ISO-Audit

Ein ISO-Audit ist eine systematische, unabhängige und dokumentierte Prüfung, ob ein Managementsystem (z. B. ISO 27001 für Informationssicherheit oder ISO 9001 für Qualität) die Anforderungen der jeweiligen Norm erfüllt. Es gibt drei Audit-Typen: internes Audit, Zertifizierungs-Audit und Überwachungsaudit.

Ein ISO-Audit prüft, ob ein Managementsystem die Anforderungen der zugrunde liegenden Norm erfüllt und in der Praxis wirksam betrieben wird. Die Audit-Methodik selbst ist in ISO 19011 standardisiert. Auditiert wird dokumentierte Prozessgestaltung, tatsächliche Umsetzung im Tagesgeschäft, Wirksamkeit der Maßnahmen sowie Lessons-Learned aus Vorfällen und Audits zuvor.

Drei Audit-Typen unterscheiden

1. Internes Audit (First-Party-Audit). Das Unternehmen prüft sich selbst, geführt durch unabhängige interne Auditoren oder externe Beauftragte. Ergebnisse fließen in den Managementbericht. Pflicht für ISO 27001 und ISO 9001, mindestens einmal jährlich.

2. Zertifizierungs-Audit (Third-Party-Audit). Eine akkreditierte Zertifizierungsstelle prüft das Managementsystem für die Erst-Zertifizierung. Verläuft in zwei Stufen: Stage 1 (Dokumenten-Review), Stage 2 (Vor-Ort-Audit über mehrere Tage). Bei Erfolg wird das Zertifikat für drei Jahre ausgestellt.

3. Überwachungsaudit (Surveillance-Audit). Jährlich nach der Erst-Zertifizierung. Die Zertifizierungsstelle prüft stichprobenartig die fortlaufende Wirksamkeit. Im dritten Jahr folgt das Re-Zertifizierungsaudit, das den vollen Scope wieder prüft.

Typische Findings und ihre Schwere

SchweregradBedeutungAuswirkung
Major Non-ConformityWesentliche Abweichung von der NormZertifikat wird entzogen oder nicht erteilt; Korrektur binnen 90 Tagen + Re-Audit
Minor Non-ConformityKleinere AbweichungKorrektur binnen 90 Tagen, kein Re-Audit aber Nachweis erforderlich
BeobachtungHinweis ohne HandlungspflichtEmpfehlung zur Verbesserung, kein formaler Mangel

Audit-Vorbereitung: Was den Erfolg ausmacht

Drei Faktoren entscheiden über das Audit-Ergebnis und die Audit-Dauer:

  • Aktueller [Audit-Trail]: Lückenlose Dokumentation aller Entscheidungen, Änderungen und Vorfälle. Excel-Listen scheitern hier regelmäßig.
  • Sauberes [Internal-Audit-Plan]: Wer die internen Audits dokumentiert, hat zwei Drittel der Vorbereitung schon erledigt.
  • Vorgeführte Wirksamkeit: Auditoren wollen sehen, dass Policies nicht nur existieren, sondern gelebt werden (Stichproben bei Mitarbeitenden, Tickets, Logs).

In Kopexa läuft die Audit-Vorbereitung kontinuierlich statt im Endspurt. Evidenzen werden automatisch gesammelt, der Audit-Trail ist manipulationssicher, und der Auditor kann Read-only-Zugang zur Plattform bekommen, was die Vor-Ort-Tage typischerweise um 30-50 % verkürzt.