3 DURCHFÜHRUNG Interner Audit (vorher bekannt) o Durchführung des IS-Audits durch IS-Verantwortliche, Leute aus dem QM (und eventuell Geschäftsführung und Controlling) o Checkliste abarbeiten o Begehung (Betriebsbedienungen, Ausrüstungen) o Anforderungen ermitteln o Laut Checkliste verfahren o Abhängig davon nach welchen Normen geprüft wird o Personen befragen à nachforschen (Probleme lokalisieren) o Technische Seite à ISMS à QM o Keine Ausnahmen zulassen, nicht gutgläubig sein o Konsequent nach Plan/Check-Liste vorgehen o Nicht Bequemlichkeit vor Sicherheit o Alle Möglichkeiten in Betracht ziehen bzw. im Hinterkopf behalten o Eventuell Notfallszenario durchspielen àstrom/generator/netzwerkinfrastruktur/internetanbindung o Unterlagensicherung (Vollständigkeit/Nachvollziehbarkeit) o IS-Policy ständig bei der Hand haben 3.1 Erfassen und Verifizieren von Informationen Im Verlauf des Audits werden Informationen in Bezug auf den Auditgegenstand, den Auditumfang und die Auditkriterien, einschließlich Informationen, die sich auf Schnitt Seiten 6-9

7 stellen zwischen Funktionsbereichen, Tätigkeiten und Prozessen beziehen, durch angemessene Stichproben erfasst und verifiziert. Nur verifizierbare Informationen können Auditnachweise sein. Auditnachweise sind schriftlich zu dokumentieren. 4 NACHBEREITUNG o Abhängigkeiten der Ergebnisse zueinander ermitteln o Erkannte Probleme aufzeigen bzw. Verantwortliche lokalisieren à Konsequenzen o Ergebnisse in KVP einbeziehen o Erkenntnisse in der internen Life Cycle Processe einbinden o Nicht definierte Verantwortlichkeiten definieren o Team welches die Ergebnisse auswertet und an die entsprechende Abteilungen weiterleitet o Ziele für das nächste Audit stecken o Vergleich mit Mile-Stone Vorgaben o Auditeinführung bewerten à Verbesserungen für nächstes Audit o Kontrollieren, ob die Audit-Vorbereitungen ausgearbeitet waren o Ergebnisse mit Hilfe der IS-Policy auswerten o Auswertungen/Ergebnisse dokumentieren 4.1 Erarbeiten von Auditfeststellungen Die Auditnachweise werden mit den Auditkriterien abgeglichen, um Auditfeststellungen zu erarbeiten. Auditfeststellungen können entweder auf Übereinstimmung oder Nichtübereinstimmung mit Auditkriterien hinweisen Seiten 7-9

8 4.2 Erarbeiten der Auditschlussfolgerungen / Bewerten des Audits Das Auditteam tritt vor der Abschlussbesprechung zusammen, um: die Auditfeststellungen (Abweichungen) zu bewerten, die Auditschlussfolgerungen zu ziehen, ggf. Empfehlungen zu erarbeiten und Auditfolgemaßnahmen festzulegen. 4.3 Abschlussbesprechung Zum Abschluss des Audits führt das Auditteam eine Besprechung mit den jeweils verantwortlichen Personen sowie mit der Leitung der Organisationseinheit durch. Die Feststellungen, einschließlich der Abweichungen, sind eindeutig zu formulieren. Die Auditoren haben dabei die Feststellungen entsprechend ihrer Bedeutung sowie eine Gesamtbewertung abzugeben. 4.4 Auditbericht / Erstellung Der Auditbericht stellt eine vollständige, genaue, kurzgefasste und eindeutige Aufzeichnung des Audits dar und umfasst bzw. verweist mindestens auf Folgendes: Gegenstand des Audits; Auditumfang, besonders die Angabe der Organisations- und Funktionseinheiten oder der Prozesse, die auditiert wurden, sowie des überprüften Zeitraums; Nennung des Leiters und der Mitglieder des Auditteams; Termine und Orte, an denen das Audit vor Ort durchgeführt wurde; die Auditkriterien; die Auditfeststellungen; die Auditschlussfolgerungen. 4.5 Auditfolgemaßnahmen Die Schlussfolgerungen des Audits können ggf. die Notwendigkeit von Korrektur-, Vorbeugungs- oder Verbesserungsmaßnahmen aufzeigen. Die jeweiligen Verantwortlichkeiten für die Umsetzung der Auditfolgemaßnahmen sind schriftlich festzulegen. 4.6 Umsetzung kontrollieren Die Einhaltung der Folgemaßnahmen ist spätestens beim nachfolgenden Audit zu überprüfen. Können aber auch schon früher auf ihre Umsetzung kontrolliert werden. Dies kann durch externe aber auch von speziell geschulten internen Mitarbeiten durchgeführt werden. Bei Nichteinhaltung von definierten Zeitrahmen können eventuell weitere Schritte veranlasst werden Seiten 8-9

9 5 OUTPUT (folgende Punkte können entweder positiv oder negativ bewertet werden): Informationen, in welchen Bereichen / Abteilungen akuter Handlungsbedarf besteht Schon bekannte Fehler / Probleme wurden beseitig oder bestehen noch immer Diverse Berichte Auditschlussfolgerungen KVP funktionier oder auch nicht Plan Do Check Act wird super umgesetzt oder auch nicht Auditoren haben sich mit der Themenstellung hervorragend auseinandergesetzt Punkte welche unter 4. Nachbereitung angeführt werden können ebenfalls zum Output gehören Seiten 9-9