To typer af korrigerende handling
Man kan grundlæggende skelne mellem to typer af korrigerende handling:
Den umiddelbare rettelse eller afhjælpning af problemet
Den handling der skal til for at undgå, at afvigelsen sker igen.
Har man for eksempel konstateret, at et antal af ens systemer mangler sikkerhedsopdateringer, så er den umiddelbare afhjælpning at sørge for, at systemerne bliver opdateret.
Billedet illustrerer Fase 4: Korrigerende handlinger
Derefter må en undersøgelse vise, hvad den egentlige årsag til afvigelsen er og på den baggrund beslutte hvilke handlinger, der skal iværksættes for at rette op på det bagvedliggende problem. I eksemplet med sikkerhedsopdateringerne, så må man undersøge processen for at finde ud af, om selve processen ikke fungerer eller om den bare ikke følges.
Hvem definerer handlingsplanen til korrigering?
Det er god praksis, at, ”ejeren" af sikringsforanstaltning eller den tilknyttede kontrol, kommer med forslag til korrigerende løsninger. Det er herefter op til auditor at medtage sin vurdering i afrapporteringen, om det er sandsynligt, at den korrigerende handling vil være tilstrækkelig. Herefter skal de korrigerende handlinger godkendes af den ansvarlige leder, da forslaget kan påvirke ressourcer og økonomi.
Beslutning om korrigerende handling
Grundlæggende er afvigelsesstyring og korrigerende handling lettere at gå til end risikostyring. Man afviger jo fra noget, som allerede er besluttet – så derfor
skal det "bare" rettes op. Helt så simpelt er det dog ikke i virkeligheden.
Mange afvigelser kan håndteres administrativt mellem auditor og den, der er ansvarlig for et system, en kontrol eller en proces. Andre afvigelser kan være udtryk for, at man har indrettet sig forkert, har sat urealistiske krav eller at afsatte ressourcer ikke er tilstrækkelige.
Der vil derfor være et behov for at behandle afvigelser af denne type i et informationssikkerhedsudvalg og i visse tilfælde også i forbindelse med ledelsens gennemgang med henblik på at revurdere beslutninger og politikker.