Audits
Wenn der Prüfer dreimal klingelt
Fortsetzung des Artikels von Teil 2
Treiber oder Getriebener
Die Revisionsunterstützung sollte also mindestens über den Nachweis von Zertifizierungen und die genaue Prüfung ihres Geltungsbereichs in den Auswahlprozess von IT-Dienstleistern eingehen. Wer darüber hinaus einen IT-Dienstleiter wählen möchte, der Zertifizierungen wirklich als hilfreiche externe Kontrolle versteht, dem sei der Blick auf die Zertifizierungshistorie des Dienstleisters empfohlen. Ist der Dienstleister stets früh nach einer neuen, erweiterten Norm zertifiziert worden, kann er eher als ein Treiber gesehen werden, der Zertifizierungen aktiv als Qualitätssicherungsinstrument nutzt. Ist der Dienstleister immer eher spät dran mit den Zertifizierungen nach neuen, erweiterten Normen, so kann dies ein Indiz dafür sein, dass er Zertifizierung eher auf Kunden-/Marktverlangen vollzieht und eher passiv bei diesem Thema ist.
Revisionsunterstützung vertraglich fixieren
Wer bei Revisionen, Prüfungen und Testierungen keine bösen Überraschungen erleben will, sollte bei der Vertragsgestaltung vorsorgen. Wichtige Punkte – wie beispielsweise die Verarbeitung persönlicher Daten erfolgt ausschließlich in Deutschland/in der EU – oder erforderliche Zertifizierungen sollten explizit im Vertrag genannt werden. Darüber hinaus sollte der IT-Dienstleister unmissverständlich zur lückenlosen Fortführung beziehungsweise zu regelmäßigen Re-Zertifizierungen verpflichtet werden. Bei Nichteinhaltung sind Sonderkündigungsrechte und gegebenenfalls auch Versäumniszahlungen zu vereinbaren.
Die Unterstützung von Prüfprozessen durch den IT-Dienstleister und die Bereitstellung der dafür erforderlichen Personalressourcen und Räumlichkeiten sollte ebenfalls klar im Vertrag fixiert werden – gemeinsam mit den maximalen Vorlaufzeiten und Kosten.
Auch die Informationspflichten sollten festgelegt werden. Es ist einfach besser, wenn das Unternehmen die aktuellen Re-Zertifizierungsnachweise, Protokolle und Prozessdokumentationen des IT-Dienstleisters schon bei der ersten Nachfrage des Prüfers parat hat – und diese nicht erst beim IT-Dienstleister einfordern muss. Hier können auch erweiterte Nachweispflichten des IT-Dienstleisters wie K-Fall-Manöverprotokolle, Zutrittsdokumentationen, Protokolle über regelmäßige Tests, aktuelle Listen der Zugriffsrechte etc. festgelegt werden. Im Auswahlprozess kann ein Anruf bei Referenzkunden helfen, um die Aussagen der IT-Dienstleistern vorab prüfen zu können.
Es gilt: Wer als CEO oder CIO beim Gedanken an eine Prüfung durch einen externen IT-Sicherheitsbeauftragten oder Wirtschaftsprüfer schlecht schläft, sollte Maßnahmen ergreifen. Die Beispiele zeigen, dass die Luft für Unternehmen dünner wird, die diese Pflichten mit rein internen IT-Abteilungen in eigenen Rechenzentren erfüllen wollen.
Doch gilt auch: Ein Outsourcing entlässt nicht aus der Verantwortung. Der Verweis auf den IT-Dienstleister wird das Unternehmen bei eklatanten Schwächen bei Datenschutz und IT-Sicherheit weder vor Imageschäden noch vor rechtlichen Konsequenzen schützen. Die Verantwortung bleibt beim Unternehmen. Die IT-Dienstleister müssen auch im Hinblick auf Revisionsunterstützung ausgewählt und auditiert werden.
- Wenn der Prüfer dreimal klingelt
- Branchenspezifika
- Treiber oder Getriebener
Lesen Sie mehr zum Thema
