Compliance-Audit im Mittelstand: Checkliste 2026 für Geschäftsleitung und Beauftragte

Ein Compliance-Audit ist 2026 keine Kür mehr, sondern Pflicht in jedem Mittelständler mit 50 oder mehr Beschäftigten und in jedem Unternehmen, das in regulierten Lieferketten arbeitet. Der Druck kommt aus mehreren Richtungen gleichzeitig: das NIS-2-Umsetzungsgesetz, das Lieferkettensorgfaltspflichtengesetz, die DSGVO mit jährlicher Überprüfungsfrist nach Art. 24 Abs. 1 DSGVO, die EU-Whistleblower-Richtlinie in der deutschen HinSchG-Umsetzung sowie der EU AI Act, dessen erste Pflichten seit August 2026 greifen. Wer ohne Audit-Plan in das Geschäftsjahr 2026 geht, riskiert Aufsichtspflichtverletzungen nach § 130 OWiG mit einem Bußgeldrahmen bis zu einer Million Euro und im Schadensfall persönliche Haftung der Geschäftsleitung.

Dieser Beitrag stellt eine vollständige Checkliste für das interne Compliance-Audit eines Mittelständlers vor. Er beschreibt die 14 Themenfelder, die in einer typischen Prüfung abgedeckt werden, listet die Pflichtdokumente je Feld auf, erklärt die zeitliche Planung von der Vorbereitung bis zum Abschlussbericht und zeigt, wie eine Plattform-basierte Dokumentation den Aufwand gegenüber einer Excel- und Word-Sammlung um 40 bis 60 Prozent reduziert. Sie erhalten konkrete Templates aus den 37 einsatzbereiten Audit-Vorlagen, einen Zeitplan für ein zweistufiges Audit über 12 Wochen und einen Vergleich zwischen interner Selbstprüfung und externem Audit durch eine Wirtschaftsprüfungsgesellschaft. Die Checkliste ist branchenneutral und für Unternehmen zwischen 50 und 1.500 Beschäftigten anwendbar.

2026 fallen mehrere regulatorische Wellen zusammen, die jede für sich bereits ein Audit rechtfertigen würde. Das NIS-2-Umsetzungsgesetz erfasst rund 29.500 Unternehmen in Deutschland und verlangt von der Geschäftsleitung den Nachweis konkreter Risikomanagementmaßnahmen nach § 30 NIS-2-UmsuCG. Wer diese Maßnahmen nicht dokumentiert, riskiert Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Konzernumsatzes bei wesentlichen Einrichtungen. Parallel verlangt das Lieferkettensorgfaltspflichtengesetz seit dem 1. Januar 2024 von Unternehmen ab 1.000 Beschäftigten einen jährlichen Bericht an das BAFA mit dokumentierter Risikoanalyse entlang der Lieferkette. Die EU-Lieferkettenrichtlinie CSDDD erweitert diese Pflicht ab 2027 stufenweise auf Unternehmen ab 500 Beschäftigten und 150 Millionen Euro Umsatz.

Hinzu kommt der Übergang zur ISO/IEC 27001:2022, dessen Übergangsfrist im Oktober 2026 endet. Wer bis dahin nicht auf die neue Norm umgestellt hat, verliert die Zertifizierung und muss bei Kundenausschreibungen mit dem Verlust von Vergaberechten rechnen. Der EU AI Act, dessen erste Pflichten seit August 2026 wirken, fordert von Unternehmen mit Hochrisiko-KI-Systemen ein Risikomanagementsystem nach Art. 9 AI Act sowie eine Datenqualitätsdokumentation nach Art. 10 AI Act. Auch die DSGVO bleibt mit ihrer jährlichen Überprüfungspflicht nach Art. 24 Abs. 1 DSGVO ein Audit-Treiber.

Aus dieser Lage ergibt sich für 2026 ein klarer Pflichtkatalog: Jeder Mittelständler mit 50 oder mehr Beschäftigten sollte ein integriertes Compliance-Audit durchführen, das die genannten Felder gemeinsam prüft und in einem Abschlussbericht an die Geschäftsführung bündelt. CIVAC als externer Compliance-Beauftragter oder als Plattform-Lizenz für den internen Beauftragten unterstützt mit 37 einsatzbereiten Vorlagen, die genau diese 14 Themenfelder abdecken.

Ein vollständiges Compliance-Audit im Mittelstand umfasst 14 Themenfelder, die sich aus den geltenden Gesetzen, Normen und Branchenstandards ableiten. Erstens den Datenschutz nach DSGVO und BDSG mit Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, Auftragsverarbeitungsverträgen nach Art. 28 DSGVO, technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO und einer dokumentierten Berichtslinie zum Datenschutzbeauftragten. Zweitens die Informationssicherheit nach NIS-2 und ISO/IEC 27001:2022 mit Risikoanalyse, Incident-Response-Plan und 24- sowie 72-Stunden-Meldepfaden an das BSI. Drittens den Hinweisgeberschutz nach HinSchG mit dokumentierter interner Meldestelle, vertraulichen Eingangskanälen und Fristenmanagement von sieben Tagen für die Eingangsbestätigung und drei Monaten für die inhaltliche Rückmeldung an die Hinweisgebenden.

Viertens die Geldwäscheprävention nach GwG, sofern das Unternehmen Verpflichteter nach § 2 GwG ist, mit dokumentierter Risikoanalyse, Know-Your-Customer-Prozessen, fortlaufender Kundenüberwachung und Verdachtsmeldungen an die FIU. Fünftens die Lieferkettensorgfaltspflicht nach LkSG mit Risikoanalyse, Präventionsmaßnahmen, einem Beschwerdeverfahren nach § 8 LkSG und jährlichem Bericht an das BAFA. Sechstens die Arbeitssicherheit nach ArbSchG und DGUV mit Gefährdungsbeurteilung, bestellter Sicherheitsfachkraft, Sicherheitsbeauftragten in jeder Abteilung und vollständigen Unterweisungsnachweisen. Siebtens den Brandschutz mit Brandschutzordnung Teil A, B und C, einem Brandschutzbeauftragten ab bestimmten Gebäudegrößen und jährlichen Räumungsübungen. Achtens den Gefahrstoff-Bereich nach GefStoffV mit Sicherheitsdatenblättern aller eingesetzten Stoffe, einem aktuellen Gefahrstoffverzeichnis und dokumentierten Substitutionsprüfungen für besonders gefährliche Stoffe.

Neuntens den Umweltschutz mit Abfallregister nach KrWG, immissionsschutzrechtlichen Genehmigungen nach BImSchG und Wasserrechtspflichten nach WHG, abhängig vom Tätigkeitsprofil. Zehntens die Qualitätsmanagement-Pflichten nach ISO 9001, sofern zertifiziert, mit dokumentierten Prozessen, Korrekturmaßnahmen und Management-Review. Elftens die Gleichstellung nach AGG mit benannter Beschwerdestelle, Schulungsnachweisen und einer Dokumentation behandelter Vorfälle. Zwölftens die Arbeitsmedizin mit Bestellung eines Betriebsarztes nach ASiG und Vorsorgeuntersuchungen nach ArbMedVV. Dreizehntens die ESG- und Nachhaltigkeitspflichten nach CSRD, sofern berichtspflichtig, mit doppelter Wesentlichkeitsanalyse. Vierzehntens die KI-Compliance nach EU AI Act mit Klassifikation der eingesetzten Systeme nach Risikostufen und Dokumentation der Hochrisiko-Anwendungen nach Art. 9 und 10 AI Act. CIVAC bündelt diese 14 Felder in einem Rollenüberblick mit jeweils zugeordneter Bestellurkunde, unterschrieben, abgelegt, belegbar.

Die Vorbereitung eines internen Compliance-Audits dauert in einem mittelständischen Unternehmen mit 50 bis 500 Beschäftigten typischerweise acht bis zwölf Wochen. Sie beginnt mit einem Kickoff-Meeting der Geschäftsleitung, in dem der Audit-Umfang festgelegt wird, üblicherweise alle 14 Themenfelder oder eine begründete Auswahl. In der ersten Woche werden die Verantwortlichen je Themenfeld benannt, also der Datenschutzbeauftragte für Datenschutz, der Informationssicherheitsbeauftragte für NIS-2, die Sicherheitsfachkraft für Arbeitsschutz und so weiter. Pro Themenfeld wird ein Datenpaket angefordert, das den aktuellen Stand der Dokumentation, der Schulungen und der durchgeführten Maßnahmen abdeckt.

In den Wochen zwei bis vier erfolgt die strukturierte Datenerhebung. Jeder Verantwortliche liefert ein vollständiges Themendossier, das mindestens die folgenden Bausteine enthält: aktuelles Verzeichnis nach gesetzlicher Vorgabe (z. B. VVT, Gefahrstoffverzeichnis, Hinweisgeber-Eingangsregister), aktuelle Bestellurkunden mit Datum, dokumentierte Schulungsnachweise des letzten Jahres, Risikoanalyse mit Datum der letzten Aktualisierung, dokumentierte Vorfälle und Maßnahmen sowie Audit-Trails relevanter Systeme. In dieser Phase zeigt sich, ob die Dokumentation gepflegt wurde oder ob sie nachträglich aufgebaut werden muss.

In den Wochen fünf bis acht erfolgt die fachliche Prüfung der Themendossiers durch den Compliance-Beauftragten oder durch einen externen Auditor. Die Prüfung folgt einer standardisierten Checkliste pro Themenfeld mit Soll-Ist-Vergleich. Abweichungen werden als Findings dokumentiert und nach Schweregraden kategorisiert: kritisch (Gesetzesverstoß mit Sanktionsrisiko), wesentlich (Pflichtverletzung ohne unmittelbares Sanktionsrisiko) und beobachtbar (Verbesserungspotenzial). In den Wochen neun bis zwölf wird der Abschlussbericht erstellt, der je Themenfeld die Findings, die empfohlenen Maßnahmen, Verantwortliche und Fristen festhält. Der Bericht wird der Geschäftsleitung in einer Sitzung formell übergeben und protokolliert.

Pro Themenfeld gibt es einen definierten Pflichtdokumenten-Katalog, der im Audit als Mindeststandard geprüft wird. Beim Datenschutz sind das das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO mit allen Verarbeitungen je Fachabteilung, die TOM-Dokumentation nach Art. 32 DSGVO mit konkreten Maßnahmen je Verarbeitung, die Auftragsverarbeitungsverträge mit allen Dienstleistern nach Art. 28 DSGVO einschließlich Drittlandsgarantien nach Art. 46 DSGVO, das Datenpannen-Register mit Meldungen an die Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis, das Konzept zur Wahrnehmung der Betroffenenrechte nach Art. 15 bis 22 DSGVO mit Fristenkalender, die jährlich aktualisierte Datenschutzfolgenabschätzung für risikoreiche Verarbeitungen nach Art. 35 DSGVO sowie die Bestellurkunde des Datenschutzbeauftragten nach § 38 BDSG. Ohne diese sieben Dokumente ist das Datenschutz-Audit unvollständig.

Bei NIS-2 und ISO/IEC 27001:2022 sind die Pflichtdokumente die ISMS-Dokumentation mit Scope, Risikobewertung und Risikobehandlungsplan, das Verzeichnis der Informationswerte (Asset-Register) mit Klassifizierung nach Vertraulichkeit, Integrität und Verfügbarkeit, der Incident-Response-Plan mit den Meldepfaden für 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung an das BSI, das Berechtigungskonzept mit dokumentiertem Zugriffs- und Rollensystem und automatischer Reaktivierung bei Stellenwechsel, die Schulungsnachweise für alle Mitarbeitenden mit Zugang zu sensiblen Daten und der Nachweis über jährliche Penetrationstests sowie die Awareness-Maßnahmen mit Phishing-Simulationen. Hinzu kommen die 93 Controls der ISO/IEC 27001:2022, die im SoA (Statement of Applicability) mit Begründung für ausgeschlossene Controls dokumentiert sein müssen.

Beim Hinweisgeberschutz sind die Pflichtdokumente die Verfahrensbeschreibung der internen Meldestelle, der vertrauliche Eingangskanal mit dokumentierten Zugriffsrechten auf nur die berechtigten Personen, die Bestellurkunde der unparteiischen Person, das Eingangsregister mit anonymisiertem Status, die Fristenüberwachung für 7-Tage-Eingangsbestätigung und 3-Monate-Rückmeldung sowie die jährlichen Schulungsnachweise der Meldestellen-Beauftragten. Für die anderen elf Themenfelder existieren analoge Pflichtdokumenten-Listen, die im CIVAC-Workspace als versionierte Vorlagen abgebildet sind. Der Prüfer ruft an, der Nachweis liegt bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Die eigentliche Audit-Durchführung erstreckt sich in einem mittelständischen Unternehmen über zwei Wochen und kombiniert drei Methoden, die sich gegenseitig validieren. Erstens strukturierte Interviews mit den Verantwortlichen je Themenfeld, in denen die Funktionsweise des Compliance-Systems abgefragt wird. Ein Datenschutz-Interview dauert typischerweise 60 bis 90 Minuten und deckt die Themen Verarbeitungsverzeichnis, Betroffenenanfragen, Datenpannen, Auftragsverarbeitung und Mitarbeiterschulung ab. Ein NIS-2-Interview prüft die Risikoanalyse, den Incident-Response-Plan, die 24-Stunden-Frühwarnung und die jährliche Wirksamkeitsbewertung des ISMS. Die Interviews werden protokolliert und vom Befragten gegengezeichnet, damit der Audit-Bericht in einem späteren Aufsichtsverfahren als belastbarer Nachweis dient.

Zweitens Stichprobenprüfungen einzelner Vorgänge, die das System konkret testen. Bei Datenschutz wird zum Beispiel eine zufällig ausgewählte Verarbeitungstätigkeit geprüft, ob der VVT-Eintrag, der zugehörige AV-Vertrag, die TOM-Dokumentation und die Schulungsnachweise vollständig vorliegen. Bei NIS-2 wird eine Stichprobe aus dem Berechtigungskonzept gezogen, ob die dokumentierten Berechtigungen mit den realen Systemzugriffen übereinstimmen. Bei Hinweisgeberschutz wird eine Stichprobe aus dem Eingangsregister geprüft, ob die 7-Tage- und 3-Monate-Fristen eingehalten wurden. Die Frist läuft ab Kenntnis. Stichproben deckten in der CIVAC-Praxis im Mittelstand regelmäßig Lücken auf, die in den Themendossiers nicht sichtbar waren, etwa nicht gelöschte Ex-Mitarbeiter-Konten oder veraltete AV-Verträge mit Subunternehmern.

Drittens technische Tests, sofern relevant. Bei NIS-2 und ISO/IEC 27001:2022 sind das Penetrationstests, Schwachstellen-Scans und Konfigurationsprüfungen der zentralen Systeme. Bei Datenschutz können Cookie-Banner-Tests, Tracking-Audits und Berechtigungsanalysen relevant sein. Die Ergebnisse der drei Methoden werden in einem strukturierten Findings-Katalog konsolidiert, der je Finding den Schweregrad, die rechtliche Grundlage, die empfohlene Maßnahme, den Verantwortlichen und die Frist festhält. Audit-fest, dokumentiert, § 130-OWiG-fest ist die Kurzformel für den Findings-Katalog, der im Bedarfsfall der zentrale Entlastungsbeweis der Geschäftsleitung ist.

Der Abschlussbericht des Compliance-Audits ist das zentrale Ergebnis der Prüfung und wird in einer formalen Sitzung an die Geschäftsleitung übergeben. Der Bericht hat einen typischen Umfang von 30 bis 60 Seiten und besteht aus sieben Bausteinen, die jede Aufsicht und jeder Wirtschaftsprüfer als Mindeststandard erwartet. Erstens einer Management-Zusammenfassung von zwei bis drei Seiten, die den Gesamtreifegrad der Compliance je Themenfeld in einer Ampelbewertung darstellt und die fünf wichtigsten Findings priorisiert. Zweitens einer Beschreibung des Audit-Scopes, der Methodik und der Stichprobenparameter, damit der Bericht in einem späteren externen Audit oder einem Aufsichtsverfahren reproduzierbar ist und die Prüfungstiefe nachvollzogen werden kann.

Drittens einer detaillierten Befundsektion je Themenfeld mit Soll-Ist-Vergleich, dem Stand der Dokumentation und den konkreten Findings nach Schweregrad mit jeweiliger rechtlicher Grundlage. Viertens einem konsolidierten Maßnahmenplan, der je Finding den Verantwortlichen, die Frist und die geschätzten Kosten festhält. Der Maßnahmenplan ist das Arbeitsdokument, das im Folgejahr abgearbeitet wird und im Folge-Audit als Nachweis der Umsetzung dient. Fünftens einem Vergleich mit dem Vorjahres-Audit, sofern vorhanden, der die Verbesserungen, die abgeschlossenen Maßnahmen und die offenen Themen sichtbar macht und damit Trendaussagen über mehrere Audit-Zyklen ermöglicht.

Sechstens einer Liste der eingesehenen Dokumente und Interviews, die als Beleg für den Audit-Umfang dient und in einem späteren Verfahren die Beweiskraft des Berichts stützt. Siebtens dem Anhang mit den Original-Findings, den Interviewprotokollen, den Stichproben-Listen und den Screenshots der geprüften Systeme. Der Bericht wird formell von der Geschäftsleitung gegengezeichnet und protokolliert, damit die Aufsichtspflicht nach § 130 OWiG belegt ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der CIVAC-Workspace generiert den Abschlussbericht aus den hinterlegten Daten und reduziert die Berichtserstellung von typischerweise zwei Wochen auf zwei Tage. Die Schnittstelle zum externen Datenschutzbeauftragten ist in den Workflow integriert.

Die Wahl zwischen internem und externem Compliance-Audit hängt von der Unternehmensgröße, der Branche und den regulatorischen Pflichten ab. Ein internes Audit, durchgeführt vom Compliance-Beauftragten oder einer kleinen Audit-Gruppe, kostet im Mittelstand typischerweise 8.000 bis 25.000 Euro an internem Aufwand, verteilt über 12 Wochen. Es ist für die Geschäftsleitung der zentrale Selbstprüfungsmechanismus und genügt der gesetzlichen Pflicht zur jährlichen Überprüfung nach DSGVO, NIS-2 und LkSG. Ein internes Audit ist für die meisten mittelständischen Unternehmen mit 50 bis 500 Beschäftigten ausreichend.

Ein externes Audit durch eine Wirtschaftsprüfungsgesellschaft oder einen spezialisierten Compliance-Anbieter kostet zwischen 35.000 und 120.000 Euro, abhängig von Umfang und Tiefe. Es ist Pflicht bei der ISO/IEC 27001:2022-Zertifizierung (durch eine akkreditierte Zertifizierungsstelle), bei börsennotierten Unternehmen mit CSRD-Pflicht, bei Unternehmen mit besonderem Verdacht auf Compliance-Verstöße und bei Unternehmen, die in regulierten Vergabeverfahren bieten. Die Aussagekraft eines externen Audits ist höher, weil die Unabhängigkeit der Prüfung formal abgesichert ist. Bei einem CIVAC-Mandat als externer Compliance-Beauftragter wird die Trennung zwischen Mandat und Prüfung formal eingehalten, indem ein anderer Beauftragter prüft als der, der die Bestellung trägt.

Eine sinnvolle Kombination ist ein internes Audit im Jahresturnus, ergänzt um ein externes Audit alle zwei oder drei Jahre als Validierung des internen Systems. Diese Kombination ist Marktstandard im gehobenen Mittelstand und bietet ein gutes Verhältnis zwischen Kosten, Aussagekraft und Sicherheit. Der CIVAC-Workspace liefert die Datenbasis für beide Audit-Arten, sodass die externe Prüfung deutlich schneller und günstiger durchgeführt werden kann, weil die Pflichtdokumente bereits strukturiert und versioniert vorliegen.

In der Audit-Praxis im Mittelstand treten sieben Fehler besonders häufig auf, die das Audit entwerten oder es im Aufsichtsverfahren als Entlastungsbeweis untauglich machen. Erstens ein zu enger Audit-Scope, der einzelne Themenfelder ausspart, etwa NIS-2 oder Hinweisgeberschutz, weil die Verantwortlichen nicht ausreichend benannt sind. Ein lückenhafter Scope ist im Aufsichtsverfahren ein Indiz dafür, dass die Geschäftsleitung die Pflichtfelder nicht systematisch erfasst hat, und schwächt die Schutzwirkung des gesamten Berichts. Zweitens fehlende Bestellurkunden mit Datum, etwa wenn der Datenschutzbeauftragte zwar tätig ist, aber keine formelle Bestellungsurkunde vorliegt oder diese veraltet ist. Im Audit ist die Bestellurkunde die zentrale Beleg-Urkunde für die Pflichterfüllung und muss aktuell, unterschrieben und mit eindeutigem Zuständigkeitsbereich vorliegen.

Drittens veraltete Schulungsnachweise, die zwar formal vorhanden, aber älter als ein Jahr sind. Datenschutz und NIS-2 verlangen jährliche Schulungen, andere Themenfelder wie Hinweisgeberschutz und Arbeitssicherheit haben eigene Schulungsintervalle mit teils kürzeren Fristen. Viertens unvollständige Verarbeitungsverzeichnisse, in denen einzelne Verarbeitungen fehlen, etwa Mitarbeiterüberwachung, KI-gestützte Tools, Marketingdatenbanken oder Bewerbermanagement-Systeme. Die Aufsichtsbehörde prüft das VVT regelmäßig als Erstes, weil es die Grundlage für alle weiteren Datenschutzprüfungen ist und Lücken im VVT auf systemische Defizite hindeuten.

Fünftens fehlende Auftragsverarbeitungsverträge mit Dienstleistern, vor allem mit US-Cloud-Anbietern, deren Drittlandsbezug zusätzlich Garantien nach Art. 46 DSGVO erfordert und die Standardvertragsklauseln in der aktuellen Fassung beinhalten muss. Sechstens ein nicht getesteter Incident-Response-Plan, der zwar dokumentiert ist, aber in einer Tabletop-Übung nie geprobt wurde. Im Ernstfall versagt ein nicht getesteter Plan regelmäßig, was die Aufsicht im Bußgeldverfahren als verschärfendes Merkmal berücksichtigt. Siebtens ein Abschlussbericht ohne Maßnahmenplan, der zwar Findings auflistet, aber keine Verantwortlichen und Fristen benennt. Ein solcher Bericht ist im § 130-OWiG-Verfahren nahezu wertlos. CIVAC verhindert alle sieben Fehler durch standardisierte Vorlagen, automatische Fristenüberwachung und versionierte Audit-Berichte.

Ein Compliance-Audit im Mittelstand ist 2026 keine optionale Übung mehr, sondern Pflicht in praktisch allen Unternehmen mit 50 oder mehr Beschäftigten und mit Tätigkeit in regulierten Lieferketten. Die 14 Themenfelder, die in einem vollständigen Audit abgedeckt werden, lassen sich strukturiert in 12 Wochen vorbereiten, in zwei Wochen durchführen und in einem 30- bis 60-seitigen Abschlussbericht dokumentieren. Wer diese Disziplin in den Jahresturnus einbaut, reduziert das Risiko persönlicher Haftung der Geschäftsleitung nach § 130 OWiG erheblich und schafft eine Datenbasis, die im Bedarfsfall einer Aufsichtsprüfung als belastbarer Entlastungsbeweis dient. Die Folgejahre profitieren von der einmal aufgebauten Struktur, weil das Audit dann nur noch fortgeschrieben und nicht mehr aufgebaut werden muss.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service. Wir liefern zwei Modelle für das interne Compliance-Audit. Im Plattform-Modell lizenzieren Sie den Workspace, behalten Ihren internen Compliance-Beauftragten und nutzen 37 einsatzbereite Audit-Vorlagen, die genau die 14 Themenfelder dieser Checkliste abdecken, mit EU-Datenresidenz und 93 Controls nach ISO/IEC 27001:2022. Im Service-Modell bestellt CIVAC zusätzlich einen externen Compliance-Beauftragten mit Bestellurkunde innerhalb von zwei Werktagen statt der branchenüblichen zwei bis sechs Wochen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Wenn Sie für 2026 ein strukturiertes Compliance-Audit planen, fordern Sie unsere Audit-Vorbereitungs-Checkliste an. Wir liefern Ihnen innerhalb von 48 Stunden die 14 Themenfeld-Templates, einen Zeitplan über 12 Wochen und ein Erstgespräch zur Scope-Definition. Senden Sie eine kurze Anfrage an info@civac.de oder über das Kontaktformular auf civac.de mit Stichwort Compliance-Audit 2026. Wir antworten innerhalb eines Werktages mit einem konkreten Vorschlag. Aus dem Lesen einen Auftrag machen.