Compliance-Lexikon · Audit
Key Control
[kiː kənˈtrəʊl] · auch: Schlusselkontrolle, wesentliche Kontrolle, kritische Kontrolle
Eine Key Control ist eine Kontrollmassnahme, die für die Risikominimierung in einem bestimmten Bereich besonders kritisch ist -- deren Versagen direkt zu wesentlichen Risiken oder Compliance-Verstössen führen würde und die deshalb regelmässiger und intensiver geprüft wird.
Warum Key Control ein zentraler Audit-Begriff ist
Key Control ist ein Kernelement professioneller Prüfungspraxis. IIA Standards, ISO 19011, ISO 27001 und die spezifischen regulatorischen Anforderungen von NIS-2 und DORA setzen alle voraus, dass Prüfungsaktivitäten systematisch, dokumentiert und mit klar definierten Methoden durchgeführt werden. Im Audit -- ob intern, extern oder regulatorisch -- ist Key Control ein Standardpruefpunkt.
Wo Key Control gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Annex A | Kontrollen: Auswahl der für den ISMS-Scope relevanten Key Controls. |
| SOX | Section 404 | Interne Kontrolle über die Finanzberichterstattung: Key Controls als Pflichtprüfbereich. |
| DORA | Art. 6 | IKT-Schlusselkontrollen als Kernbestandteil des IKT-Risikomanagement-Rahmens. |
| NIS-2 / BSIG | § 30 | Wirksamkeitsprüfung der Sicherheitsmassnahmen -- Key Controls als Priorität. |
| COBIT 2019 | DSS05 | Manage Security Services: Key Controls für IT-Sicherheit. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept bekannt, aber ohne dokumentierte Methodik und Vorlage
- Inkonsistente Anwendung -- verschiedene Prüfer arbeiten unterschiedlich
- Keine regelmässige Qualitätspruefung der eigenen Prüfungsarbeit
- Evidence-Anforderungen nicht klar definiert
Einordnung im Audit-Gesamtrahmen
Key Control ist eingebettet in einen strukturierten Audit-Lebenszyklus: Planung (Audit Plan, Scope), Durchführung (Evidence, Sampling, Tests), Berichterstattung (Finding, Opinion), Nachverfolgung (Follow-Up). Jedes Element hängt von den anderen ab: Ohne klaren Scope lässt sich keine ausreichende Evidence sammeln. Ohne gute Evidence kann keine fundierte Opinion formuliert werden. Wer Key Control professionell umsetzt, stärkt das gesamte Audit-System.
Qualität in der Prüfungspraxis
Professionelle Prüfungspraxis erfordert konsistente Qualitätsstandards. IIA Standards und ISO 19011 definieren diese für interne Prüfungsfunktionen, internationale Prüfungsstandards (ISAs, ISAE) für externe. Reguläre Qualitätspruefungen -- Peer Reviews, interne Quality-Assessments -- stellen sicher, dass der Standard nicht nur dokumentiert, sondern gelebt wird.
Nächste Ebene
Key Control in der Praxis: Methodik, Anwendung und Evidence
Was Auditoren bei Key Control konkret prüfen und welche Evidence benötigt wird.