Viele Unternehmen sind überzeugt, auditfähig zu sein. Richtlinien existieren. Dokumentationen sind erstellt. Prozesse wurden definiert. Doch eine einfache Frage bringt häufig Unsicherheit:

Wie entspannt wäre Ihre Geschäftsleitung, wenn morgen ein Audit beginnt?

In der Praxis zeigt sich immer wieder ein Muster:

Formal ist vieles vorhanden, aber operativ fehlt jedoch die Sicherheit. Audit-Readiness entsteht nicht durch Dokumente allein. Sie entsteht durch Klarheit, gelebte Prozesse und Führung, die Verantwortung übernimmt.

Gerade bei regulatorischen Anforderungen wie ISO 27001 oder dem IKT-Minimalstandard entscheidet nicht die Menge der Dokumentation, sondern ob Organisationen ihre Risiken tatsächlich steuern können.

Warum Audit-Readiness häufig überschätzt wird

In meiner Beratungstätigkeit treffe ich regelmässig auf Unternehmen, die überzeugt sind, gut vorbereitet zu sein. Die Realität im Audit sieht jedoch oft anders aus.

Typische Aussagen vor einem Audit:

  • „Unsere Richtlinien sind vollständig.“
  • „Die Verantwortung ist klar geregelt.“
  • „Wir haben ein ISMS aufgebaut.“

Diese Aussagen stimmen häufig, zumindest auf dem Papier. Doch im Audit stellen Prüfer eine andere Frage:

Funktioniert das System auch im Alltag?

Ein Informationssicherheits-Managementsystem (ISMS) ist kein Dokumentationsprojekt. Es ist ein Steuerungsinstrument für Risiken. Wenn Prozesse nur dokumentiert sind, aber nicht gelebt werden, entsteht eine gefährliche Lücke zwischen Theorie und Realität. Diese Diskrepanz wird im Audit schnell sichtbar.

Realität vs. Dokumentation – typische Beobachtungen aus Audits

In zahlreichen Projekten lassen sich immer wieder ähnliche Muster beobachten.

1. Richtlinien existieren, aber niemand kennt sie

Viele Organisationen verfügen über umfangreiche Richtliniensammlungen.

Das Problem:

  • Mitarbeitende kennen die Inhalte nicht
  • Führungskräfte können sie nicht erklären
  • Prozesse werden im Alltag anders umgesetzt

Ein Auditor erkennt diese Lücke schnell. Die entscheidende Frage lautet nicht:

„Existiert eine Richtlinie?“

Sondern:

„Wird sie verstanden und angewendet?“

2. Rollen sind definiert, aber Verantwortlichkeiten nicht gelebt

Ein häufiger Befund betrifft Governance-Strukturen. Formell existieren Rollen wie:

  • Informationssicherheitsbeauftragte
  • IT-Verantwortliche
  • Risiko-Owner

Doch im Gespräch zeigt sich:

  • Entscheidungswege sind unklar
  • Zuständigkeiten überschneiden sich
  • Verantwortung wird implizit delegiert

Gerade aus Sicht der Geschäftsleitung ist dies kritisch. Cyber- und Informationssicherheit sind Unternehmensrisiken und damit Teil der Führungsverantwortung.

Die Geschäftsleitung muss deshalb jederzeit beantworten können:

  • Welche Risiken bestehen?
  • Welche Massnahmen laufen?
  • Welche Prioritäten wurden gesetzt?

3. Risiken wurden bewertet, aber nicht priorisiert

Viele Unternehmen führen Risikoanalysen durch. Doch häufig bleiben diese Analysen theoretisch.

Typische Symptome:

  • Risikolisten mit dutzenden Einträgen
  • keine klare Priorisierung
  • keine Verbindung zur Geschäftsstrategie

Ein funktionierendes Risikomanagement beantwortet jedoch eine zentrale Frage:

Welche Risiken gefährden den Geschäftsbetrieb wirklich?

Erst wenn diese Prioritäten klar sind, kann ein Unternehmen gezielt Massnahmen umsetzen.

4. Dokumentation ist umfangreich, aber nicht auditfähig

Ein häufiger Irrtum besteht darin, Dokumentation mit Auditfähigkeit gleichzusetzen. In Wirklichkeit gilt das Gegenteil: Zu viel Dokumentation kann Audits sogar erschweren.

Warum? Weil Auditoren prüfen, ob Dokumente:

  • aktuell sind
  • nachvollziehbar angewendet werden
  • mit der Realität übereinstimmen

Wenn Prozesse im Alltag anders funktionieren als beschrieben, entstehen sofort kritische Fragen.

Was Auditoren tatsächlich prüfen

Viele Organisationen erwarten, dass Audits primär Dokumente kontrollieren. In Wirklichkeit prüfen Auditoren vor allem drei Dinge:

  1. Nachvollziehbarkeit – Können Entscheidungen und Massnahmen logisch erklärt werden?
  2. Konsistenz – Passen Richtlinien, Prozesse und Umsetzung zusammen?
  3. Führung – Versteht das Management seine Verantwortung für Risiken?

Gerade der dritte Punkt wird oft unterschätzt. Informationssicherheit ist keine reine IT-Aufgabe. Sie ist Teil der Unternehmensführung und Risikosteuerung.

Die Rolle der Geschäftsleitung besteht darin,

  • Prioritäten zu setzen
  • Risiken zu akzeptieren oder zu reduzieren
  • Verantwortung transparent zu tragen

Audit-Readiness beginnt im Management

In vielen Organisationen wird Auditvorbereitung meist an IT oder an Compliance delegiert. Doch echte Auditfähigkeit entsteht an anderer Stelle, nämlich in der Führungsebene. Eine auditfähige Organisation zeichnet sich durch fünf Eigenschaften aus:

  1. Transparenz über Risiken – Die Geschäftsleitung kennt die wichtigsten Cyber- und Informationsrisiken.
  2. Klare Verantwortlichkeiten – Rollen und Entscheidungswege sind eindeutig definiert.
  3. Verständliche Prioritäten – Massnahmen werden nach Risiko und Wirkung priorisiert.
  4. Nachvollziehbare Dokumentation – Dokumente spiegeln die Realität wider.
  5. Gelebte Prozesse – Sicherheitsprozesse sind Teil des Alltags – nicht nur Teil eines Audits.

Der Unterschied zwischen Compliance und Resilienz

Viele Organisationen fokussieren sich stark auf Compliance. Doch Compliance allein schafft noch keine Sicherheit. Der entscheidende Unterschied:

Compliance

  • Anforderungen erfüllen
  • Dokumentation erstellen
  • Audits bestehen

Resilienz

  • Risiken aktiv steuern
  • Prozesse leben
  • Krisen bewältigen

Organisationen, die diesen Unterschied verstehen, profitieren doppelt:

  • Audits verlaufen deutlich entspannter
  • Sicherheitsmassnahmen wirken tatsächlich

Ein Realitätscheck für Ihre Organisation

Geschäftsleitungen können ihre Audit-Readiness mit wenigen Fragen überprüfen:

  1. Können wir unsere wichtigsten Cyberrisiken in drei Minuten erklären?
  2. Wissen wir, wer im Ernstfall entscheidet?
  3. Sind unsere Prioritäten klar definiert?
  4. Entsprechen unsere Dokumente der Realität?
  5. Würde ein Auditor dieselbe Sicht auf unsere Organisation haben?

Wenn mehrere dieser Fragen nicht klar beantwortet werden können, lohnt sich ein genauer Blick.

Mein Expertentipp

Audit-Readiness ist keine Frage der Dokumentation. Sie ist ein Zeichen dafür, dass eine Organisation ihre Risiken versteht, Verantwortung übernimmt und Sicherheit im Alltag verankert hat.

Unternehmen, die diesen Ansatz verfolgen, erleben Audits nicht als Stressmoment, sondern als Bestätigung ihrer Arbeit. Denn am Ende zeigt ein gutes Audit nicht nur Schwachstellen. Es zeigt auch, dass Führung funktioniert.