DS-Audit | Risikoorientierter Ansatz

Risikoorientierter Ansatz

Der Anspruch, jährlich eine Vollprüfung durchzuführen, wird auch in kleinen Unternehmen scheitern. Es gilt, Schwerpunkte zu setzen. Dies sollte so erfolgen, dass Audits dort ansetzen, wo die größten Risiken erwartet werden müssen.

Ein risikoorientierter Ansatz wird auch vom Deutschen Institut für Interne Revision (DIIR) zur systematischen Priorisierung von allgemeinen Revisions-Prüfungen empfohlen. Die DSGVO an sich ist einem risikoorientierten Ansatz verpflichtet. Die Priorisierung über Risikowerte beim DS-Audit fügt sich somit exzellent in diesen methodischen Rahmen.

Vorgehen

Für die Prüfungsplanung bieten sich Zyklen von mind. einem Quartal bis zu einem Jahr an. Bei der Planung sind so viele Reserven zu belassen, dass noch Kapazitäten für kurzfristig angezeigte Sonderprüfungen verbleiben. Sonderprüfungen können z.B. aufgrund von Datenschutz-Pannen oder vermehrten Beschwerden von Betroffenen notwendig werden. Die Planung erfolgt mit Hilfe des Prüfungsuniversums und einer Risikobewertung.

Prüfungsuniversum

  • Hierbei handelt es sich um eine Sammlung aller möglichen Prüfungsobjekte (Prozesse, IT-Systeme, Org-Einheiten etc.).
  • Vereinfacht gesprochen ist es eine Ideensammlung, wo überall theoretisch geprüft werden könnte; agile Softwareentwickler würden es Backlog nennen.
  • In das Prüfungsuniversum können zu jeder Zeit neue Prüfungsobjekte hinzugenommen werden; Anlässe könnten z.B. Medienberichte, Gesetzesänderungen oder Sicherheitsvorfälle sein.
  • Das Prüfungsuniversum ist vor jeder Prüfungsplanung einem Review zu unterziehen (agile Softwareentwickler würden es Backlog Grooming nennen); Bereinigung von redundanten Einträgen; Neuformulierung von nicht trennscharfen Prüfungsobjekten; Löschung von obsoleten Vormerkungen.
  • Ein wichtiges Ziel des Prüfungsuniversums ist die volle Transparenz darüber, ob sich über längere Zeiträume prüfungsfreie Bereiche entwickeln. Nur so kann das Unternehmen bewusst entscheiden, wie damit umzugehen ist.

Risikobewertung

Die Einschätzung, in welchen Bereichen / Prozessen die höchsten Risikowerte die Interessen des Unternehmens bedrohen, sollten mit der Unternehmensleitung gemeinsam festgelegt werden. Die Risikowerte sind ein rechnerisches Produkt aus Eintrittswahrscheinlichkeit eines Schadens und der zu erwartenden Schadenshöhe.

Planung

Unter Berücksichtigung der Risikowerte, der vorhandenen Prüfungskapazitäten und bereits durchgeführter Prüfungen (sowie deren Ergebnisse) werden Prüfungsobjekte aus dem Prüfungsuniversum in eine Prüfungsplanung übernommen.

Alle Entscheidungen sind strukturiert und nachvollziehbar zu dokumentieren, damit auch zu späteren Zeitpunkten nachvollzogen werden kann, auf welcher Basis die Priorisierung bei der Planung erfolgte.

Wir unterstützen den Aufbau einer risikobasierten Prüfungsplanung.


DS-Audit