Audit
Systematische, unabhängige Bewertung von Prozessen, Systemen und Konformität zur Risikoidentifikation und Qualitätssicherung.
Klassifikation
- KomplexitätMittel
- AuswirkungOrganisatorisch
- EntscheidungstypOrganisation
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Falsche Priorisierung führt zu unerkannten kritischen Problemen
- Konfrontativer Prüfungsstil untergräbt Zusammenarbeit
- Unzureichende Nachverfolgung lässt Risiken bestehen
- Regelmäßige, risikobasierte Auditplanung
- Automatisierte Sammlung und Konsolidierung von Logs
- Klare SLA- und Verantwortlichkeitsdefinition für Remediation
I/O & Ressourcen
- Richtlinien, Standards und gesetzliche Anforderungen
- System- und Anwendungsprotokolle
- Prozessdokumentationen und Verantwortlichkeitsmatrizen
- Auditbericht mit Befunden und Handlungsempfehlungen
- Priorisierte Maßnahmenliste mit Terminen
- Metriken zur Nachverfolgung von Verbesserungen
Beschreibung
Ein Audit ist ein systematischer, unabhängiger Bewertungsprozess zur Überprüfung von Prozessen, Systemen und Konformität. Es dokumentiert Befunde, bewertet Risiken und empfiehlt Korrekturmaßnahmen. Sie liefern Entscheidungsgrundlagen für Management und verbessern Transparenz über Abläufe, Verantwortlichkeiten und Kontrollen.
✔Vorteile
- Erhöhte Transparenz über Prozesse und Kontrollmechanismen
- Früherkennung von Schwachstellen und Compliance-Lücken
- Basis für gezielte Verbesserungen und Verantwortungszuweisung
✖Limitationen
- Zeit- und ressourcenintensiv bei großem Umfang
- Abhängigkeit von Datenqualität und Verfügbarkeit von Nachweisen
- Kann reaktiv bleiben, wenn Follow-up-Maßnahmen fehlen
Trade-offs
Metriken
- Abgeschlossene Feststellungen pro Audit
Anteil der Befunde, die innerhalb vereinbarter Fristen behoben wurden.
- Durchschnittliche Zeit bis zur Behebung
Mittlere Dauer zwischen Befunddokumentation und Implementierung der Maßnahme.
- Anzahl kritischer Befunde
Zählung von Befunden mit hohem Risiko und direktem Geschäftseinfluss.
Beispiele & Implementierungen
Externe Finanz- und Compliance-Prüfung
Prüfung durch eine externe Wirtschaftsprüfungsgesellschaft zur Sicherstellung gesetzlicher Vorgaben.
IT-Sicherheitsaudit während Cloud-Migration
Audit der Sicherheitskontrollen vor und nach Migration in eine gehostete Cloud-Umgebung.
Interne Qualitätsprüfung von Entwicklungsteams
Regelmäßige interne Audits zur Überprüfung von Prozessen, Code-Qualität und Release-Readiness.
Implementierungsschritte
Scope und Ziele definieren, Stakeholder einbeziehen
Nachweismatrix erstellen und Datenquellen katalogisieren
Auditdurchführung: Prüfungen, Interviews, Log-Analyse
Bericht erstellen, Maßnahmen priorisieren und Nachverfolgung einrichten
⚠️ Technische Schulden & Engpässe
Tech Debt
- Alte, nicht mehr unterstützte Logformate erschweren Auswertung
- Fehlende Automatisierung der Datensammlung erhöht manuellen Aufwand
- Unvollständige Dokumentation erschwert Reproduzierbarkeit
Bekannte Engpässe
Beispiele für Missbrauch
- Nur kritische Systeme prüfen und andere Bereiche vernachlässigen
- Audits als Bestrafungsinstrument statt als Lerninstrument nutzen
- Auf Basis unvollständiger Logs Entscheidungen treffen
Typische Fallen
- Unzureichende Beweissicherung vor Änderungen am System
- Keine Einbindung der Verantwortlichen beim Maßnahmenplan
- Fokus auf Schuldzuweisung statt Ursachenbehebung
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Datenschutz- und Aufbewahrungsvorgaben limitieren Zugriff
- • Budget- und Personalressourcen für tiefgehende Prüfungen
- • Technische Heterogenität erschwert standardisierte Prüfungen