Leistungen

Internes Audit: Planung, Durchführung und Follow-up

4 Min. Lesezeit

Interne Audits sind ein zentraler Bestandteil jedes Managementsystems, ob ISO 9001, ISO 27001 oder andere Standards. Sie decken Schwächen auf, bevor der externe Auditor sie findet, und sorgen dafür, dass sich das System tatsächlich verbessert.

Wozu interne Audits?

  • Konformität prüfen: Laufen Prozesse so, wie die Norm und eigene Vorgaben es verlangen?
  • Wirksamkeit prüfen: Funktionieren Controls und Maßnahmen in der Praxis?
  • Verbesserung anstoßen: Schwachstellen finden und Maßnahmen einleiten
  • Vorbereitung auf das externe Audit: Die beste Generalprobe

Das Audit-Programm

Das Audit-Programm legt fest, wann welche Bereiche dran sind.

Risikobasiert planen

Nicht jeder Bereich wird gleich oft auditiert:

  • Kritische Bereiche (Kernprozesse, kritische Systeme) häufiger
  • Bereiche mit vielen Änderungen oder neuen Prozessen priorisieren
  • Offene Findings aus früheren Audits nachverfolgen
  • Externe Anforderungen berücksichtigen (Regulierung, Kundenanforderungen)

Audit-Zyklus

Innerhalb des Zertifizierungszyklus (drei Jahre) muss das gesamte System mindestens einmal auditiert werden. Die meisten Organisationen arbeiten mit einem jährlichen Plan und rotierendem Fokus.

Vorbereitung

Scope und Ziel festlegen

  • Welche Prozesse, Abteilungen oder Controls werden geprüft?
  • Was genau wird bewertet: Konformität, Wirksamkeit oder beides?
  • Welche Normanforderungen sind relevant?

Checkliste bauen

Eine brauchbare Checkliste enthält:

  • Referenz auf Norm oder internes Dokument
  • Konkrete Prüffragen (offen formuliert)
  • Platz für Nachweise und Beobachtungen
  • Bewertung: konform, Beobachtung oder Abweichung

Unterlagen vorher sichten

  • Policies und Verfahrensanweisungen
  • Ergebnisse früherer Audits
  • Kennzahlen und Reports
  • Offene Maßnahmen

Durchführung

Eröffnungsgespräch

  • Scope und Ziel bestätigen
  • Zeitplan vorstellen
  • Vertraulichkeit klären
  • Ansprechpartner benennen

Interviews

Gute Audit-Interviews sind Gespräche, keine Verhöre:

  • Offen fragen: "Wie läuft dieser Prozess ab?" statt "Halten Sie sich an Verfahrensanweisung XY?"
  • Nachweise zeigen lassen: "Können Sie mir ein Beispiel zeigen?"
  • Durchgängig prüfen: Einen Vorgang von Anfang bis Ende verfolgen
  • Zuhören: Die meisten Findings entstehen durch aufmerksames Zuhören

Nachweise

  • Dokumente: Policies, Protokolle, Genehmigungen
  • Aufzeichnungen: Logs, Tickets, Schulungsnachweise
  • Beobachtungen: Arbeitsabläufe, Bildschirme, Zutrittskontrolle
  • Aussagen: Interviews (immer mit Nachweis untermauern)

Findings dokumentieren

Kategorien

  • Major Non-Conformity: Normanforderung systematisch nicht erfüllt oder Control unwirksam. Muss vor Zertifikatsvergabe behoben werden.
  • Minor Non-Conformity: Einzelner Verstoß ohne systematischen Charakter. Frist zur Behebung vereinbaren.
  • Beobachtung: Verbesserungspotenzial ohne direkten Normverstoß.
  • Positive Feststellung: Besonders gute Praxis. Wird oft vergessen, gehört aber dazu.

So formulieren, dass es hilft

Ein brauchbares Finding enthält drei Teile:

  • Was wurde festgestellt? (Beobachtung/Befund)
  • Gegen welche Anforderung? (Normklausel, Policy)
  • Welcher Nachweis? (Dokument, Interview, Beobachtung)

Beispiel: "Bei 3 von 10 geprüften Zugriffsrechten fehlte eine dokumentierte Genehmigung (ISMS Policy 4.2, Annex A 5.18)."

Abschlussgespräch

  • Findings zusammenfassen und Kategorisierung erläutern
  • Fristen für Korrekturmaßnahmen vereinbaren
  • Positive Beobachtungen benennen
  • Nächste Schritte klären

Nachbereitung

Audit-Bericht

  • Scope, Ziel, Zeitraum und Auditteam
  • Ergebnisse im Überblick
  • Findings mit Nachweisen
  • Positive Feststellungen
  • Empfehlungen

Maßnahmen verfolgen

  • Verantwortliche und Fristen für jedes Finding festlegen
  • Ursachen analysieren, nicht nur Symptome beheben
  • Wirksamkeit der Korrekturmaßnahmen prüfen
  • Ergebnisse ins Management-Review einfließen lassen

Typische Fehler

  • Audit als Polizeikontrolle: Wer so auftritt, bekommt Abwehr statt Offenheit.
  • Nur Papier prüfen: Ein Audit muss die gelebte Praxis bewerten.
  • Findings ohne Follow-up: Unbearbeitete Findings sind wertlos und fallen im externen Audit auf.
  • Eigene Arbeit auditieren: Unabhängigkeit ist Grundvoraussetzung. Wer den Prozess verantwortet, darf ihn nicht auditieren.

FAQ

Wer darf interne Audits durchführen?

Jeder mit der nötigen Kompetenz, der unabhängig vom auditierten Bereich ist. Eine formale Zertifizierung ist nicht nötig, Schulung nach ISO 19011 ist aber empfehlenswert.

Wie oft sind interne Audits nötig?

Keine feste Frequenz vorgeschrieben. Das gesamte System muss im Zertifizierungszyklus geprüft werden. Kritische Bereiche sollten jährlich dran sein.

Was tun bei einem Major Finding?

Ursache analysieren, Korrekturmaßnahme festlegen, umsetzen und Wirksamkeit nachweisen. Bei Erstzertifizierung muss das vor Stage 2 erledigt sein.

Wenn aus dem internen Audit eine konkrete Vorbereitung auf externe Prüfungen werden soll, sind Auditvorbereitung Frankfurt, ISO 27001 Auditvorbereitung und ISO 9001 Auditvorbereitung die passenden Einstiegsseiten.

Fazit

Interne Audits sind kein Pflichttermin zum Abhaken, sondern ein wirksames Werkzeug. Gut vorbereitet, fair durchgeführt und konsequent nachbereitet, machen sie jedes Managementsystem besser und nehmen dem externen Audit den Schrecken.

Interesse geweckt?

Sprechen Sie mit unseren Expert:innen über Ihr Projekt.

Kontakt aufnehmen
Alle Artikel