Jetzt Beratungstermin anfragen
Whitepaper downloaden!

Geschäfts- und Betriebsmodelle
erfolgreich digitalisieren.

Jetzt entdecken
Die Progroup AG, ein europaweit tätiges Unternehmen der Papier- und Verpackungsindustrie.

Den digitalen Wandel erfolgreich gestaltet!

Zum Interview
Ihr Sparringspartner und Wegbegleiter in die digitale Zukunft

Management- und IT-Beratung

Jetzt entdecken

IT Due Diligence: IT-Policies, Prozeduren und Prozesse

23.08.2023 | IT Due Diligence

Die Ziele und Rahmenbedingen eines Unternehmens zu kennen und zu wissen, wie diese zu einem möglichst standardisierten Vorgehen führen, ist zentraler Bestandteil jedes Audits und jeder IT Due Diligence.

Die dazu im Unternehmen vorhandenen Regelungen sind internationalen Standards wie z. B. der ISO 9001, ISO 27001 oder ISO folgend, typischerweise hierarchisch aufgebaut. 

  • 1. Policies
  • 2. Manual
  • 3. Processes and Procedures
  • 4. Work instructions, guidelines and SOPs (Standard Operating Procedure)
  • 5. Records and forms

 

Grundlegende Fragestellungen

  • Existiert als zentrales Dokument eine Übersicht (Landkarte, Manual) aller Policies, Prozesse, Prozeduren und Arbeitsanweisungen, die auch als Einstiegspunkt für Mitarbeiter und Auditoren dient? Sind dort Details zu folgenden Faktoren spezifisch beschrieben? 

     

    • Der Organisation und deren Ziele,
    • Interaktionen und Abhängigkeiten sowie
    • Rollen mit ihren Rechten und Verantwortlichkeiten.

 

  • Werden die Inhalte des Manuals im Rahmen formaler Trainings vermittelt?
  • Ist die Dokumentenstruktur im Manual beschrieben und gibt es eine geeignete Toolunterstützung (z.B. ein Dokumenten-Managementsystem) zur Ablage und Verwaltung der einzelnen Dokumente?
  • Welche Policies (auch: Richtlinie oder Konzepte) existieren, die das „warum“ der darauf basierenden Prozesse, Prozeduren und Arbeitsanweisungen erklären und die die Organisation und Ihre Mitarbeitenden befolgen oder deren Einhaltung erreichen müssen? Zu erwarten ist in jedem Fall eine IT-Sicherheitsrichtlinie, basierend z.B. auf dem IT-Grundschutzkatalog des BSI.
  • Policies verändern sich natürlich auch mit der Zeit. Gibt es ein Risiko durch veraltete oder mangelhafte Richtlinien?
  • Prozesse und Prozeduren beschreiben das standardisierte Vorgehen zur Erreichung vergleichbarer Qualität der Arbeitsresultate. Sie zeigen das „wer, wann und wo“.
  • Work instructions, guidelines and SOPs (Arbeitsanweisungen) beschreiben im Detail, „wie“ zu arbeiten ist.
  • Welche vordefinierten Prozesse, Prozeduren und Arbeitsanweisungen gibt es? Sind die dafür benötigten Rollen mit ihrer jeweiligen Verantwortung und Berechtigung bekannt? Und ist dies alles ausreichend dokumentiert?
  • Werden Best Practices wie ITIL® genutzt und gibt es eine ausreichende Toolunterstützung?
  • Erfolgt die Interaktion der IT-Abteilung mit den Fachbereichen z.B. über ein Ticketsystem?
  • Existiert ein gut definierter, kontrollierter Change-Prozess zur effektiven Ausführung von Veränderungen?
  • Erfolgt die objektive Beurteilung von Prozessen über ein Reifegradmodell, wie mit CMMI oder auch mit COBIT? Gibt es konkrete Kontrollziele (Kennzahlen)?

 

Fazit

Im Rahmen der IT Due Diligence geht es in diesem Handlungsfeld darum, den Inhalt sowie Ablage/Verwaltung aller relevanten Dokumente zu sichten und im Kontext der Due Diligence  zu bewerten.

Das Ergebnis der Analyse ist die tabellarische Zusammenfassung von Synergien, Chancen und Risiken, verbunden mit einer monetären Bewertung.

 

Sie haben Fragen oder benötigen Unterstützung?

Wir helfen Ihnen gerne weiter