IT Audit

[aɪ tiː ˈɔːdɪt] · auch: IT-Prüfung, IS-Audit, Systemprüfung

Ein IT Audit ist die spezialisierte Prüfung von IT-Systemen, IT-Kontrollen, Zugriffsrechten, Konfigurationen und IT-Prozessen -- mit dem Ziel, die Wirksamkeit von IT-Sicherheitskontrollen und die Einhaltung von IT-bezogenen Compliance-Anforderungen zu bewerten.

Warum IT Audit ein zentraler Audit-Begriff ist

IT Audit ist ein Kernelement professioneller Prüfungspraxis. IIA Standards, ISO 19011, ISO 27001 und die spezifischen regulatorischen Anforderungen von NIS-2 und DORA setzen alle voraus, dass Prüfungsaktivitäten systematisch, dokumentiert und mit klar definierten Methoden durchgeführt werden. Im Audit -- ob intern, extern oder regulatorisch -- ist IT Audit ein Standardpruefpunkt.

Wo IT Audit gefordert wird

Framework	Referenz	Anforderung
ISACA	COBIT 2019	Control Objectives for Information Technologies: Referenzrahmen für IT-Audits.
ISO 27001:2022	Kap. 9.2	Internes Audit: IT-Kontrollen als wesentlicher Prüfbereich.
NIS-2 / BSIG	§ 30	Technische Sicherheitsmassnahmen müssen geprüft und nachgewiesen werden.
DORA	Art. 6 / Art. 26	IKT-Risikomanagement und Resilienzprüfungen als IT-Audit-Kernbereiche.
BSI IT-Grundschutz	ISMS.1	Internes Audit umfasst Prüfung der BSI-Grundschutz-Massnahmen.

BAM-Objektreferenz

BAM-Objekt AUD-IT-01

BeschreibungIT-Audit-Programm mit Pruefung von IT-Kontrollen, Systemzugaengen und Konfigurationen

GitHubBAM Core →

Häufige Audit-Fehler

Konzept bekannt, aber ohne dokumentierte Methodik und Vorlage
Inkonsistente Anwendung -- verschiedene Prüfer arbeiten unterschiedlich
Keine regelmässige Qualitätspruefung der eigenen Prüfungsarbeit
Evidence-Anforderungen nicht klar definiert

Einordnung im Audit-Gesamtrahmen

IT Audit ist eingebettet in einen strukturierten Audit-Lebenszyklus: Planung (Audit Plan, Scope), Durchführung (Evidence, Sampling, Tests), Berichterstattung (Finding, Opinion), Nachverfolgung (Follow-Up). Jedes Element hängt von den anderen ab: Ohne klaren Scope lässt sich keine ausreichende Evidence sammeln. Ohne gute Evidence kann keine fundierte Opinion formuliert werden. Wer IT Audit professionell umsetzt, stärkt das gesamte Audit-System.

Qualität in der Prüfungspraxis

Professionelle Prüfungspraxis erfordert konsistente Qualitätsstandards. IIA Standards und ISO 19011 definieren diese für interne Prüfungsfunktionen, internationale Prüfungsstandards (ISAs, ISAE) für externe. Reguläre Qualitätspruefungen -- Peer Reviews, interne Quality-Assessments -- stellen sicher, dass der Standard nicht nur dokumentiert, sondern gelebt wird.

Nächste Ebene

IT Audit in der Praxis: Methodik, Anwendung und Evidence

Was Auditoren bei IT Audit konkret prüfen und welche Evidence benötigt wird.

Ebene 2 lesen → Stresstest starten →