Wie man IT-Audits erfolgreich meistert

Grosse Unternehmen verlangen zunehmend, dass alle ihre Lieferanten bestimmte Zertifizierungen vorzeigen können. Grosse Unternehmen selbst benötigen die gleichen Zertifizierungen aufgrund interner Vorgaben oder den Vorgaben ihrer Partner. Als KMU kommt man damit automatisch in die Situation, dass als Nachweis für die eigene Qualität das Zertifikat einer unabhängigen und objektiven Stelle vorhanden sein muss. Stark auf dem Vormarsch ist die Zertifizierung der Informationssicherheit (ISO/IEC 27001).

Steht ein solches Audit zum ersten Mal an, herrscht häufig Unsicherheit: Wie soll man damit umgehen? Wer ist davon betroffen? Gelegentlich hört man, dass Auditoren einfach das eine Haar in der Suppe suchen und damit hohe Folgekosten verursachen. Das muss nicht so sein. Zertifizierungsstellen achten darauf, Auditoren einzusetzen, die die Relevanz und den Praxisbezug sehen und das Schwergewicht auf die Wirksamkeit des Systems legen und nicht auf Formalismen. Als Unternehmen sollte man ein solches Audit in erster Linie als Chance sehen, einen neutralen Blick von aussen auf die eigene Organisation zu erhalten. Auditoren verstehen sich daher auch nicht als pingelige Besserwisser, sondern als Sparringspartner, die die Organisationen dabei unterstützen, Produkte und Dienstleistungen hoher Qualität nach den anerkannten Regeln der Branche zu liefern.

Vorbereitung und Checklisten

Das A und O für ein erfolgreiches Audit ist eine gute Vorbereitung, die idealerweise schon einige Zeit vor der Untersuchung beginnt. Sie sollten sich bewusstmachen, worauf sich das Audit eigentlich bezieht und welche Nachweise erwartet werden. Manche Audits beziehen sich verstärkt auf die Prozesse, andere auf die technische Qualitätssicherung. Sobald Sie Ziel und Umfang des anstehenden Audits erfahren haben, sollten Sie sich daranmachen, die eigene Organisation auf entsprechende Lücken zu untersuchen. Dabei sind Checklisten eine gute Hilfe.

Sind die Lücken bekannt, so geht es daran, diese mit geeigneten Mitteln zu schliessen. Verabschieden Sie sich von der Idee, eine schnelle "Pinselrenovation" vorzunehmen und damit eine Reife vorzugeben, die Sie nicht haben. Ein guter Auditor wird die Potemkinschen Dörfer schnell erkennen und umso genauer hinter die frisch renovierten Fassaden schauen wollen.

Die Einführung neuer Prozesse und Standards muss nachhaltig und mit Unterstützung der ganzen Organisation stattfinden. Auch wenn solche Themen häufig kleinteilig und langweilig sind, ist der gelebte Rückhalt bis in die Geschäftsleitung unabdingbar. Prozesse laufen nicht isoliert ab, sie sind vernetzt. Dadurch entsteht Steuerungsbedarf, der effizient und effektiv gedeckt werden sollte. Oft erkennt man viel später, dass durch die Vorbereitung auf ein Audit wertvolle Diskussionen und Klärungen stattfinden.

Es kann hilfreich sein, sich zur Unterstützung externen Sachverstand zu holen. Ein erfahrener Berater wird schnell sehen, wie gross die Lücken sind und wie man diese effizient schliessen kann.

Das Audit als Marktvorteil

Ist der Auditor dann im Haus, seien Sie offen und transparent. Es stimmt schon, dass immer etwas gefunden werden kann, aber nicht jede Beanstandung verhindert den Auditerfolg. Beanstandungen sind ein Input für den Verbesserungsprozess und helfen, Risiken und Chancen zu erkennen. Es ist daher auch gar nicht das Ziel, ohne jeden Befund aus dem Audit zu gehen. Nutzen Sie den neutralen Blick von aussen, um mehr über Ihre Organisation zu erfahren und Potenzial für Verbesserungen zu finden.

Nach dem Audit ist vor dem Audit. Machen Sie sich bewusst, dass die meisten Zertifizierungen regelmässig erneuert werden müssen. Nutzen Sie die Befunde aus dem Audit, um an den Defiziten zu arbeiten und damit Ihre Organisation zu verbessern und resistenter zu machen. Nachhaltig eingeführte Verbesserungen zeichnen Sie auch gegenüber Ihren Kunden aus und können zur Marktpositionierung genutzt werden. So wird aus einer formalen Untersuchung ein kompetitiver Vorteil im Markt!