Definition Audit

Was ist ein Audit?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Audit ist ein Untersuchungsverfahren, das die Einhaltung von Vorgaben, Standards oder Richtlinien kontrolliert und dokumentiert.
Ein Audit ist ein Untersuchungsverfahren, das die Einhaltung von Vorgaben, Standards oder Richtlinien kontrolliert und dokumentiert. (Bild: gemeinfrei)

Ein Audit ist eine wichtige Maßnahmen im Rahmen des Qualitätsmanagements. Während eines Audits erfolgt die Überprüfung von Prozessen, Produkten oder Systemen auf Einhaltung von Vorgaben oder Richtlinien. Audits können intern oder extern durchgeführt werden.

Der Begriff Audit leitet sich vom lateinischen Verb "audire" ab, das "hören" beziehungsweise "zuhören" bedeutet. Es handelt sich bei einem Audit um ein Untersuchungsverfahren, das die Einhaltung von Vorgaben, Standards oder Richtlinien kontrolliert und dokumentiert. Gegenstand des Audits können Prozesse, Systeme oder Produkte sein. Durchgeführt wird die Untersuchung von speziell geschulten Auditoren. Abhängig davon, ob die Untersuchung in der eigenen oder in einer fremden Organisation stattfindet, ist die Unterscheidung zwischen internen und externen Audits möglich. Ein erfolgreich durchgeführter Audit kann beispielsweise durch ein Zertifikat einer unabhängigen Organisation bestätigt werden. Audits sind wichtige Maßnahmen des Qualitätsmanagements.

Die Ziele des Audits

Ein Audit verfolgt mehrere Ziele. Wichtige Ziele sind unter anderem diese:

  • Optimierung der Effizienz und Qualität von Unternehmensprozessen, Systemen, Produkten oder Dienstleistungen
  • Sicherstellung der Einhaltung wichtiger Qualitätsanforderungen
  • Verbesserung der Kundenzufriedenheit
  • Verbesserung der Mitarbeiterzufriedenheit
  • Qualitätskontrolle von Lieferanten
  • Wettbewerbsvorteile durch die Dokumentation und Zertifizierung der erfolgreichen Durchführung von Audits. Der Kunde kann sich auf eine hohe Effizienz des Unternehmens verlasen

Die verschiedenen Arten von Audits - interne und externe Audits

Zunächst ist eine grundsätzliche Unterscheidung zwischen internen und externen Audits möglich. Interne Audits führen Mitglieder der Organisation, Mitarbeiter des Unternehmens oder extern beauftragte Auditoren durch. Zu den externen Audits zählen beispielsweise Lieferantenaudits, die Mitarbeiter oder extern beauftragte Auditoren des Kunden eines Lieferanten durchführen. Interne oder externe Arten von Audits können Systemaudits, Prozessaudits oder Produktaudits sein. Während bei einem Prozessaudit nur ein bestimmter Prozess der Prüfung unterzogen wird, überprüft ein Systemaudit ein komplettes System wie das Qualitätsmanagementsystem. Produktaudits prüfen einzelne physische Produkte oder Dienstleistungen auf Einhaltung bestimmter Vorgaben.

Audits in der Informationstechnik

In der Informationstechnik beziehen sich Audits beispielsweise auf:

  • die Einhaltung der Vorgaben eines Softwareprojekts
  • die Qualität von Quellcode
  • die Schwachstellen und Risiken von IT-Systemen
  • die korrekte Lizenzierung von Softwareprodukten
  • die Einhaltung von Datenschutzvorgaben

Anforderungen an einen Audit nach DIN EN ISO 9001

Wird eine Organisation nach DIN EN ISO 9001 auditiert, sind verschiedene grundlegende Anforderungen einzuhalten. Die Audits müssen strukturiert und geplant durchgeführt werden. Sämtliche Kriterien sowie der Umfang und die angewandten Methoden des Audits sind zu dokumentieren. Zudem ist sicherzustellen, dass die Planung und Durchführung genau geregelt ist. Alle Ergebnisse werden dokumentiert und der geprüften Organisation zur Verfügung gestellt. Aus den Ergebnissen abgeleitete Maßnahmen sind zu kontrollieren. In regelmäßigen Abständen hat ein erneuter Audit stattzufinden.

Typischer Ablauf eines Audits

Audits haben einen geregelten Ablauf. Zunächst findet die Aufstellung eines Plans für den Audit und die Vorbereitung auf die Prüfung statt. Der Auditor führt den Audit nach Plan durch und dokumentiert alle Ergebnisse in einem Bericht. Auf Basis des Berichts werden Maßnahmen zu eventuell festgestellten Mängeln abgeleitet. Die Nachbereitung des Audits umfasst die Umsetzung der Maßnahmen und die Erfolgskontrolle. Ist eine kompletter Audit-Zyklus durchlaufen, kann ein erneuter Audit angesetzt werden.

Die Rolle des Auditors

Ein Auditor kann ein interner Mitarbeiter eines Unternehmens, ein internes Mitglied einer Organisation oder ein Beauftragter einer externen Organisation sein. Der Auditor führt die Prüfung durch und bewertet die Einhaltung der Vorgaben. Existierende Abläufe werden vom Auditor hinterfragt und auf Schwachstellen oder Mängel untersucht. Auditoren sind geschult und verfügen über die benötigte Kompetenz zur Durchführung eines Audits. Die Eignung externer Auditoren wird in der Regel durch eine Zertifizierung nachgewiesen. Wichtig für den Auditor ist seine Neutralität. Er sollte nicht gleichzeitig Prüfer und Verantwortlicher für einen zu auditierenden Bereich sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Im Notfall reicht irgendein Backup nicht

Ausnahmezustand

Im Notfall reicht irgendein Backup nicht

Unternehmen sollten in einem Notfallkonzept festlegen, wie sie Daten und Systeme automatisiert mit Hilfe von Software sichern und wiederherstellen wollen. Branche, Compliance- und Datenschutz-Vorgaben wirken sich hierbei auf Backup-Frequenz, Speicherinfrastruktur und -ort sowie Software-Auswahl aus. lesen

Bedroht das Quanten-Computing die Blockchains?

Kryptoketten verbessern oder begraben

Bedroht das Quanten-Computing die Blockchains?

Derzeit vergeht kein Tag ohne eine Meldung über neuartige Anwendungen, in denen Blockchain-Verfahren implementiert sind. Mit dem Aufkommen des Quantencomputing aber treten kryptografische Verwundbarkeiten von Blockchains überraschend in den Vordergrund. Ist es schon wieder vorbei, bevor Blockchains richtig abheben? lesen

Die wichtigsten Branchen spielen Vogel Strauß bei der Informationssicherheit

Carmao Business Information Risk Index

Die wichtigsten Branchen spielen Vogel Strauß bei der Informationssicherheit

Im Rahmen der Veranstaltung „Risikodarstellung und Bewertung von Rechenzentren und IT-Unternehmen“ des Eco – Verband der Internet-Wirtschaft stellte Carmao seinen jüngsten „Business Information Risk Index“ vor. Die Sensibilität für Informationssicherheit und Datenschutz steige zwar leicht, die DSVGO zeige Wirkung, und trotzdem lasse die Resilienz mehr als zu wünschen übrig. lesen

Schwachstellen-Management mit Nessus und Tenable.sc

Security-Insider Deep Dive

Schwachstellen-Management mit Nessus und Tenable.sc

Im Deep Dive von Security-Insider zeigt uns Jens Freitag, Security Engineer bei Tenable, gemeinsam mit Matthias Wessner von Security-Insider, wie das auf dem berühmten Nessus-Scanner basierende Tenable.sc (ehem. SecurityCenter) in der On-Premises-Variante funktioniert und mit welchen Best Practices Security-Admins ihre Netzwerke damit auf Schwachstellen prüfen und konkrete Gegenmaßnahmen einleiten können. lesen

Compliance in der Cloud

Regularien und Anforderungen

Compliance in der Cloud

Unternehmen, die ihre Anwendungen in die Cloud verlagern, müssen sich fragen, welche Regularien für sie gelten. Denn mit der Verlagerung der Daten zum Cloud Provider entbinden sie sich nicht der Verantwortung, die Sicherheit ihrer Daten und die Einhaltung von Compliance-Anforderungen zu gewährleisten. Wie also können Unternehmen dafür sorgen, dass sie die Cloud Compliance bewahren? lesen

Mit Transparenz zum „Zero Trust Network“

Software Asset Management und IT-Sicherheit

Mit Transparenz zum „Zero Trust Network“

Vertrauen ist gut, Kontrolle ist besser. Vertraut man niemandem mehr, wie beim Zero-Trust-Ansatz, braucht man umso mehr Kontrolle und Wissen. Benedict Geissler von Snow Software erklärt, wie Unternehmen beim Aufbau eines Zero-Trust-Netzwerks vorgehen können und wie ihnen Software Asset Management (SAM) dabei helfen kann. lesen

Sicherheitsfunktionen in Azure SQL-Datenbanken

Datensicherheit bei Microsoft Azure SQL

Sicherheitsfunktionen in Azure SQL-Datenbanken

Daten sind die wichtigste Ressource von vielen Unternehmen. Microsoft will die Datensicherheit unter Azure SQL verbessern und bietet seit kurzem seine wichtigsten Datensicher­heits­tools als umfassendes Paket an: SQL Advanced Threat Protection (ATP) vereint Funktionen für Datenklassifizierung, Schwachstellen­prüfung und Bedrohungs­erkennung in einer zentralen Plattform. lesen

Wozu ein Datenschutzbeauftragter?

Interner vs. Externer DSB

Wozu ein Datenschutzbeauftragter?

Jeder Betrieb, in dem mehr als zehn Mitarbeiter mit personenbezogenen Daten arbeiten, braucht einen Datenschutzbeauftragten, ansonsten kann ein Bußgeld drohen. Bei der Besetzung des Postens gilt es einiges zu beachten, denn die nötigen Kompetenzen und das Aufgabengebiet sind vielfältig. lesen

Sicherheit in Microsoft-Umgebungen überwachen

Systemüberwachung mit Tools und Bordmitteln

Sicherheit in Microsoft-Umgebungen überwachen

Geht es um die Analyse der Sicherheit in Microsoft-Umgebungen, greifen Administratoren oft auf teure,externe Lösungen zurück, dabei lässt sich in vielen Fällen schon mit den eingebauten Mitteln der Systeme viel erreichen. Wir zeigen in diesem Beitrag, wie man AD und Windows-Systeme mit Bordmitteln überwacht und welche praktischen Tools bei der Analyse helfen können. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45745348 / Definitionen)