Audit room

Interne Audits über mehrere Standards hinweg planen

ISO 27001, GDPR, NIS2, DORA, SOC 2 und weitere Standards gleichzeitig zu managen, kann überwältigend wirken. So entwickeln Sie ein einziges, effizientes internes Auditprogramm, das für alle Frameworks funktioniert.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 Min. Lesezeit
How to Plan Internal Audits Across Multiple Standards

Interne Audits für einen einzigen Standard durchzuführen ist bereits eine Herausforderung. Drei, vier oder fünf gleichzeitig? That’s where most organisations burn out ; duplicated work, inconsistent findings, endless checklists, and “audit season” panic every quarter.

Die Wahrheit ist einfach:Sie brauchen keine mehrfachen Audit-Programme. Sie brauchen eine einzige integrierte Lösung.

Die meisten Organisationen machen denselben Fehler: Sie planen interne Audits je Standard.

ISO 27001-Audit hier. GDPR-Audit dort. NIS2-Gap-Check. DORA-Readiness-Review. SOC 2-Kontrolltests.

Unterschiedliche Teams. Unterschiedliche Methoden. Unterschiedliche Berichte. Und 80 % der Arbeit überschneidet sich.

Die Realität aus der Praxis:Sie können mehrere Standards mit einem einzigen, risikobasierten, evidenzorientierten Programm auditieren, wenn Sie es richtig strukturieren.

So geht es.

1. Beginnen Sie mit dem Aufbau einer einheitlichen Kontrollbibliothek (Ihr Audit-Fundament)

Bevor Sie Audits planen, vereinheitlichen Sie die Kontrollen.

Die meisten Frameworks überschneiden sich erheblich:

  • ISO 27001: Grundgerüst der Sicherheits-Governance
  • SOC 2: Trust Services Criteria
  • GDPR: Datenschutz und Rechenschaftspflicht
  • NIS2: Sicherheit und operative Resilienz
  • DORA: IKT-Resilienz und Governance

Was die meisten Organisationen nicht erkennen: Alle stellen dieselben Fragen, nur mit unterschiedlichem Vokabular.

Ihre erste Aufgabe: Alles in einer einzigen Kontrollbibliothek zusammenführen, die auf jedes Framework gemappt ist.

Beispiele einheitlicher Kontrollthemen:

  • Zugriffsmanagement
  • Incident-Management
  • Change-Control
  • Asset-Management
  • Drittanbieter-Risiko
  • Logging und Monitoring
  • Kontinuität und Wiederherstellung
  • Sichere Entwicklung
  • Datenschutz
  • Governance und Rechenschaftspflicht

Praxisbeispiel: Ein Unternehmen, mit dem wir zusammengearbeitet haben, reduzierte 147 erforderliche Kontrollen aus vier Frameworks auf 63 einheitliche Kontrollen. Der Auditaufwand sank um die Hälfte.

Einheitliche Bibliothek: einheitliche Audits.

2. Auditieren Sie die Kontrollen, nicht die Standards

Organisationen scheitern, wenn sie Compliance-Frameworks einzeln auditieren. Interne Audits sollten stattdessen auf die Effektivität der Kontrollen ausgerichtet sein.

Beispiel: Instead of auditing “ISO A.9.2 – User Access Management,” auditieren Sie Ihren Zugriffsverwaltungsprozess einmalig und mappen die Ergebnisse auf:

  • ISO 27001
  • SOC 2 CC6
  • NIS2 Art. 21
  • DORA Article 10
  • GDPR (Sicherheit der Verarbeitung)

Ein Test, viele Compliance-Nachweise.

So skalieren echte GRC-Teams.

3. Priorisieren Sie Audits nach Risiko, nicht nach Kalenderfristen

Viele Organisationen richten interne Audits an externen Audit-Terminen aus.

Besserer Ansatz: Planen Sie auf Basis von:

  • Geschäftsrisiko
  • regulatorischen Auswirkungen
  • Vorfallshistorie
  • jüngsten Systemänderungen
  • neuen Lieferanten
  • neuen Dienstleistungen
  • Personalveränderungen
  • früheren Audit-Feststellungen

Praxisbeispiel: An organisation spent three months auditing low-risk HR processes because it was “on the calendar” Währenddessen waren Backups seit über einem Jahr nicht getestet worden.

Risiko vor Routine.

4. Erstellen Sie einen rollierenden 12-Monats-Auditkalender mit quartalsweisen Schwerpunkten

Forget the “big annual internal audit.” Es ist veraltet und wirkungslos.

Verwenden Sie einen rollierenden 12-Monats-Plan mit quartalsweisen Schwerpunktbereichen.

Beispielstruktur:

Q1: Governance und Risiko

  • Einbindung der Führungsebene
  • Risiko-Methodik
  • SoA-Abgleich
  • Richtlinien-Governance
  • regulatorische Anforderungen

Q2: Technische Kontrollen

  • Zugriffsreviews
  • Schwachstellenmanagement
  • sichere Konfiguration

Q3: Datenschutz und Drittparteien

  • GDPR-Anforderungen
  • DPIAs
  • Lieferantenbewertungen
  • Drittanbieter-Risiko

Q4: Resilienz und Betrieb

  • Incident-Response-Tests
  • Krisenübungen
  • DORA/NIS2-Betriebsprüfungen

So gewährleisten Sie vollständige Abdeckung, ohne die Teams zu überlasten.

5. Nutzen Sie ein einziges Evidenz-Repository, getaggt nach Standard

Sie brauchen keine separaten Evidenzordner für ISO, SOC 2, GDPR, NIS2 und DORA.

Sie brauchen eine einzige Evidenzbibliothek mit Tagging.

Beispiel:

  • “Access Review Q1 2025” – ISO: A.5.18 – SOC 2: CC6.1 – NIS2: Art. 21 (2)(e) – DORA: Article 10 (2)(d)

Ein Nachweis, viele Frameworks.

Praxisbeispiel: Ein Kunde reduzierte die Vorbereitungszeit für Audits um 70 % nach der Einführung von Tagging.

Einheitliche Evidenz: einheitliche Audits.

6. Standardisieren Sie Ihre Audit-Checkliste auf 6 universelle Fragen

Interne Audits brauchen keine 60-seitigen Checklisten pro Standard.

Sie brauchen sechs universelle Audit-Fragen:

  1. Existiert der Prozess?
  2. Ist er dokumentiert?
  3. Wird er wie dokumentiert umgesetzt?
  4. Sind Nachweise vorhanden und verlässlich?
  5. Ist die Verantwortlichkeit klar geregelt?
  6. Reduziert er das Risiko effektiv?

Diese sechs Fragen gelten für jedes Framework.

Auditoren prüfen keine Standards. Sie prüfen Verhalten, Konsistenz und Nachweise.

7. Schulen Sie Auditoren im systemischen Denken, nicht im Framework-by-Framework-Denken

Die besten internen Auditoren sagen nicht: “I’m here to check ISO clause A.8.12.”

Sie sagen: “I’m here to evaluate how you manage change, risk, and evidence.”

Interne Auditoren müssen verstehen:

  • das Geschäft
  • die Systeme
  • die Arbeitsabläufe
  • die Unternehmenskultur
  • das tatsächliche Risiko im Vergleich zum dokumentierten Risiko

Praxisbeispiel: Wir schulten ein internes Audit-Team darin, prozessorientiert statt klauselorientiert zu auditieren. Plötzlich wurden Audits nützlich, denn die Feststellungen waren handlungsorientiert, nicht akademisch.

8. Dokumentieren Sie Feststellungen in einem einheitlichen Format, das alle Frameworks abbildet

Hören Sie auf, separate Feststellungen pro Regulierung zu verfassen. Formulieren Sie eine einzige Feststellung und versehen Sie sie mit Tags.

Beispielfeststellung:“Privileged access reviews are inconsistent across systems.”

Tags:

  • ISO A.5.18
  • SOC 2 CC6
  • DORA Art. 10
  • GDPR Art. 32 (Sicherheit der Verarbeitung)

Eine Feststellung, multi-standard-Relevanz.

Das verbessert die Berichterstattung und vereinfacht Maßnahmenpläne für das Management.

9. Machen Sie interne Audits zu Entscheidungsinstrumenten, nicht zu Kontrollinstrumenten

Internal audits are not about “catching failures.” Sie dienen dazu, die Führungsebene zu informieren und die Resilienz zu stärken.

Ein gutes Audit liefert:

  • klare Auswirkungen auf das Geschäft
  • Kostenimplikationen
  • Risikoexposition
  • erforderliche Entscheidungen
  • priorisierte Empfehlungen

Wenn Ihre Audit-Berichte nicht zu Entscheidungen führen, ist Ihr Programm Lärm, keine Governance.

10. Verwenden Sie ISO 19011 als übergeordnete Methodik

ISO 19011 wird zu wenig thematisiert. Es ist der universelle Standard für die Auditierung von Managementsystemen.

Er vermittelt:

  • Planung
  • Durchführung von Audits
  • Kompetenzanforderungen
  • Berichterstattung
  • Follow-up
  • ethische Grundlagen

Sie können ihn für ISO 27001, GDPR, NIS2, DORA und SOC 2 einsetzen. Er ist das verbindende Element.

Praxisbeispiel: Jedes einheitliche Audit-Programm, das langfristig funktioniert, verwendet ISO 19011 als Grundgerüst.

Abschließender Gedanke

Interne Audits skalieren nicht, wenn Sie Frameworks als voneinander getrennte Welten behandeln. Sie skalieren, wenn Sie Compliance als ein einziges Governance-System mit mehreren Outputs betrachten.

Einheitliche Audits:

  • senken Kosten
  • reduzieren Audit-Erschöpfung
  • verbessern die Qualität der Nachweise
  • verkürzen externe Audits
  • stärken die Risikotransparenz
  • binden die Führungsebene ein
  • schützen das Unternehmen

Ein System. Viele Frameworks. Null Redundanz.

Wenn Sie ein einheitliches Audit-Programm für ISO 27001, GDPR, SOC 2, NIS2 und DORA aufbauen möchten, einfach, effizient und evidenzbasiert, genau das vermitteln wir in den Cyber Academy Lead Auditor Programs. Nehmen Sie an der nächsten Sitzung teil und verändern Sie die Art und Weise, wie Ihre Organisation auditiert.

← Zurück zu allen ArtikelnMehr zu Audit room

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.

Newsletter abonnierenBack to articles