Compliance-Lexikon · Audit

Test of Controls

[tɛst əv kənˈtrəʊlz] · auch: Kontrolltest, Wirksamkeitstest, Funktionstest

Test of Controls bezeichnet die Prüfungshandlung, mit der die Wirksamkeit einer Kontrollmassnahme nachgewiesen wird -- durch Inspektion von Dokumenten, Beobachtung, Befragung oder Wiederholung der Kontrollhandlung, mit dem Ziel festzustellen, ob die Kontrolle wie vorgesehen funktioniert.

Warum Test of Controls ein zentraler Audit-Begriff ist

Test of Controls ist ein Kernelement professioneller Prüfungspraxis. IIA Standards, ISO 19011, ISO 27001 und die spezifischen regulatorischen Anforderungen von NIS-2 und DORA setzen alle voraus, dass Prüfungsaktivitäten systematisch, dokumentiert und mit klar definierten Methoden durchgeführt werden. Im Audit -- ob intern, extern oder regulatorisch -- ist Test of Controls ein Standardpruefpunkt.

Wo Test of Controls gefordert wird

FrameworkReferenzAnforderung
IIA Standards2240Prüfungsprogramm: Kontrolltests als Kernbestandteil jedes Prüfungsprogramms.
ISO 27001:2022Kap. 9.1Messung der Wirksamkeit: Kontrollen müssen auf Wirksamkeit geprüft werden.
SOX 404vollständigPrüfung der internen Kontrollen über die Finanzberichterstattung: Test of Controls als Pflicht.
ISAE 3402vollständigKontrolltests bei Servicedienstleistern als Grundlage für Assurance-Aussagen.
NIS-2 / BSIG§ 30Wirksamkeit von Sicherheitsmassnahmen muss geprüft und nachgewiesen werden.

BAM-Objektreferenz

BAM-Objekt AUD-TC-01
BeschreibungTest of Controls mit dokumentierter Pruefmethodik, Stichproben und Ergebnisprotokoll

Häufige Audit-Fehler

  • Konzept bekannt, aber ohne dokumentierte Methodik und Vorlage
  • Inkonsistente Anwendung -- verschiedene Prüfer arbeiten unterschiedlich
  • Keine regelmässige Qualitätspruefung der eigenen Prüfungsarbeit
  • Evidence-Anforderungen nicht klar definiert

Einordnung im Audit-Gesamtrahmen

Test of Controls ist eingebettet in einen strukturierten Audit-Lebenszyklus: Planung (Audit Plan, Scope), Durchführung (Evidence, Sampling, Tests), Berichterstattung (Finding, Opinion), Nachverfolgung (Follow-Up). Jedes Element hängt von den anderen ab: Ohne klaren Scope lässt sich keine ausreichende Evidence sammeln. Ohne gute Evidence kann keine fundierte Opinion formuliert werden. Wer Test of Controls professionell umsetzt, stärkt das gesamte Audit-System.

Qualität in der Prüfungspraxis

Professionelle Prüfungspraxis erfordert konsistente Qualitätsstandards. IIA Standards und ISO 19011 definieren diese für interne Prüfungsfunktionen, internationale Prüfungsstandards (ISAs, ISAE) für externe. Reguläre Qualitätspruefungen -- Peer Reviews, interne Quality-Assessments -- stellen sicher, dass der Standard nicht nur dokumentiert, sondern gelebt wird.

Nächste Ebene

Test of Controls in der Praxis: Methodik, Anwendung und Evidence

Was Auditoren bei Test of Controls konkret prüfen und welche Evidence benötigt wird.

Verwandte Begriffe

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.