Kontakt Kontakt Downloads Downloads

GAP View GmbH

Schauenburgerstr. 116
24118 Kiel
T: +49 160 88 26100 info@gap-view.de
Kontaktformular

Live-Demo vereinbaren

Audit ManagementInterne Audits im Unternehmen

Die Informationssicherheitsstandards schreiben ausnahmslos eine regelmäßige Überprüfung der Wirksamkeit, Vollständigkeit und Angemessenheit der implementierten Informationssicherheitsmaßnahmen vor.
Die Berufspraxis der/des Informationsbeauftragten bei der Organisation interner Audits ist weitgehend durch den Einsatz herkömmlicher Office-Werkzeuge (Textverarbeitung und Tabellenkalkulation) bestimmt, die wenig effizient, fehleranfällig, unwirtschaftlich und nicht mehr zeitgemäß sind. Eventuell vorhandene GRC-Tools konzentrieren sich in der Regel auf die Risikoanalyse und die Implementierung von ISMS, BCM oder anderen GRC-Themen. Auditierungsaspekte sind nur rudimentär oder gar nicht implementiert.

Unsere Audit Management Software reduziert den gesamten organisatorischen Aufwand im Auditprozess erheblich und unterstützt somit alle am Auditprogramm und den dazugehörigen Audits beteiligten Personen.

GAP View SoftwareOrganisatorische Effizienz und Kostensenkung

Die Audit Management Software GAP View ist ein ideales Werkzeug für die Verantwortlichen, die mit der langfristigen Organisation von internen Audits und Lieferantenaudits betraut sind. Eng mit der Informationssicherheit verbundene Themen wie Datenschutz können in interne ISMS-Audits integriert oder separat organisiert werden. Die Benutzerfreundlichkeit, der Funktionsumfang und nicht zuletzt die Integration von OpenAI ChatGPT, das optional im Bereich der Bewertung und bei den Umsetzungshinweisen der Korrekturmaßnahmen eingesetzt werden kann, reduzieren den organisatorischen Gesamtaufwand und die Kosten im Auditprozess erheblich.

DocSetMinder® Software
DocSetMinder® Software

SoftwareeigenschaftenZentrales Auditprogramm- und Auditmanagement

  • Zentrales Stammdatenmanagement aller am internen Audit beteiligten Organisationen u.a. auditierte Organisation mit Standorten, externe Berater (z.B. Pentester, Forensiker), Lieferanten und Personen
  • Zentrale Verwaltung und einheitliche Bereitstellung aller Fragenkataloge, die für interne Audits oder Lieferantenaudits verwendet werden, u.a. Fragenkataloge ISO/IEC 27001 (NK 4-10 und Anhang A), Datenschutz (EU-DSGVO, BDSG), Lieferantenmanagement nach A.15 und weitere
  • Zentrale Verwaltung der langfristigen Auditprogramme mit den zugehörigen Audits (nach ISO/IEC 27001, NK 9.2 Internes Audit), den Verantwortlichkeiten und den geplanten Zeiträumen für die Durchführung der Audits
  • Zentrale Verwaltung aller geplanten und durchgeführten Audits mit detaillierter Zeitplanung (Kalender), Zuordnung der beteiligten Personen zu den jeweiligen Auditthemen, Auditplan und strukturierter Agenda mit Auditfragen

SoftwareeigenschaftenAuditdurchführung, Korrekturmaßnahmen und Berichtswesen

  • Bei durchgeführten Audits erfolgt eine zentrale Verwaltung aller Ergebnisse, Auditdokumentationen und Auditnachweise (Stichproben)
  • Unterstützung von Vor-Ort- und Remote-Audits sowie Self-Assessments
  • Unterstützung verschiedener Bewertungsmethoden
  • Automatische Generierung von Katalogen mit Korrekturmaßnahmen für die festgestellten Nichtkonformitäten
  • Zentrale Verwaltung der Korrekturmaßnahmen mit Zuweisung von Verantwortlichkeiten, geschätztem Zeitbedarf für die Umsetzung, Umsetzungsdatum und -status sowie Prioritäten
  • Ausführliche Berichterstattung über das Auditprogramm, Auditpläne, Auditergebnisse (in unterschiedlichem Detaillierungsgrad), Pläne für Korrekturmaßnahmen
  • Dashboard mit aktuellem Stand der Auditdurchführung, verbleibender Zeit bis zum Abschluss des Audits, Bewertung, Stand der Umsetzung von Korrekturmaßnahmen
DocSetMinder® Software
DocSetMinder® Software

Audit FragenkatalogeInterne Audits und Lieferantenaudits

Für Unternehmen, die keine oder unvollständige Fragenkataloge für die Durchführung von Audits haben, bieten wir eine Reihe von detaillierten Fragenkatalogen und Checklisten an. Die Fragenkataloge spiegeln genau die Anforderungen der etablierten Informationssicherheitsstandards wider, u.a. sind das:

  • Fragenkatalog ISMS ISO/IEC 27001 Normkapitel 4 bis 10 und Anhang A
  • Fragenkatalog BCM ISO/IEC 22301
  • Fragenkatalog EU-DSGVO
  • Fragenkatalog Lieferantenmanagement gemäß ISO/IEC 27001 Anhang A.15

Die themenspezifischen Fragenkataloge sind vor allem für neue gesetzliche Regelungen konzipiert. Dazu gehören u.a.

  • GAP Analyse DORA (Digital Operational Resilience Act)
  • GAP Analyse NIS-2 (The Network and Information Security (NIS) Directive)
  • GAP Analyse Lieferantenaudit (LkSG)

Step-by-StepInterne Audits und Lieferantenaudits effizient planen und durchführen

Die GAP View Methodik bildet die Anforderungen der ISO/IEC 27001, Normenkapitel 9.2 "Internes Audit" und die Methodik der ISO 19011 ab und unterstützt alle Beteiligten bei der langfristigen Planung und Durchführung von internen Audits.

Step 1. Audit-Stammdaten erfassen
  • Alle für die Planung und Durchführung eines Audits notwendigen Stammdaten werden zentral erfasst und zur Verfügung gestellt. Dazu gehören alle Institutionen und Mitarbeiter (Auditee, Auditoren, Auftraggeber, Sachverständige usw.), die am langfristigen Auditprogramm und an den einzelnen Audits beteiligt sind.
Step 2. Fragenkataloge
  • Für die Audits stehen zwei Fragenkataloge mit detaillierten Fragen zu den Normkapiteln 4 bis 10 und zum Anhang A der Norm zur Verfügung
  • Weitere Fragenkataloge können importiert oder manuell direkt in der Software erstellt werden
  • Den einzelnen Normkapiteln in den Fragenkatalogen können geplante oder geschätzte Auditzeiten zugeordnet werden. Diese werden bei der Erstellung des Auditplans und der damit verbundenen Zeitaufwände verwendet
  • Die Checklisten werden zentral verwaltet und stehen nach Freigabe allen Beteiligten (Auditoren und Mitarbeitern) zur Verfügung
Step 3. Festlegung des Auditprogramms
  • Der für das Auditprogramm Verantwortliche legt den mehrjährigen Zeitraum, die Art und Anzahl der einzelnen Audits, die Standorte, den Umfang, mögliche Risiken und Chancen sowie die am Auditprogramm beteiligten Institutionen und Mitarbeiter (Stammdaten) fest.
Step 4. Planung eines Audits (Orgnisation)
  • Erfassung der Grunddaten eines Audits, u.a. Bezeichnung, Ort und Art des Audits (intern oder extern), Beauftragung
  • Festlegung der Auditziele, Auditkriterien, des Auditumfangs und der Art der Durchführung (Vor-Ort-, Remote- oder Self-Assessment)
  • Festlegung der Kontaktperson(en), Auditorenteams und Mitarbeiter der Institution. Hier werden die Angaben aus der Definition des Auditprogramms verwendet.
Step 5. Planung eines Audits (Zeitvorgaben)
  • Festlegung des Zeitrahmens und bestimmter Zeitvorgaben. Dazu gehören u.a. die Auditdauer (von - bis), Beginn und Ende eines regulären Arbeitstages sowie bestimmte festgelegte Tagestermine. Zu den täglichen Terminen gehören u. a.: gesetzlich vorgeschriebene Pausen und verschiedene Besprechungen (Eröffnungs- und Abschlussbesprechung, Besprechungen der Auditoren usw.).
  • Einige dieser Termine sind einmalig, andere wiederholen sich täglich während des Audits. Einige dieser Termine sind im Zeitrahmen des Audits zu berücksichtigen (z. B. Besprechungen), andere sind zeitneutral (z. B. Mittagspause). Diese Informationen werden bei der Auditplanung berücksichtigt.
Step 6. Planung eines Audits (Ressourcenplanung)
  • Auswahl der für das Audit erforderlichen Fragenkataloge (Checklisten).
  • Zuordnung der Auditoren und der am Audit teilnehmenden Mitarbeiter, ggf. Experten, zu den Fragen.
Step 7. Erstellung eines Auditplanes
  • Die geplanten festen Termine und Fragenkataloge eines Audits werden automatisch in den Kalender eingetragen. Dabei werden die in den Fragenkatalogen definierten Zeitbedarfe pro Normkapitel berücksichtigt.
  • Die automatisch ermittelten Termine können einfach manuell angepasst (Dauer) und/oder auf andere Tage verschoben werden.
  • Der Kalender kann nach verschiedenen Kriterien „gefiltert“ werden. So können die Termine z.B. pro ausgewähltem Auditor oder Mitarbeiter angezeigt werden.
  • Die einzelnen Kalendereinträge enthalten detaillierte Angaben zum geplanten Termin, u.a.: genaue Uhrzeit, Ort/Raum und die Teilnehmer (Auditor(en), Mitarbeiter, ggf. Experten).
  • Alle geplanten Aktivitäten werden als Auditagenda in Form einer Liste dargestellt.
  • Optional können die festgelegten und abgestimmten Audittermine per E-Mail als Auditplan (PDF) an alle oder nur an ausgewählte Beteiligte versendet werden.
Step 8. Durchführung eines Audits
  • Die ausgewählten Fragenkataloge stehen den Auditoren in Form einer Liste zur Verfügung. Anhand der Statusanzeige kann leicht festgestellt werden, welche Fragen bereits bearbeitet (GRÜN), in Bearbeitung (ORANGE) oder noch nicht begonnen (ROT) sind.
  • Der Auditor dokumentiert die Feststellung, fügt ggf. Nachweise zu der Feststellung bei (Anlage) und bewertet die Wirksamkeit entsprechend der gewählten Bewertungsmethode.
Step 9. Auditbericht

  • Dem Auditteam stehen anpassbare Standardberichte (Kurzfassung und ausführliche Fassung) zur Verfügung.

Step 10. Maßnahmenkatalog

  • Die im Audit festgestellten Haupt- und Nebenabweichungen sowie die Verbesserungsvorschläge werden automatisch in einem Maßnahmenkatalog zusammengefasst.

  • Für jede Maßnahme wird festgelegt, wer für die Umsetzung verantwortlich ist.

  • Für jede Maßnahme werden die Priorität und der Zeitpunkt der Umsetzung festgelegt.

Kontaktformular

Nutzen Sie das Formular, wenn Sie mehr über GAP View GmbH und unsere Beratungsleistungen erfahren möchten.

Bitte addieren Sie 9 und 9.

* Pflichtfelder