Kantyra Kantyra

← Alle artikelen

Aantonen

Was ein Auditor wirklich sehen will

Alain Rees · 07-07-2026 · 2 min leestijd

Über Audits hält sich ein hartnäckiges Missverständnis: dass der Auditor prüfen komme, ob alles perfekt ist. Das stimmt nicht. Ein Auditor prüft, ob Ihre Organisation weiß, wo sie steht, ob die Entscheidungen begründet sind und ob die Nachweise zur Darstellung passen. Beim Nachweisen, der letzten Phase des Modells, geht es deshalb nicht um Perfektion, sondern um Nachvollziehbarkeit.

Nachweise gehören zum Urteil

Das klassische Auditproblem ist nicht, dass die Nachweise fehlen, sondern dass sie überall und nirgends liegen: in Ordnern, Postfächern und den Köpfen der Kolleginnen und Kollegen. Die Lösung ist eine einfache Wohnsitzregel: Jeder Nachweis gehört zu dem Urteil, das er belegt. Ein Screenshot der MFA-Einstellungen hängt an der Maßnahme zur Zugriffssicherung, die unterzeichnete Richtlinie hängt an der Governance-Anforderung. Wer sich an diese Regel hält, verwandelt die Auditvorbereitung von wochenlanger Sucherei in eine Kontrolle dessen, was bereits vorhanden ist.

Die Erklärung zur Anwendbarkeit als Export

Die Erklärung zur Anwendbarkeit ist das erste Dokument, das jeder Auditor anfordert, und in vielen Organisationen ist sie eine jährliche Rekonstruktion im Nachhinein. Es geht auch umgekehrt: Wenn Sie je Maßnahme den Status, die Begründung und den Nachweis pflegen, ist die Erklärung ein Auszug des aktuellen Stands, samt der Version der Norm. Dasselbe gilt für die anderen Rahmenwerke, vom NIS-2-Umsetzungsgesetz bis zu eigenen Kundenanforderungen. Auch dort genügt ein Knopfdruck für eine datierte Übersicht.

Die Lieferkette fragt öfter als die Aufsichtsbehörde

Wer nur an die Aufsichtsbehörde denkt, unterschätzt, wie oft Nachweisbarkeit verlangt wird. Lieferantenbewertungen großer Kunden, Ausschreibungen, Versicherer und Zertifizierungsverfahren stellen alle dieselbe Frage in anderem Gewand: Zeigen Sie, dass Sie die Lage im Griff haben. Jede Anfrage, die Sie innerhalb eines Tages beantworten, ist ein kommerzieller Vorsprung, denn der Wettbewerber, der drei Wochen suchen muss, weckt genau den Zweifel, den Sie ausräumen.

Und die Geschäftsleitung?

Nachweisen richtet sich schließlich auch nach innen. Das NIS-2-Umsetzungsgesetz weist die Verantwortung ausdrücklich der Geschäftsleitung zu, und eine Leitung kann nur für das Verantwortung tragen, was sie sehen kann. Ein Managementbericht mit den offenen Risiken, dem Fortschritt bei den Rahmenwerken und dem Vorfalltrend macht aus dem vierteljährlichen Sicherheitsgespräch ein Gespräch über Fakten. So schließt sich der Kreis des Modells: Was Sie erkennen, beurteilen und beheben, können Sie nachweisen, und was Sie nachweisen, steuert die nächste Runde.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Aantonen