Compliance-Lexikon · Praxis
Audit Finding – Praxis
Audit Findings sind im Prüfungsalltag der Kernoutput jeder Prüfung. Ihre Qualität bestimmt, ob das Management handelt oder ablegt. Was einen guten Befund ausmacht und was Regulatoren pruefen, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Meta-Prüfung (Quality Assessment) der Internen Revision wird die Qualität der Audit Findings selbst geprueft. Das BAM-Objekt AUD-AF-01 definiert die Evidence-Anforderungen.
Häufige Fehler
- Befunde zu vage -- keine konkreten Fakten, nur Einschätzungen
- Root Cause als „menschlicher Fehler“ -- zu oberflächlich, systemische Ursachen nicht analysiert
- Management Response fehlt oder ist nicht spezifisch genug
- Klassifizierung inkonsistent -- vergleichbare Befunde unterschiedlich eingestuft
Praxis-Tipp
Für Audit Findings gilt: Die Auswirkung ist das überzeugendste Element. „Die fehlende Verschlüsselung verstosst gegen ISO 27001 A.8.24“ ist schwach. „Ohne Verschlüsselung wäre bei einem physischen Datentragerverlust eine DSGVO-Meldepflicht ausgelöst“ ist stark -- und bewegt das Management.
Umsetzung: Befunddokumentation strukturieren
Erster Schritt: Befund-Template mit den fünf Elementen (Kriterium, Bedingung, Ursache, Auswirkung, Empfehlung) definieren. Zweiter Schritt: Klassifizierungsschema dokumentieren und kalibrieren. Dritter Schritt: Management-Response-Prozess strukturieren -- Frist und Verantwortlicher als Pflichtfelder. Vierter Schritt: Follow-up-Tracking in einem Befundregister sicherstellen.
Evidence-Anforderungen
Der Auditor erwartet: vollständig ausgefülltes Befund-Template mit allen fünf Elementen, Klassifizierungsnachweis, Management Response mit Verantwortlichem und Frist sowie aktuellen Follow-up-Status.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – ISO 27001 und NIS-2 in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.