← Praxis-Wissen

Compliance-Risiken realistisch einschätzen

Ein Audit-Termin steht. Die offenen Punkte sind dokumentiert. Der Aufwand zur Heilung ist geschätzt. Und dann wird klar: Die Zeit reicht nicht – oder nur, wenn alles glattläuft, was selten der Fall ist. Was tun?

Der Reflex und das Risiko

Der Reflex ist, durchzuziehen. Termin halten. Mit Überstunden, Wochenendarbeit und der Hoffnung, dass der Prüfer milde gestimmt ist. Das Risiko: Eine durchgehetzte Heilung erzeugt Compliance auf dem Papier, die im operativen Alltag nicht trägt. Spätestens beim nächsten Überwachungsaudit oder der nächsten Sicherheitsvorfall-Untersuchung zeigt sich die Lücke.

Drei Fragen vor der Entscheidung

Stimmt das Verhältnis von Aufwand und verfügbarer Zeit? Eine ehrliche Aufwandsschätzung in Personentagen, gegengerechnet gegen verfügbare Kapazität, mit Pufferabzug für Krankheit, Feiertage und Eskalationen. Wer auf 62 von 65 Tagen kommt, hat keine Reserve.

Sind die Vorbedingungen geklärt? Viele Compliance-Maßnahmen setzen Vorarbeiten voraus – ein dokumentiertes Mengengerüst, ein aktuelles Asset-Inventar, eine etablierte Änderungssteuerung. Wenn diese Vorbedingungen selbst noch nicht stabil sind, multipliziert sich das Risiko.

Wie würde der Auditor seine eigene Erwartung formulieren? Erfahrene Auditoren erwarten kein Hochglanz, sondern „bewusstes Handeln in nicht exakt definierten Grenzen". Wer diesen Erwartungshorizont nicht erfüllen kann, sollte ehrlich sein.

Verschiebung als bewusste Risiko-Entscheidung

Die Empfehlung zur Verschiebung des Audit-Termins ist keine Niederlage, sondern Risikomanagement. Die Voraussetzungen für eine erfolgreiche Verschiebung:

  • Eine transparente Aufstellung der Aufwand-Zeit-Lücke gegenüber der Geschäftsführung
  • Eine ehrliche Benennung der Konsequenzen einer durchgehetzten Re-Zertifizierung
  • Ein konkreter Plan für die gewonnene Zeit, der zeigt, wofür sie genutzt wird
  • Wenn nötig: die Kommunikation der Verschiebung gegenüber Kunden und Partnern, die das Zertifikat als Voraussetzung haben

Was in der gewonnenen Zeit geschieht

Die Verschiebung darf kein Aufschub im Sinne von „später vielleicht" sein. Sie muss zu einer strukturierten Heilung führen, die nach Abhängigkeiten geordnet ist und Maßnahmen liefert, die im Tagesgeschäft tatsächlich anwendbar bleiben. Compliance, die nur auf dem Papier existiert, ist Bürokratie. Compliance, die gelebt wird, ist Schutz.