Jetzt Beratungstermin anfragen
„Der Wandel von traditionellen zu softwarebasierten Geschäftsmodellen“

Jetzt Whitepaper downloaden!

Jetzt entdecken
Kostenloses Webinar: Dienstag, 18. Juni 2024, 10-11 Uhr

Generative KI – Chancen und Risiken im Dokumentenmanagement

Jetzt anmelden
Kostenloses Webinar: Donnerstag, 04. September 2024, 10-11 Uhr

Microsoft 365 & Datenschutz: Best Practise für die datenschutzkonforme Nutzung

Jetzt anmelden
Ein europaweit tätiges Unternehmen der Papier- und Verpackungsindustrie gestaltet den digitalen Wandel.

Die Progroup AG

Interview Progroup AG
Kostenloses Webinar: Donnerstag, 12. September 2024, 10-11 Uhr

IT Due Diligence: Nicht nur entscheidend im M&A-Prozess

Jetzt anmelden
Die passenden (IT-)Experten für jede Herausforderung

Ihr Partner für IT und Digitalisierung

Jetzt Kontakt aufnehmen
Ihr Sparringspartner und Wegbegleiter in die digitale Zukunft

Management- und IT-Beratung

Jetzt entdecken
Entdecken Sie unser Seminar- und Workshop-Angebot zu (IT-)Management-Inhalten!

academy

Jetzt entdecken
Unterstützung durch Feelancer oder Projekte für Freelancer - Wir helfen Ihnen!

Freelancer

Jetzt entdecken
Für Unternehmen und Bewerber - Wir unterstützen Sie!

Arbeitnehmerüberlassung

Jetzt entdecken

IT Due Diligence: IT-Policies, Prozeduren und Prozesse

23.08.2023 | IT Due Diligence

Die Ziele und Rahmenbedingen eines Unternehmens zu kennen und zu wissen, wie diese zu einem möglichst standardisierten Vorgehen führen, ist zentraler Bestandteil jedes Audits und jeder IT Due Diligence.

Die dazu im Unternehmen vorhandenen Regelungen sind internationalen Standards wie z. B. der ISO 9001, ISO 27001 oder ISO folgend, typischerweise hierarchisch aufgebaut. 

  • 1. Policies
  • 2. Manual
  • 3. Processes and Procedures
  • 4. Work instructions, guidelines and SOPs (Standard Operating Procedure)
  • 5. Records and forms

 

Grundlegende Fragestellungen

  • Existiert als zentrales Dokument eine Übersicht (Landkarte, Manual) aller Policies, Prozesse, Prozeduren und Arbeitsanweisungen, die auch als Einstiegspunkt für Mitarbeiter und Auditoren dient? Sind dort Details zu folgenden Faktoren spezifisch beschrieben? 

     

    • Der Organisation und deren Ziele,
    • Interaktionen und Abhängigkeiten sowie
    • Rollen mit ihren Rechten und Verantwortlichkeiten.

 

  • Werden die Inhalte des Manuals im Rahmen formaler Trainings vermittelt?
  • Ist die Dokumentenstruktur im Manual beschrieben und gibt es eine geeignete Toolunterstützung (z.B. ein Dokumenten-Managementsystem) zur Ablage und Verwaltung der einzelnen Dokumente?
  • Welche Policies (auch: Richtlinie oder Konzepte) existieren, die das „warum“ der darauf basierenden Prozesse, Prozeduren und Arbeitsanweisungen erklären und die die Organisation und Ihre Mitarbeitenden befolgen oder deren Einhaltung erreichen müssen? Zu erwarten ist in jedem Fall eine IT-Sicherheitsrichtlinie, basierend z.B. auf dem IT-Grundschutzkatalog des BSI.
  • Policies verändern sich natürlich auch mit der Zeit. Gibt es ein Risiko durch veraltete oder mangelhafte Richtlinien?
  • Prozesse und Prozeduren beschreiben das standardisierte Vorgehen zur Erreichung vergleichbarer Qualität der Arbeitsresultate. Sie zeigen das „wer, wann und wo“.
  • Work instructions, guidelines and SOPs (Arbeitsanweisungen) beschreiben im Detail, „wie“ zu arbeiten ist.
  • Welche vordefinierten Prozesse, Prozeduren und Arbeitsanweisungen gibt es? Sind die dafür benötigten Rollen mit ihrer jeweiligen Verantwortung und Berechtigung bekannt? Und ist dies alles ausreichend dokumentiert?
  • Werden Best Practices wie ITIL® genutzt und gibt es eine ausreichende Toolunterstützung?
  • Erfolgt die Interaktion der IT-Abteilung mit den Fachbereichen z.B. über ein Ticketsystem?
  • Existiert ein gut definierter, kontrollierter Change-Prozess zur effektiven Ausführung von Veränderungen?
  • Erfolgt die objektive Beurteilung von Prozessen über ein Reifegradmodell, wie mit CMMI oder auch mit COBIT? Gibt es konkrete Kontrollziele (Kennzahlen)?

 

Fazit

Im Rahmen der IT Due Diligence geht es in diesem Handlungsfeld darum, den Inhalt sowie Ablage/Verwaltung aller relevanten Dokumente zu sichten und im Kontext der Due Diligence  zu bewerten.

Das Ergebnis der Analyse ist die tabellarische Zusammenfassung von Synergien, Chancen und Risiken, verbunden mit einer monetären Bewertung.

 

Sie haben Fragen oder benötigen Unterstützung?

Wir helfen Ihnen gerne weiter