Ein Auditor verlangt einen Nachweis, dass Zugriffsüberprüfungen vierteljährlich stattfinden. Was legen Sie vor?
Kurzantwort
Auditoren prüfen Nachweise, nicht Absichten: Legen Sie die Richtlinie zur Zugriffsüberprüfung vor, datierte Aufzeichnungen jeder Überprüfung mit der Freigabe eines Genehmigers sowie die Bestätigung, dass markierte Zugriffe tatsächlich entzogen und verifiziert wurden. Eine mündliche Bestätigung beweist nichts Wiederholbares, ein Versprechen, nächstes Quartal anzufangen, zeigt, dass die Kontrolle im Prüfzeitraum nicht wirksam war, und ein Organigramm beschreibt Berichtslinien, keine Zugriffsentscheidungen. Nur die datierten, zuordenbaren Artefakte belegen, dass die Kontrolle über den gesamten Zeitraum wie vorgesehen wirksam war.
Auditoren bewerten keine guten Absichten. Sie prüfen, ob eine Kontrolle über den gesamten geprüften Zeitraum wie vorgesehen wirksam war, und das Einzige, was dies belegt, ist ein Nachweis, den Sie benennen, datieren und einer Person zuordnen können.
Was „Nachweis" tatsächlich bedeutet
Für eine vierteljährliche Zugriffsüberprüfung erwartet ein Auditor eine Kette von Artefakten: die Richtlinie, die vierteljährliche Überprüfungen vorschreibt und Verantwortliche benennt; eine datierte Aufzeichnung für jede Überprüfung (ein Ticket, ein unterzeichneter Bericht, ein Export aus Ihrem IGA-Werkzeug); die Freigabe eines Genehmigers, die zeigt, dass eine namentlich genannte Führungskraft den Zugriff jedes Nutzers bestätigt hat; und den Nachweis der Nachverfolgung — dass jeder zur Entfernung markierte Zugriff tatsächlich entzogen und der Entzug verifiziert wurde. Zusammen zeigen diese, dass die Kontrolle viermal ausgelöst wurde, von den richtigen Personen durchgeführt wurde und die Realität verändert hat.
Warum die falschen Antworten scheitern
Die mündliche Bestätigung ist nicht überprüfbar und nicht wiederholbar; ein Auditor kann sie nicht testen, und sie trägt weder Datum noch Verantwortlichen. Das Versprechen, nächstes Quartal zu beginnen, ist ein offenes Eingeständnis, dass die Kontrolle im Prüfzeitraum nicht wirksam war — das ist eine Feststellung, kein Nachweis. Das Organigramm beschreibt Berichtslinien, nicht, wer Zugriffe überprüft oder was entschieden wurde — es beantwortet eine völlig andere Frage.
Das geprüfte Urteilsvermögen
Der Interviewer möchte sehen, dass Sie wie der Geprüfte denken, nicht wie der Auditor: Sie antizipieren die Anfrage und bewahren die Artefakte als Nebenprodukt der Kontrollausführung auf, anstatt sie in letzter Minute zu rekonstruieren. Eine gute Antwort unterscheidet außerdem zwischen Ausgestaltung (die Überprüfung existiert und ist klar definiert) und Wirksamkeit (sie hat tatsächlich jedes Quartal stattgefunden), denn Auditoren prüfen beides. Schließlich erwähnen die besten Kandidaten die Stichprobenprüfung: Ein Auditor wählt bestimmte Nutzer oder Quartale aus und verlangt von Ihnen den Nachweis-Pfad, sodass der Nachweis vollständig und abrufbar sein muss, nicht nur ein einzelner Screenshot. Den Nachweis als kontinuierliches Ergebnis des Prozesses zu behandeln — und nicht als Lieferobjekt in letzter Minute — ist das Zeichen einer reifen GRC-Praxis.
Wahrscheinliche Anschlussfragen
- Wie würden Sie Überprüfungen stichprobenartig prüfen, um zu zeigen, dass die Kontrolle jedes Quartal und nicht nur einmal wirksam war?
- Welcher Nachweis belegt, dass zur Entfernung markierte Zugriffe tatsächlich entzogen wurden und entzogen blieben?
- Wie gehen Sie mit einem Quartal um, in dem eine Überprüfung komplett ausgefallen ist?