Fachartikel: Wie Softwarelösungen bei Zertifizierungs-Audits unterstützen

Organisationen (Unternehmen, NGOs oder öffentliche Einrichtungen) sehen sich einem Dickicht aus immer mehr und komplexer werdenden Gesetzeslagen, Vorschriften und Normen gegenüber. All diese Vorgaben müssen nicht nur eingehalten werden, sondern die Konformität muss oftmals auch lückenlos nachgewiesen werden. Bei mehreren gleichzeitig einzuhaltenden Vorgaben, z. B. ISO-Normen, die auch alle zu auditieren sind, wird dieses Unterfangen zunehmend intransparent, fehleranfällig und ressourcenaufwendig. Zumindest dann, wenn entsprechende Softwareunterstützung und ein übergeordnetes, strukturelles Systemverständnis der ISO-Normenwelt fehlen. Dieses Systemverständnis ist jedoch essenziell, vor allem wenn es um eine qualitative Beurteilung von Managementsystemen innerhalb von Organisationen geht. Erst mit diesem umfassenden Knowhow sowie der detaillierten Kenntnis der weitverzweigten Toollandschaften ist es möglich, den Überblick über die zu auditierende Prozesslandkarte zu behalten. Erst dann lassen sich sinnvolle Auditpläne erstellen, die leicht und effizient Schritt für Schritt abgearbeitet werden können.

Grund für die komplexer werdenden Anforderungen ist – aufgrund der größer werdenden Angriffsflächen durch eine zunehmende Anzahl vernetzter Systeme und der damit verbundenen Schwachstellen – auch die damit einhergehende Zunahme von Bedrohungen und Risiken; vor allem im Bereich Informationssicherheit.

Um den Geschäftserfolg trotz dieser Entwicklung sicherzustellen, wird das klassische ITSM-Umfeld zunehmend um den Themenbereich Governance, Risikomanagement und Compliance (GRC) erweitert. Darunter fallen sämtliche Methoden, die dazu beitragen, die festgelegten Geschäftsziele aller Stakeholder einer Organisation sicher zu erreichen. Dazu gehören sowohl interne Handlungsanweisungen, zum Beispiel in Form von Compliance-Kodizes, als auch externe Normen, Standards und Gesetze.

Serviceorganisationen müssen heutzutage nicht mehr nur mit Effizienz und Servicequalität punkten, sondern auch sicherstellen, dass alle angebotenen Dienstleistungen zu jedem Zeitpunkt uneingeschränkt in gleichbleibend hoher Qualität verfügbar sind. Diese zu beobachtende Fokusverschiebung bei Serviceorganisationen hin zu mehr Prävention und Informationssicherheit schlägt sich auch im Wunsch nieder, die zugehörigen ISO-Normen zu Managementsystemen, vor allem zu den Themen Risikomanagement (ISO 31000), Informationssicherheit (ISO 27001) und Business Continuity (ISO 22301), einzuhalten und sich dafür zertifizieren zu lassen. Vereinfacht gesagt sind ISO-Audits vorgegebene Anforderungskataloge für Normen, die abfragen, ob Mindeststandards innerhalb einer Organisation (z. B. in Bezug auf die IT-Sicherheit) so eingehalten werden, dass die übergeordneten Ziele der Prävention und Sicherheit mit möglichst hoher Wahrscheinlichkeit erreicht werden. Die inhaltlichen Schnittmengen von ISO-Zertifizierungen und GRC sind unübersehbar.

Beim integrierten Risikomanagement (IRM) geht es darum, Risiken möglichst lückenlos zu erfassen, zu analysieren und zu bewerten, sodass (präventive) Maßnahmen zur Abwehr oder Abmilderung von Bedrohungen ergriffen werden können – mit der Intention, die von der Geschäftsführung festgelegten Ziele wie etwa Wachstum, Gewinn, Rechtskonformität oder rechtzeitige Produkteinführungen auch zu erreichen.

Beim integrierten Risikomanagement wandert der Blick weg von isoliert betrachteten Prozessen hin auf die gesamte Risikolandschaft einer Organisation. Die daraus gewonnenen Erkenntnisse dienen dann als Basis für Entscheidungen und Priorisierungen bei der Gefahrenabwehr. Eine wesentliche Rolle nehmen hier IT-Services ein, da Störfalle innerhalb der IT-Infrastruktur von besonderer Tragweite sind und im Worst Case weite Teile der Geschäftstätigkeit lahmlegen könnten.

Aufgrund des besonderen Schadenpotenzials von organisations- und prozessübergreifenden Bedrohungen wird das Thema Risikomanagement auch bei der Auditierung von allen ISO-Managementsystemen verlangt. Der Einsatz eines unternehmensweit eingesetzten GRC-Tools, das im Kern als integriertes Risikomanagement zu verstehen ist, bietet hier den Vorteil, dass sämtliche Unternehmensbereiche zentral gemanagt werden, wodurch ein übergeordnetes Gefährdungsverständnis entsteht.

Dieses Knowhow hilft dabei, Schwachstellen im Gesamtsystem aller Prozesse und Services besser zu erkennen, notwendige Ressourcen abzustellen, sodass Gegenmaßnahmen rechtzeitig ergriffen werden können. Ein solch strukturiertes und toolbasiertes Vorgehen in der Erfüllung relevanter ISO-Managementsysteme hilft direkt und indirekt, die Resilienz einer Serviceorganisation leichter und transparenter sicherzustellen.

Die genannten Zusammenhänge zwischen ITSM, GRC und IRM sind wichtig, um die Vorteile einer Komplettlösung zu verstehen, die nicht nur auf Auditierungsprozesse ausgelegt ist, sondern auch Elemente von GRC mit integriertem Risikomanagement vereint.

Einzelne Audits bezüglich einer einzigen ISO-Norm lassen sich meist relativ einfach planen und umsetzen. Eine GRC-basierte Auditierungssoftware ist vor allem bei zunehmender Anzahl von zu zertifizierenden Normen sinnvoll, also mit steigender Komplexität der Anforderungen. Thematisch ähnliche Inhalte lassen sich dann über mehrere ISO-Anforderungskataloge hinweg wiederverwenden, sodass integrierte Managementsysteme bei Auditierungen einfacher überprüft werden können.

Außerdem erleichtert eine GRC-Software die Dokumentation aller auditrelevanten Informationen bei Rezertifizierungen und Überwachungsaudits, da bei inhaltlichen Überschneidungen auf bereits erarbeitetes und dokumentiertes Wissen schnell zurückgegriffen werden kann. Hinzu kommt, dass alle notwendigen Daten bereits in einem zentralen Pool zur Verfügung stehen. Automatisierte Reporte (wie Auditplanungen, Auditberichte) oder auch die automatisierte Adressierung und Verfolgung von Korrekturmaßnahmen schaffen enorme Arbeitszeiteinsparungen und geben der Geschäftsführung eine erheblich verbesserte Transparenz.

Dieser Effekt multipliziert sich, wenn zusätzlich zu ISO-Normen und -Managementsystemen auch noch interne Richtlinien mithilfe einer GRC-Software zu erfüllen sind, zum Beispiel, um die Einhaltung von Compliance-Regeln abzuprüfen.

Um im Bild des oben genannten Dschungels zu bleiben: Organisationen sollten sich nicht bei jedem Audit erneut von Null an durchs Dickicht kämpfen müssen. Hier gilt es, bereits bewährte Pfade zu nutzen, um schnell und sicher an das Auditierungsziel zu gelangen. Dadurch können Organisationen nicht nur aktuell anstehende Audits leichter bestehen, sondern sie schaffen auch ein ideales Fundament für eine umfassende Risikominimierung und eine qualitative Prozessverbesserung auf allen Ebenen, sei es für die Organisation als Ganzes oder für einzelne Servicebereiche. Bei der isolierten Betrachtung einzelner Audits und ohne Toolunterstützung kommt das Erkennen dieser Verbesserungspotenziale häufig zu kurz. Und gerade diese Verbesserungspotenziale gilt es als Chancen zu nutzen.

Audits sind kein Selbstzweck, sondern sie sollen sicherstellen, dass Unternehmensziele ohne Abweichung durch Compliance (Konformität) zu ISO-Normen erreicht werden. Und genau hierbei greift der Mehrwert von GRC-Komplettlösungen – vor allem bei Services und Prozessen mit kritischer Tragweite und besonderer Unternehmensrelevanz.

• Modularer Aufbau, um den Funktionsumfang bei Bedarf zu erweitern
• Multi-Norm-Fähigkeit, um sämtliche Normen und Standards digital abzubilden
• Erfahrener und etablierter Tool-Hersteller, um langfristige Stabilität zu garantieren
• Komplettlösung mit den GRC-Elementen Risiko-, Audit-, Compliance-, Business-Continuity-Management
• Fundiertes Risikomanagement-Knowhow, wie es z. B. auch im IT-Service-Management-Umfeld verlangt wird (ITIL^®- konform und Zertifizierung von Pink Verify)
• Standardisierte Schnittstellen für mehr Flexibilität bei der Integration in die bestehende Softwarelandschaft

Dieser Artikel erschien bereits im Dezember 2021 in der Fachzeitschrift IT Service Management, die von dem itSMF Deutschland e. V. herausgegeben wird, #58, Seiten 35 bis 36.