Auditoren willkommen?

10 Wege in die IT-Audit-Hölle

04.01.2018 von Bruce Harpham und Florian Maier
Ein IT-Audit kann diabolische Folgen haben. Wenn Sie keine Lust auf einen Trip in die Untersuchungs-Hölle haben, sollten Sie diese Fehler unbedingt vermeiden.

Niemand mag Audits. Kein Wunder - selbst im besten aller Fälle, also wenn Sie den Audit ohne Beanstandung überstehen, verschlingt die Prüfprozedur der IT wertvolle Zeit, die ansonsten in die Verbesserung von Services und die Maximierung des Gewinns investiert werden könnte. Ein nicht bestandener IT-Audit kann Ihnen die Arbeitswoche allerdings schneller versauen als jede DDoS-Attacke. Schlimmer noch: ein Audit mit negativem Ausgang lässt sich als Zeugnis Ihres Miss-Managements interpretieren und wirkt sich im schlimmsten Fall auch negativ auf Ihre berufliche Zukunft aus.

Einen Kurztrip in die IT-Audit-Hölle sollten Sie tunlichst vermeiden. Wir sagen Ihnen wie man es nicht macht.
Foto: Lockenes - shutterstock.com

Aber so muss es nicht kommen. Wenn das nächste Mal eine Gruppe von internen oder externen Auditoren in Ihrer IT-Infrastruktur, Ihren Policies und Ihren Prozessen herumschnüffelt, wird das auf jeden Fall gut ausgehen - falls Sie richtig vorbereitet sind. Dazu sollten Sie zunächst die gängigen Fehler in Bezug auf IT-Audits umschiffen. Deshalb zeigen wir Ihnen wie man es nicht machen sollte: Diese zehn Wege führen auf direktem Weg in die IT-Audit-Hölle.

10. Der Auditor weiß mehr über Ihre Technik als Sie

Sie sollten ihre technologische Umgebung wie Ihre Westentasche kennen. Das ist die beste Verteidigung gegen negative IT-Audit-Ergebnisse. Die meisten Leute erwarten von einem IT-Entscheider nicht, dass dieser jedes Asset persönlich bis ins Detail kennt. Sie sollten sich also auf Ihre Prozesse, Technologien - und nicht zuletzt auch ihre Mitarbeiter - fokussieren.

"Viele Unternehmen haben damit zu kämpfen, all ihre technologischen Güter zu identifizieren", weiß Felix Acosta vom Beratungsunternehmen KPMG zu berichten. "Speziell für Firmen mit älterem Equipment stellt das eine große Herausforderung dar." In anderen Fällen lägen hingegen oft nur unzureichende Informationen über das IT-Inventar vor: "Ich habe Fälle gesehen, in denen darüber lediglich ein paar verteilte Zettel und Notizen Auskunft gegeben haben. Wenn Sie Ihre Assets nicht kennen, ist es sehr wahrscheinlich, dass sie bei einem IT-Audit Probleme bekommen", warnt Acosta.

Denn wie soll jemand, der sich in seiner eigenen Umgebung nicht auskennt, die Kontrolle über diese ausüben und seine Arbeit ordentlich dokumentieren? Auf dem Markt gibt es etliche Software-Produkte, die beim Hardware- und Software Asset Management unterstützen können.

9. Sie verlassen sich auf manuelle Prozesse

Es ist kein leichtes Unterfangen, Server, Tools und andere Technologien so zu konfigurieren, dass sowohl Deadlines gehalten als auch Compliance-Anforderungen erfüllt werden können. Wenn Sie dazu keine Automatisierungs-Tools nutzen, schaufeln Sie sich Ihr eigenes Audit-Grab.

John Ray, Senior-Berater bei Shadow-Soft, empfiehlt an dieser Stelle ein Auditing- und Testing-Framework: "Ich nutze Chef InSpec um verständliche Reports für Auditoren zu erstellen. Es braucht einigen Konfigurations-Aufwand, bis die Ergebnisse stimmen, aber es klappt gut. Und es ist wesentlicher praktikabler als der Einsatz von Notizzetteln und manuellem Tracking, um auf Augenhöhe mit den Compliance-Richtlinien zu sein."

Die Fähigkeit, die Unternehmensgüter bei Bedarf schnell und einfach tracken zu können, ist umso wichtiger, wenn ansonsten Strafzahlungen oder zusätzliche Investitionen drohen. Für CIOs ist das eine Schlüsselherausforderung, insbesondere wenn es um Audits von Software-Anbietern geht.

Zum Video: 10 Wege in die IT-Audit-Hölle

8. Software-Audits überfordern Ihre Kapazitäten

Wenn der Audit eines Softwareherstellers ansteht, sollten Sie sich am besten schon einmal auf Kampf einstellen. Denn diese Form des Audits gehört in aller Regel zu den schmerzhaftesten Erfahrungen, die ein IT-Entscheider so machen kann, wie Gary Davenport von der CIO Association of Canada weiß: "Ich habe schon gesehen, dass Hersteller einfach kurzerhand die Regeln ändern. Das macht es natürlich schwer, sich auf die Veränderungen einzustellen und sie umzusetzen."

Darum haben solche Softwarelizenz-Audits auch meist eine direkte Folge: Höhere Ausgaben. IBMs Wechsel zu Passport Advantage ist nur ein Beispiel. "The Register" schreibt zu den Praktiken von Big Blue: "Die Botschaft ist klar: Wenn Sie während eines Audits nicht hundertprozentig nachweisen können, wo es zu einer Überbeanspruchung gekommen ist, bezahlen Sie für volle zwei Jahre Wartung - das entspricht 40 Prozent der Gesamt-Lizenzkosten."

Bei den Software Audits gehen die Hersteller also nicht gerade mit Samthandschuhen mit ihren Kunden um. Und IBM ist nicht der einzige Konzern, der an dieser Stelle gesalzene Mehreinnahmen wittert. Deshalb stehen spezialisierte Berater und Anwälte bei Bedarf denjenigen Kunden zur Seite, die einen Software-Audit von Oracle, Microsoft und anderen großen Softwarehäusern erwarten.

Software-Audits sind kein Grund zur Panik
Tipps für den Fall des Falles
Wer ein paar Regeln beherzigt, kann die Compliance-Prüfung gelassen angehen.
Tipp 1:
Auf die Schnelle weitere Softwarelizenzen zu kaufen lohnt nicht, sie bleiben unberücksichtigt.
Tipp 2:
Deinstallieren von Software könnte als Täuschungsversuch interpretiert werden und juristische Konsequenzen haben.
Tipp 3:
Trauen Sie sich ruhig, die Rechtmäßigkeit des Audits und die Kompetenz des Auditors zu hinterfragen.
Tipp 4:
Legen Sie einen einzigen Sprachkanal zum Auditor fest. Geben Sie keine Vorabinformationen heraus.
Tipp 5:
Fordern Sie vom Hersteller klare Aussagen über den Umfang des Audits.
Tipp 6:
Nutzen Sie die damit gewonnene Zeit, um ein internes Audit-Team aufzubauen.
Tipp 7:
Welche Informationen der Anbieter abrufen und weiterleiten darf, muss ein Nondisclosure-Agreement regeln.
Tipp 8:
Stellen Sie sicher, dass der Anbieter nur die Bilanz, aber keine Rohdaten erhält.
Tipp 9:
Ein eigenes Lizenz-Management-System erspart den Rundum-Scan des Auditors.
Tipp 10:
"Quality Gates" helfen, die Ergebnisse jeder Audit-Phase zu sichern.
Tipp 11:
Kundeneigene Counter-Audits stärken die Verhandlungsbasis.
Tipp 12:
Bei Nachlizenzierungen empfiehlt sich eine produktübergreifende Einigung.

7. Sie handeln nach dem Audit nicht schnell genug

Wenn das Worst-Case-Szenario eintritt und Sie beim Audit durchfallen, müssen Sie einige ernste Probleme lösen. Gerade in solchen Fällen ist eine schnelle Reaktion die beste Reaktion. "Sie müssen damit rechnen, dass die Auditoren auf Sie zukommen und Antworten fordern", sagt Michael Leidinger, CTO bei Hilton.

Wenn IT-Entscheider hingegen ihre Verantwortlichkeiten vernachlässigen, ist es sehr unwahrscheinlich, dass ein Auditor über die festgestellten Probleme Stillschweigen bewahrt. Die Vorstandsebene erhält die Ergebnisse eines IT-Audits übrigens in der Regel auch - langwierige und langsame Reaktionsprozesse Ihrerseits könnten also auch auf höherer Ebene registriert werden. Sie sollten deshalb alles daran setzen, dass ein Audit nicht der erste Schritt in den Karriere-Abgrund ist.

6. Sie beziehen die Auditoren nicht vorab mit ein

Auditoren als zusätzliche Stakeholder eines Projekts zu betrachten, kann dabei helfen, spätere Probleme zu vermeiden oder abzumildern. Gary Davenport, früherer CIO beim kanadischen Retailer Hudson Bay Company, spricht aus Erfahrung: "IT-Auditoren in Ihre Technologie-Projekte einzubinden, erleichtert allen Beteiligten das Leben. Die (Verbesserungs-)Vorschläge der Auditoren erst nach der Implementierung eines großen Systems umzusetzen, wird sehr viel schwieriger sein. Die Methode der Einbindung spart Zeit und Geld und ist darüber hinaus auch ein sinnvoller Weg, um ein positives Miteinander mit den Auditoren zu initiieren."

5. Ihre Mitarbeiter sind nicht auf interne Audits vorbereitet

Ohne Vorbereitung oder Führung dürfte ein Audit für Ihre Mitarbeiter eine eher beunruhigende Erfahrung werden. Davenport plaudert aus dem Nähkästchen: "Ein interner Audit soll dem Unternehmen dabei helfen, erfolgreich zu sein. Ich erkläre meinen Mitarbeitern, dass die Auditoren einen Job zu erledigen haben und wir sie dabei bestmöglich unterstützen müssen."

Dieser Ansatz lässt sich zusätzlich unterfüttern, wenn Sie veranlassen, dass erfahrene Mitarbeiter die eher Unerfahrenen in Sachen Audit-Anforderungen auf den Stand der Dinge bringen. Dieser informelle Ansatz ist manchmal jedoch nicht genug. Sie sollten deshalb in Erwägung ziehen, sich auch regelmäßig mit dem internen Audit-Verantwortlichen auszutauschen.

4. Sie haben kein Audit Management

Wenn Ihre Mitarbeiter im Gespräch mit einem Auditor unsicher oder gar angsterfüllt wirken, sind die Chancen auf einen reibungslosen Ablauf der Untersuchung ebenfalls eher gering. Ein Weg zur Besserung: Betrauen Sie einen oder mehrere Mitarbeiter mit der Aufgabe des Audit Managements.

"Als bei Hilton die heiße Phase angebrochen ist, waren viele unserer Mitarbeiter unsicher, wie mit Audit-Fragestellungen umzugehen ist. Daraufhin haben wir zwei neue Leute an Bord geholt, die seitdem für das Audit Management verantwortlich zeichnen und darin auch entsprechende Erfahrungen vorzuweisen hatten. Die beiden machen einen tollen Job und haben den Audit-Prozess für uns erheblich leichter gemacht", erzählt Leidinger.

3. Auditoren sind Ihr natürlicher Feind

Wenige Menschen sind erfreut, wenn Sie hören, dass in ihrer Abteilung ein Audit ansteht. Wer will schon freiwillig seine Arbeit und seine Mitarbeiter "durchleuchten" lassen?

Auditoren als Feinde zu betrachten, führt allerdings nur zu weiteren Problemen. Das weiß auch der Hilton-CTO: "In vielen Fällen gleichen die Auditoren unsere Prozesse mit bekannten Standards und Best Practices ab. Diese Einschätzung hilft uns dabei, unsere Prozesse zu validieren. Als wir unsere Organisation auf agile Methoden umgestellt haben, hat der Audit uns dabei geholfen diesen Übergang erfolgreich zu gestalten."

Ihre Mitarbeiter fit für den IT-Audit zu machen, spielt eine bedeutende Rolle bei der Erzielung positiver Ergebnisse. Möglich ist das aber nur, wenn Sie die Auditoren als Partner statt als Gegenspieler betrachten. Letztendlich befindet sich Ihr Unternehmen in einer Phase der Transformation und ein Audit kann einen Weg darstellen, Erfolge zu messen. Der Audit hat gar das Potenzial zur Ressourcen-Schaffung, falls die Auditoren zu der Überzeugung kommen, dass die gesteckten Ziele nur so zu erreichen sind.

2. Sie haben zu komplexe Policies und Prozesse

Sobald ein Unternehmen eine gewisse Größe erreicht, werden Richtlinien und die Einrichtung von Prozessen unumgänglich, um das Wachstum managen zu können. Dennoch könnten Ihre Mitarbeiter Probleme damit haben, diesen Anforderungen gerecht zu werden. Das war offenbar auch im Hause Hilton der Fall, wie Leidinger preisgibt: "Unser Unternehmen hat vor einigen Jahren große Anstrengungen unternommen, als es um die Vereinfachung der Richtlinien ging. Wir wollten unsere Policies konsolidieren und verständlicher gestalten. Durch den Abbau der Richtlinien-Hürden sind positive Ergebnisse bei einem Audit nun leichter zu erreichen."

Die Verschlankung der Richtlinien und Prozesse eines Unternehmens ist kein leichtes Unterfangen. Es ist wahrscheinlich, dass hierzu die Expertise aus mehreren Abteilungen erforderlich ist - inklusive Compliance, Buchhaltung, Audit und HR. Alternativ könnten Sie sich auch dazu entschließen, nur die Policies im Bereich Technologie anzupassen.

1. Ausnahmen sind bei Ihnen die Regel

Die meisten Unternehmens-Richtlinien beinhalten auch einen Prozess, um Ausnahmen von der Regel möglich zu machen. Für Auditoren stellen diese Abweichungen eine Herausforderung dar. John Ray nennt ein Beispiel in Zusammenhang mit der Instandhaltung von Software: "Kürzlich musste sich einer unserer Kunden mit Fragen über seine Methoden zum Patchen von Software auseinandersetzen.

Es gab zwar einen Dokumentationsprozess, aber einige Details waren nicht spezifiziert. Das wiederum wurde zum Problem, weil die Anwendung eines Security-Patches dazu geführt hätte, dass die Applikation zusammenbricht. Der Auditor wollte deswegen mehr darüber erfahren, wie Ausnahmen in den Prozessen gehandhabt werden."

Eine verzögerte Installation von Sicherheitsupdates sorgt für erhöhte Risiken - es lohnt sich also, den Grund für die Patch-Verzögerung zu dokumentieren.

Fazit: Der IT-Audit ist Ihr Freund!

Um die Ergebnisse Ihres Audits zu verbessern, sollten IT-Entscheider also diese Prinzipien verinnerlichen:

Um es mit den Worten von Hilton-CTO Leidinger auszudrücken: "Sie sollten den Audit als weiteren Stakeholder betrachten, der Perspektiven eröffnet, die Sie bei Ihrer Arbeit miteinbeziehen müssen."

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation cio.com.