Auditarten im Überblick: Internes, externes und regulatorisches Audit erklärt
Das Audit-Ökosystem verstehen
Nicht jedes Audit ist gleich – und wer die falsche Art mit dem falschen Vorgehen angeht, verliert Zeit, Geld und im schlimmsten Fall seine Zertifizierung.
Die Welt der Audits ist vielfältiger, als die meisten Compliance-Verantwortlichen zunächst annehmen. Interne Revision, Zertifizierungsaudit, Lieferantenaudit, Prozessaudit, TLPT – diese Begriffe beschreiben grundlegend unterschiedliche Prüfungstypen mit unterschiedlichen Zielen, Methoden und Konsequenzen.
Dieser Leitfaden gibt einen vollständigen Überblick über alle relevanten Auditarten und erklärt, was Sie jeweils wissen müssen.
Auditarten nach Auditor-Perspektive (ISO 19011)
Die grundlegendste Einteilung stammt aus ISO 19011 und unterscheidet nach der Beziehung zwischen Auditor und auditierter Organisation:
First-Party-Audit (Internes Audit)
Was es ist: Die eigene Organisation prüft sich selbst. Auditoren sind Mitarbeitende oder von der Organisation beauftragte externe Personen.
Zweck: Selbstbewertung, kontinuierliche Verbesserung, Vorbereitung auf externe Prüfungen
Vorgeschrieben durch: ISO 9001 (Abschnitt 9.2), ISO 27001 (Abschnitt 9.2), DORA (Art. 5/6), NIS2 (Art. 21)
Unabhängigkeitsprinzip: Auditoren dürfen nie ihre eigene Arbeit prüfen (gilt auch intern)
Typische Frequenz: Jährlich (mindestens), risikobasiert häufiger
Wichtig: Das interne Audit ist kein „Mini-Zertifizierungsaudit". Es dient der Verbesserung, nicht dem Bestehen.
Second-Party-Audit (Lieferanten- oder Kundenaudit)
Was es ist: Eine Organisation prüft ihre Lieferanten, Partner oder Dienstleister. Oder umgekehrt: Ein Kunde prüft seinen Lieferanten.
Zweck: Qualifizierung von Lieferanten, Risikobewertung in der Lieferkette, Vertragskonformität
Vorgeschrieben durch:
- DORA Art. 28–30: Finanzunternehmen müssen kritische IKT-Drittanbieter regelmäßig auditieren
- NIS2 Art. 21: Supply-Chain-Security
- ISO 27001 Anhang A.5.19–A.5.22: Lieferantenbeziehungen
Typische Frequenz: Bei Lieferantenqualifizierung einmalig, danach risikobasiert (kritische Lieferanten: jährlich)
Praxishinweis: Second-Party-Audits erfordern Vorabklärung: Recht auf Audit muss vertraglich vereinbart sein.
Third-Party-Audit (Externes Audit / Zertifizierungsaudit)
Was es ist: Eine unabhängige, akkreditierte Stelle prüft die Organisation. Das Ergebnis ist ein Zertifikat oder ein Bericht für Dritte.
Zweck: Unabhängige Bestätigung der Konformität, Zertifikatsvergabe, regulatorischer Nachweis
Durchgeführt von: DAkkS-akkreditierte Zertifizierungsstellen (TÜV, DQS, Bureau Veritas, BSI Group, etc.)
Typische Audits dieser Art:
- ISO 9001-Zertifizierung
- ISO 27001-Zertifizierung
- SOC 2 Type II
- TISAX-Assessment
Auditarten nach Gegenstand und Fokus
Systemaudit
Gegenstand: Das gesamte Managementsystem (QMS, ISMS, BCMS) wird auf Konformität mit einem Rahmenwerk geprüft.
Fragen die es stellt: „Hat die Organisation ein vollständiges System implementiert, das den Anforderungen entspricht?"
Beispiele:
- ISO 27001-Zertifizierungsaudit
- DORA-Konformitätsprüfung
- NIS2-Assessment
Umfang: Breit – alle Prozesse, alle Abteilungen, alle Dokumentationsebenen
Typische Dauer: 2–5 Audittage je nach Unternehmensgröße
Prozessaudit
Gegenstand: Ein einzelner Prozess oder eine Prozessgruppe wird detailliert untersucht.
Fragen die es stellt: „Wird dieser spezifische Prozess so wie beschrieben und wie geplant durchgeführt?"
Beispiele:
- Audit des Patch-Management-Prozesses
- Prüfung des Incident-Response-Prozesses
- Audit des Lieferanten-Onboarding-Prozesses
Umfang: Tief, aber eng – detaillierte Analyse eines einzelnen Ablaufs
Typische Dauer: 0,5–2 Audittage
Vorteil: Effizienter als Systemaudits, wenn ein spezifisches Risiko oder Problem vorliegt
Produktaudit
Gegenstand: Ein Produkt oder eine Dienstleistung wird daraufhin geprüft, ob es definierten Spezifikationen entspricht.
Fragen die es stellt: „Entspricht dieses konkrete Produkt/diese konkrete Leistung den vereinbarten Anforderungen?"
Beispiele:
- Softwareprodukt gegen Sicherheitsanforderungen prüfen
- Bankprodukt gegen Regulatory-Anforderungen testen
Typische Branchen: Produktion, Automotive, Pharmaindustrie, Finanzprodukte
Compliance-Audit
Gegenstand: Prüfung der Einhaltung gesetzlicher, regulatorischer oder vertraglicher Anforderungen
Fragen die es stellt: „Werden alle relevanten Gesetze, Normen und Verträge eingehalten?"
Durchgeführt von: Intern (Compliance-Funktion), extern (Wirtschaftsprüfer, Aufsichtsbehörden)
Beispiele:
- GDPR-Compliance-Audit
- Steuerprüfung
- BaFin-Prüfung nach KWG §44
Forensisches Audit / Sonderprüfung
Gegenstand: Aufklärung eines spezifischen Vorfalls oder Verdachts
Fragen die es stellt: „Was ist passiert? Wer ist verantwortlich? Welcher Schaden ist entstanden?"
Ausgelöst durch: Sicherheitsvorfälle, Betrugshinweise, regulatorische Anforderungen nach Incidents
Besonderheit: Ergebnisse können vor Gericht verwendet werden → erhöhte Dokumentationsanforderungen
Auditarten nach Zeitpunkt
Erstaudit (Initial Audit)
Vor der ersten Zertifizierung oder bei vollständiger Neuimplementierung. Bei ISO 27001: Stage 1 (Dokumentenprüfung) + Stage 2 (Implementierungsüberprüfung).
Überwachungsaudit (Surveillance Audit)
Jährliche Folgeprüfung nach einer Zertifizierung, um die Aufrechterhaltung des Zertifikats zu bestätigen. Kleiner Umfang als das Erstaudit.
Re-Zertifizierungsaudit
Alle 3 Jahre (bei ISO 9001/27001): Vollständige Neubewertung, ähnlich wie das Erstaudit.
Anlassaudit (Unannounced / For-Cause Audit)
Ausgelöst durch: Sicherheitsvorfälle, Kundenbeschwerden, regulatorische Trigger. Ohne Vorankündigung oder mit sehr kurzer Frist.
Auditarten in spezifischen Frameworks
DORA: IKT-Auditanforderungen
DORA (Digital Operational Resilience Act) schreibt spezifische Prüfungsformen vor:
Interne IKT-Audits (Art. 5): Finanzunternehmen müssen eine unabhängige interne IKT-Auditfunktion einrichten oder beauftragen.
TLPT – Threat-Led Penetration Testing (Art. 26): Reguläre Penetrationstests unter Aufsicht der BaFin/EZB für bedeutende Finanzinstitute. Frequenz: mindestens alle 3 Jahre.
Drittanbieteraudits (Art. 30): Finanzunternehmen können vertragliche Auditrechte gegenüber kritischen IKT-Drittanbietern ausüben.
ISO 27001: ISMS-Audits
Interne Audits: Jährlich verpflichtend (Kl. 9.2)
Management Review: Keine Prüfung durch externe Auditoren, aber interne Bewertung durch die Führungsebene (Kl. 9.3)
Zertifizierungsaudit: Stage 1 (Dokumentenprüfung, 0,5–1 Tag) + Stage 2 (Implementierungsüberprüfung, 2–5 Tage)
NIS2: Security-Audits
Regelmäßige Sicherheitsüberprüfungen für wesentliche und wichtige Einrichtungen
Peer Reviews: Optionaler Mechanismus für gegenseitige Überprüfung unter NIS2-Koordinierung durch ENISA
Behördliche Inspektionen: BSI kann Vor-Ort-Inspektionen durchführen (§8a BSIG neu)
Lieferantenaudit-Typen im Detail
Da DORA und NIS2 das Thema Drittanbieterrisiken in den Vordergrund stellen, verdienen Lieferantenaudits besondere Aufmerksamkeit:
Qualifizierungsaudit
Wann: Vor Aufnahme einer neuen Lieferantenbeziehung (insbesondere kritische IKT-Dienstleister)
Ziel: Bestätigung, dass der Lieferant die erforderlichen Standards erfüllt
Umfang: Sicherheitspraktiken, Zertifizierungsstatus, Business-Continuity-Fähigkeiten, Sublieferantenkette
Jahresaudit
Wann: Jährlich bei kritischen/wesentlichen Lieferanten
Ziel: Aufrechterhaltung des Qualifizierungsstatus, Überprüfung von Änderungen
Typische Methoden: Fragebogen, Interview, Dokumentenprüfung, selten Vor-Ort-Begehung
Anlassaudit
Wann: Nach Sicherheitsvorfällen beim Lieferanten, wesentlichen Änderungen, Beschwerden
Ziel: Schnelle Risikobewertung
Auditplanung: Welche Auditart wann?
Eine Übersichtstabelle zur Orientierung:
| Situation | Empfohlene Auditart |
|---|---|
| Vorbereitung auf ISO 27001-Zertifizierung | Internes Systemaudit |
| Schwachstelle in spezifischem Prozess | Internes Prozessaudit |
| Neuer kritischer Cloud-Anbieter (DORA) | Second-Party-Qualifizierungsaudit |
| Jährliche DORA-Compliance-Überprüfung | Internes Compliance-Audit |
| Sicherheitsvorfall (Data Breach) | Forensisches Audit |
| Erste ISO-Zertifizierung beantragen | Third-Party-Erstaudit |
| DORA TLPT-Pflicht | Regulatorisches TLPT |
Audit-Software: Auditarten in einer Plattform verwalten
Die Vielzahl der Auditarten macht deutlich, warum manuelle Verwaltung schnell an Grenzen stößt. Professionelle Audit-Management-Software ermöglicht:
- Verschiedene Audittypen in einem System
- Framework-spezifische Checklisten (ISO 27001, DORA, NIS2)
- Lieferantenaudit-Portal für External-Assessments
- Maßnahmenverfolgung über alle Auditarten hinweg
- Konsolidiertes Reporting für CISO und Vorstand
Matproof deckt alle internen Auditarten ab und bietet vorstrukturierte Audit-Programme für die wichtigsten deutschen Compliance-Frameworks.
Matproof Audit-Management im Detail →
Fazit
Die Wahl der richtigen Auditart ist keine Formalität – sie bestimmt, welche Erkenntnisse Sie gewinnen und welche Anforderungen Sie erfüllen. Entscheidend sind drei Fragen:
- Wer prüft? (First/Second/Third Party)
- Was wird geprüft? (System/Prozess/Produkt/Compliance)
- Welcher Anlass? (Geplant/Anlassbezogen/Zertifizierung)
Mit einem durchdachten Auditprogramm, das die richtigen Auditarten zur richtigen Zeit kombiniert, schaffen Sie die Grundlage für robuste Compliance – und werden von externen Prüfern nie überrascht.
Weiterführende Artikel: