Compliance Monitoring

[kəmˈplaɪəns ˈmɒnɪtərɪŋ] · auch: Compliance-Überwachung, Konformitätsüberwachung

Compliance Monitoring bezeichnet die systematische, laufende Überwachung der Einhaltung regulatorischer Anforderungen, interner Richtlinien und vertraglicher Verpflichtungen – mit dem Ziel, Abweichungen frühzeitig zu erkennen, zu eskalieren und zu beheben.

Warum Compliance Monitoring den Unterschied zwischen Soll und Ist sichtbar macht

Compliance ist kein Zustand, der einmal hergestellt wird und dann bestehen bleibt. Regulatorische Anforderungen ändern sich, Systeme werden modifiziert, Prozesse weichen ab. Ohne systematisches Monitoring entsteht eine unsichtbare Lücke zwischen dem, was dokumentiert ist, und dem, was tatsächlich praktiziert wird. Diese Lücke wird erst im Audit sichtbar – zu einem Zeitpunkt, an dem Korrekturen teuer und zeitkritisch sind.

Wo Compliance Monitoring gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.5.35	Die Organisation muss die Einhaltung der Informationssicherheitsrichtlinien regelmäßig überprüfen.
NIS-2 / BSIG	§ 30 Abs. 3	Wesentliche und wichtige Einrichtungen müssen die Wirksamkeit ihrer Sicherheitsmaßnahmen laufend überwachen.
DORA	Art. 6 Abs. 4	Finanzunternehmen müssen kontinuierliche Überwachungsmechanismen für IKT-Risiken implementieren.
DSGVO	Art. 32 Abs. 1d	Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen.

BAM-Objektreferenz

BAM-Objekt CROSS-CM-01

BeschreibungCompliance-Monitoring-Programm mit definierten KPIs, Überwachungszyklen und Eskalationspfaden

GitHubBAM Core →

Häufige Audit-Fehler

Monitoring existiert als Prozess auf dem Papier, findet aber nicht statt
Keine definierten KPIs oder Schwellenwerte für Eskalation
Monitoring-Ergebnisse werden nicht dokumentiert und nicht nachverfolgt
Abweichungen werden identifiziert, aber nicht eskaliert

Compliance Monitoring vs. internes Audit

Compliance Monitoring ist kontinuierlich und operativ: Es läuft laufend und liefert aktuelle Statusinformation. Das interne Audit ist periodisch und unabhängig: Es bewertet das Monitoring-Programm selbst und prüft, ob die laufende Überwachung funktioniert. Beide ergänzen sich, ersetzen sich aber nicht. NIS-2 und ISO 27001 erwarten beides.

KPIs im Compliance Monitoring

Effektives Monitoring braucht messbare Indikatoren: Anteil überfälliger Kontrollen, Anzahl offener Findings, Zeit bis zur Behebung identifizierter Abweichungen, Abdeckungsgrad des Monitoring-Programms. Ohne KPIs bleibt Monitoring subjektiv und nicht auditierbar. Mit KPIs wird es zum Steuerungsinstrument.

Nächste Ebene

Compliance Monitoring aufbauen: Prozess, KPIs und Evidence

Wie ein Monitoring-Programm strukturiert wird, was Auditoren prüfen und welche Evidence erforderlich ist.

Ebene 2 lesen → NIS-2-Stresstest starten →