Was macht ein gutes internes Audit aus?

Jedes Managementsystem sollte auf kontinuierliche Verbesserung ausgelegt sein. Ein Managementsystem, dass nur den Status Quo aufrechterhält ist kaum erstrebenswert. So ist kontinuierliche Verbesserung auch eine Kernanforderung eines Informationssicherheits-Managementsystems nach ISO/IEC 27001.
Ein Werkzeug zur Identifikation von Verbesserungspotential kann das interne Audit sein. Per Definition ist ein Audit ein systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiven Auswertung, um zu ermitteln, inwieweit Auditkriterien erfüllt sind. Als „intern“ wird ein Audit bezeichnet, wenn es in der Verantwortung der Organisation selbst liegt, die Auditkriterien und den Umfang des Audits festzulegen. Die obengenannte Definition klingt erst mal nach einer simplen schwarz-weiß Angelegenheit. Vielfach wird unter einem Audit tatsächlich das simple Abhaken von Checklisten verstanden. Dem ist aber nicht so. Die Vorgaben der ISO/IEC 27001 sind bewusst so generisch gestaltet, dass sie von Organisationen aller Art unabhängig von Größe, Struktur und Branche umgesetzt werden können. Dieser enorme Gestaltungsspielraum verlangt vom Auditor eine fachmännische Einschätzung der Umsetzung. Zudem fordert die Norm an vielen Stellen die wirksame Umsetzung. Der Auditor muss daher die Wirksamkeit der Umsetzung beurteilen.
Ein erfahrener Auditor kann also nicht nur erkennen, ob die Anforderungen umgesetzt sind, sondern kann auch die Wirksamkeit der Umsetzung beurteilen und hierzu Verbesserungsvorschläge liefern. Zudem kann er auch die Effizienz der Umsetzung bewerten und Hinweise liefern, die zu tatsächlichen Einsparungen führen. Effizienz wird in der Norm ISO/IEC 27001 nicht berücksichtigt, spielt aber natürlich in vielen Implementierungen eine Rolle und ist zumindest erwünscht, wenn nicht sogar eine Managementvorgabe.
Das Ziel ist demnach ein internes Audit durchführen zu lassen, dass nicht nur die Normkonformität bestätigt, sondern auch Verbesserungsvorschläge zu Effektivität und Effizienz liefert. Wie kann dieses Ziel erreicht werden?
An erster Stelle steht dabei natürlich die Auswahl des richtigen Auditors. Den richtigen Auditor zu finden ist nicht einfach, den falschen dagegen schon. Die Norm fordert in Kapitel 9.2 d) von der Organisation bei der Auswahl von Auditoren auf die Objektivität und Unparteilichkeit des Auditors zu achten. Ein Auditor der nicht unparteilich und objektiv das Audit durchführen kann ist demnach der falsche Auditor. Das kann durchaus auf Mitarbeiter der eigenen Organisation zutreffen. Unter Umständen sind eigene Mitarbeiter nicht unparteilich und objektiv. Dazu zählen Mitarbeiter die selbst an der Implementierung der Norm beteiligt waren. Ganz sicher trifft das auf Berater zu, die im Auftrag der Organisation die Implementierung unterstützt oder sogar verantwortet haben. Den Berater das interne Audit machen zu lassen ist eine wirklich schlechte Idee. Wie wird er wohl seine eigene Arbeit bewerten? Wird er tatsächlich relevante Abweichungen feststellen und Verbesserungspotential identifizieren? Dasselbe mag auch auf einen von ihm persönlich ausgewählten und empfohlenen Auditor zutreffen. (Auditoren die Zertifizierungsaudits durchführen müssen der Zertifizierungsstelle gegenüber erklären, dass sie in den vergangenen 2 Jahren nicht beraterisch für diese Organisation tätig waren, um die Objektivität und Unparteilichkeit des Auditprozesses sicherzustellen. Dasselbe sollte auch auf Auditoren im internen Audit zutreffen.) Es darf nicht vergessen werden, dass ein unparteilich und objektiv durchgeführtes internes Audit eine Normforderung ist und sich daher auf das Ergebnis des Zertifizierungsaudits auswirkt.
Ungeeignet sind auch Auditoren, die mit den Methoden der Audits von Managementsystemen nicht ausreichend vertraut sind und über kein ausreichendes Verständnis der Informationssicherheit verfügen. Leider ist der Begriff „Auditor“ nicht geschützt. Jeder darf sich Auditor nennen, Auditor auf seine Visitenkarte schreiben und in seinem Xing-Profil den Titel Auditor führen. Auch die Begriffe „Lead Auditor“ und „ISO 27001 Auditor“ sowie diverse Variationen davon sind nicht geschützt und werden auch sehr großzügig verwendet. Über die Qualifikation des Auditors geben sie sehr wenig Auskunft. Woran lässt sich die Qualifikation eines Auditors erkennen? Auf diese Frage gibt es keine Pauschalantwort. Sicher lässt sich aber einiges dazu herleiten.
Unter 9.2 c) fordert die Norm ein Auditprogramm in dem unter anderem die Auditmethoden festgelegt sind. Die übliche Methode ist beschrieben in der Norm ISO 19011. Ein qualifizierter Auditor ist mit dieser Norm vertraut und kann über entsprechende Zertifikate seine Fachkenntnis nachweisen. Eine weitere, unabhängige Bestätigung ist die Akkreditierung durch die Dakks, die Deutsche Akkreditierungsstelle. Ein akkreditierter Auditor hat nicht nur seine Kenntnis der Methode nachgewiesen, sondern verfügt über eine ausreichende Berufserfahrung im Bereich der Informationssicherheit.
Die Wahl des richtigen Auditors und der richtigen Methode wirkt sich maßgeblich auf die Qualität des Audits aus. Aber es gibt weitere Aspekte zu berücksichtigen.
In 9.2 werden zwei weitere Aspekte genannt: Auditkriterien (9.2d) und Berichterstattung (9.2c). Üblicherweise liefert die Norm selbst die Auditkriterien für interne Audits, sofern es dabei rein um Normkonformität geht. In vielen Fällen wird auch die Maßnahmenumsetzung oder Konformität zum eigenen Regelwerk als Auditkriterium herangezogen. In beiden Fällen spielt Effizienz eine höchstens untergeordnete Rolle. Gerade im internen Audit kann aber Effizienz als Auditkriterium definiert werden und die Organisation kann den Auditor beauftragen nicht nur Konformität und Wirksamkeit zu bewerten sondern auch ein Auge auf die Effizienz der Prozesse zu haben. Bewertung der Effizienz bzw. Identifikation von Verbesserungspotential kann auch als Auditziel festgelegt werden. Die Auditziele sollten im Vorfeld mit dem Auditor festgelegt werden und der Auditor wird diese nach ISO 19011 sowohl im Auditplan explizit aufführen sowie im Auditbericht bestätigen, dass die Auditziele erreicht wurden (oder auch nicht.)
Das führt zum dritten Aspekt nämlich der Berichterstattung. Ein qualifizierter Auditor liefert einen entsprechend aussagekräftigen Bericht. Die Anforderungen an die Berichterstattung muss aber die Organisation selbst definieren. Wenn mit dem Auditor keine Anforderungen vereinbart wurden, liegt die Auswahl der Inhalte beim Auditor. Die Norm ISO 19011 liefert eine Liste an Mindestbestandteilen eines Auditberichts sowie weitere sehr nützliche Anregungen. Eine dieser Anregungen: „Empfehlungen für Verbesserungen“. Es macht hochgradig Sinn im Auditprogramm festzulegen was in einem Auditbericht alles enthalten sein muss. Der Auditor wird das dann berücksichtigen und den Bericht entsprechend gestalten.
Ein Audit, dass von einem qualifizierten, unabhängigen Auditor durchgeführt wurde, mit dem Auditziel u.a. Möglichkeiten zur Verbesserung zu identifizieren und entsprechend zu berichten kann einen wesentlichen Beitrag zur kontinuierlichen Verbesserung des Managementsystems leisten und erfüllt nicht nur die Anforderung der Norm ein internes Audit durchzuführen. Ein hochwertiges internes Audit liefert auch eine gute Grundlage für das Zertifzierungsaudit und schafft Vertrauen in die Leistung des Managementsystems. Ein hochwertiges internes Audit mag Mehraufwand sowohl intern wie auch extern bedeuten, aber es kann Impulse für Verbesserungen und Effizienzsteigerung liefern, welche wiederum Einsparungen an anderen Stellen bedeuten können.