Kriterien- und Nachweismatrix
Facility Management: Aufzugsmanagement » Betrieb » Audit » Kriterien- und Nachweismatrix
Kriterien- und Nachweismatrix
Die Kriterien- und Nachweismatrix dient der systematischen Zuordnung von BA‑Inhalten zu einschlägigen Rechts- und Normanforderungen, ihrer Einstufung als [PFLICHT] oder [EMPFEHLUNG], der Definition geeigneter Nachweisarten sowie der Sicherstellung der Auditierbarkeit. Sie unterstützt Verantwortliche dabei, Lücken transparent zu identifizieren, Prioritäten risikobasiert zu setzen und die Wirksamkeit implementierter Maßnahmen prüfbar zu machen.
[PFLICHT]: rechtlich oder normativ zwingend (oder zwingend bei erklärter Normkonformität/Zertifizierungsziel).
[EMPFEHLUNG]: Best Practice zur Wirksamkeitssteigerung bzw. zur Reifegradhebung; kann je nach Branche/Scope zu [PFLICHT] werden.
Hinweis: Die Zuordnung ist kontextabhängig (Branche, Rechtsraum, Zertifizierungsziel, Kritikalität). Wo „sofern relevant“ vermerkt, greift die Pflicht bei Vorliegen der jeweiligen Bedingungen.
Audit-Kriterien und Nachweismatrix für Aufzüge
Matrix: Zuordnung BA‑Inhalte, Anforderungen, Nachweise, Auditierbarkeit
| BA Inhalt/Artefakt | Rechts-/Normbezug (Beispiele) | Einstufung | Nachweisart | Auditierbarkeit/Prüfansatz |
|---|---|---|---|---|
| Leitlinien/Policies | ISO 9001 (5.2), ISO 27001 (A.5), Unternehmensrecht | [PFLICHT] bei Normziel sonst [EMPFEHLUNG] | Freigegebene Policy mit Version, Gültigkeit, Verantwortlichem | Dokumentenprüfung auf Vollständigkeit, Gültigkeit, Freigabespuren; Abgleich mit Scope |
| Prozess-/Verfahrensanweisungen | ISO 9001 (8.1, 8.5.1), GoBD Verfahrensdoku | [PFLICHT] für qualitäts-/relevante Prozesse | Aktuelle VA/Prozesslandkarte, Änderungsprotokoll | Stichprobe: Prozessdurchlauf vs. Dokument; Konsistenzprüfung, Wirksamkeitsnachweis |
| Rollen & Verantwortlichkeiten (RACI) | ISO 27001 (A.5.3), DSGVO Art. 5(2) | [PFLICHT] | Organigramm, RACI, Stellenbeschreibungen | Interviews + Dokuabgleich; Nachweis der gelebten Verantwortlichkeit (z. B. Freigaben) |
| Verzeichnis Verarbeitungstätigkeiten (VVT) | DSGVO Art. 30 | [PFLICHT] bei personenbezogenen Daten | VVT, Änderungs-/Reviewprotokolle | Vollständigkeits- und Aktualitätsprüfung; Abgleich mit Systeminventar |
| Risikoanalyse/DSFA/Schutzbedarf | ISO 27001 (6.1), DSGVO Art. 24, 32, 35 | [PFLICHT] sofern relevant | Methodik, Risikoregister, DSFA, Freigaben | Methodikbewertung, Nachvollzug von Bewertungen; Abgleich Risiken ↔ Kontrollen |
| Techn./organisatorische Maßnahmen (Kontrollen) | DSGVO Art. 32, ISO 27001 (Annex A) | [PFLICHT] | Kontrollkatalog, Test-/Wirksamkeitsnachweise, Systemlogs | Test of Design/Operating Effectiveness; Stichproben, Re-Performance |
| Schulung & Awareness | ISO 9001 (7.2), ISO 27001 (7.3), ArbSchG | [PFLICHT] | Schulungsplan, Inhalte, Teilnahmebelege, Wirksamkeitstests | Stichprobe Teilnahme, Ergebnisnachweise; Intervalltreue; Zielgruppenabdeckung |
| Änderungs-/Konfig.-Management | ISO 9001 (6.3), ISO 27001 (8.32) | [EMPFEHLUNG] branchenspez. [PFLICHT] | Change-Anträge, Freigaben, Backout-Pläne, CMDB | Nachvollzug eines Changes Ende zu Ende; Trennung von Funktionen |
| Lieferanten/AV-Verträge | DSGVO Art. 28, ISO 27001 (A.5.19-5.23) | [PFLICHT] bei Verarbeitung durch Dritte | AV-Verträge, SLA, Due Diligence, Auditklauseln | Vertragsprüfung, SLA-Reporting, Third-Party Risiko-Bewertung |
| Notfallmanagement/BCM | ISO 22301, ISO 27001 (A.5.29) | [EMPFEHLUNG], KRITIS [PFLICHT] | Notfallpläne, BIA, Tests/Übungen | Prüfpfad: Plan → Übung → Lessons Learned; Wiederanlaufzeiten |
| Dokumentenlenkung/Archivierung | ISO 9001 (7.5), GoBD/HGB | [PFLICHT] für aufbewahrungspflichtige Nachweise | Lenkungsrichtlinie, Revisionssichere Ablage, Aufbewahrungsfristen | Stichprobe: Version, Unveränderbarkeit, Auffindbarkeit, Lesbarkeit |
Geeignete Nachweise richten sich nach dem Kontrolltyp (präventiv, detektiv, korrektiv) und dem Reifegrad des Systems. Grundtypen:
Dokumentierte Vorgaben: Policies, Prozessbeschreibungen, Standards, Arbeitsanweisungen. Eignung: „Design“-Nachweis (existiert und ist passend).
Records/Nachweisprotokolle: Freigaben, Checklisten, Prüf- und Messprotokolle, Abnahmeberichte, Schulungslisten, Ticket-Historien. Eignung: „Operating Effectiveness“ (wird gelebt).
Systemgenerierte Evidenz: Logs, Audit-Trails, Reports, Konfigurationsschnappschüsse, SIEM-/GRC-Exporte. Eignung: fälschungsresistente, zeitnahe Evidenz.
Physische/visuelle Evidenz: Foto-/Video, Begehungsprotokolle, Inventarlabels. Eignung: Asset- und Umgebungsprüfung.
Bestätigungen Dritter: Zertifikate (z. B. ISO), Prüfberichte (extern), Lieferantenaudits. Eignung: Abdeckung externer Risikoflächen.
Qualitätskriterien für Nachweise:
Authentizität und Integrität: Herkunft verifizierbar, Unveränderbarkeit (z. B. revisionssichere Archivierung, Signaturen, Hashes).
Vollständigkeit und Relevanz: deckt definierte Kriterien/Zeiträume ab; repräsentative Stichprobe.
Nachvollziehbarkeit/Zuordenbarkeit: eindeutige Zuordnung zu Prozess, System, Verantwortlichem; eindeutige Zeitstempel.
Lesbarkeit und Verfügbarkeit: maschinen- oder menschlich lesbar, fristgerecht auffindbar.
Wirksamkeitsfokus: Nachweis nicht nur der Existenz, sondern der Wirksamkeit (z. B. KPI-Erreichung, Fehlerquote, Incident-Rate).
Auditierbarkeit entsteht, wenn Kriterien klar definiert, messbar und evidenzgestützt überprüfbar sind. Kernelemente:
Klarer Scope und Kriterienkatalog: pro BA‑Inhalt sind konkrete Soll-Merkmale festgelegt (z. B. „Policy jährlich reviewt und genehmigt“).
Test of Design vs. Test of Operating Effectiveness: erst Eignung des Designs bewerten, anschließend Funktionsnachweis über Zeitraum X per Stichprobe.
Triangulation der Evidenz: Dokument + Systemlog + Interview/Beobachtung kombinieren, um Scheinkonformität zu vermeiden.
Stichprobenmethodik: risikobasiert (höheres Risiko → größere Stichprobe/Frequenz); definierte Grundgesamtheit, Zufalls-/gerichtete Auswahl.
Nachverfolgbarkeit Ende‑zu‑Ende: vom Kriterium über Kontrolle und Evidenz bis zum Ergebnis; eindeutige Referenzen (IDs, Versionsstände).
Vier-Augen-Prinzip und Rollenmodell: Freigaben und Kontrollen sind funktionsgetrennt; Audit-Trails belegen dies.
Zeitliche Abdeckung: Evidenz deckt den relevanten Wirksamkeitszeitraum ab (z. B. letztes Geschäftsjahr, Quartal).
Praktische Prüfschritte je Eintrag der Matrix:
Vorbereitung: Auswahl der Stichprobe, Sammlung der deklarierten Evidenzen, Festlegung der Bewertungsmaßstäbe.
Durchführung: Dokumentenprüfung, Systemauswertung, Interviews, Re-Performance (z. B. Wiederholung einer Kontrolle).
Bewertung: Konform/Nichtkonform/Beobachtung; Reifegradbewertung (Initial → Managed → Optimized).
Berichterstattung: Befundbeschreibung, Bezug auf Kriterium, Evidenzreferenz, Risiko, Korrekturmaßnahme, Frist und Verantwortlicher.
Follow-up: Wirksamkeitskontrolle der Abstellmaßnahmen; Aktualisierung der Matrix (Statuswechsel, z. B. von [EMPFEHLUNG] zu [PFLICHT]).
Pflege, Governance und Skalierung
Verantwortlichkeiten: Ownership je BA‑Inhalt ist fest zugeordnet; die Compliance-Funktion kuratiert Kriterien und Evidenzauswahl.
Änderungen im Rechts-/Normenumfeld: Triggern eine Matrixrevision; Änderungslog dokumentiert Entscheidungen und Gültigkeitstermine.
Frequenzen: Review-/Testfrequenzen risikoadäquat (z. B. Policy-Review jährlich, Kontrollen quartalsweise, Lieferantenscreening jährlich).
Tool-Unterstützung: GRC-/DMS-Systeme zur Katalogisierung von Anforderungen, Mapping zu BA‑Inhalten, Evidenzverwaltung, Workflows und Audit-Trails.
Skalierung: Für Selbstbewertungen genügt ein fokussierter Kriterienkatalog; für Zertifizierungen werden Tiefe, Stichprobengröße und Evidenzhärte erhöht.
Mit der vorliegenden Kriterien- und Nachweismatrix werden BA‑Inhalte in einen prüfbaren Kontext gesetzt. Die Markierung [PFLICHT]/[EMPFEHLUNG], die präzise Festlegung von Nachweisarten sowie eine auditierbare Prüflogik schaffen Transparenz, Vergleichbarkeit und einen robusten Rahmen für kontinuierliche Konformität und Wirksamkeitssteigerung.