Definition Compliance Audit

Was ist ein Compliance Audit?

| Autor / Redakteur: Tutanch / Peter Schmitz

In der IT prüft ein Compliance Audit die Einhaltung von gesetzlichen Vorgaben für den Betrieb von IT-Systemen und die Speicherung und Verarbeitung von Daten.
In der IT prüft ein Compliance Audit die Einhaltung von gesetzlichen Vorgaben für den Betrieb von IT-Systemen und die Speicherung und Verarbeitung von Daten. (Bild: Pixabay / CC0)

Ein Compliance Audit überprüft die Einhaltung von gesetzlichen Vorgaben oder anderen Richtlinien in einem privaten Unternehmen oder einer öffentlichen Einrichtung. Sanktionen oder Geldbußen aufgrund von Verletzungen der Vorgaben lassen sich mit einem Audit vermeiden.

Im Rahmen eines Compliance Audits findet eine umfassende Prüfung statt, ob die für ein privates Unternehmen oder eine öffentliche Institution geltenden Richtlinien oder gesetzlichen Vorgaben erfüllt werden. Den Audit führen in der Regel unabhängige Prüfer durch. Gegenstand des Audits sind beispielsweise Zugriffskontrollen, Abläufe des Risikomanagements, Sicherheitsvorschriften, der Datenschutz oder die Sicherung und Aufbewahrung von Daten.

Abhängig davon, in welchem Bereich die Organisation oder das Unternehmen tätig ist, ergeben sich unterschiedliche Prüfungsinhalte und -schwerpunkte. Auch die Art der Daten, die verarbeitet oder gespeichert werden, beeinflussen die Durchführung und Inhalte des Audits. Daten können vertrauliche Finanzdaten, persönliche Gesundheitsdaten oder Kommunikationsinhalte und -metadaten sein. Im Finanzwesen erfordert die Einhaltung der Compliance umfangreiche Sicherungspflichten für die Daten. Im Gesundheitswesen gilt es, die privaten Daten und Gesundheitsinformationen von Patienten vor unbefugtem Zugriff zu schützen.

Erklärung des Begriffs Compliance

Um den Zweck eines Compliance Audits zu verstehen, gilt es zunächst den Begriff Compliance genauer zu erläutern. Übersetzt bedeutet Compliance in etwa Regeltreue. Diese Regeltreue ist jedoch nicht näher definiert und kann sich sowohl auf gesetzliche Vorgaben als auch auf intern in einem Unternehmen festgelegte Richtlinien beziehen. Selbst ethische Verhaltensvorgaben, Werte und Prinzipien im geschäftlichen Umgang oder die gesellschaftliche Verantwortung können zu diesen Richtlinien zählen. Im finanziellen Umfeld versteht man unter Compliance die Einhaltung von Regeln zur Vermeidung von Vermögensdelikten und Korruption. Weitere durch die Compliance einzuhaltenden Vorgaben sind freiwillige Selbstverpflichtungen oder vertragliche Regeln. Im Unternehmen wirkt sich die Compliance unternehmensweit aus und hat Einfluss auf alle Prozesse und Hierarchiestufen. Besteht keine Compliance, kann dies nicht nur Rechtsverstöße zur Folge haben, sondern sich auch auf das Image und den geschäftlichen Erfolg auswirken. Unter Umständen werden bei rechtlichen Verstößen Sanktionen wie Geldstrafen oder Bußgelder verhängt. Compliance-Verstöße ziehen zudem oft personelle Konsequenzen in der Führungsebene bis hin zu persönlichen Haftungsfällen nach sich.

Ablauf eines Compliance Audits

Der Ablauf eines Compliance Audits kann sich abhängig von der Art des Unternehmens oder der Organisation und der zu prüfenden Inhalte stark unterscheiden. In der Regel arbeiten die Auditoren während der Prüfung einen Fragenkatalog ab. Die spezifischen Fragen können an das Top-Management, an die verschiedenen Führungsebenen aber auch an IT-Verantwortliche oder Mitarbeiter gestellt werden. Stehen beim Audit IT-Systeme im Fokus, beziehen sich typische Fragen auf Zugriffsrechte von Benutzern, die Verwaltung der Benutzerrechte, die Sicherung von Daten oder die Dokumentation der IT-Systeme. Nutzt die Organisation spezielle GRC-Software (Governance, Risk Management und Compliance) lassen sich viele Fragen der Auditoren direkt über die GRC-Software beantworten. Im Audit können Risikobereiche und Risikoarten ermittelt und Optimierungspotenziale aufgezeigt werden.

Beispiel eines Compliance Audits

Für ein besseres Verständnis des Compliance Audits hier ein Beispiel eines Audits aus dem Bereich Arbeitsschutz, Gesundheitsschutz und Betriebssicherheit. Der Auditor prüft, wie gut ein Unternehmen die gesetzlichen Vorgaben in diesem Bereich umsetzt. Dank des Compliance Audits entsteht eine umfassende Momentaufnahme, die alle für die Betriebssicherheit in einem Unternehmen relevanten Aspekte erfasst. Das Risiko für Arbeitsunfälle und Haftungsrisiken für das Unternehmen lassen sich minimieren. Die Auditoren führen im Rahmen des Compliance Audits Interviews mit den zuvor benannten Ansprechpartnern im Unternehmen durch. Die Fragestellungen prüfen und beurteilen die Erfüllung der gesetzlichen Mindestanforderungen der Betriebssicherheit in verschiedenen Bereichen. Unter anderem finden Punkte wie Organisationsstruktur und Verantwortlichkeiten, der Gesundheitsschutz, der Brandschutz, der Umweltschutz, die Betriebssicherheitsverordnung (BetrSichV) oder die Zusammenarbeit mit Fremdfirmen und Dienstleistern Berücksichtigung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Security Gateway für Amazon Web Services

Check Point bietet Sicherheit in der Cloud

Security Gateway für Amazon Web Services

Die Security-Gateway-Lösungen von Check Point lassen sich jetzt innerhalb der Amazon Web Services nutzen. Bestehende Kunden müssen nur eine virtuelle Appliance für die Cloud-Computing-Umgebung einrichten. lesen

Compliance for Dummies – Kostenloses Handbuch zu Gesetzen und Standards

Gratis-Ratgeber von Sophos

Compliance for Dummies – Kostenloses Handbuch zu Gesetzen und Standards

Ob interne Richtlinien, industrielle Standards oder gesetzliche Vorschriften – um das Thema Compliance kommt mittlerweile kaum ein Unternehmen mehr herum. Doch was genau muss man bei der Planung und Umsetzung sowie der Vorbereitung von Audits beachten? Eine Hilfestellung gibt Sophos mit dem Ratgeber „Compliance for Dummies“. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44868621 / Definitionen)