Zum Hauptinhalt springen
Compliance Allgemein

Audit

Eine systematische, unabhängige Untersuchung zur Feststellung, ob Prozesse und Maßnahmen den festgelegten Anforderungen entsprechen.

Ein Audit ist eine formelle, systematische und dokumentierte Untersuchung, bei der unabhängig bewertet wird, ob Aktivitäten, Prozesse und deren Ergebnisse mit den vereinbarten Vorgaben übereinstimmen. Im Compliance-Kontext dienen Audits dazu, die Wirksamkeit von Maßnahmen zu überprüfen, Schwachstellen zu identifizieren und kontinuierliche Verbesserungen anzustoßen. Audits können intern (durch eigene Mitarbeitende) oder extern (durch unabhängige Dritte oder Behörden) durchgeführt werden.

Man unterscheidet verschiedene Auditarten: Systemaudits prüfen ein gesamtes Management- oder Compliance-System. Prozessaudits fokussieren auf einzelne Abläufe. Produktaudits bewerten Merkmale eines Produkts. Lieferantenaudits prüfen externe Partner. Im regulatorischen Umfeld sind auch behördliche Kontrollen (z. B. durch BAFA, Datenschutzaufsichtsbehörden, BAFIN) als Audits zu verstehen. Die ISO 19011 liefert international anerkannte Leitlinien für die Durchführung von Audits.

Für Compliance-Beauftragte ist ein strukturiertes internes Audit-Programm ein Kernbestandteil des CMS. Regelmäßige Audits stellen sicher, dass Maßnahmen tatsächlich gelebt werden und nicht nur auf dem Papier existieren. Audit-Ergebnisse müssen dokumentiert und in Maßnahmenpläne überführt werden. Eine lückenlose Audit-Dokumentation ist auch bei externen Prüfungen und Behördenkontrollen von zentraler Bedeutung.

Rechtliche Grundlage

ISO 19011

Praxisbeispiel

Ein Unternehmen führt jährlich interne Datenschutz-Audits durch. Der Compliance-Beauftragte erstellt einen Auditplan, legt Prüffelder fest (z. B. Verarbeitungsverzeichnis, Betroffenenrechte, TOMs) und befragt verantwortliche Mitarbeitende. Abweichungen werden in einem Auditbericht dokumentiert. Kritische Feststellungen münden in Korrekturmaßnahmen mit definierten Fristen und Verantwortlichkeiten. Ein Follow-up-Audit nach sechs Monaten prüft die Umsetzung.

Häufige Fragen

Interne Audits werden von eigenen Mitarbeitenden oder einer internen Revision durchgeführt. Externe Audits werden von unabhängigen Dritten (z. B. Zertifizierungsstellen, Wirtschaftsprüfern, Behörden) vorgenommen. Externe Audits haben höhere Glaubwürdigkeit nach außen, interne Audits sind für die laufende Steuerung und Verbesserung geeignet.
Eine Auditfeststellung ist das Ergebnis der Beurteilung gesammelter Auditnachweise gegenüber den Auditkriterien. Feststellungen können Konformitäten (positiv), Abweichungen (Nichtkonformitäten) oder Verbesserungspotenziale sein. Nichtkonformitäten werden nach Schwere eingeteilt (z. B. Major/Minor) und erfordern Korrekturmaßnahmen.
Die Häufigkeit hängt vom Risikoprofil der Organisation ab. Als Faustregel gilt: Hochrisikobereiche jährlich, andere Bereiche alle zwei bis drei Jahre. Externe Audits im Rahmen von Zertifizierungen (z. B. ISO 27001) folgen festen Zyklen mit jährlichen Überwachungsaudits und Rezertifizierung alle drei Jahre.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Compliance-Management-System (CMS) ISO 27001 GRC (Governance, Risk & Compliance) Rechenschaftspflicht (Accountability) Datenschutz-Compliance
Zurück zum Glossar