Audit-Engagements

Verwalten Sie Compliance-Audits von der Vorbereitung bis zum Abschluss.

Überblick

Audit-Engagements hilft Ihnen dabei:

• Audit-Aktivitäten zu planen und zu verfolgen
• Auditorenzugriff und -anfragen zu verwalten
• Nachweise zu sammeln und zu organisieren
• Audit-Feststellungen und Behebung zu verfolgen
• Audit-bereite Berichte zu generieren

Navigieren Sie zu Audits in der Seitenleiste.

Audit-Typen

Interne Audits

Selbstbewertungen und interne Überprüfungen:

• Sicherheitsbewertungen
• Richtlinien-Compliance-Prüfungen
• Kontrollwirksamkeitstests
• Lückenanalyse

Externe Audits

Drittanbieter-Auditor-Engagements:

• SOC 2 Type I/II
• ISO 27001-Zertifizierung
• PCI-DSS-Bewertung
• HIPAA-Audits
• Behördliche Prüfungen

Audit erstellen

Neues Audit-Engagement

1. Gehen Sie zu Audits → Engagement erstellen
2. Geben Sie Audit-Details ein:
   • Audit-Name
   • Typ (Intern/Extern)
   • Framework (SOC 2, ISO, etc.)
   • Audit-Zeitraum Start/Ende
   • Auditor/Firmenname
3. Setzen Sie Schlüsselmeilensteine
4. Klicken Sie auf Erstellen

Audit-Details

Feld	Beschreibung
Name	Audit-Engagement-Name
Typ	Intern oder Extern
Framework	Compliance-Framework
Zeitraum	Audit-Zeitraumdaten
Status	Planung, In Bearbeitung, Abgeschlossen
Leiter	Interner Audit-Leiter
Auditor	Externer Auditor/Firma

Audit-Workflow

Phasen

Planung → Feldarbeit → Berichterstattung → Behebung → Abschluss

1. Planungsphase

Vorbereitung auf Audit:

• Umfang und Ziele definieren
• Schlüsselkontrollen identifizieren
• Vorläufige Nachweise sammeln
• Auditor-Meetings planen
• Interne Ressourcen zuweisen

Checkliste:

• [ ] Audit-Umfang bestätigen
• [ ] Im Umfang befindliche Systeme identifizieren
• [ ] Kontrolleigentümer zuweisen
• [ ] Nachweisinventar vorbereiten
• [ ] Kickoff-Meeting planen

2. Feldarbeitsphase

Aktive Audit-Periode:

• Auf Auditor-Anfragen reagieren
• Nachweise bereitstellen
• Tests erleichtern
• Vorläufige Feststellungen adressieren

Auditor-Aktivitäten:

• Kontrolltests
• Nachweisüberprüfung
• Walkthroughs
• Interviews

3. Berichtsphase

Ergebnisse erhalten und überprüfen:

• Berichtsentwurf überprüfen
• Management-Response vorbereiten
• Finaler Bericht-Zustellung

4. Behebungsphase

Audit-Feststellungen adressieren:

• Behebungsaufgaben erstellen
• Eigentümer zuweisen
• Fortschritt verfolgen
• Nachweis der Behebung bereitstellen

5. Abschlussphase

Engagement abschließen:

• Finaler Bericht akzeptiert
• Behebung verifiziert
• Lessons learned dokumentiert
• Engagement archivieren

Nachweis-Anfragen

Anfragen verwalten

Wenn Auditoren Nachweise anfordern:

1. Gehen Sie zu Audits → [Engagement] → Anfragen
2. Zeigen Sie ausstehende Anfragen an
3. Klicken Sie auf Anfrage, um Details zu sehen
4. Laden Sie Nachweis hoch oder verknüpfen Sie ihn
5. Reichen Sie zur Auditor-Überprüfung ein

Anfragestatus

Status	Beschreibung
Ausstehend	Wartet auf Antwort
Eingereicht	Nachweis bereitgestellt
Akzeptiert	Auditor genehmigt
Abgelehnt	Auditor benötigt mehr Info
Geschlossen	Anfrage abgeschlossen

Anfrageliste

Offene Anfragen: 8

Heute fällig (2):
- CC6.1: Zugriffskontrollrichtlinie
- CC6.3: Benutzerzugriffsprüfung

Diese Woche fällig (4):
- CC7.1: Schwachstellen-Scan-Ergebnisse
- CC7.2: Vorfallreaktionsplan
- CC8.1: Change-Management-Prozess
- CC9.1: Risikobewertung

Später fällig (2):
- CC1.1: Vorstandssitzungsprotokolle
- CC2.1: Kommunikationsrichtlinie

Massen-Antwort

Auf mehrere Anfragen antworten:

1. Wählen Sie verwandte Anfragen aus
2. Klicken Sie auf Massen-Antwort
3. Laden Sie Nachweis hoch, der mehrere Anfragen abdeckt
4. Ordnen Sie Nachweis Anfragen zu
5. Reichen Sie alle ein

Auditor-Portal

Professional-Funktion

Auditor-Portal erfordert Professional- oder Enterprise-Plan.

Portal-Zugriff

Gewähren Sie Auditoren Nur-Lese-Zugriff:

1. Gehen Sie zu Audits → [Engagement] → Zugriff
2. Klicken Sie auf Auditor einladen
3. Geben Sie Auditor-E-Mail ein
4. Setzen Sie Berechtigungen
5. Senden Sie Einladung

Portal-Funktionen

Auditoren können:

• Zugewiesene Kontrollen anzeigen
• Nachweis-Anfragen einreichen
• Eingereichte Nachweise überprüfen
• Kommentare/Fragen hinzufügen
• Anfragen als abgeschlossen markieren

Zugriffsebenen

Ebene	Fähigkeiten
Viewer	Nur Nachweise anzeigen
Reviewer	Anzeigen + kommentieren
Requester	Anzeigen + kommentieren + anfordern

Audit-Feststellungen

Feststellungstypen

Typ	Beschreibung
Beobachtung	Kleines Problem, informativ
Feststellung	Kontrollmangel
Ausnahme	Fall von Nicht-Compliance
Wesentliche Schwäche	Erhebliches Kontrollversagen

Feststellungen verfolgen

1. Gehen Sie zu Audits → [Engagement] → Feststellungen
2. Zeigen Sie alle identifizierten Feststellungen an
3. Klicken Sie auf Feststellung für Details
4. Weisen Sie Behebungseigentümer zu
5. Verfolgen Sie bis zur Lösung

Management-Response

Dokumentieren Sie Ihre Antwort auf Feststellungen:

1. Öffnen Sie Feststellung
2. Klicken Sie auf Management-Response
3. Fügen Sie Antwort hinzu:
   • Grundursache
   • Behebungsplan
   • Zieldatum
   • Verantwortliche Partei
4. Reichen Sie Antwort ein

Behebungsverfolgung

Feststellung: Zugriffsprüfungshäufigkeit

Status: In Behebung
Eigentümer: Jane Smith
Ziel: 15. Feb 2026

Fortschritt:
[✓] Grundursache identifiziert
[✓] Behebungsplan genehmigt
[ ] Technische Implementierung
[ ] Dokumentationsaktualisierung
[ ] Verifizierungstest

Berichterstattung

Audit-Dashboard

Zeigen Sie Audit-Status auf einen Blick:

SOC 2 Type II Audit 2026

Status: Feldarbeit (65% abgeschlossen)
████████████████████████░░░░░░░░░░░░░░ 65%

Zeitplan:
15. Jan - Kickoff ✓
1. Feb  - Feldarbeit-Start ✓
1. Mär  - Feldarbeit-Ende (in Arbeit)
15. Mär - Berichtsentwurf
1. Apr  - Finaler Bericht

Anfragen: 45 gesamt
├── Akzeptiert: 30 (67%)
├── Eingereicht: 10 (22%)
└── Ausstehend: 5 (11%)

Statusbericht

Generieren Sie Statusbericht:

1. Klicken Sie auf Berichte → Audit-Status
2. Wählen Sie Engagement aus
3. Wählen Sie Abschnitte aus
4. Generieren Sie PDF

Nachweis-Paket

Erstellen Sie umfassendes Nachweis-Paket:

1. Gehen Sie zu Audits → [Engagement] → Paket
2. Wählen Sie Kontrollen und Nachweise aus
3. Fügen Sie Inhaltsverzeichnis hinzu
4. Schließen Sie Metadaten ein
5. Generieren Sie Paket

Paket enthält:

• Deckblatt
• Kontrollmatrix
• Nachweisdokumente
• Erfassungsmetadaten
• Chain of Custody

Audit-Kalender

Timeline-Ansicht

Zeigen Sie alle Audit-Aktivitäten an:

Januar 2026
─────────────────────────────────────────────────
Woche 1: SOC 2 - Kickoff-Meeting
Woche 2: SOC 2 - Kontrolltests beginnen
Woche 3: ISO 27001 - Vorbewertung
Woche 4: PCI-DSS - SAQ-Fertigstellung fällig

Meilensteine

Verfolgen Sie Schlüsseldaten:

Meilenstein	Datum	Status
Audit-Kickoff	15. Jan	Abgeschlossen
Nachweis-Anfrage-Frist	15. Feb	Ausstehend
Feldarbeit abgeschlossen	1. Mär	Bevorstehend
Berichtsentwurf	15. Mär	Bevorstehend
Finaler Bericht	1. Apr	Bevorstehend

Erinnerungen

Erhalten Sie Benachrichtigungen für:

• Bevorstehende Meilensteine
• Überfällige Anfragen
• Antwortfristen
• Feststellungs-Fälligkeitsdaten

Multi-Framework-Audits

Kombinierte Audits

Verwalten Sie Audits, die mehrere Frameworks abdecken:

1. Erstellen Sie Engagement
2. Wählen Sie mehrere Frameworks aus
3. Ordnen Sie gemeinsame Kontrollen zu
4. Nachweise werden für alle Frameworks verwendet

Effizienzvorteile

Kontrolle: Zugriffsprüfungen

Zugeordnet zu:
- SOC 2 CC6.2 ✓
- ISO 27001 A.9.2.5 ✓
- PCI-DSS 8.1.4 ✓

Ein Nachweis-Set, drei Frameworks!

API-Zugriff

# Audit-Engagements auflisten
GET /api/v1/audits?status=in_progress

# Engagement-Details abrufen
GET /api/v1/audits/{audit_id}

# Engagement erstellen
POST /api/v1/audits
{
  "name": "SOC 2 Type II 2026",
  "type": "external",
  "framework": "soc2",
  "period_start": "2025-01-01",
  "period_end": "2025-12-31",
  "auditor": "Example CPA Firm"
}

# Nachweis-Anfragen auflisten
GET /api/v1/audits/{audit_id}/requests

# Auf Anfrage antworten
POST /api/v1/audits/{audit_id}/requests/{request_id}/respond
{
  "evidence_ids": ["evidence_123", "evidence_456"],
  "notes": "Bitte siehe beigefügte Dokumente"
}

Siehe API-Referenz für vollständige Dokumentation.

Best Practices

1. Früh beginnen: Beginnen Sie Vorbereitung 2-3 Monate im Voraus
2. Eigentümer zuweisen: Jede Kontrolle braucht einen Eigentümer
3. Nachweise organisieren: Halten Sie Nachweise ganzjährig organisiert
4. Klar kommunizieren: Regelmäßige Updates an Auditoren
5. Alles verfolgen: Dokumentieren Sie alle Interaktionen
6. Aus Feststellungen lernen: Adressieren Sie Grundursachen
7. Erfassung automatisieren: Verwenden Sie automatisierte Nachweise wo möglich