{"id":3767,"date":"2023-04-29T15:51:40","date_gmt":"2023-04-29T13:51:40","guid":{"rendered":"http:\/\/www.capri-soft.de\/blog\/?p=3767"},"modified":"2023-05-30T21:55:03","modified_gmt":"2023-05-30T19:55:03","slug":"auditprinzipien-der-iso-19011-abschnitt-4","status":"publish","type":"post","link":"https:\/\/www.capri-soft.de\/blog\/?p=3767","title":{"rendered":"Textreferenzen in der ISO 27007 auf ISO 19011:2018"},"content":{"rendered":"\n

Referenzen der ISO 27007<\/h2>\n\n\n\n
Referenz<\/strong><\/td>Thema<\/strong><\/td><\/tr>
ISO 19011:2018 siehe DIN EN ISO 19011:2018-10<\/td>Leitfaden zur Auditierung von Managementsystemen<\/td><\/tr>
ISO 31000:2018 siehe DIN ISO 31000:2018-10<\/td>Risikomanagement – Leitlinien<\/td><\/tr>
ISO\/IEC 17021-1:2015 siehe DIN EN ISO\/IEC 17021-1:2015-11<\/td>Konformit\u00e4tsbewertung –
Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren<\/td><\/tr>
ISO\/IEC 17024 siehe DIN EN ISO\/IEC 17024<\/td>Konformit\u00e4tsbewertung \u2014 Allgemeine Anforderungen an Stellen, die Personen
zertifizieren<\/td><\/tr>
ISO\/IEC 27000:2018 siehe DIN EN ISO\/IEC 27000:2020-06<\/td>Glossar, Informationssicherheits-managementsysteme \u2014 \u00dcberblick und Terminologie<\/td><\/tr>
ISO\/IEC 27001:2013 siehe DIN EN ISO\/IEC 27001:2017-06<\/td>Informationssicherheits-managementsysteme \u2013
Anforderungen<\/td><\/tr>
ISO\/IEC 27002 siehe DIN EN ISO\/IEC 27002<\/td>Informationssicherheits-
ma\u00dfnahmen<\/td><\/tr>
ISO\/IEC 27006:2015 siehe DIN EN ISO\/IEC 27006:2021-05<\/td>Anforderungen an
Institutionen, die Audits und Zertifizierungen von Informationssicherheits-Managementsystemen anbieten<\/td><\/tr><\/tbody><\/table>
Die ISO 27007 referenziert Texte dieser Normen<\/figcaption><\/figure>\n\n\n\n

ISO 27007 Kapitel 4 Grunds\u00e4tze der Auditierung: „Es gelten die Grunds\u00e4tze der Auditierung nach ISO 19011:2018, Abschnitt 4“<\/h2>\n\n\n\n

ISO 19011 Abschnitt 4 : Grunds\u00e4tze der Auditierung \/ Auditprinzipien<\/h3>\n\n\n\n
    \n
  • Integrit\u00e4t: die Grundlage der Professionalit\u00e4t.<\/li>\n\n\n\n
  • Sachliche Darstellung: die Pflicht, wahrheitsgem\u00e4\u00df und genau zu berichten.<\/li>\n\n\n\n
  • Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt und Urteilsverm\u00f6gen beim Auditieren.<\/li>\n\n\n\n
  • Vertraulichkeit: Sicherheit von Informationen.<\/li>\n\n\n\n
  • Unabh\u00e4ngigkeit: die Grundlage f\u00fcr die Unparteilichkeit des Audits sowie f\u00fcr die Objektivit\u00e4t der Auditschlussfolgerungen.<\/li>\n\n\n\n
  • Faktengest\u00fctzter Ansatz: die rationale Methode, um zu zuverl\u00e4ssigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen.<\/li>\n\n\n\n
  • Risikobasierter Ansatz<\/li>\n<\/ul>\n\n\n\n

    Die „Grunds\u00e4tze der Auditierung“ nach ISO 19011:2018, Abschnitt 4, sind wie folgt:<\/h3>\n\n\n\n
      \n
    1. Integrit\u00e4t: Der Auditor soll objektiv und unparteiisch handeln und seine Arbeit auf eine ehrliche und vertrauensw\u00fcrdige Weise ausf\u00fchren.<\/li>\n\n\n\n
    2. Vertraulichkeit: Der Auditor soll die Vertraulichkeit der Informationen wahren, die ihm w\u00e4hrend der Auditierung zur Verf\u00fcgung gestellt werden.<\/li>\n\n\n\n
    3. Kompetenz: Der Auditor soll \u00fcber das notwendige Wissen, die F\u00e4higkeiten und Erfahrungen verf\u00fcgen, um die Auditierung sachgerecht durchzuf\u00fchren.<\/li>\n\n\n\n
    4. Verantwortungsbewusstsein: Der Auditor soll seine Verantwortung im Rahmen der Auditierung anerkennen und seine Pflichten entsprechend erf\u00fcllen.<\/li>\n\n\n\n
    5. Unabh\u00e4ngigkeit: Der Auditor soll frei von Interessenkonflikten sein und nicht in einer Weise handeln, die seine Unabh\u00e4ngigkeit beeintr\u00e4chtigt.<\/li>\n\n\n\n
    6. Aufrechterhaltung der Professionalit\u00e4t: Der Auditor soll sein Verhalten und seine Arbeitsweise so gestalten, dass er die Integrit\u00e4t, die Vertraulichkeit und die Objektivit\u00e4t der Auditierung aufrechterh\u00e4lt.<\/li>\n\n\n\n
    7. Durchf\u00fchrung von evidenzbasierten Auditierungen: Der Auditor soll seine Entscheidungen auf einer sorgf\u00e4ltigen Analyse und Bewertung von Beweismitteln gr\u00fcnden und sicherstellen, dass diese in angemessener Weise gesammelt und bewertet wurden.<\/li>\n\n\n\n
    8. Risikobasiertes Vorgehen: Der Auditor soll bei der Planung und Durchf\u00fchrung der Auditierung das Risiko ber\u00fccksichtigen und geeignete Ma\u00dfnahmen ergreifen, um das Risiko zu minimieren.<\/li>\n\n\n\n
    9. Anwendbarkeit: Der Auditor soll die Anwendbarkeit der Auditierung auf die spezifischen Anforderungen des Auditsystems und der zu auditierenden Organisation sicherstellen.<\/li>\n<\/ol>\n\n\n\n

      Zitat: ISO 19011:2018, Abschnitt 4 „Auditprinzipien“<\/h2>\n\n\n\n
      \n

      Die Anleitung in den Abschnitten 5 bis 7 basiert auf
      den folgenden sieben Prinzipien:

      a) Integrit\u00e4t<\/strong>: die Grundlage der Professionalit\u00e4t
      Auditoren sowie die Person(en), die ein Auditprogramm steuert (steuern), sollte(n):
      \u2014 ihre Arbeit moralisch vertretbar, mit Ehrlichkeit und Verantwortung ausf\u00fchren;
      \u2014 nur Auditt\u00e4tigkeiten durchf\u00fchren, bez\u00fcglich derer sie Kompetenz besitzen;
      \u2014 ihre Arbeit unparteiisch ausf\u00fchren, d. h.
      sachlich und in ihren Handlungen frei von
      Voreingenommenheit bleiben;
      \u2014 sensibel gegen\u00fcber jeglichen Einfl\u00fcssen
      auf ihr Urteilsverm\u00f6gen sein, die w\u00e4hrend
      der Durchf\u00fchrung eines Audits ausge\u00fcbt
      werden k\u00f6nnen.

      b) Sachliche Darstellung<\/strong>: die Pflicht, wahrheitsgem\u00e4\u00df und genau zu berichten
      Auditfeststellungen, Auditschlussfolgerungen und Auditberichte sollten die Auditt\u00e4tigkeiten wahrheitsgem\u00e4\u00df und genau widerspiegeln.
      Signifikante, w\u00e4hrend des Audits festgestellte Hindernisse und ungel\u00f6ste Meinungsverschiedenheiten zwischen dem Auditteam und der auditierten Organisation sollten berichtet
      werden. Die Kommunikation sollte wahrheitsgetreu, genau, objektiv, zeitgerecht, klar und vollst\u00e4ndig sein.

      c) Angemessene berufliche Sorgfalt: <\/strong>Anwendung von Sorgfalt und Urteilsverm\u00f6gen beim Auditieren
      Auditoren sollten entsprechend der Bedeutung der Aufgabe, die sie ausf\u00fchren, und dem Vertrauen, welches der Auditauftraggeber sowie andere interessierte Parteien in sie setzen, Sorgfalt walten lassen. Ein wichtiger Faktor bei der Ausf\u00fchrung ihrer Arbeit mit
      angemessener beruflicher Sorgfalt ist die F\u00e4higkeit, in allen Auditsituationen begr\u00fcndete Urteile zu f\u00e4llen.

      d) Vertraulichkeit: Sicherheit von Informationen<\/strong>
      Auditoren sollten bei der Verwendung und dem Schutz von Informationen, die sie im Verlaufe ihrer Aufgaben erworben haben, umsichtig sein. Auditinformationen sollten nicht unangemessen zur pers\u00f6nlichen Bereicherung des Auditors oder des Auditauftraggebers oder in einer Weise verwendet werden, die nachteilig f\u00fcr die berechtigten Interessen der auditierten Organisation ist. Dieses Konzept schlie\u00dft den ordnungsgem\u00e4\u00dfen Umgang mit sensiblen oder vertraulichen Informationen ein.

      e) Unabh\u00e4ngigkeit:<\/strong> die Grundlage f\u00fcr die Unparteilichkeit des Audits sowie f\u00fcr die Objektivit\u00e4t der Auditschlussfolgerungen
      Wo immer m\u00f6glich, sollten Auditoren unabh\u00e4ngig von der T\u00e4tigkeit sein, die auditiert wird, und sie sollten in allen F\u00e4llen frei von Voreingenommenheit und Interessenkonflikten handeln. Bei internen Audits sollten Auditoren unabh\u00e4ngig von der auditierten Funktion sein, sofern dies in der Praxis umsetzbar ist.
      Die Auditoren sollten w\u00e4hrend des gesamten Auditprozesses Objektivit\u00e4t aufrechterhalten, um sicherzustellen, dass sich die
      Auditfeststellungen und -schlussfolgerungen nur auf die Auditnachweise st\u00fctzen.
      Bei kleineren Organisationen kann es sein, dass die internen Auditoren nicht komplett unabh\u00e4ngig von der T\u00e4tigkeit sind, die auditiert wird; es sollten aber alle Anstrengungen unternommen werden, um Voreingenommenheit zu beseitigen und Objektivit\u00e4t zu f\u00f6rdern.

      f) Faktengest\u00fctzter Ansatz:<\/strong> die rationale Methode, um zu zuverl\u00e4ssigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen

      Auditnachweise sollten verifizierbar sein. \u00dcblicherweise sollten sie auf Stichproben aus den verf\u00fcgbaren Informationen beruhen, da
      ein Audit w\u00e4hrend eines festgelegten Zeitraums und mit begrenzten Ressourcen durchgef\u00fchrt wird. Die Stichprobenahme sollte angemessen erfolgen, da dies eng mit dem Vertrauen verbunden ist, das in die Auditschlussfolgerungen gesetzt werden kann

      g) Risikobasierter Ansatz: <\/strong>ein Auditansatz, der
      Risiken und Chancen ber\u00fccksichtigt

      Der risikobasierte Ansatz sollte die Planung, Durchf\u00fchrung und Berichterstattung von Audits ma\u00dfgeblich beeinflussen, um sicherzustellen, dass die Audits auf die f\u00fcr den Auditauftraggeber und f\u00fcr die Erreichung der Ziele des Auditprogramms relevanten Themen ausgerichtet sind.<\/p>\nZitat aus der ISO 19011:2018, Abschnitt 4 <\/cite><\/blockquote>\n\n\n\n

      ISO 27007 Kapitel 5.1 Allgemeines: „Es gilt der Leitfaden nach ISO 19011:2018, 5.1“<\/h2>\n\n\n\n


      Das Kapitel 5.1 der ISO 19011:2018 besch\u00e4ftigt sich mit der Vorbereitung von Audits und gibt Anleitung zur Planung und Durchf\u00fchrung von Audits.<\/p>\n\n\n\n

      Konkret werden in diesem Kapitel folgende Aspekte behandelt:<\/p>\n\n\n\n

        \n
      1. Festlegung des Auditziels und des Auditumfangs: Es wird empfohlen, dass die Auditplanung auf die spezifischen Bed\u00fcrfnisse und Ziele der auditierten Organisation abgestimmt wird. Hierzu geh\u00f6rt auch die Festlegung des Auditumfangs und der Auditkriterien.<\/li>\n\n\n\n
      2. Auswahl des Auditteams: Die Auswahl des Auditteams sollte auf der Basis von Kompetenzen und Erfahrungen erfolgen und sicherstellen, dass das Team \u00fcber ausreichende F\u00e4higkeiten und Kenntnisse verf\u00fcgt, um das Audit durchzuf\u00fchren.<\/li>\n\n\n\n
      3. Erstellung eines Auditplans: Der Auditplan sollte alle relevanten Aspekte des Audits abdecken, einschlie\u00dflich des Auditumfangs, des Zeitplans, der Ressourcen und des Kommunikationsplans mit der auditierten Organisation.<\/li>\n\n\n\n
      4. Identifizierung von Risiken und Chancen: Es ist wichtig, potenzielle Risiken und Chancen im Zusammenhang mit dem Audit zu identifizieren und zu ber\u00fccksichtigen, um sicherzustellen, dass das Audit effektiv und effizient durchgef\u00fchrt werden kann.<\/li>\n\n\n\n
      5. Vorbereitung der Auditdokumentation: Die Auditdokumentation sollte im Vorfeld des Audits erstellt werden und alle relevanten Informationen f\u00fcr das Auditteam enthalten, einschlie\u00dflich der Auditkriterien, der Checklisten und der Verfahren f\u00fcr die Datenerfassung.<\/li>\n<\/ol>\n\n\n\n

        Dieses Kapitel betont die Wichtigkeit einer sorgf\u00e4ltigen Planung und Vorbereitung f\u00fcr ein effektives und effizientes Audit. Es wird empfohlen, dass die Auditplanung auf die spezifischen Bed\u00fcrfnisse und Ziele der auditierten Organisation abgestimmt wird und dass alle relevanten Aspekte des Audits ber\u00fccksichtigt werden.<\/p>\n\n\n\n

        ISO 27007 Kapitel 5.2.1 Festlegung der Ziele des Auditprogramms: „Es gilt der Leitfaden nach ISO 19011:2018, 5.2. Au\u00dferdem gilt die Anleitung in 5.2.2.“<\/h2>\n\n\n\n

        Im Leitfaden der ISO 19011:2018, Kapitel 5.2., geht es um die Planung von Audits. Dieses Kapitel legt fest, wie eine Auditplanung durchgef\u00fchrt werden soll, um sicherzustellen, dass alle relevanten Aspekte der Auditierung ber\u00fccksichtigt werden. Folgende Punkte sind im Kapitel 5.2. detailliert beschrieben:<\/p>\n\n\n\n

          \n
        1. Festlegung der Auditziele und -kriterien<\/li>\n\n\n\n
        2. Auswahl des Auditteams<\/li>\n\n\n\n
        3. Festlegung des Auditumfangs und -zeitplans<\/li>\n\n\n\n
        4. Identifizierung von Risiken und Chancen<\/li>\n\n\n\n
        5. Ermittlung von Ressourcen und Kompetenzen, die f\u00fcr die Auditierung ben\u00f6tigt werden<\/li>\n\n\n\n
        6. Festlegung von Verfahren zur Datenerfassung und -analyse<\/li>\n\n\n\n
        7. Festlegung von Verfahren zur Kommunikation mit der auditierten Organisation<\/li>\n\n\n\n
        8. Dokumentation der Auditplanung.<\/li>\n<\/ol>\n\n\n\n

          Das Kapitel gibt auch Hinweise darauf, wie man bei der Planung von Audits mit besonderen Umst\u00e4nden wie Multi-Site-Auditierungen oder Audits von Lieferketten umgehen sollte. Es wird betont, dass die Planung von Audits auf die spezifischen Anforderungen der Organisation und des Auditsystems zugeschnitten sein sollte. Schlie\u00dflich wird in diesem Kapitel betont, dass die Auditplanung ein wichtiger Teil des Auditprozesses ist und dass eine sorgf\u00e4ltige Planung dazu beitragen kann, effektive und effiziente Audits durchzuf\u00fchren.<\/p>\n\n\n\n

          Das Kapitel 5.2.2 der ISO 19011:2018 besch\u00e4ftigt sich mit der Auswahl des Auditteams. In diesem Abschnitt werden die Anforderungen an die Mitglieder des Auditteams sowie ihre Aufgaben und Verantwortlichkeiten beschrieben.<\/p>\n\n\n\n

          Im Detail werden folgende Aspekte behandelt:<\/p>\n\n\n\n

            \n
          1. Qualifikationen und Kompetenzen der Auditoren: Die Auditoren sollten \u00fcber ausreichende Kenntnisse und F\u00e4higkeiten verf\u00fcgen, um die geplanten Audits durchzuf\u00fchren. Es wird empfohlen, dass die Auditoren eine formale Ausbildung oder Zertifizierung in Auditierung haben und dass ihre Erfahrung und Kompetenzen in Bezug auf die Art und den Umfang des geplanten Audits angemessen sind.<\/li>\n\n\n\n
          2. Anzahl der Auditoren: Die Anzahl der Auditoren h\u00e4ngt vom Umfang des Audits und der Komplexit\u00e4t des Managementsystems ab. Die ISO 19011 empfiehlt jedoch, dass mindestens zwei Auditoren f\u00fcr ein Auditteam ausgew\u00e4hlt werden.<\/li>\n\n\n\n
          3. Aufgaben der Auditoren: Die Aufgaben der Auditoren umfassen die Vorbereitung und Durchf\u00fchrung von Audits sowie die Bewertung der Konformit\u00e4t des Managementsystems gegen\u00fcber den Auditkriterien. Die Auditoren m\u00fcssen sicherstellen, dass sie objektiv und unparteiisch arbeiten und ihre Ergebnisse dokumentieren.<\/li>\n\n\n\n
          4. Verantwortlichkeiten der Auditoren: Die Auditoren sind daf\u00fcr verantwortlich, dass sie den Auditplan einhalten und dass sie ihre Ergebnisse in \u00dcbereinstimmung mit den geltenden Standards dokumentieren. Sie m\u00fcssen auch sicherstellen, dass sie ihre Ergebnisse und Empfehlungen in angemessener Weise kommunizieren.<\/li>\n<\/ol>\n\n\n\n

            Zusammenfassend betont dieses Kapitel die Wichtigkeit der Auswahl eines qualifizierten und kompetenten Auditteams und stellt sicher, dass das Team \u00fcber die notwendigen F\u00e4higkeiten und Kenntnisse verf\u00fcgt, um die geplanten Audits durchzuf\u00fchren.<\/p>\n