Audit: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''Audit''' - Untersuchung eines [[Managementsystem]]s, ob es gesetzte Anforderungen erfüllt und wirksam ist
 
== Beschreibung ==
== Beschreibung ==
* Ein Audit untersucht, ob ein [[Managementsystem]] die an es (z B. durch [[Qualitätsmanagementnorm|Normen]]) gesetzten Anforderungen erfüllt und ob es wirksam ist.
* Audits werden von hierfür geschulten [[Auditor]]en durchgeführt.


Ein '''Audit''' untersucht, ob ein [[Managementsystem]] die an es (z B. durch [[Qualitätsmanagementnorm|Normen]]) gesetzten Anforderungen erfüllt und ob es wirksam ist. Audits werden von hierfür geschulten [[Auditor]]en durchgeführt.
; Innerhalb des Qualitätsmanagements werden zwei Arten von Audits unterschieden:
Im Bereich des [[Qualitätssicherung|statischen Qualitätsmanagements]] haben die Audits Prüfungscharakter, da sie Nachweise über vertragsmäßige Vereinbarungen liefern.
* Sie werden daher pro Überprüfungszyklus nur einmalig durchgeführt.  
* In der [[Qualitätssicherung|dynamischen Qualitätssicherung]] (oder Qualitätsmanagement) kommt den Audits eine erweiterte Bedeutung zu: Sie dienen der Erfassung von Entwicklungstrends und geben den Initiatoren von Veränderungen wichtige Rückmeldungen über die Wirksamkeit ihrer eingeleiteten Maßnahmen.  
* Die Aussagekraft dieser begleitenden Audits steigt mit der Wiederholungsrate, mit der der identische Fragenkatalog der identischen Betroffenengruppe zum identischen Thema vorgelegt wird.
* Vorgaben macht die „[[DIN-Norm|DIN]] [[Europäische Norm|EN]] [[ISO 19011]], Leitfaden zur Auditierung von Managementsystemen“.
In diesem Sinne wurde der Begriff ursprünglich im [[Personalwesen]] angewandt.  


Innerhalb des Qualitätsmanagements werden zwei Arten von Audits unterschieden: Im Bereich des [[Qualitätssicherung|statischen Qualitätsmanagements]] haben die Audits Prüfungscharakter, da sie  Nachweise über vertragsmäßige Vereinbarungen liefern. Sie werden daher pro Überprüfungszyklus nur einmalig durchgeführt. In der [[Qualitätssicherung|dynamischen Qualitätssicherung]] (oder Qualitätsmanagement) kommt den Audits eine erweiterte Bedeutung zu: Sie dienen der Erfassung von Entwicklungstrends und geben den Initiatoren von Veränderungen wichtige Rückmeldungen über die Wirksamkeit ihrer eingeleiteten Maßnahmen. Die Aussagekraft dieser begleitenden Audits steigt mit der Wiederholungsrate, mit der der identische Fragenkatalog der identischen Betroffenengruppe zum identischen Thema vorgelegt wird. Vorgaben macht die „[[DIN-Norm|DIN]] [[Europäische Norm|EN]] [[ISO 19011]], Leitfaden zur Auditierung von Managementsystemen“.
Heute werden in fast allen Bereichen von Unternehmen oder Organisationen von Zeit zu Zeit Audits durchgeführt (siehe [[Interne Revision]]):  
* [[Finanzwesen]], [[Informationsmanagement]], [[Datenschutz]], [[Produktion]]sabläufe, [[Kundenmanagement]], [[Qualitätsmanagement]], Umwelt, Management
* Führung eines Unternehmens/Organisation (siehe [[Management Audit]]), [[Arbeitszufriedenheit]], [[Vereinbarkeit von Familie und Beruf]] etc.


In diesem Sinne wurde der Begriff ursprünglich im [[Personalwesen]] angewandt. Heute werden in fast allen Bereichen von Unternehmen oder Organisationen von Zeit zu Zeit Audits durchgeführt (siehe [[Interne Revision]]): [[Finanzwesen]], [[Informationsmanagement]], [[Datenschutz]], [[Produktion]]sabläufe, [[Kundenmanagement]], [[Qualitätsmanagement]], Umwelt, Management bzw. Führung eines Unternehmens/Organisation (siehe [[Management Audit]]), [[Arbeitszufriedenheit]], [[Vereinbarkeit von Familie und Beruf]] etc.
Je nach Bereich wird bei einem Audit der Ist-Zustand analysiert oder aber ein Vergleich der ursprünglichen Zielsetzung mit den tatsächlich erreichten Zielen ermittelt.  
* Oft soll ein Audit auch dazu dienen, allgemeine Probleme oder einen Verbesserungsbedarf aufzuspüren, damit sie beseitigt werden können.  
* Nachdem mögliche Abstellmaßnahmen/Verbesserungen eingeleitet wurden, müssen diese nachgewiesen werden.
* Dieses geschieht anhand von Dokumenten, Bildern etc.


Je nach Bereich wird bei einem Audit der Ist-Zustand analysiert oder aber ein Vergleich der ursprünglichen Zielsetzung mit den tatsächlich erreichten Zielen ermittelt. Oft soll ein Audit auch dazu dienen, allgemeine Probleme oder einen Verbesserungsbedarf aufzuspüren, damit sie beseitigt werden können. Nachdem mögliche Abstellmaßnahmen/Verbesserungen eingeleitet wurden, müssen diese nachgewiesen werden. Dieses geschieht anhand von Dokumenten, Bildern etc.
Im Englischen bedeutet ''audit'' „Bücherprüfung, Rechnungsprüfung“, dies geht wiederum zurück auf {{laS}} ''auditus'' zu ''audire'' = hören; die öffentl.  
 
* Bücherprüfung wurde ursprünglich mündlich vorgetragen.
Im Englischen bedeutet ''audit'' „Bücherprüfung, Rechnungsprüfung“, dies geht wiederum zurück auf {{laS}} ''auditus'' zu ''audire'' =&nbsp;hören; die öffentl. Bücherprüfung wurde ursprünglich mündlich vorgetragen.<ref>[http://etymonline.com/index.php?allowed_in_frame=0&search=audit&searchmode=none Online Etymology Dictionary], abgerufen am 3. September 2014.</ref>


== Managementsysteme ==
== Managementsysteme ==
Zeile 16: Zeile 29:


Die Audittypen werden nach verschiedenen Kriterien unterschieden.
Die Audittypen werden nach verschiedenen Kriterien unterschieden.
Unterscheidung nach dem Auditgegenstand:


; Auditgegenstand
* Finanzaudit (finanzielle Zahlenwerke nach buchhalterischen Prinzipien (Richtigkeit, Genauigkeit, Ordnungsmäßigkeit) prüfen)
* Finanzaudit (finanzielle Zahlenwerke nach buchhalterischen Prinzipien (Richtigkeit, Genauigkeit, Ordnungsmäßigkeit) prüfen)
* Complianceaudit (Überprüfung der Übereinstimmung mit einem Regelwerk, Fragenkatalog)
* Complianceaudit (Überprüfung der Übereinstimmung mit einem Regelwerk, Fragenkatalog)
Zeile 28: Zeile 41:
* [[Media-Audit]] (Überprüfung der Übereinstimmung der Media-Aktivitäten)
* [[Media-Audit]] (Überprüfung der Übereinstimmung der Media-Aktivitäten)


Unterscheidung nach dem Status des Auditors:
; Status des Auditors
 
* [[Internes Audit]] (1st Party; der Auditor ist Mitarbeiter der Organisation, in der das Audit durchgeführt wird)
* [[Internes Audit]] (1st Party; der Auditor ist Mitarbeiter der Organisation, in der das Audit durchgeführt wird)
* [[Lieferantenaudit]] (2nd Party; üblicherweise von dem Managementbeauftragten eines Kunden bei seinem Lieferanten)
* [[Lieferantenaudit]] (2nd Party; üblicherweise von dem Managementbeauftragten eines Kunden bei seinem Lieferanten)
* Zertifizierungsaudit (3rd Party; von einem unabhängigen Auditor einer Zertifizierungsstelle, wie beispielsweise durch [[DEKRA]], die [[DQS]] oder den [[TÜV Cert]], [[SGS Institut Fresenius]], [[Bureau Veritas]] oder das [[Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein|ULD]] (in Datenschutzangelegenheiten))
* Zertifizierungsaudit (3rd Party; von einem unabhängigen Auditor einer Zertifizierungsstelle, wie beispielsweise durch [[DEKRA]], die [[DQS]] oder den [[TÜV Cert]], [[SGS Institut Fresenius]], [[Bureau Veritas]] oder das [[Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein|ULD]] (in Datenschutzangelegenheiten))


; Zertifizierungs-Audit
Audits im Zusammenhang mit der [[Zertifizierung]] von [[Managementsystem]]en:
Audits im Zusammenhang mit der [[Zertifizierung]] von [[Managementsystem]]en:
* Voraudit zur Feststellung der Zertifizierungsfähigkeit, auch ''friendly Audit'' genannt
* Voraudit zur Feststellung der Zertifizierungsfähigkeit, auch ''friendly Audit'' genannt
* Zertifizierungsaudit mit Prüfung der Dokumente und der Erfüllung des zu zertifizierenden [[Regel (Richtlinie)|Regelwerks]] anhand eines [[Fragenkatalog]]s
* Zertifizierungsaudit mit Prüfung der Dokumente und der Erfüllung des zu zertifizierenden [[Regel (Richtlinie)|Regelwerks]] anhand eines [[Fragenkatalog]]s
* Überwachungsaudit (wird üblicherweise jährlich durchgeführt) zur Überwachung der weiteren Entwicklung des Managementsystems
* Überwachungsaudit (wird üblicherweise jährlich durchgeführt) zur Überwachung der weiteren Entwicklung des Managementsystems
* Wiederholungsaudit oder Rezertifizierung wird bei den meisten Managementsystemen alle drei Jahre durchgeführt
* Wiederholungsaudit oder Rezertifizierung wird bei den meisten Managementsystemen alle drei Jahre durchgeführt
<!--
== Personalwesen/ und oder was anderes ==


== Qualitätsmanagement ==
== Informationstechnik ==


== Produktionsprozess ==
Ein '''Informationstechnik-Auditing''' oder '''Informationssysteme-Auditing''' ist ein [[Audit]] (Untersuchungsverfahren) von [[Informationssystem|Informations- und Kommunikationssystemen]], also eine Überprüfung der [[Verwaltung]] und des [[Management]]s dieser Systeme.


== Kundenmanagement ==
Das Ziel ist die Feststellung der Datensicherheit, [[Datenintegrität]], Betriebseffektivität und -effizienz, sowie der Vereinbarkeit des IT-Betriebs mit den Organisationszielen.


== Informationsmanagement ==
-->
== Informationstechnik ==
{{Quellen}}
{{Hauptartikel|Auditing (Informationstechnik)}}
In der [[Informationstechnik]] wird die Bezeichnung Audit für verschiedene interne Überprüfungen verwendet:
In der [[Informationstechnik]] wird die Bezeichnung Audit für verschiedene interne Überprüfungen verwendet:
* eine regelmäßige oder zufällige Prüfung von Softwareprojekten auf die Einhaltung intern festgelegter Regelwerke (Verwendung spezieller Vorlagen, Konformität zum Gesamtprojekt, Eignung zur Umsetzung der Anforderungen an das Modul etc.)
* eine regelmäßige oder zufällige Prüfung von Softwareprojekten auf die Einhaltung intern festgelegter Regelwerke (Verwendung spezieller Vorlagen, Konformität zum Gesamtprojekt, Eignung zur Umsetzung der Anforderungen an das Modul etc.)
* das systematische Untersuchen von [[Quellcode]], z.&nbsp;B. auf unsaubere Implementierungen, Qualität (Güte) der [[Quelltextformatierung]] oder Vollständigkeit der Dokumentation (''Code-Audit'')
* das systematische Untersuchen von [[Quellcode]], z.&nbsp;B.&nbsp;auf unsaubere Implementierungen, Qualität (Güte) der [[Quelltextformatierung]] oder Vollständigkeit der Dokumentation (''Code-Audit'')
* die systematische Suche nach potentiellen Sicherheitslücken in Programmen oder Schwachstellen- und Risikoanalyse einer IT-Infrastruktur (''[[Security-Audit]] oder [[Sicherheitsaudit]]'')
* die systematische Suche nach potentiellen Sicherheitslücken in Programmen oder Schwachstellen- und Risikoanalyse einer IT-Infrastruktur (''[[Security-Audit]] oder [[Sicherheitsaudit]]'')
* die Protokollierung von sicherheitskritischen Operationen in Software-Anwendungen
* die Protokollierung von sicherheitskritischen Operationen in Software-Anwendungen
* Überprüfung, ob ein Unternehmen für die verwendete [[Software]] eine ausreichende Anzahl an [[Lizenz]]en besitzt ([[Lizenzaudit]])
* Überprüfung, ob ein Unternehmen für die verwendete [[Software]] eine ausreichende Anzahl an [[Lizenz]]en besitzt ([[Lizenzaudit]])


== Hochschulwesen ==
== Arten ==
Im österreichischen Hochschulwesen ist vorgesehen, dass staatliche Universitäten und Fachhochschulen ihr internes Qualitätsmanagementverfahren einem Audit zu unterziehen haben, siehe: [[Agentur für Qualitätssicherung und Akkreditierung Austria#Audit]].
* Technologischer Innovationsprozess
* Innovationsvergleich
* Technologieposition
 
; Weiteren Unterscheidungen
{| class="wikitable options"
|-
! Option !! Beschreibung
|-
| Systeme und Anwendungen || Prüft, ob die Informationssysteme ausreichend, angemessen und effizient sind, um eine schnelle und zuverlässige Datenverarbeitung zu ermöglichen. Diese Form von IT-Audits sind in erster Linie auf die Geschäftsprozesse fokussiert und dienen meist der Unterstützung von [[Finanzaudit]]s
|-
| Informationsverarbeitungsanlagen || Prüfung, ob die Datenverarbeitung zeitgerecht, genau und effizient erfolgt
|-
| Systementwicklung || Prüfung, ob sich die in Entwicklung befindlichen Systeme mit den Unternehmenszielen und anerkannten Standards decken
|-
| Verwaltung der IT- und Unternehmens-Architektur || Überprüft die Verwaltung und Prozesse der Organisation
|-
| Client/Server, Telekommunikation, Intranet und Extranets || Überprüft die [[Telekommunikation]]- und Netzwerkinfrastruktur eines Unternehmens
|}


<noinclude>
<noinclude>
Zeile 70: Zeile 91:
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
* [[IT-Grundschutz/Audit]]
* [[IT-Grundschutz/Referenzdokumente]]
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====
 
# https://de.wikipedia.org/wiki/Informationstechnik-Auditing
 


[[Kategorie:Qualitätsmanagement]]
[[Kategorie:Qualitätsmanagement]]
[[Kategorie:Grundschutz/Audit]]
[[Kategorie:IT-Grundschutz/Audit]]
[[Kategorie:IT-Sicherheit]]
</noinclude>
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 13:37 Uhr

Audit - Untersuchung eines Managementsystems, ob es gesetzte Anforderungen erfüllt und wirksam ist

Beschreibung

  • Ein Audit untersucht, ob ein Managementsystem die an es (z B. durch Normen) gesetzten Anforderungen erfüllt und ob es wirksam ist.
  • Audits werden von hierfür geschulten Auditoren durchgeführt.
Innerhalb des Qualitätsmanagements werden zwei Arten von Audits unterschieden

Im Bereich des statischen Qualitätsmanagements haben die Audits Prüfungscharakter, da sie Nachweise über vertragsmäßige Vereinbarungen liefern.

  • Sie werden daher pro Überprüfungszyklus nur einmalig durchgeführt.
  • In der dynamischen Qualitätssicherung (oder Qualitätsmanagement) kommt den Audits eine erweiterte Bedeutung zu: Sie dienen der Erfassung von Entwicklungstrends und geben den Initiatoren von Veränderungen wichtige Rückmeldungen über die Wirksamkeit ihrer eingeleiteten Maßnahmen.
  • Die Aussagekraft dieser begleitenden Audits steigt mit der Wiederholungsrate, mit der der identische Fragenkatalog der identischen Betroffenengruppe zum identischen Thema vorgelegt wird.
  • Vorgaben macht die „DIN EN ISO 19011, Leitfaden zur Auditierung von Managementsystemen“.

In diesem Sinne wurde der Begriff ursprünglich im Personalwesen angewandt.

Heute werden in fast allen Bereichen von Unternehmen oder Organisationen von Zeit zu Zeit Audits durchgeführt (siehe Interne Revision):

Je nach Bereich wird bei einem Audit der Ist-Zustand analysiert oder aber ein Vergleich der ursprünglichen Zielsetzung mit den tatsächlich erreichten Zielen ermittelt.

  • Oft soll ein Audit auch dazu dienen, allgemeine Probleme oder einen Verbesserungsbedarf aufzuspüren, damit sie beseitigt werden können.
  • Nachdem mögliche Abstellmaßnahmen/Verbesserungen eingeleitet wurden, müssen diese nachgewiesen werden.
  • Dieses geschieht anhand von Dokumenten, Bildern etc.

Im Englischen bedeutet audit „Bücherprüfung, Rechnungsprüfung“, dies geht wiederum zurück auf Vorlage:LaS auditus zu audire = hören; die öffentl.

  • Bücherprüfung wurde ursprünglich mündlich vorgetragen.

Managementsysteme

Beim Einrichten, Zertifizieren und Aufrechterhalten von Managementsystemen spielen Audits eine wichtige Rolle.

Die Audittypen werden nach verschiedenen Kriterien unterschieden.

Auditgegenstand
  • Finanzaudit (finanzielle Zahlenwerke nach buchhalterischen Prinzipien (Richtigkeit, Genauigkeit, Ordnungsmäßigkeit) prüfen)
  • Complianceaudit (Überprüfung der Übereinstimmung mit einem Regelwerk, Fragenkatalog)
  • Performanceaudit (auch Rechtsmäßigkeitsprüfung genannt; objektive und systematische Überprüfung der Zielerreichung/Effektivität und ob hierfür die eingesetzten Ressourcen ökonomisch und effizient verwendet wurden)
  • Systemaudit (betrachtet das Managementsystem)
  • Prozessaudit (betrachtet einzelne Prozesse)
  • Verfahrensaudit (Synonym zu Prozessaudit oder zur Betrachtung von Verfahren)
  • Produktaudit (betrachtet das Produkt anhand der Kundenerwartungen)
  • Projektaudit (betrachtet den Fortschritt eines Projektes)
  • Media-Audit (Überprüfung der Übereinstimmung der Media-Aktivitäten)
Status des Auditors
  • Internes Audit (1st Party; der Auditor ist Mitarbeiter der Organisation, in der das Audit durchgeführt wird)
  • Lieferantenaudit (2nd Party; üblicherweise von dem Managementbeauftragten eines Kunden bei seinem Lieferanten)
  • Zertifizierungsaudit (3rd Party; von einem unabhängigen Auditor einer Zertifizierungsstelle, wie beispielsweise durch DEKRA, die DQS oder den TÜV Cert, SGS Institut Fresenius, Bureau Veritas oder das ULD (in Datenschutzangelegenheiten))
Zertifizierungs-Audit

Audits im Zusammenhang mit der Zertifizierung von Managementsystemen:

  • Voraudit zur Feststellung der Zertifizierungsfähigkeit, auch friendly Audit genannt
  • Zertifizierungsaudit mit Prüfung der Dokumente und der Erfüllung des zu zertifizierenden Regelwerks anhand eines Fragenkatalogs
  • Überwachungsaudit (wird üblicherweise jährlich durchgeführt) zur Überwachung der weiteren Entwicklung des Managementsystems
  • Wiederholungsaudit oder Rezertifizierung wird bei den meisten Managementsystemen alle drei Jahre durchgeführt

Informationstechnik

Ein Informationstechnik-Auditing oder Informationssysteme-Auditing ist ein Audit (Untersuchungsverfahren) von Informations- und Kommunikationssystemen, also eine Überprüfung der Verwaltung und des Managements dieser Systeme.

Das Ziel ist die Feststellung der Datensicherheit, Datenintegrität, Betriebseffektivität und -effizienz, sowie der Vereinbarkeit des IT-Betriebs mit den Organisationszielen.

In der Informationstechnik wird die Bezeichnung Audit für verschiedene interne Überprüfungen verwendet:

  • eine regelmäßige oder zufällige Prüfung von Softwareprojekten auf die Einhaltung intern festgelegter Regelwerke (Verwendung spezieller Vorlagen, Konformität zum Gesamtprojekt, Eignung zur Umsetzung der Anforderungen an das Modul etc.)
  • das systematische Untersuchen von Quellcode, z. B. auf unsaubere Implementierungen, Qualität (Güte) der Quelltextformatierung oder Vollständigkeit der Dokumentation (Code-Audit)
  • die systematische Suche nach potentiellen Sicherheitslücken in Programmen oder Schwachstellen- und Risikoanalyse einer IT-Infrastruktur (Security-Audit oder Sicherheitsaudit)
  • die Protokollierung von sicherheitskritischen Operationen in Software-Anwendungen
  • Überprüfung, ob ein Unternehmen für die verwendete Software eine ausreichende Anzahl an Lizenzen besitzt (Lizenzaudit)

Arten

  • Technologischer Innovationsprozess
  • Innovationsvergleich
  • Technologieposition
Weiteren Unterscheidungen
Option Beschreibung
Systeme und Anwendungen Prüft, ob die Informationssysteme ausreichend, angemessen und effizient sind, um eine schnelle und zuverlässige Datenverarbeitung zu ermöglichen. Diese Form von IT-Audits sind in erster Linie auf die Geschäftsprozesse fokussiert und dienen meist der Unterstützung von Finanzaudits
Informationsverarbeitungsanlagen Prüfung, ob die Datenverarbeitung zeitgerecht, genau und effizient erfolgt
Systementwicklung Prüfung, ob sich die in Entwicklung befindlichen Systeme mit den Unternehmenszielen und anerkannten Standards decken
Verwaltung der IT- und Unternehmens-Architektur Überprüft die Verwaltung und Prozesse der Organisation
Client/Server, Telekommunikation, Intranet und Extranets Überprüft die Telekommunikation- und Netzwerkinfrastruktur eines Unternehmens


Anhang

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/Informationstechnik-Auditing