Auditplanung: So erstellen Sie ein effektives Auditprogramm für 2026
Das Problem mit unstrukturierter Auditplanung
Schritt 1: Schauen Sie sich Ihren letzten Auditplan an. Wenn er aus einer Excel-Tabelle besteht, die jemand im Januar befüllt und seitdem nicht mehr angefasst hat – dann haben Sie kein Auditprogramm, sondern eine Wunschliste.
Auditplanung ist die Grundlage für ein wirksames internes Audit-System. Ohne strukturierte Planung werden die falschen Bereiche geprüft, Ressourcen verschwendet und regulatorische Anforderungen verfehlt. Mit dem richtigen Ansatz wird das Auditprogramm zum strategischen Steuerungsinstrument.
Dieser Leitfaden erklärt, wie Sie ein risikobasiertes Auditprogramm aufbauen, das ISO 9001, ISO 27001, DORA und NIS2 erfüllt – und das in der Praxis auch funktioniert.
Was ist ein Auditprogramm?
Ein Auditprogramm ist die übergeordnete Planung und Steuerung aller Audits über einen definierten Zeitraum (in der Regel ein Jahr). Es beantwortet:
- Was wird geprüft? (Auditumfang, Bereiche, Prozesse, Systeme)
- Wann wird geprüft? (Zeitplan)
- Wer prüft? (Auditoren, Qualifikationen)
- Wie wird geprüft? (Methoden, Kriterien)
- Warum genau jetzt? (Risikobasierte Begründung)
Abgrenzung: Ein Auditplan ist die Detailplanung für ein einzelnes Audit. Das Auditprogramm umfasst alle Audits des Jahres.
Normative Anforderungen an die Auditplanung
ISO 9001:2015 / ISO 27001:2022 (Kl. 9.2)
Beide Normen fordern ein dokumentiertes Auditprogramm, das folgende Aspekte berücksichtigt:
- Bedeutung der betroffenen Prozesse
- Veränderungen, die sich auf die Organisation auswirken
- Ergebnisse früherer Audits
Konkret: Es reicht nicht, „einmal jährlich" zu auditieren. Das Programm muss risikobasiert sein: Risikoreiche Bereiche häufiger prüfen.
DORA (Art. 5)
DORA verlangt, dass Finanzunternehmen eine unabhängige interne oder externe IKT-Auditfunktion mit angemessenen Kenntnissen, Erfahrungen und Kapazitäten einrichten.
Konkret: Das Auditprogramm muss IKT-spezifische Audits (Risikomanagement, Drittanbieter, Incident Management, BCM) enthalten.
NIS2 (Art. 20/21)
NIS2 fordert regelmäßige Überprüfungen der Sicherheitsmaßnahmen – ohne spezifische Frequenzangabe, aber mit Risikobasierung.
Phase 1: Vorbereitung und Kontext
1.1 Auditprogramm-Ziele definieren
Bevor Sie planen, klären Sie: Was soll das Auditprogramm leisten?
- Vorbereitung auf externe Zertifizierung (ISO 27001)?
- Erfüllung regulatorischer Anforderungen (DORA, NIS2)?
- Identifikation von Verbesserungspotenzialen?
- Nachweis der Kontrolle für Management und Vorstand?
Die Ziele bestimmen Schwerpunkte und Ressourceneinsatz.
1.2 Rahmenbedingungen klären
- Ressourcen: Wie viele Auditoren-Tage stehen zur Verfügung? (intern + extern)
- Qualifikationen: Welche Auditor-Qualifikationen sind vorhanden? Wo sind Lücken?
- Systemgrenzen: Welche Bereiche, Standorte und Systeme sind im Scope?
- Schnittstellen: Wie koordiniert sich das Auditprogramm mit externen Prüfungen?
Phase 2: Risikobasierte Priorisierung
Das Herzstück moderner Auditplanung: Nicht jeder Bereich verdient die gleiche Aufmerksamkeit. Fokussieren Sie auf Bereiche mit dem höchsten Risiko.
2.1 Risikoquellen identifizieren
Füttern Sie Ihr Auditprogramm mit diesen Inputs:
Ergebnisse vergangener Audits
- Bereiche mit Major-Abweichungen im letzten Jahr → häufiger prüfen
- Bereiche, die nie ausstehende Maßnahmen haben → evtl. Reduktion
Risikoregister
- Welche Bereiche haben hohe inhärente Risiken?
- Wo sind Kontrollschwächen bekannt?
- Neue DORA-Anforderungen? → Entsprechende Audits einplanen
- NIS2 in Kraft getreten? → Supply-Chain-Audits neu aufnehmen
Organisatorische Veränderungen
- Neue Prozesse, Systeme, Organisationseinheiten → immer auditieren
- Wechsel von Schlüsselpersonen → betroffene Bereiche prüfen
Sicherheitsvorfälle und Beschwerden
- Vorfälle zeigen, wo Kontrollen versagen → gezielte Follow-up-Audits
2.2 Prioritätsmatrix erstellen
Bewerten Sie jeden Audit-Bereich nach zwei Dimensionen:
| Bereich | Risikoniveau | Kontrollreife | Priorität |
|---|---|---|---|
| IKT-Drittanbieter | Hoch | Niedrig | P1 – Jährlich |
| Zugriffssteuerung | Hoch | Mittel | P1 – Jährlich |
| Patch Management | Hoch | Hoch | P2 – Jährlich |
| Business Continuity | Mittel | Mittel | P2 – Jährlich |
| HR-Prozesse | Niedrig | Hoch | P3 – Alle 2 Jahre |
| Facility Management | Niedrig | Hoch | P3 – Alle 2 Jahre |
Faustregel: P1-Bereiche mindestens jährlich; P2 jährlich oder risikobasiert; P3 alle 2–3 Jahre.
Phase 3: Auditprogramm strukturieren
3.1 Audittypen festlegen
Das Jahresprogramm kombiniert idealerweise verschiedene Audittypen:
| Audittyp | Anzahl/Jahr (Mittelständler) | Zweck |
|---|---|---|
| Interne Systemaudits | 1–2 | Gesamtbewertung des ISMS/QMS |
| Interne Prozessaudits | 4–8 | Tiefenprüfung kritischer Prozesse |
| Lieferantenaudits | 2–5 | Drittanbieter-Risiko (DORA/NIS2) |
| Follow-up-Audits | 2–4 | Wirksamkeitsprüfung von Maßnahmen |
3.2 Jahreskalender erstellen
Verteilen Sie Audits sinnvoll über das Jahr:
Empfehlung Quartalsverteilung:
- Q1 (Jan–Mär): Jahresprogramm finalisieren; erste Prozessaudits (Bereiche aus Vorjahr mit Findings)
- Q2 (Apr–Jun): Schwerpunkt-Systemaudit; Lieferantenaudits für kritische Anbieter
- Q3 (Jul–Sep): Follow-up-Audits auf Q1/Q2-Findings; weitere Prozessaudits
- Q4 (Okt–Dez): Jahresabschluss-Audit vor Management-Review; Programm-Review für Folgejahr
Wichtig: Externe Zertifizierungsaudits berücksichtigen. ISO 27001 Stage 2-Audit 6–8 Wochen nach dem letzten internen Audit einplanen.
3.3 Ressourcen zuweisen
Für jedes geplante Audit dokumentieren:
- Audit-ID: Eindeutige Kennung
- Bereich/Prozess: Was wird geprüft?
- Auditkriterien: Welche Norm/Anforderung?
- Geplantes Datum: Quartal oder spezifische Woche
- Dauer: Audittage
- Lead-Auditor: Verantwortlicher Auditor
- Ko-Auditor(en): Falls zutreffend
- Auditee: Bereichsverantwortlicher
Phase 4: Auditoren qualifizieren und briefen
Qualifikationsanforderungen
Ein guter interner Auditor braucht:
Fachliche Kenntnisse:
- Verständnis des auditierten Prozesses (nicht: Experte, aber Grundkenntnis)
- Kenntnis der anzuwendenden Norm/des Rahmenwerks (ISO 27001, DORA, NIS2)
- Grundlagenschulung in Audittechnik (empfohlen: ISO 19011 Kurs, 1–2 Tage)
Methodische Fähigkeiten:
- Interviewtechnik
- Befundformulierung
- Umgang mit Widerstand und Defensivreaktionen
Unabhängigkeit:
- Kein Prüfen der eigenen Arbeit
- Kein persönliches Interesse am Ergebnis
Interne Auditoren aufbauen
Wenn Sie keine qualifizierten internen Auditoren haben:
- Lead-Auditor extern beauftragen: Für die ersten 1–2 Audits; intern mitlaufen lassen
- Interne Schulung: ISO 19011 Grundlagenkurs (Kosten: EUR 500–1.500/Person)
- Cross-Audits: Mitarbeitende aus Abteilung A prüfen Abteilung B – beide profitieren
Phase 5: Auditprogramm überwachen und anpassen
Ein gutes Auditprogramm ist kein statisches Dokument. Es wird unterjährig angepasst:
Monitoring-Indikatoren
- Completed vs. planned: Werden alle geplanten Audits durchgeführt?
- Finding rate: Wie viele Abweichungen werden gefunden? (Zu wenig = zu oberflächlich)
- Closure rate: Werden Maßnahmen fristgerecht umgesetzt?
- Repeat findings: Werden gleiche Abweichungen wiederholt gefunden? (Systemisches Problem)
Programmüberprüfung (jährlich)
Am Ende des Jahres:
- War das Programm vollständig durchgeführt? Wenn nicht: Warum?
- Haben die Audits die Ziele des Programms erreicht?
- Welche neuen Risiken oder Anforderungen müssen im nächsten Jahr berücksichtigt werden?
- Reichen die Ressourcen? Sind mehr/weniger Auditoren-Tage nötig?
Diese Überprüfung ist Input für das Management-Review (ISO 9001 Kl. 9.3 / ISO 27001 Kl. 9.3).
Auditprogramm-Vorlage: Schnellstart
Hier eine Minimalstruktur für ein ISO-27001-konformes Auditprogramm:
Auditprogramm [Jahr]
Programm-Ziele:
- Bewertung der ISMS-Konformität mit ISO 27001:2022
- Vorbereitung auf Überwachungsaudit [Datum]
- Fokus: IKT-Drittanbieter (DORA-Readiness)
Programm-Scope:
- Alle ISMS-relevanten Bereiche der [Organisation] am Standort [X]
- Alle im Statement of Applicability enthaltenen Kontrollen
- Alle kritischen IKT-Drittanbieter (gemäß Drittanbieterregister)
Ressourcen:
- Auditoren: [Namen, Qualifikationen]
- Auditoren-Tage gesamt: [X]
- Budget: [EUR Y]
| Audit-ID | Bereich | Kriterien | Datum | Dauer | Lead-Auditor | Status |
|---|---|---|---|---|---|---|
| AU-2026-01 | Zugriffssteuerung | ISO 27001 A.5.15-A.8.18 | Q1 | 1 Tag | [Name] | Geplant |
| AU-2026-02 | Incident Management | ISO 27001 A.5.24-A.5.28 / DORA Art. 17 | Q1 | 0,5 Tage | [Name] | Geplant |
| AU-2026-03 | Lieferant A (Cloud) | DORA Art. 28-30 | Q2 | 1 Tag | [Name] | Geplant |
| AU-2026-04 | BCM/BCP | ISO 27001 A.5.29-A.5.30 / DORA Art. 11 | Q2 | 1 Tag | [Name] | Geplant |
| AU-2026-05 | Gesamtsystem ISMS | ISO 27001:2022 | Q3 | 3 Tage | [Name] | Geplant |
| AU-2026-06 | Follow-up AU-2025-XX | Maßnahmenüberprüfung | Q3 | 0,5 Tage | [Name] | Geplant |
Auditplanung mit Software: Was sich automatisieren lässt
Ab 6–8 Audits pro Jahr wird manuelle Auditplanung ineffizient. Matproof bietet:
- Risikobasierte Auditplanung mit automatischer Priorisierung
- Jahreskalender mit Terminkoordination
- Automatische Zuweisung von Framework-Checklisten
- Erinnerungsfunktion für anstehende Audits
- Maßnahmenverfolgung über alle Audits
- Auditprogramm-Reporting für Management-Review
Fazit: Auditplanung als Führungsinstrument
Ein wirksames Auditprogramm ist mehr als eine Checkliste für Normen-Konformität. Es ist ein Früh-Warnsystem für Risiken, ein Qualitätssicherungsinstrument und ein Nachweis gegenüber Regulatoren und Kunden, dass das Unternehmen seine Kontrollen ernstnimmt.
Die wichtigsten Grundprinzipien:
- Risikobasiert: Mehr Audit-Aufwand dort, wo das Risiko höher ist
- Vollständig: Kein Bereich dauerhaft auslassen
- Konsequent: Geplante Audits durchführen, Maßnahmen nachverfolgen
- Flexibel: Das Programm bei neuen Risiken oder Vorfällen anpassen
Weiterführende Artikel: