Compliance-Lexikon · Praxis
Board Oversight – Praxis
Board Oversight ist in Audits und Aufsichtspruefungen einer der am stärksten gewichteten Punkte – weil fehlende Governance-Nachweise auf strukturelle Mängel hinweisen. Was Auditoren konkret prüfen, zeigt dieser Abschnitt.
Was Auditoren konkret prüfen
Bei einer Prüfung von Board Oversight prüft der Auditor, ob das Leitungsorgan nachweislich in das Sicherheitsprogramm eingebunden ist. Das BAM-Objekt GOV-BO-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Protokolle der Leitungsorgan-Sitzungen erwähnen Sicherheit nicht
- ISMS-Richtlinien ohne formale Vorstandsgenehmigung
- Schulungsnachweis für Leitungsorganmitglieder (DORA-Pflicht) fehlt
- Sicherheitsbudget ohne Leitungsorgan-Beschluss
Praxis-Tipp
Für Board Oversight gilt: Ein Protokollauszug, der zeigt, dass der Vorstand einen Sicherheitsbericht entgegengenommen, diskutiert und Massnahmen beschlossen hat, ist die stärkste Evidence. Keine technische Dokumentation ersetzt diesen Nachweis.
Umsetzung Schritt für Schritt
Erster Schritt: Quarterly-Security-Reporting an Vorstand etablieren – Format: executive summary, geschäftsbezogene Risikolage, Handlungsbedarf. Zweiter Schritt: Formale Genehmigung aller ISMS-Kernrichtlinien durch das Leitungsorgan. Dritter Schritt: IKT-Schulung für Leitungsorganmitglieder durchführen und dokumentieren (DORA-Pflicht). Vierter Schritt: Sicherheitsbudget-Beschlüsse im Protokoll festhalten.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datierte Sicherheitsberichte an das Leitungsorgan (mindestens jährlich), Protokollauszüge mit Sicherheits-Tagesordnungspunkten, genehmigte ISMS-Kernrichtlinien mit Unterschrift des Leitungsorgans und – für DORA – Schulungsnachweise für alle Leitungsorganmitglieder.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und DORA Governance in 20 Minuten.
Die strategische Einordnung – warum Board Oversight langfristig mehr als ein Reporting-Thema ist – findet sich auf Ebene 3.