Praxistipps für Überlebenskünstler: Die große Audit-Prüfungspanik und wie man sie übersteht

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Deshalb: Vorbereitung ist alles. Klare Strukturen, lückenlose Dokumentation, eine Strategie, die nicht nur für das Audit existiert, sondern im Alltag funktioniert. Wer das beherzigt, kann dem Termin gelassen entgegensehen. Wer nicht – der schwitzt.

Das Wort „Audit“ leitet sich vom lateinischen Begriff „audire“ („zu-/hören“) ab. Mit dem Hören findet gleichzeitig ein Bewerten statt. In einem Audit wird bewertet, ob Anforderungen erfüllt sind – nicht, wie sie erfüllt sind. Wenn zum Beispiel die Vorgabe darin besteht, Güter von A nach B zu transportieren, kann die umsetzende Organisation selbst wählen, auf welchem Weg dies passiert, etwa mit Lasttieren oder Fahrzeugen. Die Auditoren bewerten die Konformität mit den Anforderungen, jedoch nicht die Qualität, Effizienz oder Wirtschaftlichkeit der Umsetzung.

Folgende Kriterien stehen dabei im Vordergrund:

• Abdeckungsgrad der Anforderungen;
• Angemessenheit von Maßnahmen;
• Wirksamkeit von Maßnahmen;
• Umsetzung von Maßnahmen in der Praxis.

Im Bereich der Informationssicherheit prüft man meistens das Managementsystem in seiner Gesamtheit. Die zugrunde liegenden Normen und Standards sind vielfältig und national sowie branchenspezifisch unterschiedlich.

Hierzu gehören beispielsweise:

• BSI IT-Grundschutz;
• ISO/IEC 27001;
• Branchenspezifische Sicherheitsstandards (B3S) im Bereich Kritische Infrastrukturen (KRITIS);
• VDA ISA/TISAX.

Am Ende eines Audits entscheidet die Zertifizierungsstelle, ob sie ein Zertifikat als neutralen Nachweis erteilt oder nicht. Sie steuert den gesamten Auditprozess und fällt die Zertifikatsentscheidung.
Auditoren begleiten den Prozess und unterstützen auf dem Weg dorthin.

Das Grauen hat einen Namen

Auditoren tun wesentlich mehr, als nur zuhören – sie sehen und fühlen. Sie erfassen auch Körpersprache, Mimik, Verhalten sowie die Interaktion innerhalb der Organisation. Oft unterschätzen Unternehmen, wie viel Prüfer aus nonverbalen Signalen lesen können. Abgesehen von der geschärften Wahrnehmung sind sie jedoch normale Menschen, mit denen man normal reden kann. Unsicherheit und Angst sind fehl am Platz, denn sie hinterlassen selten einen positiven Eindruck bei der prüfenden Person.

Die Aufgabe eines Auditors ist es, eine Konformitätsbewertung gegenüber den Anforderungen durchzuführen. Das erfordert neben fachlichen und sozialen Kompetenzen vorwiegend Sachlichkeit, Objektivität und Neutralität. Bevor Auditoren in Zertifizierungsverfahren arbeiten dürfen, müssen sie Erfahrung in der Auditierung sowie in Bezug auf ihr Fachwissen nachweisen – meist gegenüber einer Zertifizierungsstelle.

Die folgende Liste führt einige der direkten und indirekten Anforderungen an die Arbeit von Prüfern auf:

• ISO/IEC 19011 „Leitfaden zur Auditierung von Managementsystemen“
• ISO/IEC 17021 „Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren“
• ISO/IEC 17065 „Anforderungen an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren“

Auditoren haben es nicht leicht. Sie wollen ihre Arbeit effizient und ohne unnötige Hürden erledigen. Dabei verfolgen sie nicht das Ziel, eine geprüfte Organisation schlecht dastehen zu lassen – im Gegenteil: Sie schätzen klare, nachvollziehbare Nachweise und freuen sich, wenn diese in ausreichendem Maß vorliegen.

Allerdings sollte man sich den Auditor besser nicht zum Feind machen. Trotz aller Kompetenz des Prüfers kann das gravierende Folgen haben – von einer negativeren Bewertung bis hin zum Abbruch eines Audits. In einem Zertifizierungsaudit entscheidet zwar nicht er über die Vergabe des Zertifikats, sondern die jeweilige Zertifizierungsstelle, aber das Votum, das der Auditor im Rahmen seines Auditberichts abgibt, ist zumindest richtungsweisend. Das kann auch überraschend positiv ausfallen. So kann er – wie in der Praxis schon erlebt – empfehlen, ein bereits erteiltes Zertifikat trotz zu vieler Abweichungen nicht zurückzuziehen, sondern für einen gewissen Zeitraum auszusetzen.

Wenn die Zertifizierungsstelle diesem Vorschlag folgt, bleiben der geprüften Organisation finanzielle und zeitliche Aufwände erspart, ebenso wie ein Ansehensverlust bei Kunden, Partnern und in der Öffentlichkeit.

Von Betroffenen zu Beteiligten

Selbst mit gründlicher Planung bleibt ein Audit anspruchsvoll – aber es kann sich wie ein gut geplanter Spaziergang anfühlen. Sie sollte auf verschiedenen Ebenen stattfinden: organisatorisch, fachlich, Verhalten im Audit. Die organisatorische Vorbereitung stellt in der Regel die kleinste Hürde dar. Die Verantwortlichen müssen geeignete Räumlichkeiten auswählen, die über entsprechende technische und umgebungsbezogene Infrastruktur verfügen. Sie stellen beispielsweise einen zweiten Beamer bereit und sorgen für einen klimatisierten Raum mit Tageslichteinfall. Zudem richten sie die Kommunikation mit dem Backend der Organisation ein und testen den Zugriff auf Anwendungen, IT-Systeme und Nachweise.

Können Dokumente und Nachweise nicht direkt im Audit vorgelegt werden, sollten die Beteiligten zumindest eine angemessene Nachlieferungsfrist vereinbaren. In der Regel müssen nicht vorhandene Unterlagen am nächsten Audittag genauer gesagt innerhalb der nächsten 24 Stunden nachgereicht werden – eine Frist, die kaum Spielraum lässt, um fehlende Unterlagen noch zu erstellen.

Überdies legen die Verantwortlichen den Ablauf des Audits fest. Dazu gehören Ankunft, Begrüßung, Pausen, Catering und individuelle Bedürfnisse wie Raucherpausen.

Ebenso wichtig ist die gezielte Sensibilisierung einzelner Rollen für den Prüfungszeitraum. Der ISB informiert beispielsweise das Wachpersonal über relevante Anforderungen. Mitarbeitende, die an Auditinterviews teilnehmen, müssen die „Sprache des Prüfers“ sprechen. Sie sollten genau wissen, was geprüft wird, warum die Prüfung erfolgt, welches Ziel sie verfolgt und wie die Bewertung abläuft. Nur so können sie souverän und kompetent auf die Fragen der Auditoren reagieren.

Auch die Auswahl der richtigen Ansprechpartner inklusive erster und zweiter Vertretung will wohlüberlegt sein. Dabei gilt: Weniger ist mehr. Es ist effektiver, nur die wirklich notwendigen Personen an den Interviews teilnehmen zu lassen, anstatt eine große Gruppe uninteressierter Zuhörer zu ertragen. Zu viele unbeteiligte Teilnehmer sorgen oft für Unruhe oder stören den Auditprozess.

Die fachliche Vorbereitung beginnt bereits lange vor dem Audit. Um eine Überprüfung zu ermöglichen, ist die Erstellung von Vorgabedokumenten sowie das Nachhalten von Aufzeichnungen zu umgesetzten Maßnahmen notwendig. Diese Dokumente dienen nicht nur als Nachweis im Audit, sondern belegen im Schadensfall auch, dass die Leitungsebene ordnungsgemäß und risikoorientiert gehandelt hat.

Um den Prüfungsprozess zu erleichtern, sollte der ISB relevante Dokumente und Belege spätestens zwei Monate vor dem Audit zentral sammeln. Ist der Aufwand dafür zu groß, sollten die Mitarbeiter gezielt darauf vorbereitet werden, sich in Interviews kompetent zu äußern und die Nachweise bereitzuhalten. Dokumente sind oft das Erste, was ein Auditor von einer Organisation sieht – und dieser erste Eindruck prägt die Wahrnehmung der Glaubwürdigkeit, auch wenn er nicht „offiziell“ bewertet wird.

Eine sinnvolle Maßnahme im Vorfeld ist die Erstellung einer tabellarischen Übersicht, die Anforderungen, zugehörige Vorgabedokumente und entsprechende Nachweise strukturiert zusammenfasst. So behalten alle Beteiligten den Überblick und sind optimal auf das Audit vorbereitet.

Die dritte hier vorgestellte Ebene, das Verhalten im Audit (Audit Behaviour), wird am häufigsten unterschätzt und ist doch ein wesentlicher Schlüssel zum Erfolg. Bei der Prüfung von Managementsystemen ist die sichtbare Beteiligung der obersten Leitungsebene essenziell. Mitglieder der Führungsebene sollten mindestens das Eröffnungs- und Abschlussgespräch begleiten, um ihre Verantwortung und Unterstützung zu zeigen.

Doch nicht nur die Führungskräfte sind gefordert – jeder Einzelne trägt dazu bei, eine einheitliche Kommunikationskultur im Audit zu wahren. Das beginnt schon damit, offene Meinungsverschiedenheiten über Fakten zu vermeiden.

Während des Audits sollten alle Beteiligten die Fragen des Auditors direkt und ehrlich beantworten. Statt zu raten, zu spekulieren oder auszuweichen, sollten sie klare und fundierte Antworten geben. Sie konzentrieren sich ausschließlich auf die gestellten Fragen und liefern keine unnötigen Zusatzinformationen.

Ein Audit ist kein Wettbewerb – weder unter Mitarbeitern noch im Vergleich mit anderen Organisationen. Das Ziel besteht nicht darin, großartige Maßnahmen hervorzuheben, sondern sachlich und präzise nachzuweisen, dass die Anforderungen erfüllt sind. Dies gilt selbst dann, wenn solche Maßnahmen zum Audit-Thema passen würden.

Zudem sollten die Mitarbeiter immer eine offene und positive Körpersprache zeigen. Verschränkte Arme und Beine sowie eine unaufmerksame Körperhaltung sind ebenso fehl am Platz wie ein gelangweilter Gesichtsausdruck oder verdrehte Augen.

Fazit

Ein Audit ist nicht nur eine förmliche Überprüfung und damit ein notwendiges Übel. Ein guter Auditor ist trotz seiner Rolle ein Partner, mit dem es sich zusammenzuarbeiten lohnt.

Eine gute Vorbereitung ist das halbe Audit. Sie erleichtert den Auditoren die Arbeit und hilft der Organisation, die Akzeptanz für Informationssicherheit zu steigern. Oft führt sie zudem zu einem besseren Prüfungsergebnis und einer positiveren Audit-Erfahrung. Langfristig stärkt sie die Einbindung der Mitarbeiter in die Sicherheitsprozesse und treibt die Informationssicherheit kontinuierlich voran – denn nach dem Audit ist vor dem Audit.