Compliance-Lexikon · Strategie
Warum Evidence wichtiger ist als Dokumentation
Die meisten Unternehmen haben zu viel Dokumentation und zu wenig Evidence. Das klingt paradox – ist es aber nicht. Dokumentation beschreibt, was sein soll. Evidence belegt, was war. Beide sind notwendig. Aber wenn ein Audit scheitert, scheitert es fast nie wegen fehlender Richtlinien – und fast immer wegen fehlender Nachweise.
Der strukturelle Unterschied
| Kriterium | Dokumentation | Evidence |
|---|---|---|
| Was es ist | Beschreibung von Anforderungen, Prozessen, Richtlinien | Nachweis, dass eine Kontrolle zu einem bestimmten Zeitpunkt wirksam war |
| Zeitbezug | Gegenwart und Zukunft ("wie es sein soll") | Vergangenheit ("was war") |
| Erstellt von | Autor, Verantwortlicher, Management | System (automatisch) oder Person mit Datum und Unterschrift |
| Audit-Wert | Voraussetzung – ohne Dokumentation kein Audit | Entscheidend – ohne Evidence kein bestandenes Audit |
| Verfallsrisiko | Veraltet bei Prozessänderungen | Veraltet nach Ablauf des Prüfungszeitraums |
| Typisches Problem | Zu generisch, nicht aktuell | Fehlt ganz, falsch scopiert, kein Zeitstempel |
Warum Compliance-Programme scheitern, obwohl sie dokumentiert sind
Das klassische Compliance-Programm folgt einer bestimmten Logik: Richtlinien schreiben, Verantwortliche benennen, Maßnahmen implementieren, Audit bestehen. Diese Logik hat einen strukturellen Fehler: Sie behandelt den Audit als Endpunkt, nicht als Prüfung eines laufenden Zustands.
Ein Auditor fragt nicht "Haben Sie eine Backup-Richtlinie?" – er fragt: "Zeigen Sie mir den letzten Restore-Test." Wer dann anfängt zu suchen, hat verloren. Die Richtlinie ist vorhanden, der Nachweis nicht. Das Ergebnis ist ein Non-Conformity-Finding für eine Kontrolle, die technisch funktioniert.
Die entscheidende Frage
Für jede Sicherheitskontrolle gilt: Wenn der Auditor morgen kommt und fragt "Beweisen Sie, dass diese Kontrolle in den letzten 12 Monaten wirksam war" – was legen Sie vor? Wenn die Antwort länger als 30 Sekunden dauert, fehlt die Evidence-Struktur.
Das Evidence-Problem bei wachsender Regulatorik
NIS-2, DORA, EU AI Act, CRA – jedes Framework fordert Evidence für seine spezifischen Kontrollen. Wer vier Frameworks parallel nachweisen muss, hat ohne strukturierten Ansatz vier separate Evidence-Silos, vier separate Audit-Vorbereitungen und vierfachen Aufwand.
Das ist das strukturelle Problem, das Executable Compliance adressiert. Wenn Kontrollen als ausführbare Objekte vorliegen – mit definiertem Evidence-Feld, automatischer Ausführung und versioniertem Nachweis – entsteht Evidence nicht vor dem Audit, sondern kontinuierlich im laufenden Betrieb. Der Auditor sieht keinen rekonstruierten Ist-Zustand, sondern einen lückenlosen Verlauf.
Evidence als strategischer Vorteil
Für Unternehmen, die mehrere Frameworks gleichzeitig nachweisen müssen, ist eine strukturierte Evidence-Strategie kein Compliance-Overhead, sondern ein Wettbewerbsvorteil. Ausschreibungen mit Compliance-Anforderungen, Due-Diligence-Prüfungen bei Unternehmenstransaktionen, Lieferantenaudits durch Großkunden – in allen diesen Kontexten entscheidet die Qualität der Evidence, nicht die Dicke der Richtlinien-Ordner.
Ein Unternehmen, das auf Anfrage innerhalb von 24 Stunden vollständige, zeitgestempelte Evidence für alle wesentlichen Kontrollen vorlegen kann, hat gegenüber einem Wettbewerber, der dafür drei Wochen Audit-Vorbereitung braucht, einen messbaren operativen Vorteil.
BAM Enterprise · Executable Compliance
Evidence kontinuierlich, nicht punktuell.
BAM bildet Evidence-Felder für alle acht Frameworks im selben Objektmodell ab – NIS-2, DORA, ISO 27001, DSGVO, CRA, EU AI Act. Self-hosted, mandantenfähig, kein Evidence-Silo.
Wer den praktischen Einstieg sucht – welche Evidence-Typen für welche Frameworks gelten und welche Fehler am häufigsten gemacht werden – findet das auf Ebene 2: Evidence erstellen.