Ein Audit ist eine sys­te­ma­ti­sche Vor­ge­hens­wei­se zur Über­prü­fung, ob ein Manage­ment­sys­tem die durch die Norm vor­ge­ge­be­nen Anfor­de­run­gen erfüllt und ob es im Sin­ne der Norm wirk­sam ist.

Dabei kann das Manage­men­sys­tem an sich über­prüft wer­den oder ein­zel­ne Teil­aspek­te davon z.B. in Form einer Bau­stein­prü­fung (im Kon­text des IT-Grund­schutz oder CISIS12). Mög­li­che Umset­zungs­de­fi­zi­te oder noch vor­han­de­ne Schwach­stel­len wer­den im Rah­men einer neu­tra­len Über­prü­fung iden­ti­fi­ziert und kön­nen durch die audi­tier­te Orga­ni­sa­ti­on im Anschluß ziel­ge­rich­tet besei­tigt wer­den.

Die meis­ten Nor­men for­dern regel­mä­ßi­ge, inter­ne Audits (inter­nal audits). Von der Bezeich­nung soll­te man sich nicht irre­füh­ren las­sen. Soll­ten Sie kei­ne Vor­stel­lung haben, wie ein sol­ches inter­nes Audit durch­zu­füh­ren ist oder es feh­len Ihnen die Res­sour­cen dazu, dann kön­nen inter­ne Audits selbst­ver­ständ­lich auch durch Exter­ne durch­ge­führt wer­den. Dies hat zudem den Vor­teil der Ver­mei­dung von Betriebs­blind­heit oder Gefäl­lig­keits­prü­fun­gen.

Es kann durch­aus auch vor­kom­men, dass Auf­trag­ge­ber eines Dienst­leis­ters einen Audi­tor mit der Durch­füh­rung einer Über­prü­fung des Sicher­heits­ni­veaus beauf­tra­gen. Sie sehen, es gibt vie­le unter­schied­li­che Ein­satz­zwe­cke.