Compliance-Lexikon · Audit
Audit Finding
[ˈɔːdɪt ˈfaɪndɪŋ] · auch: Prüfungsbefund, Revisionsbefund, Audit-Befund
Ein Audit Finding ist ein dokumentierter Befund aus einer Prüfung, der eine Abweichung zwischen dem festgestellten Ist-Zustand und einem definierten Soll-Zustand beschreibt – mit Klassifizierung nach Schwere, Root-Cause-Analyse, Empfehlung und vereinbartem Massnahmenplan.
Warum Audit Findings mehr sind als eine Liste von Schwachstellen
Ein gut dokumentierter Audit Finding tut mehr als eine Schwachstelle benennen: Er liefert den Kontext (warum ist das ein Problem?), die Ursache (warum ist es entstanden?), die Auswirkung (was kann im schlimmsten Fall passieren?) und eine konstruktive Empfehlung (was soll die Organisation tun?). Nur mit diesem vollständigen Bild kann das Management eine informierte Entscheidung über Priorität und Massnahmen treffen. Ein Befund, der nur „fehlende Verschlüsselung“ notiert, ist deutlich weniger wertvoll als einer, der zeigt, welche Daten betroffen sind, warum die Kontrolle fehlt und was das für die Compliance mit ISO 27001 und DSGVO bedeutet.
Wo Audit Findings gefordert werden
| Framework | Referenz | Anforderung |
|---|---|---|
| IIA Standards | 2400-2440 | Kommunikation von Ergebnissen: Befunde müssen präzise, objektiv, klar und konstruktiv dokumentiert sein. |
| ISO 27001:2022 | Kap. 9.2 | Internes Audit: Ergebnisse müssen dem Management berichtet werden. |
| ISO 19011 | Kap. 6.4.7 | Audit-Ergebnisse: Befunde müssen im Kontext der Prüfziele dokumentiert werden. |
| NIS-2 / BSIG | § 30 | Sicherheitslücken aus Audits müssen systematisch geschlossen werden. |
| DORA | Art. 6 | IKT-Risikomanagement: Identifizierte Kontrollschwachstellen müssen nachverfolgt werden. |
BAM-Objektreferenz
Häufige Audit-Fehler bei Befunddokumentation
- Befunde ohne Klassifizierung -- keine Priorisierung möglich
- Root Cause fehlt -- Massnahmen adressieren Symptom, nicht Ursache
- Keine konkrete Empfehlung -- Management bleibt ohne Orientierung
- Kein vereinbarter Massnahmenplan mit Verantwortlichem und Frist
Aufbau eines vollständigen Audit Findings
Ein vollständiger Befund besteht aus fünf Elementen: Kriterium (der Soll-Zustand -- welche Anforderung, Richtlinie oder Best Practice gilt?), Bedingung (der Ist-Zustand -- was wurde tatsächlich vorgefunden?), Ursache (Root Cause -- warum weicht der Ist vom Soll ab?), Auswirkung (was ist das Risiko oder der Schaden, wenn der Befund nicht behoben wird?), Empfehlung (was sollte die Organisation tun, um den Befund zu beheben?). Ergänzt wird der Befund durch die Management Response: Was plant das Management zu tun, wer ist verantwortlich, bis wann?
Klassifizierung von Befunden
Eine klare Klassifizierung nach Schwere ist unabdingbar für Priorisierung und Ressourcenplanung. Gängige Klassifizierungen: Kritisch (unmittelbares, schwerwiegendes Risiko -- sofortiger Handlungsbedarf), Hoch (signifikantes Risiko -- Behebung innerhalb von 30-90 Tagen), Mittel (maßgebliches Risiko -- Behebung innerhalb von 90-180 Tagen), Niedrig (geringes Risiko oder Best-Practice-Empfehlung -- Behebung im nächsten Planungszyklus). Das Klassifizierungsschema muss in der Audit Charter oder einem Prüfungsleitfaden dokumentiert und konsistent angewandt werden.
Nächste Ebene
Audit Finding in der Praxis: Dokumentation, Klassifizierung und Follow-up
Wie Befunde vollständig dokumentiert und bis zur Schließung verfolgt werden.