Compliance-Lexikon · Praxis
Risk Acceptance – Praxis
Risk Acceptance ist im Zertifizierungsaudit ein klar definierter Pruefpunkt. Was Zertifizierungsauditoren konkret verlangen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Im Zertifizierungsaudit prüft der Auditor Risk Acceptance auf Vollständigkeit, Aktualität, Leitungsorgangenehmigung und Nachweis der Wirksamkeit. Das BAM-Objekt ISO-RA-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Dokument aus 2013-Version, nicht auf 2022 aktualisiert
- Leitungsorgan nicht formal einbezogen
- Wirksamkeit nicht gemessen – kein KPI oder Messmethode definiert
- Keine regelmässige Aktualisierung bei Änderungen
Praxis-Tipp
Für Risk Acceptance gilt: Zertifizierungsauditoren prüfen sowohl Dokumentation als auch tatsächliche Implementierung. „Dokumentiert, aber nicht gelebt“ ist eine schwerwiegendere Nichtkonformität als „gelebt, aber nicht vollständig dokumentiert“.
Umsetzung Schritt für Schritt
Erster Schritt: ISO-27001:2022-Anforderungen an Risk Acceptance im Detail lesen und verstehen. Zweiter Schritt: Aktuellen Implementierungsstand gegen Norm-Anforderungen prufen (Gap Assessment). Dritter Schritt: Lücken schließen und Dokumentation erstellen/aktualisieren. Vierter Schritt: Leitungsorgan einbeziehen, wo die Norm es verlangt. Fünfter Schritt: Jährliche Überprüfung und Aktualisierung einplanen.
Evidence-Anforderungen im Zertifizierungsaudit
Der Auditor erwartet: datierte, vollständige Dokumentation nach ISO-27001:2022-Anforderungen, Genehmigungsnachweis durch zuständige Ebene, Nachweis der Implementierung und letzter Wirksamkeitspruef-Nachweis.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – ISO 27001 Readiness in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.