Compliance-Lexikon · Praxis

Control Testing – Praxis

Control Testing ist der Bereich, in dem viele Compliance-Programme am meisten Nachholbedarf haben. Kontrollen sind beschrieben, aber nicht getestet. Das ist ein Befund, den Auditoren regelmäßig dokumentieren – und der zu erheblichen Abzügen führt.

Was Auditoren konkret prüfen

Der Auditor prüft: Existiert ein Testplan für die wesentlichen Kontrollen? Wurden Tests durchgeführt und dokumentiert? Sind Findings aus Tests nachverfolgt worden? Und: Wurden die Tests von einer vom Betrieb unabhängigen Person durchgeführt?

BAM-Objekt · Praxis CROSS-CT-01
Gap-CheckWerden Kontrollen regelmäßig auf ihre Wirksamkeit getestet und sind die Testergebnisse dokumentiert?
RemediationTestplan für alle wesentlichen Kontrollen erstellen, Testdurchführung dokumentieren, Defizite nachverfolgen
EvidenceDatierter Testplan, Testprotokolle mit Ergebnissen, Nachverfolgungsregister für identifizierte Schwächen

Häufige Fehler

  • Testplan existiert, Tests wurden aber nicht durchgeführt oder nicht datiert protokolliert
  • Testpersonen testen ihre eigenen Kontrollen – fehlende Unabhängigkeit
  • Findings werden identifiziert, aber nicht in ein Nachverfolgungssystem überführt

Praxis-Tipp

Control Testing muss nicht aufwendig sein. Eine strukturierte Prüfliste mit Datum, Prüfer und Ergebnis je Kontrolle genügt für viele Frameworks als Basisnachweis. Wichtig ist die Unabhängigkeit: Wer eine Kontrolle betreibt, sollte sie nicht selbst testen.

Testplan: Mindestinhalt

Ein auditrelevanter Testplan enthält: Liste der zu testenden Kontrollen mit Priorisierung, Testfrequenz je Kontrolle, Testmethoden, Verantwortlichkeiten und Unabhängigkeitsregelung sowie Dokumentationsanforderungen. Hochrisiko-Kontrollen sollten häufiger getestet werden als Standardkontrollen – das zeigt dem Auditor eine risikobasierte Priorisierung.

Evidence-Anforderungen im Audit

Vorzulegen sind: Testplan mit Datum, Testprotokolle für den Prüfungszeitraum mit Ergebnissen, Finding-Register mit Status und Verantwortlichen sowie Nachweise der Behebung identifizierter Schwachstellen. Das BAM-Objekt CROSS-CT-01 strukturiert diese Anforderungen als prüfbare Checkliste.

Nächster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – warum Control Testing als kontinuierliche Qualitätssicherung weit mehr ist als Audit-Vorbereitung – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.