Definition Compliance Audit

Was ist ein Compliance Audit?

| Autor / Redakteur: Tutanch / Peter Schmitz

In der IT prüft ein Compliance Audit die Einhaltung von gesetzlichen Vorgaben für den Betrieb von IT-Systemen und die Speicherung und Verarbeitung von Daten.
In der IT prüft ein Compliance Audit die Einhaltung von gesetzlichen Vorgaben für den Betrieb von IT-Systemen und die Speicherung und Verarbeitung von Daten. (Bild: Pixabay / CC0)

Ein Compliance Audit überprüft die Einhaltung von gesetzlichen Vorgaben oder anderen Richtlinien in einem privaten Unternehmen oder einer öffentlichen Einrichtung. Sanktionen oder Geldbußen aufgrund von Verletzungen der Vorgaben lassen sich mit einem Audit vermeiden.

Im Rahmen eines Compliance Audits findet eine umfassende Prüfung statt, ob die für ein privates Unternehmen oder eine öffentliche Institution geltenden Richtlinien oder gesetzlichen Vorgaben erfüllt werden. Den Audit führen in der Regel unabhängige Prüfer durch. Gegenstand des Audits sind beispielsweise Zugriffskontrollen, Abläufe des Risikomanagements, Sicherheitsvorschriften, der Datenschutz oder die Sicherung und Aufbewahrung von Daten.

Abhängig davon, in welchem Bereich die Organisation oder das Unternehmen tätig ist, ergeben sich unterschiedliche Prüfungsinhalte und -schwerpunkte. Auch die Art der Daten, die verarbeitet oder gespeichert werden, beeinflussen die Durchführung und Inhalte des Audits. Daten können vertrauliche Finanzdaten, persönliche Gesundheitsdaten oder Kommunikationsinhalte und -metadaten sein. Im Finanzwesen erfordert die Einhaltung der Compliance umfangreiche Sicherungspflichten für die Daten. Im Gesundheitswesen gilt es, die privaten Daten und Gesundheitsinformationen von Patienten vor unbefugtem Zugriff zu schützen.

Erklärung des Begriffs Compliance

Um den Zweck eines Compliance Audits zu verstehen, gilt es zunächst den Begriff Compliance genauer zu erläutern. Übersetzt bedeutet Compliance in etwa Regeltreue. Diese Regeltreue ist jedoch nicht näher definiert und kann sich sowohl auf gesetzliche Vorgaben als auch auf intern in einem Unternehmen festgelegte Richtlinien beziehen. Selbst ethische Verhaltensvorgaben, Werte und Prinzipien im geschäftlichen Umgang oder die gesellschaftliche Verantwortung können zu diesen Richtlinien zählen. Im finanziellen Umfeld versteht man unter Compliance die Einhaltung von Regeln zur Vermeidung von Vermögensdelikten und Korruption. Weitere durch die Compliance einzuhaltenden Vorgaben sind freiwillige Selbstverpflichtungen oder vertragliche Regeln. Im Unternehmen wirkt sich die Compliance unternehmensweit aus und hat Einfluss auf alle Prozesse und Hierarchiestufen. Besteht keine Compliance, kann dies nicht nur Rechtsverstöße zur Folge haben, sondern sich auch auf das Image und den geschäftlichen Erfolg auswirken. Unter Umständen werden bei rechtlichen Verstößen Sanktionen wie Geldstrafen oder Bußgelder verhängt. Compliance-Verstöße ziehen zudem oft personelle Konsequenzen in der Führungsebene bis hin zu persönlichen Haftungsfällen nach sich.

Ablauf eines Compliance Audits

Der Ablauf eines Compliance Audits kann sich abhängig von der Art des Unternehmens oder der Organisation und der zu prüfenden Inhalte stark unterscheiden. In der Regel arbeiten die Auditoren während der Prüfung einen Fragenkatalog ab. Die spezifischen Fragen können an das Top-Management, an die verschiedenen Führungsebenen aber auch an IT-Verantwortliche oder Mitarbeiter gestellt werden. Stehen beim Audit IT-Systeme im Fokus, beziehen sich typische Fragen auf Zugriffsrechte von Benutzern, die Verwaltung der Benutzerrechte, die Sicherung von Daten oder die Dokumentation der IT-Systeme. Nutzt die Organisation spezielle GRC-Software (Governance, Risk Management und Compliance) lassen sich viele Fragen der Auditoren direkt über die GRC-Software beantworten. Im Audit können Risikobereiche und Risikoarten ermittelt und Optimierungspotenziale aufgezeigt werden.

Beispiel eines Compliance Audits

Für ein besseres Verständnis des Compliance Audits hier ein Beispiel eines Audits aus dem Bereich Arbeitsschutz, Gesundheitsschutz und Betriebssicherheit. Der Auditor prüft, wie gut ein Unternehmen die gesetzlichen Vorgaben in diesem Bereich umsetzt. Dank des Compliance Audits entsteht eine umfassende Momentaufnahme, die alle für die Betriebssicherheit in einem Unternehmen relevanten Aspekte erfasst. Das Risiko für Arbeitsunfälle und Haftungsrisiken für das Unternehmen lassen sich minimieren. Die Auditoren führen im Rahmen des Compliance Audits Interviews mit den zuvor benannten Ansprechpartnern im Unternehmen durch. Die Fragestellungen prüfen und beurteilen die Erfüllung der gesetzlichen Mindestanforderungen der Betriebssicherheit in verschiedenen Bereichen. Unter anderem finden Punkte wie Organisationsstruktur und Verantwortlichkeiten, der Gesundheitsschutz, der Brandschutz, der Umweltschutz, die Betriebssicherheitsverordnung (BetrSichV) oder die Zusammenarbeit mit Fremdfirmen und Dienstleistern Berücksichtigung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Unternehmen unterschätzen die Gefahren der DSGVO

Studie von Veritas

Unternehmen unterschätzen die Gefahren der DSGVO

Viele Unternehmen sind der Meinung, die Pflichten aus der EU-Datenschutzgrundverordnung (EU-DSGVO) bereits abzudecken. Dass dies allzu oft ein Trugschluss ist, zeigen die Ergebnisse einer von Veritas veröffentlichten Umfrage. lesen

Dynamische Richtlinien gegen komplexe Cyber-Attacken

Neues eBook „Security Policy Management“

Dynamische Richtlinien gegen komplexe Cyber-Attacken

IT-Sicherheitsrichtlinien sind mehr als die Grundlage der Sicherheitsunterweisung für Mitarbeiterinnen und Mitarbeiter. Auch Security-Lösungen brauchen Policies, um Angriffe erkennen und abwehren zu können. Das neue eBook zeigt, wie diese Policies beschaffen sein müssen. lesen

Ransomware & Co. einfach den Riegel vorschieben

[Advertorial]

Next-Gen IT-Security-Technologien für KMUs unabdingbar

Ransomware & Co. einfach den Riegel vorschieben

Tradition ist gut und notwendig. Das gilt auch für IT-Sicherheitslösungen. Ohne die Erfahrungen der letzten Jahrzehnte wären Infrastrukturen bei weitem nicht so gut geschützt. Das alleinige Vertrauen auf Tradition ist aber eine Sackgasse. Neue Wege schieben modernen Hackerangriffen einen Riegel vor. lesen

Was ist IT-Governance?

Definition IT-Governance

Was ist IT-Governance?

Die IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und liegt in der Verantwortung des Managements. Mit Hilfe der IT-Governance wird sichergestellt, dass die IT die Unternehmensziele und Unternehmensstrategie optimal unterstützt. lesen

Cyber Security: Weckruf für Unternehmen

[Advertorial]

Active Security Management

Cyber Security: Weckruf für Unternehmen

Die Flut an Meldungen über aktuelle Cyberattacken zeigt, wie verwundbar Unternehmen sind. Aktives Sicherheitsmanagement hilft Firmen, Schäden in Grenzen zu halten und schnell wieder zum Normalbetrieb zu finden. lesen

Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen

VMware AppDefense

Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen

VMware will mit seiner neuen Sicherheitslösung AppDefense die Sicherheit für Anwendungen in vSphere-basierten virtuellen und Cloud-Umgebungen signifikant verbessern. Von innerhalb des vSphere Hypervisor nutzt AppDefense die virtuelle Infrastruktur, um laufende Anwendungen zu überwachen, Angriffe zu erkennen und automatisch darauf zu reagieren. lesen

So klappt’s mit der Informationssicherheit

Sicherheit und EU-DSGVO im Fokus

So klappt’s mit der Informationssicherheit

Wenn es um den Umgang mit Informationen geht, bietet das Thema Sicherheit immer wieder ein großes Diskussionspotential. Denn die Gefahren für Wirtschaft und Gesellschaft wachsen im digitalen Cloud-Zeitalter stetig. Für ausreichenden Schutz sorgen Entwickler und Nutzer von Softwarelösungen mittels verschiedener Maßnahmen. lesen

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

Vorbereitung auf die Datenschutz-Grundverordnung

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

Am 25. Mai 2018 ist Stichtag für die DSGVO. Die für die Umsetzung der Datenschutz-Grundverordnung verbleibende Zeit ist knapp. Unternehmen, die jetzt noch Lücken in der Vorbereitung haben, sollten sich mit den Services befassen, die Dienstleister und Hersteller speziell zur DSGVO anbieten. lesen

9 Security Trends 2017

Top-Management in der Pflicht

9 Security Trends 2017

Was sind die wichtigsten Themen der Cyber Security und wie können sich Unternehmen für die Herausforderungen der nächsten Monate wappnen? Eine Einschätzung haben führende Security Analysts von TÜV Rheinland in den Cyber Security Trends 2017 veröffentlicht. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44868621 / Definitionen)