Die Erwartungen an die Cybersicherheit gehen über den IT-Bereich hinaus
Ein weiterer Bereich, der bei Audits zunehmend in den Fokus rückt, ist die Cybersicherheit. Obwohl das Thema bereits seit einiger Zeit Bestandteil der IATF-Diskussionen ist, unterstreichen die jüngsten Interpretationen, dass Cybersicherheit nicht länger als isoliertes IT-Thema betrachtet wird.
Stattdessen wird sie zunehmend als Risiko für den Geschäftsbetrieb und die Geschäftskontinuität bewertet – insbesondere dort, wo Fertigungsanlagen, Produktionssysteme oder vernetzte Technologien betroffen sind.
Wie Jorge Correa erläutert:
„Cyberangriffe sind ein Bereich, der sich ständig weiterentwickelt. Deshalb müssen sie wahrscheinlich häufiger überprüft werden, um sicherzustellen, dass alle auf dem aktuellen Stand sind.“
Aus Auditsicht wird von Unternehmen erwartet, dass sie ein kontinuierliches Bewusstsein für cyberbezogene Risiken nachweisen und diese regelmäßig überprüfen. Auditoren achten auf objektive Nachweise dafür, dass Aspekte der Cybersicherheit in die übergeordnete Risikoanalyse und Notfallplanung integriert sind – insbesondere dort, wo Störungen die Produktkonformität oder die Lieferfähigkeit beeinträchtigen könnten.
Für Unternehmen bedeutet dies, dass Cybersicherheit nicht mehr ausschließlich anhand von Richtlinien oder IT-Kontrollen bewertet wird. Sie wird zunehmend unter dem Gesichtspunkt des risikobasierten Denkens, der betrieblichen Auswirkungen und der organisatorischen Vorsorge betrachtet. Entsprechend wird erwartet, dass Bewertungen aktuell, relevant und auf reale Szenarien bezogen sind.
Dokumentationslücken führen zu Abweichungen
In Audits gehört es zu den häufigsten Herausforderungen, dass eine Lücke zwischen dem besteht, was tatsächlich getan wird, und dem, was durch objektive Nachweise belegt werden kann.
Da die Erwartungen an risikobasiertes Denken und Wirksamkeit weiter steigen, legen Auditoren zunehmend Wert auf Dokumentation, die klar zeigt, welche Maßnahmen ergriffen wurden, warum sie ergriffen wurden und wie die Wirksamkeit bewertet wurde.
Laut Jorge Correa ist dies ein Bereich, in dem viele Unternehmen unbeabsichtigt ein Prüfungsrisiko schaffen. In der Praxis befassen sich Unternehmen zwar mit Problemen, führen Tests durch oder passen Kontrollmaßnahmen an, doch ohne konsistente Dokumentation oder gleichwertige objektive Nachweise lassen sich diese Bemühungen bei einer Prüfung nur schwer validieren.
„Ein Kunde wird behaupten: ‚Okay, ja, wir tun das‘, aber er verfügt nicht wirklich über die Informationen, um dies zu belegen.“
Diese Diskrepanz wird oft in Bereichen mit höherem Risiko deutlicher, in denen Prüfer einen klareren Zusammenhang zwischen Risikoidentifizierung, Korrekturmaßnahmen und Nachverfolgung erwarten. Fehlt dieser Zusammenhang, ist die Wahrscheinlichkeit von Nichtkonformitäten größer, selbst wenn die zugrunde liegende Absicht oder der Aufwand stichhaltig ist.
Für Organisationen, die sich auf IATF 16949 Audits vorbereiten, ist die Botschaft klar: Gute Absichten reichen nicht aus. Was zählt, ist die Fähigkeit, Entscheidungsfindung, Maßnahmen und Wirksamkeit so nachzuweisen, dass sie den risikobasierten Erwartungen und den Anforderungen an Auditnachweise entsprechen.
Nach Einschätzung von Jorge Correa entsteht in diesem Bereich bei vielen Unternehmen unbeabsichtigt ein Auditrisiko.
In der Praxis werden Maßnahmen umgesetzt, Tests durchgeführt oder Kontrollen angepasst. Fehlen jedoch eine konsistente Dokumentation oder gleichwertige objektive Nachweise, lassen sich diese Aktivitäten im Audit nur schwer belegen.