Audit Wissen

Interne & externe Audits verständlich erklärt

Was ist ein Audit im Bereich Informationssicherheit?

Ein Audit ist eine systematische, unabhängige und dokumentierte Bewertung von Prozessen, Systemen und Nachweisen. Im Kontext von ISO 27001 und ISO 9001 dient es dazu, die Normkonformität sowie die tatsächliche Wirksamkeit eines Managementsystems zu überprüfen.

Häufige Fragen zu Audits

  • Was ist der Unterschied zwischen internem und externem Audit?
    Ein internes Audit wird vom Unternehmen selbst oder durch beauftragte interne Auditoren durchgeführt, um Schwachstellen frühzeitig zu erkennen. Ein externes Audit erfolgt durch unabhängige Zertifizierungsstellen zur formalen Bewertung der Normkonformität.
  • Wie läuft ein ISO 27001 Audit ab?
    Ein ISO 27001 Audit besteht aus Dokumentenprüfung, Interviews und Stichproben in der Praxis. Dabei wird überprüft, ob das ISMS implementiert, dokumentiert und wirksam umgesetzt ist.
  • Wie bereitet man sich auf ein Audit vor?
    Die Vorbereitung umfasst die Aktualisierung aller Dokumente, interne Vor-Audits, die Prüfung von Risiken sowie die Schulung der verantwortlichen Mitarbeiter.
  • Welche Dokumente werden im Audit geprüft?
    Typischerweise werden Sicherheitsrichtlinien, Risikoanalysen, Maßnahmenpläne, Schulungsnachweise, Verfahrensdokumentationen und interne Auditberichte geprüft.
  • Was passiert bei Abweichungen im Audit?
    Abweichungen (Non-Conformities) müssen dokumentiert und durch Korrekturmaßnahmen behoben werden. Je nach Schwere können sie die Zertifizierung beeinflussen.
  • Wie oft müssen Audits durchgeführt werden?
    Interne Audits sollten mindestens jährlich stattfinden. Externe Zertifizierungsaudits erfolgen in der Regel im 3-Jahres-Zyklus mit jährlichen Überwachungsaudits.
  • Wer darf interne Audits durchführen?
    Interne Audits müssen von Personen durchgeführt werden, die unabhängig vom geprüften Bereich sind und über entsprechende Audit- und Fachkompetenz verfügen.
  • Was ist ein Auditbericht?
    Ein Auditbericht dokumentiert den Ablauf, die Feststellungen, Abweichungen und Empfehlungen eines Audits und dient als Nachweis gegenüber Management und Zertifizierern.
  • Welche Rolle spielt ISO 19011?
    ISO 19011 ist der internationale Leitfaden für die Durchführung von Audits von Managementsystemen und definiert Prinzipien, Vorgehensweisen und Kompetenzanforderungen.
  • Was ist ein Reifegrad im Audit?
    Der Reifegrad beschreibt, wie weit ein Managementsystem tatsächlich implementiert und im Unternehmen gelebt wird – von rein dokumentiert bis vollständig integriert und kontinuierlich verbessert.

Fachliche Einblicke zu Audits

1. Interne Audits als Steuerungsinstrument

Interne Audits sind nicht nur Vorbereitung auf Zertifizierungen, sondern ein zentrales Steuerungsinstrument, um die Wirksamkeit von Managementsystemen kontinuierlich zu verbessern.

2. Audit nach ISO 19011 als Standardrahmen

ISO 19011 definiert die Grundsätze für Audits wie Objektivität, Unabhängigkeit und Nachvollziehbarkeit und stellt sicher, dass Audits strukturiert und vergleichbar durchgeführt werden.

3. Häufige Audit-Feststellungen (Findings)

Typische Findings sind fehlende Nachweise, unvollständige Dokumentation oder Prozesse, die nicht mit der Realität im Unternehmen übereinstimmen.

4. Bedeutung der Audit-Trail-Prüfung

Auditoren prüfen häufig den sogenannten Audit-Trail, also die vollständige Nachvollziehbarkeit von Entscheidungen, Maßnahmen und Datenflüssen.

5. Rolle des Managements im Audit

Die Unternehmensleitung muss nachweisen, dass sie das Managementsystem aktiv unterstützt und regelmäßig bewertet (Management Review).

6. Risiko-basierter Auditansatz

Moderne Audits basieren auf einem risikoorientierten Ansatz, bei dem besonders kritische Bereiche intensiver geprüft werden.

7. Auditdokumentation als Nachweisbasis

Alle Auditaktivitäten müssen dokumentiert werden, um gegenüber Zertifizierern und Behörden Nachweisfähigkeit sicherzustellen.

8. Bedeutung von Korrekturmaßnahmen (CAPA)

Corrective and Preventive Actions (CAPA) sind Maßnahmen zur Behebung und Vermeidung von Abweichungen und zentral für die kontinuierliche Verbesserung.

9. Auditfähigkeit als Reifegradindikator

Die Auditfähigkeit eines Unternehmens zeigt, wie strukturiert Prozesse dokumentiert und gelebt werden – ein wichtiger Indikator für organisatorische Reife.

10. Kombination von ISO 27001 und ISO 9001 Audits

In integrierten Managementsystemen können Audits kombiniert werden, wodurch Synergien entstehen und der Prüfaufwand deutlich reduziert wird.

Auditvorbereitung mit erfahrenen Experten

Wir unterstützen Sie bei internen und externen Audits für ISO 27001 und ISO 9001.

Jetzt Kontakt aufnehmen