Audit Plan

[ˈɔːdɪt plæn] · auch: Prüfungsplan, Revisionsplan, Jahresprueefungsplan

Ein Audit Plan ist das risikobasierte Dokument, das die geplanten Prüfungsaktivitäten für einen definierten Zeitraum festlegt – mit Prüffeldern, Frequenzen, Ressourcenzuweisung und Risikobegruendung für die Prüfffeldauswahl, genehmigt vom Audit Committee.

Warum ein risikobasierter Audit Plan unverzichtbar ist

Ohne einen genehmigten Audit Plan hat die Interne Revision kein nachweisbares Mandat für ihre Prüfungsaktivitäten. Regulatoren (BaFin, BSI, EZB) fragen als erstes: Wo steht der genehmigte Jahresprueefungsplan? Was ist die Risikobegruendung für die Auswahl der Prüffelder? Wie wird sichergestellt, dass alle wesentlichen Risiken in einem angemessenen Zyklus geprüft werden? Ohne diese Antworten fehlt der Nachweis systematischer Governance-Überwachung.

Wo der Audit Plan gefordert wird

Framework	Referenz	Anforderung
IIA Standards	2010	Planung: Interner Revision muss einen risikobasierten Plan erstellen, der mit dem Leitungsorgan abgestimmt ist.
ISO 27001:2022	Kap. 9.2	Internes Audit-Programm: Regelmässigkeit, Umfang und Methodik müssen geplant sein.
NIS-2 / BSIG	§ 30	Regelmässige Pruefung der Sicherheitsmassnahmen als Teil des ISMS-Zyklus.
DORA	Art. 6 / Art. 26	IKT-Risikomanagement und Resilienztest-Programm: Geplante Prüfungsaktivitäten als DORA-Anforderung.
BaFin MaRisk	AT 4.4.3	Jahresprüfungsplan der Internen Revision als regulatorische Pflicht für beaufsichtigte Institute.

BAM-Objektreferenz

BAM-Objekt AUD-AP-01

BeschreibungRisikobasierter Jahresprueefungsplan mit Prueffeldern, Frequenzen und Ressourcenplanung

GitHubBAM Core →

Häufige Audit-Fehler

Kein dokumentierter Jahresprueefungsplan -- Prüfungen ad hoc
Risikobegruendung fehlt -- Prüffelder nach Gewohnheit statt nach Risiko ausgewählt
Keine Genehmigung durch Audit Committee oder Leitungsorgan
Plan nicht flexibel genug -- neue Risiken und regulatorische Änderungen nicht integrierbar

Risikobasierte Prüffeldauswahl

Der Prüfungsplan muss risikobasiert sein: Prüffelder werden anhand ihrer Risikoeinstufung ausgewählt -- nicht nach historischer Routine. Inputs für die Risikobeurteilung: Ergebnisse aus dem Risikoregister, neue regulatorische Anforderungen (NIS-2, DORA, EU AI Act), Erfahrungen aus früheren Prüfungen (Repeat Findings, offene Befunde), äußere Ereignisse (Branchen-Datenpannen, neue Angriffsvektoren) und Leitungsorganpräferenzen. Prüffelder mit hohem Risiko werden jährlich geprüft, mittlerem Risiko alle zwei Jahre, niedrigem Risiko alle drei bis fünf Jahre. Das ergibt sich aus dem Audit Universe.

Plan-Flexibilität: Ungeplante Prüfungen

Ein guter Audit Plan reserviert Kapazität für ungeplante Prüfungen: Datenpannen, die eine sofortige Ursachenanalyse erfordern, neue regulatorische Anforderungen, die ad-hoc-Prüfungen auslösen, oder Anfragen des Leitungsorgans zu spezifischen Themen. Empfohlen: 80 Prozent geplante, 20 Prozent flexible Kapazität. Diese Reservierung ist ebenfalls im Plan zu dokumentieren.

Nächste Ebene

Audit Plan in der Praxis: Erstellung, Genehmigung und Evidence

Wie ein risikobasierter Audit Plan erstellt, genehmigt und im Audit nachgewiesen wird.

Ebene 2 lesen → Stresstest starten →