Audit-Software: Was eine Lösung leisten muss, die Prüfungen wirklich aushält

Audit-Software hat eine einfache Aufgabe und eine schwierige Wirklichkeit. Sie soll Nachweise zu Prozessen, Kontrollen und Pflichten so ablegen, dass eine interne Revision, ein externer Auditor oder eine Aufsichtsbehörde sie innerhalb weniger Minuten findet. Die Wirklichkeit ist, dass viele Werkzeuge Tickets verwalten, aber keine Beweiskette führen. Wer ISO/IEC 27001:2022, DSGVO und das NIS-2-Umsetzungsgesetz in einem Haus zusammenbringt, braucht mehr als ein Aufgabenbrett.

Dieser Beitrag beschreibt, welche Funktionen eine belastbare Audit-Software mitbringen muss, an welchen Stellen Standardprodukte typischerweise scheitern und wie CIVAC die Plattform mit einem operativen Beauftragten-Modell kombiniert. Der Fokus liegt auf nachweispflichtigen Rollen: Datenschutzbeauftragter, Informationssicherheitsbeauftragter, Compliance-Beauftragter, Geldwäschebeauftragter, Qualitätsmanagement und ESG. Die Logik ist branchenübergreifend, die Pflichten sind es nicht.

Eine belastbare Audit-Software führt drei Funktionen zusammen. Erstens eine Kontrolldatenbank, die jeden Nachweis einem normativen Anker zuordnet, etwa einem Control aus Anhang A der ISO/IEC 27001:2022, einem Artikel der DSGVO, einer Pflicht aus dem NIS2UmsuCG oder einem Paragrafen des Geldwäschegesetzes. Zweitens einen Belegspeicher mit Versionierung, Zugriffsprotokoll, Aufbewahrungsfristen und Löschsperren für laufende Prüfungen. Drittens einen Prüfpfad, der zeigt, wer wann was geändert hat, einschließlich der Freigaben durch den jeweiligen Beauftragten oder die Geschäftsleitung.

Diese drei Schichten verhindern, dass Audits zur Schnitzeljagd werden. Eine Software, die nur Aufgaben verteilt, ohne Belege zu binden, erzeugt am Ende drei Wahrheiten. Die Aufgabe ist erledigt, der Beleg liegt in einem Mailpostfach, die Norm wird mündlich erklärt. Auditoren akzeptieren das nicht. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der CIVAC Workspace bindet jeden Nachweis an die zuständige Rolle, etwa den Informationssicherheitsbeauftragten, und legt die Bestellurkunde, das Berichtswesen und die Audit-Vorlagen in einer Akte ab. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Die DSGVO verlangt nach Art. 5 Abs. 2 die Rechenschaftspflicht der Verantwortlichen. Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30, die Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32, die Meldepflicht nach Art. 33 mit der 72-Stunden-Frist und die Datenschutz-Folgenabschätzung nach Art. 35 erzeugen jeweils eigene Belege. Die ISO/IEC 27001:2022 fordert in Klausel 7.5 dokumentierte Informationen, eine Anwendbarkeitserklärung mit Begründungen je Control und ein internes Audit-Programm nach Klausel 9.2 sowie eine Managementbewertung nach Klausel 9.3.

Das NIS2UmsuCG verlangt von wesentlichen und wichtigen Einrichtungen eine Risikomanagementdokumentation, Belege für die Schulung der Leitungsorgane, einen 24-Stunden-Frühwarn- und einen 72-Stunden-Folgemeldepfad gegenüber dem BSI sowie eine Abschlussmeldung. Die Bußgeldhöhen erreichen für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent. Audit-Software muss diese Fristen und Belege in einer Sicht zusammenführen, sonst wird der Auditor zur Klammer zwischen drei Systemen.

Drei Lücken sind typisch. Erstens fehlt die Verknüpfung von Rolle, Pflicht und Beweis. Ein Compliance-Beauftragter, ein Datenschutzbeauftragter und ein Informationssicherheitsbeauftragter arbeiten in unterschiedlichen Pflichten, teilen sich aber Belege wie das Risikoinventar oder die Lieferantenliste. Eine Software, die Rollen nicht abbildet, zwingt zur Doppelpflege. Zweitens fehlt die Trennung von operativen Aufgaben und Berichtslinie zur Geschäftsleitung. Nach § 130 OWiG haftet die Leitung für Aufsichtspflichtverletzungen; eine belegbare Berichtslinie an die Geschäftsführung ist Pflicht, kein Komfortmerkmal.

Drittens fehlt der EU-Datenresidenz-Nachweis. Wer ein Werkzeug in einer Cloud betreibt, die Daten in Drittländer überträgt, muss Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 dokumentieren und ein Transfer Impact Assessment im Sinne der Schrems-II-Entscheidung des EuGH (Rechtssache C-311/18) hinterlegen. CIVAC betreibt die Plattform unter EU-Datenresidenz und bindet die ISO 27001:2022-Anwendbarkeitserklärung in dieselbe Akte ein, in der die Audit-Vorlagen liegen.

Eine Auswahl beginnt mit harten Kriterien, nicht mit Demos. Die ersten fünf sind: erstens eine Control-Bibliothek mit ISO/IEC 27001:2022 Anhang A, DSGVO-Artikeln, NIS-2-Pflichten und branchenspezifischen Anforderungen wie GwG, LkSG oder ESG-CSRD. Zweitens eine Belegverwaltung mit Versionierung, Hash, Zugriffsprotokoll und konfigurierbarer Aufbewahrung. Drittens ein Rollen- und Bestellurkundenmanagement, das jeden Beauftragten als Person mit Eignungsnachweis, Bestellurkunde und Berichtslinie führt.

Viertens ein Meldepfad-Modul für Vorfälle, das die 72-Stunden-Frist nach Art. 33 DSGVO und den 24/72-Pfad nach NIS-2 abbildet, einschließlich der Zwischen- und Abschlussmeldung. Fünftens eine Auditplanung mit Stichprobenziehung, Feststellungsmanagement, Maßnahmenverfolgung und Wiedervorlage. Wer diese fünf Punkte ernst nimmt, sortiert die Mehrzahl der generischen Ticketsysteme aus. Der CIVAC-Workspace liefert die 37 Audit-Vorlagen, das Bestellurkundenmodul und den 24/72-Meldepfad in einem System. Der Prüfer ruft an, der Nachweis liegt bereit.

Audit-Software steht selten allein. Sie integriert sich in ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022 und in ein Datenschutz-Managementsystem nach DSGVO. Die Verbindungsstellen sind klar. Das ISMS liefert Risiken, Kontrollen und Wirksamkeitsmessungen, das Datenschutz-Managementsystem liefert Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und Meldungen nach Art. 33 DSGVO. Audit-Software prüft, ob die Kontrollen wirken und ob die Belege vollständig sind.

Die Stärke entsteht, wenn dieselbe Plattform alle drei Schichten trägt. Ein Beispiel: Ein Sicherheitsvorfall mit Personenbezug löst gleichzeitig die NIS-2-Meldung an das BSI, die DSGVO-Meldung an die Aufsichtsbehörde und einen ISMS-Vorfall mit Wirksamkeitsprüfung der betroffenen Controls aus. Wer drei Systeme betreibt, riskiert, dass eine der drei Spuren ausläuft. CIVAC bündelt sie und macht die Kreuzbezüge im selben Beleg sichtbar. Audit-fest, dokumentiert, § 130 OWiG-fest.

Wer Audit-Software einkauft, schließt einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter. Die Sorgfaltspflicht beginnt vor der Unterschrift. Zu prüfen sind der Verarbeitungsort, die Sub-Auftragsverarbeiter, die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, die Zertifikate nach ISO/IEC 27001:2022 und, im NIS-2-Kontext, die Lieferkettensicherheit nach § 30 BSIG in der Fassung des Umsetzungsgesetzes. Eine Lösung, die in Drittländer ausweicht, erzeugt zusätzlichen Dokumentationsaufwand.

EU-Datenresidenz reduziert diesen Aufwand erheblich. CIVAC betreibt den Workspace in der EU und stellt die Auftragsverarbeitungsvereinbarung, die TOM-Beschreibung und die Sub-Auftragsverarbeiterliste in derselben Akte zur Verfügung, in der die Kundennachweise liegen. Damit erfüllt der Einsatz von CIVAC zugleich einen Teil der Lieferantenbewertung, die der Lieferanten-Auditor ohnehin durchführen muss.

Ein internes Audit folgt einem festen Zyklus. Die Planung definiert Geltungsbereich, Auditkriterien, Auditteam und Stichprobe. Die Durchführung erzeugt Feststellungen mit Schweregrad, Beleg und Referenz auf Norm oder Gesetz. Die Maßnahmenphase enthält Korrektur, Korrekturmaßnahme nach Ursachenanalyse und Wirksamkeitsprüfung. Der Bericht geht an die Geschäftsleitung und in die Managementbewertung nach Klausel 9.3 der ISO/IEC 27001:2022. Audit-Software muss jede Phase abbilden, ohne dass Excel-Listen oder geteilte Laufwerke entstehen.

Eine häufige Schwäche ist die Wirksamkeitsprüfung. Maßnahmen werden geschlossen, ohne dass jemand prüft, ob sie wirken. Eine ernsthafte Lösung verlangt Belege für die Wirksamkeit, sei es ein Stichproben-Resultat, eine Konfigurationsausgabe oder eine Schulungsteilnahmequote. CIVAC verknüpft jede Maßnahme mit einem messbaren Wirksamkeitsbeleg und einer Wiedervorlage. Damit bleibt das Audit-Programm lebendig, statt im Jahr nach der Zertifizierung einzuschlafen.

Audit-Software löst nicht das Personalproblem. Viele Mittelstandsunternehmen finden auf dem Markt keine geeigneten Beauftragten, insbesondere für ISB, DSB, GwB und ESG. Die Plattform allein erzeugt dann eine leere Hülle. Sinnvoll ist ein Modell, das beides anbietet: die Plattform für interne Beauftragte, die Belege und Berichte in einer modernen Oberfläche führen wollen, und einen externen Beauftragten, der die Rolle übernimmt, wenn keine eigene Besetzung möglich ist.

CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service in genau diesem dualen Modell. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Bestellurkunde wird im Workspace ausgestellt, die Berichtslinie zur Geschäftsleitung ist konfiguriert, die 37 Audit-Vorlagen sind eingerichtet, das Service-Level liegt bei zwei Werktagen statt der klassischen zwei bis sechs Wochen. Damit entfällt die Lücke zwischen Werkzeug und Rolle.

Eine Audit-Software ist erst nützlich, wenn sie die Pflicht aushält, die der Auditor prüft. Das bedeutet eine Control-Bibliothek mit klaren Bezügen zu DSGVO, ISO/IEC 27001:2022 und NIS-2, eine versionierte Belegverwaltung, einen Bestellurkunden- und Berichtslinien-Mechanismus, einen 24/72-Meldepfad und ein lebendiges Auditprogramm mit Wirksamkeitsprüfungen. Werkzeuge, die einen oder zwei dieser Punkte fehlen lassen, verschieben die Arbeit nur in eine andere Excel-Datei.

CIVAC kombiniert die Plattform mit dem Officer-as-a-Service-Modell. Der Workspace liefert die 37 Audit-Vorlagen, 25 Beauftragtenrollen, die ISO/IEC 27001:2022-Strukturen mit 93 Controls und den NIS-2-Meldepfad unter EU-Datenresidenz. Die Beauftragten übernehmen die Rollen, wenn keine eigene Besetzung möglich ist. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.