8 Risikokategorien und ein Prüfungsansatz für ein Social Media Audit

Theorie und Praxis sind häufig zwei Paar Schuhe. Daher hat Dr. Urban Becker, Revisionsleiter von Melitta, ein Vorgehensmodell für die Prüfung von Social Media entwickelt. In Zusammenarbeit mit diversen Revisions- und Social Media-Experten wurden acht Risikokategorien identifiziert, die es im Rahmen der Social Media Prüfung zu beachten gilt. Alle Details zu den Kategorien und eine zusammenfassende Anleitung zum Download erwarten Sie in diesem Blog Artikel. Dr. Urban Becker: The stage is yours:

Welche Themen sind bei Social Media-Prüfungen relevant?

In den beiden bisherigen Blogs wurden Ansatzpunkte für Social Media-Prüfungen allgemein als auch durch Nutzung von Frameworks aufgezeigt. Ein ganzheitlicher Ansatz für die Prüfung von Social Media fehlt bislang. In einer Literaturrecherche und Interviews mit Revisions- und Social Media-Experten wurden in einer Masterarbeit an der Fernuniversität Hagen acht relevante Risikokategorien für Social Media-Audits identifiziert:

Strategische RisikenReputations-risikenVertriebs-/ Marketing-Risiken
PersonalrisikenSocial Media-RisikenRecht & Compliance-Risiken
Kontrollverlust-risikenIT-bezogene RisikenProzessrisiken

Prüfung von strategischen Risiken

Strategische Risiken entstehen durch eine fehlende oder nicht ausreichend auf ein Unternehmen bzw. eine Marke mit seinem Wettbewerbsumfeld ausgerichtete Strategie für oder gegen den Social Media-Einsatz. Als Folge ist der Social Media-Einsatz nicht effizient.

Bei der Prüfung der strategischen Risiken beim Einsatz von Social Media ist die Social Media-Strategie anzufordern und in einem ersten Prüfungsschritt auf Plausibilität und Umsetzbarkeit zu prüfen. Erfolgt ein Social Media-Einsatz ohne, dass eine Strategie oder ein auf die Unternehmensstrategie angepasstes Vorgehensmodell besteht, erfolgen die Aktivitäten wenig zielgerichtet und Ressourcen werden möglicherweise verschwendet. Wirtschaftlich betrachtet ist das Risiko einer geringen Effektivität und Effizienz bei fehlender Strategie daher hoch.

Ist das betrachtete Unternehmen bzw. die Marke nicht auf sozialen Medien präsent, so ist im Rahmen der Prüfung zu bewerten, ob dies strategisch sinnvoll sein kann. Für die meisten Märkte wird ein Social Media-Einsatz von den Konsumenten erwartet, so dass negative Auswirkungen auf die geschäftliche Entwicklung bei fehlendem Social Media-Auftritt erwartet werden können.

Ist eine Social Media-Strategie vorhanden, deckt diese aber nicht alle potenziell relevanten Social Media-Plattformen, Themen und Technologien ab, so ist diese mögliche Lücke in der Prüfung zu bewerten und eine Strategieüberarbeitung als Maßnahme vorzuschlagen. Weist der Abgleich zwischen der Social Media-Strategie auf erkennbare Unterschiede zwischen Unternehmensstrategie und der strategischen Social Media-Ausrichtung auf, so ist den Verantwortlichen ein stärkeres Alignment des strategischen Vorgehens zu empfehlen. Als strategisches Risiko ist auch die Abhängigkeit zum Account-Anbieter (z. B. Facebook, Instagram) zu berücksichtigen. Wenn eine Präsenz als notwendig angesehen wird, ist dieses Risiko zu akzeptieren, da keine Handlungsalternativen bestehen.

Prüfung von Reputationsrisiken

Reputationsrisiken entstehen durch eine schlechte Kommunikation des Unternehmens oder durch schlechte Leistungen bzw. Produkte. Durch die Kommunikation der Nutzer in sozialen Medien kann die Stimmungslage eskalieren und ein Reputationsverlust eintreten. Für massive Formen von Reputationsrisiken werden die Begriffe „Shitstorm“ oder „Bad News“ gebraucht.

Um einen Einstieg in die Prüfung der Reputationsrisiken zu finden, ist zunächst die Entwicklung der Reputation des Unternehmens oder der betrachteten Marke im Zeitverlauf festzustellen. Auswertungen des Monitorings von Social Media-Plattformen oder systemübergreifender Analyseplattformen können hierfür als Indikator genutzt werden. Auch Interviews mit Schlüsselpersonen aus dem Kommunikationsmanagement, dem Marketing oder der Öffentlichkeitsarbeit können als Informationsquelle genutzt werden. Insbesondere bei einer negativen Entwicklung der Reputation ist es notwendig, die Ursachen für diese Entwicklung festzustellen. Dies kann über verschiedene Stichproben untersucht werden: So kann die Qualität der Kommunikation unzureichend sein, da

  • die „Dos and Don’ts“ für Kommentare nicht beachtet werden,
  • Posts nicht sauber aufeinander aufbauen, da Abstimmungs- und Genehmigungsregeln nicht beachtet werden oder
  • die Kommunikationsinhalte nicht mit der Strategie in Einklang stehen und daher als unkoordiniert wahrgenommen werden.

Für die Durchführung der Stichproben ist jeweils die Soll-Vorgabe beispielsweise in Form der „Dos and Don’ts“, der definierten Abstimmungs- und Genehmigungsregeln und der Kommunikationsstrategie anzufordern und mit kommunizierten Inhalten abzugleichen. Erkannte Abweichungen sind hinsichtlich ihrer Auswirkungen auf die Reputation zu bewerten.

Eine Krise im Sinne eines massiven Reputationsverlustes kann plötzlich auftreten, wenn beispielsweise Social Media-Nutzer an einzelnen Inhalten oder realen Sachverhalten massiv Kritik äußern, die in der extremen Form eines Shitstorms auftreten kann. Um die Situation einschätzen zu können, sollten Ansprechpartner danach befragt werden, ob bereits ein Shitstorm in dem betrachteten Unternehmen aufgetreten ist und welche Erfahrungen daraus gezogen worden sind. Unabhängig davon, ob bislang ein Shitstorm oder eine andere massive Form des Reputationsverlustes aufgetreten ist oder nicht, ist die Vorbereitung auf einen Krisenfall in die Prüfungsaktivitäten einzubeziehen. Dies kann durch folgende Prüfungsaktivitäten erfolgen:

  • Es ist festzustellen, ob ein Krisenmanagementhandbuch im Unternehmen existiert und ob dieses eine massive negative Eskalation der Kommunikation, wie sie bei einem Shitstorm auftritt im Krisenmanagementhandbuch als mögliches Szenario enthält.
  • Als darauf aufbauenden Schritt ist festzustellen, ob für eine derartige Krise Regeln im Handbuch definiert wurden. Sofern Regeln definiert wurden, ist eine interessante Frage, ob diese Regeln bereits getestet und geschult worden sind.
  • Durch einen Abgleich mit der aktuellen Organisationsstruktur des Unternehmens kann festgestellt werden, ob die Zusammensetzung des Krisenteams aktualisiert worden ist.
  • Sofern ein Shitstorm oder eine durch den Social Media-Einsatz entstandene Krise bereits aufgetreten ist, kann ein Abgleich zwischen Krisenmanagementhand-buch und den tatsächlich durchgeführten Aktivitäten eine interessante Prüfungsoption darstellen.

Sofern die Prüfung dieser wesentlichen Voraussetzungen für eine effektive Krisen-bewältigung als erfüllt angesehen werden kann, bestehen gute Chancen auf einen Shitstorm angemessen reagieren zu können. 

Prüfung von Vertriebs- und Marketingrisiken

Vertriebs- und Marketingrisiken entstehen durch eine geringe Aufmerksamkeit des Social Media-Angebotes bei Nutzern. Als Folge bleiben erwartete positive Effekte auf die Marktpositionierung und den Absatzerfolg aus.

Ein wesentliches Risiko für Vertrieb und Marketing ist, dass der Erfolg der vertriebs- und marketingorientierten Aktivitäten in Social Media nicht gemessen wird. Ein Grund dafür liegt darin, dass eine Beurteilung sachlich nicht einfach ist. Eine Möglichkeit einer Erfolgsbeurteilung besteht in der Nutzung von Kennzahlen oder Zielwerten als Messgrößen. Im Rahmen einer Prüfung kann eine Aktivität darin bestehen, festzustellen, mit welchen Instrumenten eine Erfolgsmessung erfolgt. Die Vorgehensweise ist dahingehend zu bewerten, ob diese nachvollziehbar und für eine Erfolgsbeurteilung geeignet ist.

Nicht nur die Vertriebsmaßnahmen des eigenen Unternehmens sind dabei von Relevanz, sondern es ist auch das Verhalten des Wettbewerbs in die Betrachtung einzubeziehen. Insofern ist im Rahmen der Prüfung festzustellen, ob auch der Erfolg der Social-Media-Aktivitäten erhoben und bewertet wird.

Von besonderer Bedeutung ist die Messung der Richtung der Reaktionen der Kunden. Kritisch sind dabei insbesondere negative Einschätzungen der Nutzer. Durch negative Einschätzungen können eine grundsätzliche Ablehnung des Anbieters bis hin zu massiven Reaktionen ausgelöst werden. Letztendlich können treue Nutzer durch Negativwahrnehmungen verärgert und als Community ‚verbrannt‘ werden.

Wenn interessierte Nutzer das Social Media-Angebot eines Unternehmens nicht ohne längere Suche finden können, ist dies ein weiteres vertriebsrelevantes Risiko. Um dieses Risiko durch Prüfungsaktivitäten adressieren zu können, ist festzustellen, ob Maßnahmen ergriffen wurden, um einem Nutzer das Auffinden der Social Media-Seiten des Anbieters zu erleichtern. Eine Möglichkeit hierfür ist eine Suchmaschinenoptimierung. Sofern Unternehmen Social Media nicht nur zur Kommunikation mit den Kunden nutzen, sondern auch Aufträge angenommen werden können, ist die Prüfung der Schnittstelle von der Social Media-Anwendung zur Auftragsabwicklung und die Auftragsdokumentation eine interessante Fragestellung.

Prüfung von Personalrisiken

Personalrisiken können entstehen aus nicht aufgabenkonform ausgebildeten oder gering motivierten Mitarbeitern und durch Kommentare von Mitarbeitern in sozialen Medien über ihr Unternehmen. Weitere Risiken entstehen durch Vorgaben zur Einhaltung von Arbeitszeiten, die gesetzlich vorgegeben sind oder betrieblich bzw. tariflich vereinbart sein können. Ein Problemfeld stellt auch die gezielte Gewinnung von Informationen durch Dritte dar, die darauf gerichtet sind dem Unternehmen Schaden zuzufügen. Die Informationsgewinnung wird zum Teil ermöglicht durch leichtsinnig veröffentlichte Inhalte zu Mitarbeitern oder Führungskräften des Unternehmens.

Für die Qualität der Darstellung und der Inhalte des eigenen Social Media-Angebots eines Unternehmens ist die Qualifikation und Erfahrung der Mitarbeiter von entscheidender Bedeutung. Prüfungsrelevant sind hier auch ‚typische‘ Themen der Personalprüfung nach der Aufgabenfestlegung beispielsweise in Stellenbeschreibungen als auch die Mitarbeiterführung. Im Rahmen einer Prüfung könnte der Ausbildungs- und Erfahrungsstand der Mitarbeiter im Social Media-Bereich des Unternehmens betrachtet werden. Dieser Status kann mit den Reports und Analysen zur Nutzerzufriedenheit abgeglichen werden, um einen eventuell bestehenden Handlungsbedarf erkennen zu können.

Ein grundsätzliches Risiko, das von Mitarbeitern ausgeht, die selbst in sozialen Medien unterwegs sind und sich dort kritisch oder gar beleidigend mit Ihrem Arbeitgeber auseinandersetzen.  Die Abgrenzung des Umgangs von Mitarbeitern mit Ihrem Arbeitgeber sollte für die Schaffung klarer rechtlicher Verhältnisse in einer Social Media-Richtlinie geregelt sein. Als Prüfungsaktivität ist daher festzustellen, ob eine Social Media-Guideline im Unternehmen existiert und ob diese die Kommunikation von Mitarbeitern als Privatpersonen in sozialen Medien regelt. Eine Social Media-Guideline kann sowohl für Mitarbeiter mit Tätigkeiten im Social Media-Bereich direkte Verhaltensvorgabe enthalten als auch für alle Mitarbeiter eine Abgrenzung von Unternehmens- und privaten Social Media-Inhalten vornehmen. Eine umfassende Social Media-Richtlinie kann beispielsweise auch den Kommunikationsstil und die Prozessabläufe regeln.

Um festzustellen, ob Mitarbeiter sich kritisch gegenüber dem Unternehmen äußern, ist es notwendig, dass Inhalte mit Bezug zum Unternehmen oder zur Marke regelmäßig ausgewertet und nach Auffälligkeiten untersucht werden. Eine Prüfungshandlung bezieht sich darauf, festzustellen, ob eine solche Kontrolle implementiert ist.

Bei den Informationen, die in sozialen Medien veröffentlicht werden, können auch Inhalte kommuniziert werden, die aus Unternehmenssicht als sensitiv eingestuft werden oder für die Schutzrechte vorliegen. Für die Informationsgewinnung bei Cyber Fraud können gerade diese sensitiven Informationen eine große Gefahr im Rahmen eines gezielten Social Engineering sein. Hierbei werden gezielt Informationen über den Organisationsaufbau und die Verfügbarkeit von Ansprechpartnern gewonnen werden, um Betrugshandlungen verüben zu können. Als Prüfungshandlungen bietet sich eine Analyse der kommunizierten Inhalte hinsichtlich sensitiver Informationen anhand einer Schlagwortsuche an. Hinsichtlich des Social Engineering kann erfragt werden, ob derartige Attacken bereits auf das Unternehmen verübt worden sind und ob eine Sensibilisierung der Mitarbeiter an den Social Media-Kontaktschnittstellen erfolgt ist. Hier ist auch zu erfragen, ob mögliche kritische Inhalte auch wieder gelöscht werden, um einen Datenabzug anhand historischer Daten zu erschweren.

Eine Datenauswertung im Rahmen einer Prüfung kann auch Hinweise auf auffälliges Nutzerverhalten geben, wie beispielsweise eine hohe Häufigkeit von Zugriffen.

Prüfung von Rechts- und Compliance-Risiken

Rechts- & Compliance-Risiken entstehen durch die Veröffentlichung von Inhalten mit denen Rechte Dritter verletzt werden, oder von kritischen Inhalten wie Sex, Krieg und Gewalt, durch Missachtung von Datenschutzanforderungen oder durch fehlerhafte Angaben im Impressum. Es bestehen auch wettbewerbsrechtliche Risiken aus rechtlichen Anforderungen zur Influenzerwerbung und zu Gewinnspielen.

Die rechtlichen Regelungen und die Compliance-Anforderungen sind als vergleichsweise junges Rechtsgebiet noch von zahlreichen Änderungen betroffen. Daher ist zunächst festzustellen, ob diese Veränderungen durch das eigene Unternehmen regelmäßig verfolgt werden, damit rechtzeitig darauf reagiert werden kann.

Für veröffentlichte Inhalte ist auch eine rechtliche Grundlage notwendig, aufgrund der eine Veröffentlichung überhaupt zulässig ist oder die Rechte anderer verletzt werden. So kann es sein, dass veröffentlichte Inhalte die Rechte Dritter verletzen, da keine Nutzungs- oder Bildrechte vereinbart worden sind oder Persönlichkeitsrechts-, Trademark- und Copyright-Verletzungen aufgetreten sind. Rechte können auch zeitlich beschränkt werden. Beim Einsatz von Endorsements und Testimonials kann beispielsweise die vereinbarte Nutzungszeit abgelaufen sein. Aus diesen Sachverhalten könnten haftungsrechtliche Probleme für das Unternehmen entstehen. Eine mögliche Adressierung dieser Risiken im Rahmen der Prüfung kann beispielsweise durch eine Stichprobe erfolgen, für die veröffentlichte Inhalte mit ihrer zugrunde liegenden Rechtsgrundlage abgeglichen werden.

Die Kenntlichmachung von Influencer-Werbung ist eine rechtliche Anforderung für Social Media. 

Darüber hinaus kann es auch sein, dass Inhalte auf der Social Media-Seite des Unternehmens kritische Inhalte betreffen, die aus Unternehmenssicht aus ethischen Gesichtspunkten nicht kommuniziert werden oder deren Veröffentlichung strafrechtlich nicht zulässig sind. Die Prüfungshandlungen hierzu gliedern sich in zwei Schritte: In einem ersten Schritt ist festzustellen, ob das Unternehmen Regeln veröffentlicht hat, welche Inhalte auf den Social Media-Plattformen des Unternehmens nicht veröffentlicht werden dürfen und somit zu sperren sind. Sofern entsprechende Regeln bestehen, können die Einstellungen auf den genutzten Social Media-Plattformen dahingehend überprüft werden, ob diese Inhalte regelkonform auf „gesperrt“ bzw. „nicht zu veröffentlichen“ gesetzt sind.

Möglich ist auch, dass andere Social Media-Nutzer Inhalte, die das eigene Unternehmen eingestellt hat, kopieren und als eigenen Content veröffentlichen. Hier kann erfragt werden, ob dies regelmäßig beobachtet wird und ob gegebenenfalls rechtliche Schritte eingeleitet werden.

Social Media-Inhalte enthalten auch personenbezogene Daten. Insofern sind auch Datenschutzregelungen zu beachten. Als Prüfungshandlungen ergeben sich daraus, dass festzustellen ist, ob Regeln für den Datenschutz in Social Media-Anwendungen im Unternehmen definiert sind, und ob die Social Media-Nutzung in den Verfahrens-verzeichnissen des Unternehmens enthalten ist.

Ferner ist unter Datenschutzaspekten zu beachten, dass die durch die Anbieter der Social Media-Plattformen geforderten Meldungen korrekt abgegeben werden, um vorhandene Daten über das Nutzungsverhalten rechtskonform auswerten zu dürfen.

Die Abgrenzung der von Mitarbeitern veröffentlichten Inhalte zwischen privater und unternehmensbezogener Kommunikation kann in einer Social Media-Richtlinie geregelt sein. Hierzu ist festzustellen, ob eine Guideline besteht, die entsprechende Abgrenzungsregeln vorsieht, und ob Kontrollen implementiert sind, um die Regeleinhaltung zu überwachen.

Im Rahmen der Anmeldung des Social Media-Accounts kann es eine rechtliche Grauzone geben, bei der die Anmeldung im Namen eines Mitarbeiters erfolgt ist. Dies kann zu rechtlichen Problemen führen, wenn Ansprüche auf Account und Kontakte durch die Mitarbeiter geltend gemacht werden. In einer Revision ist festzustellen, ob Anmeldungen von Social Media-Accounts nicht im Namen des Unternehmens vorgenommen wurden und falls dies der Fall ist, ob eine vertragliche Regelung mit dem Mitarbeiter oder dem Dritten für die Rechteübertragung besteht.

Die Rechts- und Compliance-Risiken sind sehr komplex und für Nicht-Juristen oft nicht so leicht nachvollziehbar. Hier ist es hilfreich, frühzeitig Juristen einzubinden.

Prüfung von Risiken aufgrund eines Kontrollverlustes

Risiken aufgrund von Kontrollverlusten entstehen durch eine mangelnde Kontrolle seitens des Unternehmens über veröffentlichte Inhalte (Zeitdruck, Vielzahl an Social Media-Plattformen, unklare Abstimmung, fehlende Koordination) und unklare Herkunft von Nutzern (Fake Accounts).

Beim Einsatz von Social Media bestehen aus Sicht des Unternehmens weniger Möglichkeiten als bei klassischer Kommunikation die Inhalte und die Qualität der kommunizierten Inhalte zu überwachen. Aufgrund kurzfristiger Reaktionszeiten und unterschiedlicher Personen in der Beantwortung von Nutzeranfragen können die üblichen Kommunikationsformen und –regeln mit unterschiedlicher Intensität beachtet werden. Sofern Nutzeranfragen zu beantworten sind, für die das Personal an der Kommunikationsschnittstelle nicht über die notwendigen Kenntnisse und Erfahrungen verfügt, führt dies zu einer Unsicherheitssituation für das Personal. Bei einer sofortigen Beantwortung können inhaltliche Fehler auftreten; bei einer Eskalation zu einem Spezialisten verlängert sich die Antwortzeit deutlich. Dies ist ein Konflikt, der die Kontrollrisiken betrifft.

In diesem Zusammenhang kann aber auch der Personaleinsatz betrachtet werden, der für die Kommunikation der genutzten Social Media-Kanäle eingesetzt wird. Ist er zu knapp bemessen, sind die Reaktionszeiten hoch; ein zu hoher Personaleinsatz ist aus Effizienzgesichtspunkten nachteilig.

Im Rahmen einer Prüfung kann verifiziert werden, ob Regeln für die Freigabe von geplanten Inhalten wie beispielsweise Posts bestehen und ob für die direkte Kommunikation mit den Nutzern Regeln für die ‚Dos and Don’ts‘ sowie für die Eskalation von spezifischen Anfragen oder Kommentaren von Nutzern festgelegt wurden.  Sofern Regeln existieren, kann durch eine Stichprobe von Kommunikationselementen überprüft werden, ob die definierten Regeln auch eingehalten worden sind.

Eine hohe Unsicherheit besteht aus der Tatsache, dass Falschinformationen nur bedingt korrigiert werden können. Richtigstellungen rufen eine besonders intensive Aufmerksamkeit bei den Nutzern hervor, so dass auch hier ein sensibler Umgang empfehlenswert ist. Bei Kommunikation durch Dritte bestehen nur Möglichkeiten der Richtigstellung, die aber eine besondere Aufmerksamkeit der Nutzer auslösen.

Es ist auch nicht auszuschließen, dass irrtümlich sensible und schützenswerte Informationen über Social Media kommuniziert werden, die beispielsweise von Wettbewerbern ausgenutzt werden können. Im Rahmen der Prüfung kann festgestellt werden, ob hierfür Kontrollen eingerichtet sind.

Prüfung von IT-bezogenen Risiken

IT-Sicherheitsrisiken entsprechen weitgehend den klassischen Sicherheitsrisiken in anderen Anwendungsfeldern (z. B. Internet, Email). Dies betrifft beispielsweise den Zugriffsschutz (Berechtigungen, Rollenkonzept, Passwortnutzung) und der allgemeinen Netzwerksicherheit, Virenschutz, Firewall, Verschlüsselung etc. der Systeme, über die der Social Media-Einsatz erfolgt.

Das Risiko mangelnder Passwortabsicherung und unzureichender Zugangsregelungen zu den Social Media-Accounts wurde in mehreren Interviews hervorgehoben. Die Prüfungshandlungen hierzu fokussieren darauf, die Regeln zu erheben und die tatsächliche Nutzung durch Auswertung von Anmeldelogs auszuwerten.

Als IT-bezogene Risiken sind in Literatur und den Interviews die „klassischen“ IT-Risiken wie Viren und Malware, Verfügbarkeit, Datenverlust oder die Risiken durch Cybercrime genannt worden. Die Prüfungsaktivitäten, die diese Risiken im Bereich der Netzwerksicherheit abdecken sind mit Bezug auf die Social Media-Nutzung durchzuführen. Dies sind die Einstellungen von Virenscannern, Firewalls, die Netzwerk- und Verbindungsinfrastruktur als auch die Absicherung von Cloud-Services. Auf Basis erkannter Schwachstellen sind entsprechende Gegenmaßnahmen zu treffen.

Prüfung von Prozessrisiken

Prozessrisiken entstehen durch die Nichteinhaltung von Vorgaben und Zielen beispielsweise in Bezug auf definierte Genehmigungs- / Freigaberegelungen für Kommunikationsinhalte, Budgetvorgaben, mangelhafte Prozesssteuerung durch fehlende Verträge, Regeln und Richtlinien.

Die Prozessrisiken beziehen sich sowohl auf die Arbeit im Unternehmen als auch auf die ggf. eingebundenen Dienstleister. So kann die Beauftragung der Dienstleister nicht ordnungsgemäß erfolgt sein oder die Zusammenarbeit mit den externen Agenturen ist nicht ausreichend geregelt. Regelungen, Richtlinien oder Vorgaben sind sowohl für die rein interne Abwicklung als auch für die Einbindung externer Partner notwendig. Hierzu ist in der Prüfung festzustellen, welche Regelungen und Richtlinien im Unternehmen für die Steuerung der Social-Media-Aktivitäten vorliegen. Anhand der Unterlagen ist zu bewerten, ob diese Regelungen geeignet sind, die Zusammenarbeit der Beteiligten in angemessener Weise zu regeln und ob die realen Prozesse entsprechend den Vorgaben durchgeführt werden. Dies betrifft beispielsweise die Einhaltung von Freigaberegelungen von Kommunikationsinhalten wie Posts, Blogs, Bilder oder Videos als auch zu Kosten und dem Einsatz von Ressourcen.

Die Qualität der Inhalte kann auch dahingehend analysiert werden, ob die Vorteile von Social Media durch eine höhere Reichhaltigkeit der Informationen und das Erreichen von Nutzerdialogen tatsächlich realisiert werden, da ansonsten andere Medien zu nutzen sind.

Auch Budgets stellen Zielvorgaben dar, die im Rahmen von Revisionsprüfungen betrachtet werden können. Budgets können sowohl einmalige Kosten für Implementationen oder grund-legende Neugestaltungen eines Social Media-Auftritts betreffen als auch laufende Kosten. Neben der Prüfung, ob Budgetvorgaben verletzt worden sind, sollten die Prüfungsaktivitäten auch die implementierten Kontrollmechanismen für die Budgeteinhaltung beinhalten.

Für die Lern- und Verbesserungsperspektive ist wesentlich, dass gegebene Fehlerhinweise von Nutzern, nach einer Bewertung und einem Transfer zur zuständigen Stelle im Unter-nehmen tatsächlich umgesetzt werden. Um diesen Effekt zu erreichen, ist ein systematischer und effektiver Prozess zur Aufnahme, Bewertung und Umsetzungsüberwachung der aus den Hinweisen resultierenden Aktivitäten zu implementieren. Im Rahmen der Prüfung sind gegebene Fehlerhinweise von Nutzern zu identifizieren, die als Grundlage für eine Stichproben-überprüfung des Umgangs mit Fehlerhinweisen genutzt werden kann.

Zum Social Media-Prozess ist auch das Management der Inhalte zu zählen. Hierzu ist zu prüfen, inwieweit eine systematische Dokumentation erfolgt, so dass auf diese Contents zu einem späteren Zeitpunkt wieder zugegriffen werden kann.

Weitere Details sind in dem parallel veröffentlichten ePaper enthalten. Dort sind für die typischen Social Media-Risiken jeweils einsetzbare Prüfungsaktivitäten sowie mögliche Ergebnisse genannt und potenzielle Maßnahmen vorgeschlagen.

Fazit:

  • In einer Prüfung ist es empfehlenswert, risikoorientiert Schwerpunkte aus den vorgeschlagenen Themenfelder auszuwählen.
  • Für das Themengebiet Social Media kann eine Analyse von Stakeholdern ratsam sein, um festzustellen, welche betrieblichen Funktionsbereiche auf Social Media Inhalte Einfluss nehmen oder betroffen sein können.
  •  bietet Ansatzpunkte für relevante Detailrisiken, interessante Prüfungsfragen, mögliche Feststellungen und darauf aufbauende Maßnahmenempfehlungen.

Artikel teilen

Facebook
Twitter
XING
LinkedIn