Deutscher Markt2026-04-168 min Lesezeit

Internes Audit durchführen: Schritt-für-Schritt-Leitfaden für 2026

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01Das Problem mit internen Audits
  2. 02Was ist ein internes Audit?
  3. 03Rechtliche und normative Grundlagen
  4. 04Phase 1: Auditplanung (4–6 Wochen vorher)
  5. 05Phase 2: Auditdurchführung
  6. 06Phase 3: Auditbericht und Maßnahmenverfolgung
  7. 07Häufige Fehler bei internen Audits
  8. 08Interne Audits in verschiedenen Frameworks
  9. 09Audit-Software: Wann lohnt sich der Einsatz?
  10. 10Fazit: Internes Audit als strategisches Werkzeug

Internes Audit durchführen: Schritt-für-Schritt-Leitfaden für 2026

Das Problem mit internen Audits

Schritt 1: Rufen Sie die letzte Audit-Dokumentation auf. Wenn Sie mehr als zehn Minuten suchen, haben Sie bereits das Kernproblem identifiziert.

Interne Audits gelten in vielen Unternehmen als bürokratische Pflichtübung: Einmal im Jahr zusammengestückelte Excel-Tabellen, endlose E-Mail-Ketten für die Terminkoordination, Befunde, die niemand nachverfolgt. Das Ergebnis? Audits, die keine echte Verbesserung anstoßen – und externe Prüfer, die genau das bemerken.

Dabei ist das interne Audit eines der wirkungsvollsten Werkzeuge, die ein Compliance-Verantwortlicher hat. Wenn es richtig gemacht wird.

Dieser Leitfaden zeigt, wie Sie ein internes Audit strukturiert planen, effizient durchführen und die Ergebnisse so dokumentieren, dass sie bei der nächsten ISO-Zertifizierung oder DORA-Prüfung standhalten.

Was ist ein internes Audit?

Ein internes Audit (auch: interne Revision oder First-Party-Audit) ist eine systematische, unabhängige und dokumentierte Prüfung, die von der eigenen Organisation durchgeführt wird. Ziel ist es, zu bewerten, ob:

  • Prozesse und Kontrollen wie dokumentiert umgesetzt werden
  • Anforderungen aus Normen (ISO 9001, ISO 27001), Gesetzen (DORA, NIS2, GDPR) oder internen Richtlinien erfüllt sind
  • Verbesserungspotenzial identifiziert und genutzt wird

Anders als externe Audits durch Zertifizierungsstellen oder Regulatoren ist das interne Audit ein Lernwerkzeug – ohne Sanktionen, aber mit echtem Verbesserungspotenzial.

Abgrenzung zu anderen Audit-Arten

Audit-Art Durchgeführt von Zweck
Internes Audit (1st Party) Eigene Mitarbeitende Selbstbewertung, Verbesserung
Lieferantenaudit (2nd Party) Kunde beim Lieferanten Qualifizierung, Risikobewertung
Zertifizierungsaudit (3rd Party) Akkreditierte Stelle Zertifikatsvergabe
Regulatorisches Audit Behörde (BaFin, BSI) Compliance-Nachweis

Rechtliche und normative Grundlagen

Interne Audits sind in zahlreichen Rahmenwerken verbindlich vorgeschrieben:

ISO 9001:2015 (Abschnitt 9.2): Organisationen müssen in geplanten Abständen interne Audits durchführen, um festzustellen, ob das QMS konform und wirksam ist.

ISO 27001:2022 (Abschnitt 9.2): Interne Audits des ISMS müssen in geplanten Abständen stattfinden. Auditoren dürfen nicht ihre eigene Arbeit prüfen.

DORA (Art. 5 und Art. 6): Finanzunternehmen müssen ein IKT-Risikomanagement etablieren, das regelmäßige interne Überprüfungen einschließt.

NIS2-Richtlinie (Art. 21): Wesentliche und wichtige Einrichtungen müssen Maßnahmen zur Cybersicherheit umsetzen und deren Wirksamkeit regelmäßig überprüfen.

ISO 19011:2018: Der internationale Standard für Leitlinien zur Auditierung von Managementsystemen – das Praxis-Handbuch für interne Auditoren.

Phase 1: Auditplanung (4–6 Wochen vorher)

Jahres-Auditprogramm erstellen

Beginnen Sie nicht mit einzelnen Audits – beginnen Sie mit dem Jahresprogramm. Das Auditprogramm legt fest:

  • Welche Bereiche werden in welcher Frequenz geprüft?
  • Welche Auditoren werden eingesetzt?
  • Welche Ressourcen (Zeit, Budget) stehen zur Verfügung?
  • Welche Normen/Anforderungen sind maßgeblich?

Risikobasierter Ansatz: Bereiche mit höherem Risiko oder bekannten Schwachstellen häufiger prüfen. Ein Finanzdienstleister unter DORA sollte ICT-Drittanbieterrisiken mindestens jährlich auditieren.

Einzelnen Auditauftrag definieren

Für jedes geplante Audit brauchen Sie einen klaren Auftrag:

Auditoziele: Was soll bewertet werden? (z.B. „Konformität der Zugriffssteuerung mit ISO 27001 Anhang A.9")

Auditumfang: Welche Bereiche, Standorte, Systeme, Zeiträume sind eingeschlossen und ausgeschlossen?

Auditkriterien: Welche Anforderungen gelten als Referenz? (ISO-Norm, interne Richtlinie, gesetzliche Anforderung)

Auditor: Wer führt das Audit durch? Sicherstellen: Auditoren prüfen nie ihre eigene Arbeit (Unabhängigkeitsprinzip).

Unterlagen anfordern

Mindestens zwei Wochen vor dem Audit:

  • Aktuelle Prozessdokumentationen und Verfahrensanweisungen
  • Ergebnisse des letzten Audits und Status offener Maßnahmen
  • Risikobeurteilungen für den Auditbereich
  • Schulungsnachweise relevanter Mitarbeitender
  • Systemlogs und Aufzeichnungen (sofern relevant)

Phase 2: Auditdurchführung

Eröffnungsbesprechung

Die Eröffnungsbesprechung mit dem Auditteam (5–15 Minuten) ist kein Formalismus – sie setzt den Ton:

  1. Vorstellen der Auditoren und Auditziele
  2. Bestätigung von Umfang und Zeitplan
  3. Klärung der Kommunikationswege
  4. Kurze Beschreibung des Ablaufs

Wichtig: Die Atmosphäre soll kooperativ sein, nicht konfrontativ. Interne Audits dienen der Verbesserung.

Dokumentenprüfung

Bevor Sie Interviews führen, prüfen Sie die Dokumentation:

  • Existieren die erforderlichen Dokumente (Richtlinien, Verfahren, Aufzeichnungen)?
  • Sind sie aktuell und freigegeben?
  • Entsprechen sie den Auditkriterien?
  • Gibt es Lücken oder Widersprüche?

Notieren Sie jeden Befund mit Bezug auf die jeweilige Anforderung.

Interviews und Begehungen

Interviews: Befragen Sie Mitarbeitende auf verschiedenen Ebenen – nicht nur Führungskräfte. Fragen Sie konkret: „Können Sie mir zeigen, wie Sie das machen?" statt „Haben Sie das gemacht?"

Bewährte Fragetechniken:

  • Offene Fragen: „Wie gehen Sie vor, wenn...?"
  • Nachfragen: „Können Sie dazu ein Beispiel nennen?"
  • Stichproben: „Können wir das an diesem konkreten Fall nachvollziehen?"

Begehungen: Bei Prozess- und Umgebungsaudits gehen Sie physisch durch Produktionsbereiche, Serverräume oder Büros. Notieren Sie Beobachtungen sofort.

Befunde aufnehmen

Jeder Befund braucht vier Elemente:

  1. Anforderung: Welche konkrete Anforderung wurde geprüft?
  2. Befund: Was wurde tatsächlich vorgefunden?
  3. Bewertung: Konformität, Abweichung (minor/major), Verbesserungspotenzial oder positive Feststellung
  4. Nachweis: Welches Dokument, welcher Screenshot, welche Aussage belegt den Befund?

Klassifizierung von Abweichungen:

  • Kritische/Major Abweichung: Systematisches Versagen, das die Norm-Anforderung nicht erfüllt und eine potenzielle negative Auswirkung hat
  • Minor Abweichung: Einzelner Ausrutscher, der keine systemischen Auswirkungen hat
  • Verbesserungspotenzial (OFI): Kein Normverstoß, aber Optimierungschance
  • Positive Feststellung: Besonders gute Praxis, die anderen empfohlen werden kann

Abschlussbesprechung

Teilen Sie die Ergebnisse sofort nach der Auditdurchführung mit – keine Überraschungen im Bericht:

  1. Zusammenfassung der geprüften Bereiche
  2. Positive Feststellungen
  3. Abweichungen (Major und Minor) mit Referenz
  4. Verbesserungspotenziale
  5. Nächste Schritte und Fristen für Korrekturmaßnahmen

Phase 3: Auditbericht und Maßnahmenverfolgung

Auditbericht erstellen

Der Auditbericht ist das zentrale Dokument. Er muss enthalten:

Pflichtangaben nach ISO 19011:

  • Auditreferenz und -datum
  • Auditprogramm und -kriterien
  • Auditumfang und -grenzen
  • Namen der Auditoren und Auditees
  • Zusammenfassung der Ergebnisse
  • Alle Befunde mit Klassifizierung
  • Schlussfolgerung zur Konformität
  • Empfehlungen (falls zutreffend)

Qualität schlägt Länge: Ein 5-seitiger präziser Bericht ist wertvoller als ein 30-seitiger mit aufgefülltem Text.

Korrekturmaßnahmen definieren und verfolgen

Für jede Abweichung brauchen Sie:

  1. Sofortmaßnahme: Was wird unmittelbar getan, um den akuten Befund zu beheben?
  2. Ursachenanalyse: Warum ist die Abweichung entstanden? (5-Why, Ishikawa)
  3. Korrekturmaßnahme: Was wird dauerhaft geändert, um eine Wiederholung zu verhindern?
  4. Verantwortlicher: Wer setzt die Maßnahme um?
  5. Frist: Bis wann?
  6. Wirksamkeitsprüfung: Wie und wann wird geprüft, ob die Maßnahme wirksam war?

Ohne systematische Maßnahmenverfolgung ist jedes Audit wertlos. Das ist der häufigste Fehler in der Praxis.

Häufige Fehler bei internen Audits

Fehler 1: Auditoren prüfen ihre eigene Arbeit
Klassischer Interessenkonflikt. Der Prozessverantwortliche kann nicht gleichzeitig Auditor sein. Wenn interne Ressourcen fehlen, helfen Cross-Audits (Abteilung A prüft Abteilung B).

Fehler 2: Checklisten ohne Verstand
Eine vorgefertigte ISO-27001-Checkliste abzuhaken reicht nicht. Audits müssen risikobasiert und auf den tatsächlichen Prozess zugeschnitten sein.

Fehler 3: Keine Nachverfolgung von Maßnahmen
Befunde ohne Maßnahmenverfolgung sind Zeitverschwendung. Stellen Sie sicher, dass jede Abweichung einen Owner und eine Frist hat.

Fehler 4: Audit-Theater für externe Prüfer
Audits, die nur vor Zertifizierungen stattfinden und dann verschwinden, schaffen keinen Mehrwert. Interne Audits als kontinuierlichen Prozess etablieren.

Fehler 5: Mangelhafte Dokumentation
„Wir haben das getan" reicht nicht. Aufzeichnungen müssen so dokumentiert sein, dass Externe die Prüfung vollständig nachvollziehen können.

Interne Audits in verschiedenen Frameworks

ISO 9001 – Qualitätsmanagementsystem

Fokus: Prozesskonformität, Kundenanforderungen, Kundenzufriedenheit, KVP
Frequenz: Mindestens einmal jährlich (risikobasiert häufiger)
Besonderheit: Auditprogramm muss Ergebnisse früherer Audits berücksichtigen

ISO 27001 – Informationssicherheitsmanagement

Fokus: ISMS-Konformität, Anhang A Kontrollen (93 Controls in ISO 27001:2022)
Frequenz: Jährlich, plus anlassbezogen (Vorfälle, große Änderungen)
Besonderheit: Statement of Applicability muss geprüft werden

DORA – Digital Operational Resilience Act

Fokus: IKT-Risikomanagement, Incident Management, Drittanbieterrisiken, TLPT
Frequenz: Jährlich für wesentliche Finanzunternehmen
Besonderheit: Prüfung durch BaFin oder EBA möglich – interne Audits als Vorbereitung

NIS2 – Netzwerk- und Informationssicherheitsrichtlinie

Fokus: Governance, Risikomanagement, Incident Reporting, Supply-Chain-Security
Frequenz: Regelmäßig, risikobasiert
Besonderheit: Ab Herbst 2024 in deutschem Recht (BSIG-Novelle) verbindlich

Audit-Software: Wann lohnt sich der Einsatz?

Ab einer bestimmten Komplexität – mehr als ein Framework, mehrere Standorte, regulatorische Pflichtprüfungen – wird manuelle Audit-Verwaltung zum Engpass. Anzeichen:

  • Befunde gehen in E-Mail-Ketten verloren
  • Maßnahmen werden nicht konsequent nachverfolgt
  • Auditberichte liegen in verschiedenen Formaten auf verschiedenen Laufwerken
  • Die Vorbereitung auf externe Prüfungen dauert Wochen

Matproof bietet ein integriertes Audit-Management-Modul, das Auditplanung, Befunddokumentation und Maßnahmenverfolgung in einer Plattform vereint – mit vordefinierten Kontrollsets für ISO 27001, DORA, NIS2 und weitere Frameworks.

Mehr über Matproof Audit-Management →

Fazit: Internes Audit als strategisches Werkzeug

Ein interne Audit ist kein Selbstzweck und kein Papiertiger. Richtig durchgeführt:

  • Deckt es Schwachstellen auf, bevor externe Prüfer oder Regulatoren sie finden
  • Stärkt es die Compliance-Kultur im Unternehmen
  • Liefert es messbare Impulse für kontinuierliche Verbesserung
  • Bereitet es auf DORA-, ISO- und NIS2-Prüfungen professionell vor

Der Schlüssel liegt in der Konsequenz: Regelmäßige Audits, saubere Dokumentation, lückenlose Maßnahmenverfolgung.

Weiterführende Artikel:

internes auditinternes audit durchführeninterne revisionaudit planungiso 9001 auditiso 27001 audit

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern