Der in Medien und Fachwelt vielfach kritisierte Punkt ist die Verpflichtung zur Durchführung einer DSFA. Sofern das geplante IT-Projekt, die zugekaufte Personalsoftware oder eine x-beliebige andere Datenverarbeitung bestimmte Rahmenbedingungen erfüllt, muss eine DSFA durchgeführt werden. 

In diesem Whitepaper erklären die Auditoren, welche Risikomatrix das Unternehmen anlegen soll und wie man die Risiken systematisch bewerten kann.