Verfahrensregeln für eine erfolgreiche Prüfung
Augen auf bei IT-Sicherheits-Audits
Keinen Sündenbock
Sollten die Ergebnisse nicht nach Wunsch ausfallen, dürfen Unternehmen nicht den Fehler machen, nach einem Schuldigen zu suchen. Vielmehr heißt die Devise: Das Negative als Chance sehen, um zu erkennen, wo die Probleme liegen, sich zu verbessern und künftige Risiken möglichst klein zu halten.
Keine Angst
Vor und nach einem Audit sollten sich Firmen gegenüber den Mitarbeitern zurückhalten und Druck vermeiden. Ein schlechtes Klima wirkt sich auf die Qualität der Überprüfung aus.
Kontinuität
Kontinuität ist alles. Was über Jahre oder Monate vernachlässigt wurde kann auch nicht kurz vor einer Prüfung aufgearbeitet werden. Erreichbare Ziele sind entscheidend.
Über den Tellerrand schauen
Wichtig ist ein prozessorientiertes Denken über Abteilungsgrenzen hinweg. Nur wer Zusammenhänge beim Geschäftsprozess begreift, kann diesen auch komplett absichern.
Risikobewertung
Abhängigkeiten des jeweils untersuchten Geschäftsprozesses müssen identifiziert und klassifiziert werden. Auf eine Risikobewertung darf dabei nicht verzichtet werden.