Compliance-Lexikon · Audit
Regulatory Audit
[ˈrɛɡjʊlətəri ˈɔːdɪt] · auch: Behördenprüfung, regulatorische Prüfung, Aufsichtsbehördenprüfung
Ein Regulatory Audit ist eine Prüfung durch eine Aufsichtsbehörde (BaFin, BSI, Datenschutzbehörde, EZB) oder im Auftrag einer solchen Behörde -- mit Ziel der Überprüfung der Einhaltung regulatorischer Anforderungen und mit erhöhten Konsequenzen bei Befunden.
Warum Regulatory Audit ein zentraler Audit-Begriff ist
Regulatory Audit ist ein Kernelement professioneller Prüfungspraxis. IIA Standards, ISO 19011, ISO 27001 und die spezifischen regulatorischen Anforderungen von NIS-2 und DORA setzen alle voraus, dass Prüfungsaktivitäten systematisch, dokumentiert und mit klar definierten Methoden durchgeführt werden. Im Audit -- ob intern, extern oder regulatorisch -- ist Regulatory Audit ein Standardpruefpunkt.
Wo Regulatory Audit gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| BSIG | § 8a Abs. 3 | Nachweis der Umsetzung von Sicherheitsmassnahmen gegenüber dem BSI. |
| NIS-2 / BSIG | § 60 | Regulatorische Prüfungen und Sanktionen: Behördliche Überprüfungen als Durchsetzungsinstrument. |
| DSGVO | Art. 58 | Untersuchungsbefugnisse der Datenschutzbehörden. |
| DORA | Art. 32 ff. | Aufsichtsbefugnisse der ESAs gegenüber Finanzunternehmen und kritischen IKT-Anbietern. |
| BaFin KWG | § 44 | Auskunfts- und Prüfungsrecht der BaFin als Grundlage regulatorischer Audits bei Banken. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept bekannt, aber ohne dokumentierte Methodik und Vorlage
- Inkonsistente Anwendung -- verschiedene Prüfer arbeiten unterschiedlich
- Keine regelmässige Qualitätspruefung der eigenen Prüfungsarbeit
- Evidence-Anforderungen nicht klar definiert
Einordnung im Audit-Gesamtrahmen
Regulatory Audit ist eingebettet in einen strukturierten Audit-Lebenszyklus: Planung (Audit Plan, Scope), Durchführung (Evidence, Sampling, Tests), Berichterstattung (Finding, Opinion), Nachverfolgung (Follow-Up). Jedes Element hängt von den anderen ab: Ohne klaren Scope lässt sich keine ausreichende Evidence sammeln. Ohne gute Evidence kann keine fundierte Opinion formuliert werden. Wer Regulatory Audit professionell umsetzt, stärkt das gesamte Audit-System.
Qualität in der Prüfungspraxis
Professionelle Prüfungspraxis erfordert konsistente Qualitätsstandards. IIA Standards und ISO 19011 definieren diese für interne Prüfungsfunktionen, internationale Prüfungsstandards (ISAs, ISAE) für externe. Reguläre Qualitätspruefungen -- Peer Reviews, interne Quality-Assessments -- stellen sicher, dass der Standard nicht nur dokumentiert, sondern gelebt wird.
Nächste Ebene
Regulatory Audit in der Praxis: Methodik, Anwendung und Evidence
Was Auditoren bei Regulatory Audit konkret prüfen und welche Evidence benötigt wird.