Die grundlegendste Einteilung stammt aus ISO 19011 und unterscheidet nach der Beziehung zwischen Auditor und auditierter Organisation:
First-Party-Audit (Internes Audit)
Was es ist: Die eigene Organisation prüft sich selbst. Auditoren sind Mitarbeitende oder von der Organisation beauftragte externe Personen.
Zweck: Selbstbewertung, kontinuierliche Verbesserung, Vorbereitung auf externe Prüfungen
Vorgeschrieben durch: ISO 9001 (Abschnitt 9.2), ISO 27001 (Abschnitt 9.2), DORA (Art. 5/6), NIS2 (Art. 21)
Unabhängigkeitsprinzip: Auditoren dürfen nie ihre eigene Arbeit prüfen (gilt auch intern)
Typische Frequenz: Jährlich (mindestens), risikobasiert häufiger
Wichtig: Das interne Audit ist kein „Mini-Zertifizierungsaudit". Es dient der Verbesserung, nicht dem Bestehen.
Second-Party-Audit (Lieferanten- oder Kundenaudit)
Was es ist: Eine Organisation prüft ihre Lieferanten, Partner oder Dienstleister. Oder umgekehrt: Ein Kunde prüft seinen Lieferanten.
Zweck: Qualifizierung von Lieferanten, Risikobewertung in der Lieferkette, Vertragskonformität
Vorgeschrieben durch:
- DORA Art. 28–30: Finanzunternehmen müssen kritische IKT-Drittanbieter regelmäßig auditieren
- NIS2 Art. 21: Supply-Chain-Security
- ISO 27001 Anhang A.5.19–A.5.22: Lieferantenbeziehungen
Typische Frequenz: Bei Lieferantenqualifizierung einmalig, danach risikobasiert (kritische Lieferanten: jährlich)
Praxishinweis: Second-Party-Audits erfordern Vorabklärung: Recht auf Audit muss vertraglich vereinbart sein.
Third-Party-Audit (Externes Audit / Zertifizierungsaudit)
Was es ist: Eine unabhängige, akkreditierte Stelle prüft die Organisation. Das Ergebnis ist ein Zertifikat oder ein Bericht für Dritte.
Zweck: Unabhängige Bestätigung der Konformität, Zertifikatsvergabe, regulatorischer Nachweis
Durchgeführt von: DAkkS-akkreditierte Zertifizierungsstellen (TÜV, DQS, Bureau Veritas, BSI Group, etc.)
Typische Audits dieser Art:
Auditarten nach Gegenstand und Fokus
Systemaudit
Gegenstand: Das gesamte Managementsystem (QMS, ISMS, BCMS) wird auf Konformität mit einem Rahmenwerk geprüft.
Fragen die es stellt: „Hat die Organisation ein vollständiges System implementiert, das den Anforderungen entspricht?"
Beispiele:
- ISO 27001-Zertifizierungsaudit
- DORA-Konformitätsprüfung
- NIS2-Assessment
Umfang: Breit – alle Prozesse, alle Abteilungen, alle Dokumentationsebenen
Typische Dauer: 2–5 Audittage je nach Unternehmensgröße
Prozessaudit
Gegenstand: Ein einzelner Prozess oder eine Prozessgruppe wird detailliert untersucht.
Fragen die es stellt: „Wird dieser spezifische Prozess so wie beschrieben und wie geplant durchgeführt?"
Beispiele:
- Audit des Patch-Management-Prozesses
- Prüfung des Incident-Response-Prozesses
- Audit des Lieferanten-Onboarding-Prozesses
Umfang: Tief, aber eng – detaillierte Analyse eines einzelnen Ablaufs
Typische Dauer: 0,5–2 Audittage
Vorteil: Effizienter als Systemaudits, wenn ein spezifisches Risiko oder Problem vorliegt
Produktaudit
Gegenstand: Ein Produkt oder eine Dienstleistung wird daraufhin geprüft, ob es definierten Spezifikationen entspricht.
Fragen die es stellt: „Entspricht dieses konkrete Produkt/diese konkrete Leistung den vereinbarten Anforderungen?"
Beispiele:
- Softwareprodukt gegen Sicherheitsanforderungen prüfen
- Bankprodukt gegen Regulatory-Anforderungen testen
Typische Branchen: Produktion, Automotive, Pharmaindustrie, Finanzprodukte
Compliance-Audit
Gegenstand: Prüfung der Einhaltung gesetzlicher, regulatorischer oder vertraglicher Anforderungen
Fragen die es stellt: „Werden alle relevanten Gesetze, Normen und Verträge eingehalten?"
Durchgeführt von: Intern (Compliance-Funktion), extern (Wirtschaftsprüfer, Aufsichtsbehörden)
Beispiele:
- GDPR-Compliance-Audit
- Steuerprüfung
- BaFin-Prüfung nach KWG §44
Forensisches Audit / Sonderprüfung
Gegenstand: Aufklärung eines spezifischen Vorfalls oder Verdachts
Fragen die es stellt: „Was ist passiert? Wer ist verantwortlich? Welcher Schaden ist entstanden?"
Ausgelöst durch: Sicherheitsvorfälle, Betrugshinweise, regulatorische Anforderungen nach Incidents
Besonderheit: Ergebnisse können vor Gericht verwendet werden → erhöhte Dokumentationsanforderungen
Auditarten nach Zeitpunkt
Erstaudit (Initial Audit)
Vor der ersten Zertifizierung oder bei vollständiger Neuimplementierung. Bei ISO 27001: Stage 1 (Dokumentenprüfung) + Stage 2 (Implementierungsüberprüfung).
Überwachungsaudit (Surveillance Audit)
Jährliche Folgeprüfung nach einer Zertifizierung, um die Aufrechterhaltung des Zertifikats zu bestätigen. Kleiner Umfang als das Erstaudit.
Re-Zertifizierungsaudit
Alle 3 Jahre (bei ISO 9001/27001): Vollständige Neubewertung, ähnlich wie das Erstaudit.
Anlassaudit (Unannounced / For-Cause Audit)
Ausgelöst durch: Sicherheitsvorfälle, Kundenbeschwerden, regulatorische Trigger. Ohne Vorankündigung oder mit sehr kurzer Frist.
Auditarten in spezifischen Frameworks
DORA: IKT-Auditanforderungen
DORA (Digital Operational Resilience Act) schreibt spezifische Prüfungsformen vor:
Interne IKT-Audits (Art. 5): Finanzunternehmen müssen eine unabhängige interne IKT-Auditfunktion einrichten oder beauftragen.
TLPT – Threat-Led Penetration Testing (Art. 26): Reguläre Penetrationstests unter Aufsicht der BaFin/EZB für bedeutende Finanzinstitute. Frequenz: mindestens alle 3 Jahre.
Drittanbieteraudits (Art. 30): Finanzunternehmen können vertragliche Auditrechte gegenüber kritischen IKT-Drittanbietern ausüben.
ISO 27001: ISMS-Audits
Interne Audits: Jährlich verpflichtend (Kl. 9.2)
Management Review: Keine Prüfung durch externe Auditoren, aber interne Bewertung durch die Führungsebene (Kl. 9.3)
Zertifizierungsaudit: Stage 1 (Dokumentenprüfung, 0,5–1 Tag) + Stage 2 (Implementierungsüberprüfung, 2–5 Tage)
NIS2: Security-Audits
Regelmäßige Sicherheitsüberprüfungen für wesentliche und wichtige Einrichtungen
Peer Reviews: Optionaler Mechanismus für gegenseitige Überprüfung unter NIS2-Koordinierung durch ENISA
Behördliche Inspektionen: BSI kann Vor-Ort-Inspektionen durchführen (§8a BSIG neu)
Lieferantenaudit-Typen im Detail
Da DORA und NIS2 das Thema Drittanbieterrisiken in den Vordergrund stellen, verdienen Lieferantenaudits besondere Aufmerksamkeit:
Qualifizierungsaudit
Wann: Vor Aufnahme einer neuen Lieferantenbeziehung (insbesondere kritische IKT-Dienstleister)
Ziel: Bestätigung, dass der Lieferant die erforderlichen Standards erfüllt
Umfang: Sicherheitspraktiken, Zertifizierungsstatus, Business-Continuity-Fähigkeiten, Sublieferantenkette
Jahresaudit
Wann: Jährlich bei kritischen/wesentlichen Lieferanten
Ziel: Aufrechterhaltung des Qualifizierungsstatus, Überprüfung von Änderungen
Typische Methoden: Fragebogen, Interview, Dokumentenprüfung, selten Vor-Ort-Begehung
Anlassaudit
Wann: Nach Sicherheitsvorfällen beim Lieferanten, wesentlichen Änderungen, Beschwerden
Ziel: Schnelle Risikobewertung
Eine Übersichtstabelle zur Orientierung:
| Situation |
Empfohlene Auditart |
| Vorbereitung auf ISO 27001-Zertifizierung |
Internes Systemaudit |
| Schwachstelle in spezifischem Prozess |
Internes Prozessaudit |
| Neuer kritischer Cloud-Anbieter (DORA) |
Second-Party-Qualifizierungsaudit |
| Jährliche DORA-Compliance-Überprüfung |
Internes Compliance-Audit |
| Sicherheitsvorfall (Data Breach) |
Forensisches Audit |
| Erste ISO-Zertifizierung beantragen |
Third-Party-Erstaudit |
| DORA TLPT-Pflicht |
Regulatorisches TLPT |
Audit-Software: Auditarten in einer Plattform verwalten
Die Vielzahl der Auditarten macht deutlich, warum manuelle Verwaltung schnell an Grenzen stößt. Professionelle Audit-Management-Software ermöglicht:
- Verschiedene Audittypen in einem System
- Framework-spezifische Checklisten (ISO 27001, DORA, NIS2)
- Lieferantenaudit-Portal für External-Assessments
- Maßnahmenverfolgung über alle Auditarten hinweg
- Konsolidiertes Reporting für CISO und Vorstand
Matproof deckt alle internen Auditarten ab und bietet vorstrukturierte Audit-Programme für die wichtigsten deutschen Compliance-Frameworks.
Matproof Audit-Management im Detail →
Fazit
Die Wahl der richtigen Auditart ist keine Formalität – sie bestimmt, welche Erkenntnisse Sie gewinnen und welche Anforderungen Sie erfüllen. Entscheidend sind drei Fragen:
- Wer prüft? (First/Second/Third Party)
- Was wird geprüft? (System/Prozess/Produkt/Compliance)
- Welcher Anlass? (Geplant/Anlassbezogen/Zertifizierung)
Mit einem durchdachten Auditprogramm, das die richtigen Auditarten zur richtigen Zeit kombiniert, schaffen Sie die Grundlage für robuste Compliance – und werden von externen Prüfern nie überrascht.
Weiterführende Artikel: