HR-Daten unter der Lupe: Was Auditoren wirklich prüfen

Sarah ist gut für das IT-Audit vorbereitet. Die Austrittsdokumentation liegt vor. Das Offboarding-Gespräch ist protokolliert. Die Abmeldebestätigung ist unterschrieben.

Trotzdem ist der Auditor nicht fertig.

Er fragt: „Wann wurde der Systemzugang deaktiviert?“ Sarah öffnet das HR Management Tool. Der Austritt ist korrekt erfasst. Aber wann genau IT den Zugang gesperrt wurde, und ob überhaupt, das steht dort nicht.

Aus HR-Sicht ist der Fall abgeschlossen. Aus IT-Audit-Sicht fehlt die Hälfte.

Was IT-Auditoren in HR-Prozessen suchen

IT-Assurance-Audits prüfen nicht, ob HR gute Arbeit geleistet hat. Sie prüfen, ob Kontrollen nachweisbar funktionieren. Diese Kontrollen betreffen zum Teil auch die HR-Abteilung. Das ist ein fundamentaler Unterschied. Er erklärt, warum gut geführte HR-Prozesse trotzdem zu Findings führen können.

In Audits nach ISO 27001, BSI C5 und SOC 2 tauchen drei HR-Themen immer wieder auf:

Finding 1: Fehlende Accountability in Stellenbeschreibungen

HR dokumentiert Aufgaben, Kompetenzen und Einordnung im Organigramm. Das ist korrekte HR-Arbeit.

Was die Audit-Perspektive zusätzlich prüft: Gibt es eine explizit benannte Person, die Verantwortung für sicherheitsrelevante Prozesse trägt und das schriftlich bestätigt hat? ISO 27001 verlangt genau das: Informationssicherheitsverantwortlichkeiten müssen klar zugeordnet und kommuniziert sein.

Das anschließende Finding kann lauten: Die Verantwortlichkeit für den Prozess ist nicht eindeutig einer Person zugeordnet. Stellenbeschreibungen beschreiben Tätigkeiten, aber keine Kontrollen.

Die Lösung ist nicht komplex: Sicherheitsrelevante Verantwortlichkeiten explizit benennen, vom Stelleninhaber unterschreiben lassen, Dokumentation gegen gelebte Praxis abgleichen. Das Finding lässt sich strukturell lösen, wenn man weiß, wonach Auditoren schauen.

Finding 2: Segregation of Duties – Rollendesign als Kontrollrisiko

Rollen werden in der Praxis entlang von Effizienzgesichtspunkten besetzt: Wer hat Kapazität? Wer kennt das System? Das ist rationale HR-Logik.

Aus Kontrollperspektive kann es jedoch ein Risiko sein. Wenn Berechtigungsvergabe und Systemadministration in einer Rolle landen, ist das Vier-Augen-Prinzip strukturell verletzt. Das ist kein Vorwurf an HR; es ist ein Standardbefund in IT-Audits.

SOC 2 verlangt, dass unvereinbare Aufgaben getrennt oder durch nachweisbare Kontrollen kompensiert werden. Das lösbare Problem: eine kompensierende Kontrolle dokumentieren: Ein zweiter Prüfer, ein Log, der regelmäßig reviewed wird, eine SOD-Matrix, die die Ausnahme begründet.

Was Auditoren stattdessen sehen: Die Kombination gilt als unvermeidbar, die Dokumentation fehlt trotzdem. Ohne kompensierende Kontrolle gibt es keinen Gegenbeweis. Das Finding bleibt bestehen, auch wenn in der Praxis sorgfältig gearbeitet wurde.

Finding 3: Joiner-Mover-Leaver – der Prozess, der am häufigsten bricht

Zurück zu Sarah. Ihr Fall ist kein Einzelfall. Er ist der häufigste Befund, den wir in IT-Audits sehen.

Der Joiner-Mover-Leaver-Prozess (JML) bezeichnet den gesamten Berechtigungs-Lebenszyklus eines Mitarbeitenden aus IT- und Audit-Perspektive:

• Joiner: Eintritt, neue Berechtigungen werden vergeben, oft bevor Sicherheitsschulungen abgeschlossen sind.
• Mover: Interner Wechsel, alte Berechtigungen bleiben liegen, die Person sammelt über Jahre Rechte an.
• Leaver: Austritt, HR meldet, aber IT deaktiviert die Zugänge Tage später, weil der Übergabeprozess nicht definiert ist.

Was Auditoren verlangen, ist nicht das Offboarding-Gespräch. Es ist der SLA für die Kontendeaktivierung und der nachweisbare Übergabeprozess von HR zu IT. BSI C5:2020 und ISO 27001 verlangen genau das.

Dasselbe gilt für Schulungsnachweise: Eine Einladung ist kein Nachweis. Eine Teilnahmeliste ist kein Nachweis. Was zählt, ist der Abschlussnachweis, rollenspezifisch, prüfbar, dokumentiert.

Drei Findings. Eine Ursache.

HR denkt in Aufgaben, Besetzung und Prozessen. Das ist der richtige Fokus für HR-Arbeit. Auditoren denken in Kontrollen, Risiken und prüfbarer Evidenz.

HR macht seinen Job. Auditoren machen ihren. Beide sprechen ihre eigene Sprache – und genau da, wo keine Übersetzung stattfindet, entstehen die Findings.

Und es ist lösbar, wenn beide Seiten verstehen, was die andere braucht.