Compliance-Lexikon · Praxis
Maturity Model – Praxis
Maturity Models werden in vielen Compliance-Programmen eingesetzt, aber selten strategisch genutzt. Häufig ist das Ergebnis eine einmalige Bewertung, aus der kein Entwicklungsplan folgt. Das verschenkt den größten Teil des Potenzials.
Was Auditoren konkret prüfen
Der Auditor erwartet: Wurde eine Reifegradanalyse durchgeführt? Basiert sie auf nachweisbarer Evidence statt auf Selbsteinschätzung? Wurde ein Entwicklungsplan abgeleitet? Und: Wurde der Fortschritt in Folgebewertungen dokumentiert?
Häufige Fehler
- Reifegradanalyse ist vorhanden, aber nicht durch Evidence belegt
- Entwicklungsplan fehlt oder ist nicht mit der Reifegradanalyse verknüpft
- Keine Folgebewertung geplant – Vergleichbarkeit nicht gegeben
Praxis-Tipp
Eine Reifegradanalyse ist nur so gut wie ihre Evidenzgrundlage. Für jede Bewertungsdimension sollte ein Verweis auf konkrete Nachweise vorhanden sein: Dokument X, Log Y, Protokoll Z. Bewertungen ohne Evidenz werden vom Auditor heruntergestuft.
Reifegradanalyse: Mindeststruktur
Eine auditrelevante Reifegradanalyse enthält: gewähltes Modell mit Stufendefinitionen, Bewertungsscope (welche Prozesse/Bereiche), Bewertungsdatum und Bewerter, Bewertungsergebnisse je Dimension mit Evidenz-Verweisen, Gesamtbewertung und Entwicklungsplan mit priorisierten Maßnahmen. Folgebewertungen sollten dieselbe Struktur verwenden, um Fortschritt vergleichbar zu machen.
Evidence-Anforderungen im Audit
Vorzulegen sind: Reifegradanalyse mit Datum und Evidenz-Verweisen, Entwicklungsplan mit Fristen und Verantwortlichen sowie Folgebewertungen, die den Fortschritt dokumentieren. Das BAM-Objekt CROSS-MM-01 strukturiert diese Anforderungen als prüfbare Checkliste.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – wie Maturity Models als Steuerungsinstrument für die Compliance-Investition funktionieren – findet sich auf Ebene 3.