Compliance-Lexikon · Audit
Audit Scope
[ˈɔːdɪt skəʊp] · auch: Prüfungsumfang, Prüfungsabgrenzung, Revisionsumfang
Der Audit Scope definiert den genauen Umfang einer Prüfung -- welche Systeme, Prozesse, Standorte, Zeiträume und Geschäftsbereiche in die Prüfung einbezogen und welche explizit ausgeschlossen werden.
Warum Audit Scope ein zentraler Audit-Begriff ist
Audit Scope ist ein Kernelement professioneller Prüfungspraxis. IIA Standards, ISO 19011, ISO 27001 und die spezifischen regulatorischen Anforderungen von NIS-2 und DORA setzen alle voraus, dass Prüfungsaktivitäten systematisch, dokumentiert und mit klar definierten Methoden durchgeführt werden. Im Audit -- ob intern, extern oder regulatorisch -- ist Audit Scope ein Standardpruefpunkt.
Wo Audit Scope gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| IIA Standards | 2220 | Umfang des Auftrags: Umfang muss ausreichend sein, um Prüfungsziele zu erreichen. |
| ISO 19011 | Kap. 6.2 | Einleitung der Auditaktivitäten: Scope-Definition als erster Schritt jeder Prüfung. |
| ISO 27001:2022 | Kap. 4.3 | ISMS-Scope: Abgrenzung des Anwendungsbereichs als Grundlage aller Prüfungen. |
| NIS-2 / BSIG | § 30 | Prüfungen müssen alle wesentlichen Sicherheitsmassnahmen abdecken. |
| DORA | Art. 26 | TLPT-Scope: Genaue Abgrenzung des Scope für bedrohungsgesteuerte Penetrationstests. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept bekannt, aber ohne dokumentierte Methodik und Vorlage
- Inkonsistente Anwendung -- verschiedene Prüfer arbeiten unterschiedlich
- Keine regelmässige Qualitätspruefung der eigenen Prüfungsarbeit
- Evidence-Anforderungen nicht klar definiert
Einordnung im Audit-Gesamtrahmen
Audit Scope ist eingebettet in einen strukturierten Audit-Lebenszyklus: Planung (Audit Plan, Scope), Durchführung (Evidence, Sampling, Tests), Berichterstattung (Finding, Opinion), Nachverfolgung (Follow-Up). Jedes Element hängt von den anderen ab: Ohne klaren Scope lässt sich keine ausreichende Evidence sammeln. Ohne gute Evidence kann keine fundierte Opinion formuliert werden. Wer Audit Scope professionell umsetzt, stärkt das gesamte Audit-System.
Qualität in der Prüfungspraxis
Professionelle Prüfungspraxis erfordert konsistente Qualitätsstandards. IIA Standards und ISO 19011 definieren diese für interne Prüfungsfunktionen, internationale Prüfungsstandards (ISAs, ISAE) für externe. Reguläre Qualitätspruefungen -- Peer Reviews, interne Quality-Assessments -- stellen sicher, dass der Standard nicht nur dokumentiert, sondern gelebt wird.
Nächste Ebene
Audit Scope in der Praxis: Methodik, Anwendung und Evidence
Was Auditoren bei Audit Scope konkret prüfen und welche Evidence benötigt wird.