Compliance-Lexikon · Praxis

Internal Audit – Praxis

Internal Audit ist in ISO 27001 explizit als Pflichtanforderung verankert. Trotzdem fehlt in vielen Organisationen ein strukturiertes internes Auditprogramm – oder was vorhanden ist, erfüllt die Unabhängigkeitsanforderungen nicht. Das sind die häufigsten Nichtkonformitäten bei ISO-27001-Erstzertifizierungen.

Was Auditoren konkret prüfen

Der externe Auditor prüft: Existiert ein Jahres-Auditplan? Wurde er eingehalten? Sind Auditberichte vorhanden, datiert und unterzeichnet? Wurden Findings nachverfolgt? Und: Waren die internen Auditoren unabhängig von den geprüften Bereichen?

BAM-Objekt · Praxis CROSS-IA-01
Gap-CheckExistiert ein dokumentiertes internes Auditprogramm mit Jahresplan und nachweisbarer Durchführung?
RemediationJahres-Auditplan erstellen, interne Auditoren benennen, Auditberichte und Finding-Register führen
EvidenceJahres-Auditplan, Auditberichte mit Datum, Finding-Register mit Status und Verantwortlichen

Häufige Fehler

  • Auditplan existiert, Auditberichte fehlen für einzelne geplante Audits
  • Keine klare Regelung zur Unabhängigkeit der Auditoren
  • Finding-Register existiert nicht oder wird nicht aktuell gehalten

Praxis-Tipp

Für kleine Organisationen ohne eigene Revisionsabteilung: Ein internes Audit kann von einer anderen Person durchgeführt werden als der, die den geprüften Bereich verantwortet – auch ohne formale Audit-Qualifikation. Was zählt, ist die dokumentierte Unabhängigkeit und ein strukturierter Auditbericht.

Mindestinhalt eines Auditberichts

Ein auditrelevanter interner Auditbericht enthält: Auditgegenstand und -scope, Auditdatum und -zeitraum, Name des Auditors und Unabhängigkeitserklärung, verwendete Testmethoden, Findings mit Bewertung (Nichtkonformität, Verbesserungspotenzial) und Empfehlungen sowie Stellungnahme der geprüften Einheit und Maßnahmenplan mit Fristen.

Evidence-Anforderungen im Audit

Vorzulegen sind: Jahres-Auditplan, alle Auditberichte des Prüfungszeitraums mit Datum und Auditor, Finding-Register mit Status sowie Nachweise der Umsetzung vereinbarter Maßnahmen. Das BAM-Objekt CROSS-IA-01 listet diese Anforderungen als prüfbare Checkliste.

Nächster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – wie Internal Audit als strategisches Lernwerkzeug der Organisation funktioniert – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.