Audit-Strategien für eine erfolgreiche Zertifizierung

In jedem Unternehmen steigen Spannung und Aufregung, wenn der Termin des Zertifizierungsaudits näher rückt. Allerdings gibt es einige Schritte, die diese Zeit entspannter gestalten können und dabei die Sicherheit erhöhen, dass man das Zertifizierungsaudit erfolgreich besteht.

Readiness-Audit als Vorbereitung für eine Erst-Zertifizierung

Wenn es sich um eine Erst-Zertifizierung handelt, ist ein Readiness-Audit durch die Zertifizierungsstelle einer der wesentlichen vorbereitenden Schritte. Hierbei wird durch ein kurzes Audit von meistens einem Tag querbeet geprüft, ob die wesentlichen Elemente eines ISMS vorhanden sind. Im Umkehrschluss heißt das, wenn der Auditor dabei nichts findet, also nichts Elementares fehlt, stehen die Chancen i. d. R. gut, dass nur kleinere Mängel im eigentlichen Audit entdeckt werden.

Bei einer Erst-Zertifizierung ist dieses Readiness-Audit durch den Zertifizierer also nicht nur wesentlich, sondern auch der wichtigste vorbereitende Schritt, den man gehen kann. Ein positiver Nebeneffekt ist, dass man den zukünftigen Auditor schon im Vorfeld kennenlernt und weiß, welchen Aspekten dieser eine besondere Beachtung schenkt. Man kann sich so besser auf ihn und den Vorgang einstimmen – gleichzeitig sammelt man schon eine erste Audit-Erfahrung.

Internes Audit bei folgenden Zertifizierungen

Das Readiness-Audit ist tatsächlich nur einmal bei der ersten Zertifizierung möglich, danach darf es nicht mehr durchgeführt werden.

Deswegen kann man bei allen folgenden Audits einen anderen Weg gehen: den des internen Audits. Das interne Audit, das gemäß Norm erfolgen muss, muss vier bis sechs Wochen vor dem jeweiligen Zertifizierungsaudit oder auch dem ÜA1 bzw. ÜA2 liegen und von einer unabhängigen Stelle durchgeführt werden. Mit einem internen Audit simuliert man einen Blick „von außen“ auf das ISMS. Es dient als Vorbereitung für den Umgang mit dem Auditor gleichzeitig werden dafür bereits alle Unterlagen, also die Dokumente und Nachweise für das spätere Zertifizierungsaudit, griffbereit zur Seite gelegt. Fehlen dann Unterlagen, kann man noch rechtzeitig nachjustieren.

Tipp zum Statement of Applicability (zu Deutsch: „Erklärung zur Anwendbarkeit“)

Der Status der Maßnahme oder Controls sollte immer auf „umgesetzt“ sein. In den wenigen Fällen, in denen eine Maßnahme nicht anwendbar ist, wird diese genauso gekennzeichnet und mit einer Begründung versehen. Auditoren lieben es nahezu, genau in dieser SoA die Controls herauszufiltern, die nur teilweise umgesetzt sind oder sonstige Einschränkungen haben. Dies würde nämlich eine großartige Basis für eine vertiefende Prüfung bieten.

Viele überflüssige und ärgerliche Findings lassen sich vermeiden

Weitere vorbereitende Maßnahmen, die Sie treffen können:

• Aktuelles Revisionsdatum: Alle Dokumente, die im weitesten Sinne mit dem ISMS und dem Audit zu tun haben, sollten ein Revisionsdatum haben, dass innerhalb der letzten zwölf Monate vor dem Audit liegt.
• Revisionsnummer: Die Revisionsnummer sollte 1.0 oder höher sein.
• Erstellen Sie ein Begleitdokument: Ein Begleitdokument, in dem Sie z. B. Überlegungen darlegen, warum ein Schutzbedarf geändert wurde oder warum Dokumente anders heißen, als es gemeinhin für das ISMS erwartet wird, unterstützt den Auditor dabei, Verständnis für Ihr ISMS zu entwickeln.
• Genaue Kontrolle der Dokumente: Wenn Sie ISMS-Dokumente aus Ihren Tools exportieren, kontrollieren Sie zweimal, ob der Export die richtigen Versionen/Inhalte erfasst hat und der Export vollständig ist.
• Stellen Sie Ihr Unternehmen dem Auditor vor: Nutzen Sie gerade bei einer Erst-Zertifizierung zum Start des Audits den Agendapunkt „Kennenlernen“, um Ihr Unternehmen und seine Besonderheiten verständlich vorzustellen. Dabei können Sie ruhig Werbung machen und Zeit investieren, denn der Auditor kontrolliert insgesamt alle Zeiten – je mehr Zeit sie verbrauchen, desto besser.

Viele dieser Hinweise betreffen jeweils immer nur eine Facette, in ihrer Summe erleichtern sie jedoch den Umgang mit dem Auditor und eine erfolgreiche Zertifizierung.

Man sieht also: Zusätzliche Audits oder andere vorbereitende Maßnahmen erhöhen zunächst den Aufwand. Doch langfristig lassen sich so unnötige Fehler vermeiden und Aufwand sowie Kosten für Nacharbeiten einsparen.