Methodik im Überblick

Aus rohen Fakten wird eine belastbare Empfehlung.

Jede Stufe baut auf der vorigen auf — diskussionsfähig, nachvollziehbar, audit-fest.

Die fünf Schritte im Detail

Von der Faktenbasis zur Handlungsempfehlung.

Wir folgen dieser Logik in jedem Mandat — egal ob ISMS-Aufbau, Governance-DD oder KI-Beratung.

Sachverhalt

Was ist tatsächlich da?

Wir starten mit Fakten, nicht mit Annahmen. Welche Systeme, Prozesse, Verträge, Verantwortlichkeiten und Dokumente existieren? Was ist Ist-Zustand — nicht Soll-Zustand, nicht Wunsch-Zustand. Diese Trennung von Beschreibung und Bewertung ist die Grundlage jeder belastbaren Analyse.

Ergebnis

Eine dokumentierte Faktenbasis — mit Beleg, Datum und Quelle.

Beispielhafte Formulierung

IS-Leitlinie vom 12.03.2023, unterzeichnet durch die Geschäftsführung, mit jährlicher Prüfpflicht. Letzte dokumentierte Prüfung: 14.04.2024.

Beobachtung

Was fällt auf?

Wir trennen Beobachtung von Bewertung. Was sehen wir konkret? Welche Muster, Auffälligkeiten, Konsistenzen oder Inkonsistenzen liegen vor? Beobachtungen sind beschreibend und nachvollziehbar — sie sind noch keine Wertung.

Ergebnis

Eine nachvollziehbare Befundliste — beschreibend, noch nicht wertend.

Beispielhafte Formulierung

Die IS-Leitlinie verweist auf einen ISMS-Verantwortlichen. In der Rollen-Dokumentation der HR-Abteilung ist diese Rolle nicht hinterlegt. Im Organigramm der Geschäftsleitung erscheint sie ebenfalls nicht.

Bewertung

Was bedeutet das?

Erst hier kommt die fachliche Einschätzung — auf Basis der dokumentierten Beobachtungen. Wir messen gegen einen Referenzrahmen (Norm, Best Practice, regulatorische Pflicht). Die Bewertung ist begründet und bleibt diskutierbar.

Ergebnis

Eine begründete fachliche Einschätzung — mit konkretem Norm-Bezug.

Beispielhafte Formulierung

Die Rollen-Inkonsistenz weicht von ISO/IEC 27001:2022 Kapitel 5.3 (Rollen, Verantwortlichkeiten und Befugnisse) ab. Eine eindeutige Zuordnung ist aus den vorliegenden Unterlagen nicht erkennbar.

Risiko

Welches Risiko entsteht daraus?

Aus der Bewertung leiten wir Risiken ab — abhängig vom Mandatskontext und der Risiko-Methodik des Mandanten. Was könnte passieren? Wer wäre betroffen? Wie wahrscheinlich? Wie schwerwiegend? Die Einschätzung ist konsistent, nachvollziehbar und kommunizierbar.

Ergebnis

Eine bewertete Risiko-Einschätzung — mit Wahrscheinlichkeit, Schadenshöhe und Audit-Relevanz.

Beispielhafte Formulierung

Eintrittswahrscheinlichkeit mittel, Schadenshöhe mittel. Im Audit-Szenario ist eine Einstufung als Major Nonconformity möglich; in der Folge kann eine Änderungsbedarfsbestimmung erforderlich werden.

Empfehlung

Was sollte getan werden?

Wir formulieren konkrete, umsetzbare Empfehlungen — soweit möglich mit Verantwortlichen, Fristen und Aufwandseinschätzung. Keine Pauschalformulierungen wie „ein ISMS einführen“, sondern konkrete Maßnahmen. Priorisierung nach Risiko und Umsetzbarkeit erfolgt gemeinsam mit dem Mandanten.

Ergebnis

Ein konkreter Maßnahmenplan — priorisiert, mit Verantwortlichen und Aufwand.

Beispielhafte Formulierung

Verantwortlichkeit für das ISMS bis zum nächsten Management-Review schriftlich festlegen (Geschäftsführung). Rollen-Dokumentation in HR aktualisieren. Im Management-Review formal beschließen. Geschätzter Aufwand: 4–6 Stunden.

Methodik im Vergleich

Was macht den Unterschied?

Ein typischer Befund — einmal als klassischer Audit-Vermerk, einmal mit ES-Methodik.

Klassischer Audit-Vermerk

Beispielfall: ISMS-Rollen

Beschreibung

ISMS-Rollen unklar.

Risiko

Hoch.

Empfehlung

Rollen sind zu klären.

Verantwortlich / Frist

ISMS-Beauftragter / zeitnah.

Pauschal — ohne Faktenbasis schwer zu diskutieren oder zu priorisieren.

ES-Methodik

Beispielfall: ISMS-Rollen

01 Sachverhalt

IS-Leitlinie vom 12.03.2023, durch GF unterzeichnet. Jährliche Prüfpflicht. Letzte dokumentierte Prüfung: 14.04.2024.

02 Beobachtung

03 Bewertung

Abweichung von ISO/IEC 27001:2022 Kap. 5.3 (Rollen, Verantwortlichkeiten und Befugnisse). Eine eindeutige Zuordnung ist nicht erkennbar.

04 Risiko

05 Empfehlung

Verantwortlichkeit für das ISMS bis zum nächsten Management-Review schriftlich festlegen (GF). Rollen-Dokumentation in HR aktualisieren. Im Management-Review formal beschließen. Geschätzter Aufwand: 4–6 Stunden.

Strukturiert und datenbasiert — jeder Schritt bleibt diskussionsfähig und überprüfbar.

Warum diese Methodik

Drei Gründe, warum wir so arbeiten.

Nachvollziehbarkeit

Wer einen Bericht liest, soll jeden Schritt verstehen können. Vom Sachverhalt bis zur Empfehlung — ohne Black Box, ohne „weil ich es so sage“.

Diskussionsfähigkeit

Wo Sachverhalt von Bewertung getrennt ist, kann man konkret widersprechen. Faktenfehler und Bewertungsdifferenz lassen sich klar trennen — und gezielt klären.

Audit-Festigkeit

Externe Prüfer (Auditoren, BSI, BaFin, M&A-Anwälte) erkennen diese Struktur. Sie ist Standard in der professionellen Prüfungspraxis — und macht unsere Berichte direkt nutzbar.

— Methodik im Mandat erleben

Sie wollen sehen, wie das in der Praxis aussieht?

Im Erstgespräch zeigen wir Ihnen anonymisierte Beispiele unserer Berichte und besprechen, wie unsere Methodik zu Ihrer Situation passt.

Erstgespräch buchen