IT Due Diligence: IT-Policies, Prozeduren und Prozesse
23.08.2023 | IT Due Diligence
Die Ziele und Rahmenbedingen eines Unternehmens zu kennen und zu wissen, wie diese zu einem möglichst standardisierten Vorgehen führen, ist zentraler Bestandteil jedes Audits und jeder IT Due Diligence.
Die dazu im Unternehmen vorhandenen Regelungen sind internationalen Standards wie z. B. der ISO 9001, ISO 27001 oder ISO folgend, typischerweise hierarchisch aufgebaut.
- 1. Policies
- 2. Manual
- 3. Processes and Procedures
- 4. Work instructions, guidelines and SOPs (Standard Operating Procedure)
- 5. Records and forms
Grundlegende Fragestellungen
- Existiert als zentrales Dokument eine Übersicht (Landkarte, Manual) aller Policies, Prozesse, Prozeduren und Arbeitsanweisungen, die auch als Einstiegspunkt für Mitarbeiter und Auditoren dient? Sind dort Details zu folgenden Faktoren spezifisch beschrieben?
- Der Organisation und deren Ziele,
- Interaktionen und Abhängigkeiten sowie
- Rollen mit ihren Rechten und Verantwortlichkeiten.
- Werden die Inhalte des Manuals im Rahmen formaler Trainings vermittelt?
- Ist die Dokumentenstruktur im Manual beschrieben und gibt es eine geeignete Toolunterstützung (z.B. ein Dokumenten-Managementsystem) zur Ablage und Verwaltung der einzelnen Dokumente?
- Welche Policies (auch: Richtlinie oder Konzepte) existieren, die das „warum“ der darauf basierenden Prozesse, Prozeduren und Arbeitsanweisungen erklären und die die Organisation und Ihre Mitarbeitenden befolgen oder deren Einhaltung erreichen müssen? Zu erwarten ist in jedem Fall eine IT-Sicherheitsrichtlinie, basierend z.B. auf dem IT-Grundschutzkatalog des BSI.
- Policies verändern sich natürlich auch mit der Zeit. Gibt es ein Risiko durch veraltete oder mangelhafte Richtlinien?
- Prozesse und Prozeduren beschreiben das standardisierte Vorgehen zur Erreichung vergleichbarer Qualität der Arbeitsresultate. Sie zeigen das „wer, wann und wo“.
- Work instructions, guidelines and SOPs (Arbeitsanweisungen) beschreiben im Detail, „wie“ zu arbeiten ist.
- Welche vordefinierten Prozesse, Prozeduren und Arbeitsanweisungen gibt es? Sind die dafür benötigten Rollen mit ihrer jeweiligen Verantwortung und Berechtigung bekannt? Und ist dies alles ausreichend dokumentiert?
- Werden Best Practices wie ITIL® genutzt und gibt es eine ausreichende Toolunterstützung?
- Erfolgt die Interaktion der IT-Abteilung mit den Fachbereichen z.B. über ein Ticketsystem?
- Existiert ein gut definierter, kontrollierter Change-Prozess zur effektiven Ausführung von Veränderungen?
- Erfolgt die objektive Beurteilung von Prozessen über ein Reifegradmodell, wie mit CMMI oder auch mit COBIT? Gibt es konkrete Kontrollziele (Kennzahlen)?
Fazit
Im Rahmen der IT Due Diligence geht es in diesem Handlungsfeld darum, den Inhalt sowie Ablage/Verwaltung aller relevanten Dokumente zu sichten und im Kontext der Due Diligence zu bewerten.
Das Ergebnis der Analyse ist die tabellarische Zusammenfassung von Synergien, Chancen und Risiken, verbunden mit einer monetären Bewertung.
Sie haben Fragen oder benötigen Unterstützung?