Mitarbeiter-Pflichten bei einem Audit?
Inwiefern macht sich ein Mitarbeiter strafbar, wenn er bei einem IT-Audit kritische Sicherheitsfehler verschweigt?
Und sind andere Mitarbeiter, die davon in Kenntnis gelangen, verpflichtet jenen Mitarbeiter (der die kritischen Fehler verschwiegen hat) bei der Geschäftsführung anzuzeigen?
Wieso willst du die Sachen verschweigen? Finde ich jetzt nicht irgendwie zielführend ...
Danke dir für die Rückfrage. Ich merke selber, dass ich mehr Details hätte erzählen sollen … Ich habe es als Kommentar unter die Antwort von kabbes69 gepostet
3 Antworten
Kommt drauf an. Wenn du der vom AG geschulte und hierfür eingesetzte Auditor bist - kann es arbeitsrechtliche, schadenersatzpflichtige und unter Umständen bis zu strafrechtliche Konsequenzen nach sich ziehen.
Wenn mir als Laie hier irgendwelche Lücken auffallen- würde ich doch zunächst die IT Abteilung ansprechen. Falls es also noch jemand direkt über dir gibt? Direkt zum Chef- dann müsste der Fehler schon sehr beeinträchtigend sein.
Wäre meine Einschätzung ohne konkrete Vorstellung eines IT Audit.
Das geht schon so tief in die Betriebsstruktur, dass die Frage meiner Meinung nach von außen nicht beantwortet werden kann.
Kritische Daten im System.....
Wenn ein gewiefter MA Daten mit Absicht ändert - ist das Vorsatz und geht mit dem MA heim = ein Kündigungsgrund, vermutlich fristlos.
Evtl könnte man dann über eine Betriebsanweisung nachdenken- damit dies jedem bewusst ist.
Dann kommt es drauf an womit der Wirtschaftsprüfer beauftragt war, ging es hier um die "normale" Prüfung oder um eine Zertifizierung nach ISO / DIN...
Bin ich dann als IT-ler verpflichtet die Schwachstellen aufzuzeigen- oder muss der Prüfer sie finden? Wenn ich mein Auto zum TÜV fahre - zeige ich ja auch keine Schwachstellen auf.
Ist der IT-LER innerhalb des Betriebes als Auditor bestellt oder ist "nur" für die IT zuständig. Wer übernimmt die Verantwortung des Datenschutz?
Ist das System erworben oder selbst gestrickt- unterscheidet ebenfalls in der jeweiligen Verantwortung.
Als Anwender eines Programms- würde ich mir hier keinen Kopf machen. Hier bin ich für meine Arbeit zuständig und kann Verbesserungsvorschläge unterbreiten.
Als MA des Unternehmens- wenn hier jemand die Bilanz des Unternehmens fälschen könnte - würde ich mir Gedanken machen. Allein als Sorge um meinen Arbeitsplatz.
Könnte hier jemand von außerhalb auf personenbezogene Daten zugreifen- wäre der zuständige Datenschutzbeauftragte eine Anlaufstelle.
Gibt es einen Betriebsrat- kann man diesen informieren.
Einen Straftatbestand sehe ich hier nicht. Abhängig von den arbeitsvertraglichen Vereinbarungen kann ein Verschweigen arbeits- und zivilrechtliche Folgen haben. Aber das wäre im Einzelfall zu prüfen.
Eine interessante Frage, deren Beantwortung gar nicht so trivial ist. Ein paar Gedanken von mir als IT-Auditor. Ich gehe dabei davon aus, dass du eine Jahresabschlussprüfung (JAP) meinst.
Die Verantwortung für das Audit liegt beim bestellten Wirtschaftsprüfer (WP). Das ist in aller Regel kein Certified Information Systems Auditor (CISA) - landläufig IT Prüfer genannt. Daher nutz der WP Kollegen mit speziellen Kenntnissen in der IT Prüfung (eben die CISA's). Die Auftragsvereinbarung zur JAP zwischen Wirtschaftsprüfungsgesellschaft (WPG) und dem zu prüfenden Unternehmen geschlossen. Jedoch nicht zwischen einzelnen Personen. Das geprüfte Unternehmen ist dabei vertraglich verpflichtet , die für die Prüfung relevanten Informationen zur Verfügung zu stellen. In der Regel sind daher die Mitarbeiter arbeitsrechtlich angewiesen mit dem jeweiligen Prüfer nach bestem Wissen und gewissen Zusammenzuarbeiten und die notwendigen Informationen (auf Nachfrage!) bereitzustellen. Eine proaktive Meldung an die WPG ist imho nicht verpflichtend.
Inwiefern Kenntnisse über IT-Systeme maßgeblich relevant für die Jahresabschlussprüfung sind, ist unterschiedlich. Üblicherweise nutzt der WP auch andere Prüfungstechniken, die nicht IT basiert sind.
Der Mitarbeiter des geprüften Unternehmen allerdings ist 1. dazu verpflichtet Schaden vom Unternehmen abzuwenden und 2. Kenntnisse, die Straftaten beinhalten zu melden oder zur Anzeige zu bringen. Hier ist jetzt die Frage, ob das auf die von dir genannten Sicherheitslücken zutrifft. Ohne das Audit jetzt genau zu kennen, stelle ich mal in den Raum, das 98 % der JAP auch bei bekannten Sicherheitslücken problemlos durchzuführen sind.
In meinen Augen sollte der Mitarbeiter jedoch aus erstens die Sicherheitslücken zwingend intern melden. Eine Information des JAP ist nur auf konkrete Nachfrage des Prüfers erforderlich.
Hat das geholfen?
Danke dir für die Antwort. Vielleicht sollte ich etwas weiter ausholen:
Damit bin tatsächlich nicht ich gemeint … Ich habe von IT nicht allzu viel Ahnung. Minige Kollegen aus einer anderen Abteilung, mit denen ich befreundet bin, nutzen das System, und wissen, dass das System so schlecht gebaut ist, dass theoretisch jeder findige Mitarbeiter ohne Befugnis kritische Daten im System ändern könnte. Und meine Kollegen haben mitbekommen, dass der IT-Experte dem Wirtschaftsprüfer beim Audit vieles verschwiegen hat. Das kam raus, weil die Kollegen von den Sicherheitslücken wissen und niemals geglaubt hätten, dass unser System den Audit besteht. Als es vom Wirtschaftsprüfer grünes Licht gab, haben sich alle gewundert, wie das ging – und gestern kam heraus, dass unser IT-Experte durch viel Verschweigen dafür gesorgt hat, dass die Sicherheitslücken nicht auffallen.
Und jetzt überlegen die Kollegen, ob sie es der Geschäftsführung melden müssen. Wenn sie es der Geschäftsführung melden, machen sie sich selbst natürlich nur Feinde im Unternehmen, weil sie einerseits den IT-Kollegen verletzen, und andererseits das gesamte Unternehmen in eine Zwickmühle bringen (dann müssten alle Ressourcen um priorisiert werden, damit die Sicherheitslücken mit höchster Priorität behoben werden können). Natürlich will keine Person diejenige sein, die für so viel Chaos gesorgt hat. Ich glaube es wäre allen am liebsten, wenn es ein offenes Geheimnis bleiben könnte, das man unter den Teppich kehren kann.
Die Frage ist nur, was der Preis ist, falls es doch rauskommt … Also ob meine Kollegen mithaften müssen, weil sie es nicht gemeldet haben.