Der übergriffige Auditor

🔍 Was beobachte ich?
Eine prüfende Person verlangt, alle Daten zu verschlüsseln – unabhängig vom Schutzbedarf. Eine andere besteht auf einer Richtlinie, die keine Norm fordert. Manche suchen so lange, bis sich eine Abweichung findet. Schon in meiner Ausbildung, vor zwanzig Jahren, lernte ich: Eine Abweichung zu finden ist leichter, als Sicherheit zu bestätigen. Die eigentliche Frage aber lautet nicht, ob sich eine Abweichung findet – sondern ob sie ein Risiko bedeutet. Persönliche Präferenz ersetzt den Maßstab der Norm.
🎯 Was soll eigentlich erreicht werden?
Das Ziel ist ehrenwert: Ein Audit soll Sicherheit belegen, nicht abnicken – und wer streng prüft, schützt die Glaubwürdigkeit des Zertifikats.
⚠️ Warum funktioniert das nicht?
ISO 27001 ist risikobasiert. Annex A ist eine Referenzliste zur Auswahl, keine Pflichtsammlung; ISO 27002 gibt Leitlinien, keine Gebote. Eine Nichtkonformität ist die Nichterfüllung einer Anforderung – nicht die Abweichung von einer Vorliebe. Wer mehr verlangt, als die Norm fordert, verwechselt Leitlinie mit Anforderung. Die geprüfte Organisation baut daraufhin Maßnahmen auf, die kein Risiko adressieren – nur um der Feststellung zu entgehen. So wird die prüfende Person selbst zur Quelle jenes Regulierungsreflexes, den sie aufdecken sollte.
💡 Was funktioniert besser?
ISO 19011 beschreibt Objektivität, Kompetenz und Unparteilichkeit als Grundsätze, ISO/IEC 17021-1 fordert sie. Jede Feststellung braucht eine Fundstelle in der Norm – kein “das sehe ich anders”. Das beste Audit ist ein Dialog auf Augenhöhe: Die Organisation fragt, welche Anforderung verletzt ist; die prüfende Person antwortet mit der Norm, nicht mit ihrer Vorliebe. Beide sitzen am selben Tisch, nicht auf gegnerischen Seiten. Denn wer gemeinsam nach Sicherheit sucht, prüft besser als wer nach Fehlern jagt.
📚🔍
- ISO 19011:2026 – Guidelines for auditing management systems https://www.iso.org/standard/19011
- ISO/IEC 17021-1:2015 – Requirements for bodies providing audit and certification https://www.iso.org/standard/61651.html
- Why ISO 27001 Auditors Can Reject Documentation (Ignyte) https://www.ignyteplatform.com/blog/iso-27001/iso-27001-reject-documentation/