Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
Internes Audit für Managementsysteme | SECURAM Hamburg

Leistungsart · Alle Säulen

Internes Audit für Managementsysteme

Das interne Audit ist die Qualitätssicherungsphase zwischen Implementierung und Zertifizierung. SECURAM prüft Ihr Managementsystem nach der Methodik der ISO 19011 auf Normkonformität, identifiziert Abweichungen und dokumentiert den Reifegrad. Das Ergebnis: Klarheit über den Status Ihres Systems, bevor der externe Auditor kommt.

Audit anfragen Ablauf ansehen
Audit KONFORMITÄTSPRÜFUNG
4 Säulen
Alle Managementsysteme
SECURAM
15 Standards
ISO, BSI, NIS-2, DORA & mehr
SECURAM Norm-Portfolio
§ 9.2
ISO-Normkapitel Internes Audit
ISO 19011 Methodik
2–5 Tage
Typische Auditdauer vor Ort
Erfahrungswert SECURAM

Ausgangslage

Warum interne Audits keine Kür, sondern Pflicht sind

Kapitel 9.2 der ISO-Managementsystemnormen verlangt regelmäßige interne Audits. Für kleine und mittlere Unternehmen wird diese Anforderung zur organisatorischen Herausforderung.

Jede ISO-Managementsystemnorm, ob ISO 27001 für Informationssicherheit, ISO 22301 für Business Continuity oder ISO 42001 für KI-Managementsysteme, fordert in Kapitel 9.2 die Durchführung interner Audits in geplanten Intervallen. Diese Prüfungen sollen sicherstellen, dass das Managementsystem die eigenen Vorgaben und die Normanforderungen erfüllt. Sie sind keine optionale Zusatzleistung, sondern zwingende Voraussetzung für jede Zertifizierung.

Die zentrale Schwierigkeit für den Mittelstand liegt in der geforderten Unabhängigkeit. ISO 19011 verlangt, dass Auditoren nicht ihre eigene Arbeit prüfen. In Organisationen mit 50 bis 500 Mitarbeitenden, in denen eine Person häufig mehrere Rollen im Managementsystem übernimmt, ist diese Anforderung intern kaum zu erfüllen. Nadine Eibel, Lead Auditorin ISO 27001 und Geschäftsführerin der SECURAM Consulting, kennt dieses Muster aus zahlreichen Projekten: „Viele Unternehmen investieren erheblich in die Implementierung ihres Managementsystems, unterschätzen aber den Aufwand für ein normkonformes internes Audit.“

Ein strukturiertes internes Audit erfüllt dabei mehrere Funktionen gleichzeitig: Es bereitet auf das externe Zertifizierungsaudit vor, deckt Abweichungen auf, bevor sie zur Hauptabweichung beim Zertifizierer werden, und liefert belastbare Eingaben für das Management Review. Wer die interne Prüfung als reinen Pflichttermin behandelt, verschenkt das Potenzial für gezielte Verbesserungen. Eine vorherige GAP-Analyse kann den Auditprozess zusätzlich schärfen, indem sie bereits bekannte Abweichungen dokumentiert und priorisiert.

Normabdeckung

15 Standards in vier Säulen

Interne Audits gelten für jede Managementsystemnorm. SECURAM prüft über alle vier Säulen hinweg und erkennt normübergreifende Zusammenhänge, die bei isolierten Einzelaudits verborgen bleiben.

ISMS
8 Standards
ISO 27001 CISIS12 TISAX BSI IT-GS KRITIS DORA CRA NIS-2
BCMS
2 Standards
ISO 22301 BSI 200-4
AIMS
2 Standards
ISO 42001 EU AI Act
Risikomanagement
3 Standards
ISO 27005 BSI 200-3 MaRisk

Ablauf

Fünf Phasen eines internen Audits

Auditprogramm & Scope

1 Woche

Festlegung des jährlichen Auditprogramms auf Basis einer risikobasierten Auswahl. Definition des Geltungsbereichs, der Auditkriterien und Zuweisung qualifizierter Auditoren. Abstimmung mit der Organisation über Termine, Interviewpartner und benötigte Dokumente.

Ergebnis: Auditprogramm, Auditplan mit Zeitplan und Auditor-Zuweisung

Dokumentenprüfung

1–2 Wochen

Sichtung der Managementsystem-Dokumentation: Leitlinien, Verfahrensanweisungen, Risikobewertungen, Statement of Applicability und Nachweise abgeschlossener Maßnahmen. Abgleich mit Normkapiteln und Prüfung auf Vollständigkeit, Aktualität und Konsistenz. Auswertung früherer Auditfeststellungen.

Ergebnis: Dokumenten-Review-Protokoll, identifizierte Prüfschwerpunkte

Vor-Ort-Audit

1–3 Tage

Durchführung des Audits vor Ort oder remote: Interviews mit Prozessverantwortlichen, Stichprobenprüfung von Nachweisen, Beobachtung operativer Abläufe. Jede Feststellung wird mit Auditnachweisen belegt und gegen die Normkriterien bewertet. Abschlussgespräch mit der Leitung zur Vorstellung vorläufiger Ergebnisse.

Ergebnis: Auditnotizen, vorläufige Feststellungsliste, Abschlussgespräch

Auditbericht

1 Woche

Erstellung des formalen Auditberichts mit Klassifizierung aller Feststellungen: Hauptabweichung (Major), Nebenabweichung (Minor) und Beobachtung (Observation). Jede Feststellung enthält den Normbezug, den Auditnachweis und eine Handlungsempfehlung. Der Bericht bildet die Grundlage für das Management Review.

Ergebnis: Auditbericht (PDF, 20–50 Seiten), Feststellungsliste mit Schweregrad

Nachverfolgung

Fortlaufend

Vereinbarung von Korrekturmaßnahmen mit Verantwortlichen und Fristen. Überprüfung der Wirksamkeit umgesetzter Maßnahmen. Die Ergebnisse fließen als Eingabe in das Management Review ein und dokumentieren den kontinuierlichen Verbesserungsprozess nach dem PDCA-Zyklus.

Ergebnis: Maßnahmentracking, Wirksamkeitsprüfung, Management-Review-Input

Zeitangaben beziehen sich auf ein Erstprojekt. Bei bestehenden Managementsystemen, Surveillance Audits oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Ihre Ergebnisse

Was Sie erhalten

Auditplan

Geltungsbereich, Auditkriterien, Zeitplan, Auditor-Zuweisung und Interviewplanung. Wird vor dem Audit mit der Organisation abgestimmt.

Format: PDF

Auditbericht

Vollständiger Prüfbericht mit Feststellungen, Auditnachweisen, Konformitätsbewertung und Handlungsempfehlungen. Umfang 20 bis 50 Seiten je nach Geltungsbereich.

Format: PDF, 20–50 Seiten

Feststellungsliste

Kategorisierte Übersicht aller Feststellungen mit Schweregrad (Major, Minor, Observation), Normbezug und Fristen für Korrekturmaßnahmen.

Format: Excel

Maßnahmentracking

Strukturierte Liste aller vereinbarten Korrekturmaßnahmen mit Verantwortlichen, Zieldaten und Statusverfolgung. Grundlage für die Wirksamkeitsprüfung und das Management Review.

Format: Excel

Weitere Leistungsarten

Alle Leistungsarten im Überblick

Implementierung

Aufbau und Zertifizierung

Managementsystem aufbauen und bis zur Zertifizierung begleiten.

→ Implementierung
Auditierung

Internes Audit

Unabhängige Prüfung Ihres Managementsystems gegen Norm-Anforderungen.

Aktuelle Seite
Begleitung (aaS)

Laufender Betrieb

Managementsystem als externe Funktion im Retainer-Modell betreiben.

→ aaS-Produkte

Auditpflicht erfüllen, Zertifizierung vorbereiten

Ein strukturiertes internes Audit deckt Schwachstellen auf, bevor es der externe Auditor tut.

Audit anfragen →
Mitgliedschaften und Zertifizierungen

Häufige Fragen

FAQ — Internes Audit

Ein internes Audit ist eine systematische, unabhängige Überprüfung eines Managementsystems gegen definierte Normkriterien. Die Anforderung ergibt sich aus Kapitel 9.2 der ISO-Managementsystemnormen (ISO 27001, ISO 22301, ISO 42001). Das Audit wird nach der Methodik der ISO 19011 durchgeführt und prüft, ob dokumentierte Prozesse tatsächlich gelebt werden und die Normkonformität gewährleistet ist. Es dient der Vorbereitung auf das externe Zertifizierungsaudit und der kontinuierlichen Verbesserung.

Die Dauer hängt von der Größe der Organisation, dem Geltungsbereich und der Anzahl der zu prüfenden Standorte ab. In der Regel umfasst die Vor-Ort-Phase eines internen Audits zwei bis fünf Tage. Hinzu kommen die Vorbereitung (Dokumentenprüfung, Auditplanung) und die Nachbereitung (Berichterstellung, Maßnahmenabstimmung). Für ein Erstaudit eines ISMS mit 50 bis 200 Mitarbeitenden sollte man insgesamt vier bis sechs Wochen einplanen.

Die Kosten richten sich nach dem Umfang des Geltungsbereichs, der Anzahl der Standorte und der Komplexität des Managementsystems. SECURAM erstellt ein individuelles Angebot auf Basis eines Vorgespräches, in dem Scope und Auditkriterien abgestimmt werden. Anders als bei internen Lösungen entfallen Schulungskosten für eigene Auditoren und das Risiko fehlender Unabhängigkeit.

SECURAM prüft über alle vier Säulen der Managementsysteme hinweg: ISMS, BCMS, AIMS und Risikomanagement. Das bedeutet, dass ein einziges Auditteam normübergreifende Zusammenhänge erkennt, die bei isolierten Einzelaudits verloren gehen. Nadine Eibel als Lead Auditorin ISO 27001 mit CISM-Zertifizierung bringt operative Erfahrung aus der Implementierung mit, nicht nur Prüfkompetenz. Das Ergebnis sind Feststellungen, die sich direkt in Verbesserungsmaßnahmen übersetzen lassen.

Interne Audits werden von qualifizierten Auditoren durchgeführt, die unabhängig vom geprüften Bereich sind. ISO 19011 fordert Objektivität und Unparteilichkeit. Für kleine und mittlere Unternehmen ist diese Unabhängigkeit intern oft schwer sicherzustellen, weshalb die Beauftragung eines externen Auditdienstleisters wie SECURAM eine verbreitete und normkonforme Lösung darstellt.

ISO 19011 ist der internationale Leitfaden für die Auditierung von Managementsystemen. Die Norm definiert Grundsätze des Auditierens, beschreibt das Management von Auditprogrammen und gibt Anleitungen zur Durchführung von Audits sowie zur Kompetenz von Auditoren. Sie ist auf alle Managementsystemnormen anwendbar und bildet die methodische Grundlage für interne wie externe Audits.

Stellen Sie sicher, dass die Dokumentation Ihres Managementsystems aktuell und vollständig ist. Dazu gehören Leitlinien, Verfahrensanweisungen, Risikobewertungen und Nachweise durchgeführter Maßnahmen. Informieren Sie die betroffenen Mitarbeitenden über den Auditablauf und stellen Sie Interviewpartner bereit. Eine vorherige GAP-Analyse kann offensichtliche Lücken aufdecken und die Auditeffizienz erhöhen.

Jede Feststellung wird nach Schweregrad klassifiziert: Hauptabweichung (Major), Nebenabweichung (Minor) oder Beobachtung (Observation). Für Abweichungen werden Korrekturmaßnahmen mit Verantwortlichen und Fristen vereinbart. SECURAM liefert eine strukturierte Feststellungsliste mit Nachverfolgungssystem. Die Ergebnisse fließen in das Management Review ein und bilden die Grundlage für den kontinuierlichen Verbesserungsprozess nach PDCA.

Ein internes Audit (First-Party-Audit) wird von der Organisation selbst oder in deren Auftrag durchgeführt. Es dient der Selbstbewertung und Vorbereitung auf die Zertifizierung. Ein externes Audit (Third-Party-Audit) wird von einer akkreditierten Zertifizierungsstelle durchgeführt und ist Voraussetzung für die Erteilung oder Aufrechterhaltung eines Zertifikats. Beide Auditarten folgen der Methodik nach ISO 19011, unterscheiden sich aber in Auftraggeber und rechtlicher Wirkung.

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen