The internal audit is the most important self-test for your ISMS. It reveals whether your policies are actually lived in practice — or whether a gap has opened between documentation and reality. The template below contains two parts: an annual audit plan with a three-year coverage matrix and a fully completed audit report as a reference example.
ISO 27001 Clause 9.2 requires an audit programme that is planned, executed, documented and followed up. ISO 19011 provides the methodological foundations. Our template brings both together.
What the template covers
Part A defines the audit programme for a full year. The three-year coverage matrix shows at a glance which ISO clauses and Annex A areas are audited in which year. High-risk areas (Clauses 6, 8, 9, 10) are audited annually; other areas rotate.
The quarterly schedule names the scope, type (internal or external), auditor, planned date and estimated effort for each audit. This makes resource allocation immediately transparent for auditors and top management.
Part B is a fully completed audit report. It shows what a professional report looks like: audit identification with all metadata, methodology applied (document review, interviews, sampling, walk-through, system inspection), findings with classification, evidence, risk assessment and recommendation, documented strengths and a closing meeting with all parties.
The five-phase methodology (plan, conduct, report, close, follow up) gives the entire audit process a clear structure — from scope definition to CAPA follow-up.
Template: Internal Audit Plan & Report
Dokumentenkontrolle
Eigentümer: Informationssicherheitsbeauftragte
Genehmigt von: CEO
Version: 1.0
Gültig ab: 2026-01-15
Klassifizierung: Intern
Teil A — Jährliches internes Auditprogramm 2026
1. Zweck und Scope
Dieses Programm beschreibt, wie Nordwind Logistics GmbH 2026 interne Audits ihres Informationssicherheits-Managementsystems durchführt, gemäß ISO/IEC 27001:2022 Abschnitt 9.2. Das Programm stellt sicher, dass das ISMS unabhängig und unparteiisch gegen ISO-Anforderungen und gegen die eigenen Richtlinien geprüft wird und dass das gesamte ISMS innerhalb des Drei-Jahres-Zyklus 2024–2026 mindestens einmal vollständig auditiert wird.
Auditierter ISMS-Scope: alle Prozesse, Standorte und Werte innerhalb des ISMS-Scope-Statements v3.0 (Hamburg HQ + Niederlassung Rotterdam).
2. Auditgrundsätze
- Unabhängigkeit: Auditoren auditieren nicht ihre eigene Arbeit. Wo interne Kapazität nicht ausreicht, wird ein externer Auditor beauftragt.
- Unparteilichkeit: Feststellungen basieren auf Belegen, nicht auf Meinungen.
- Risikobasierte Priorisierung: Bereiche mit höherem Risiko oder kürzlichen Änderungen werden häufiger auditiert.
- Kontinuierliche Verbesserung: Jedes Audit liefert Input für das nächste Management-Review und das CAPA-Register.
3. Drei-Jahres-Abdeckungsmatrix
| ISO-Klausel / Bereich | 2024 | 2025 | 2026 |
|---|---|---|---|
| 4 Kontext der Organisation | x | x | |
| 5 Führung | x | ||
| 6 Planung + Risikomanagement | x | x | x |
| 7 Unterstützung (Ressourcen Awareness Dokumentation) | x | x | |
| 8 Betrieb | x | x | x |
| 9 Bewertung der Leistung | x | x | x |
| 10 Verbesserung | x | x | x |
| Annex A.5 Organisatorisch | teilweise | teilweise | vollständig |
| Annex A.6 Personal | teilweise | vollständig | teilweise |
| Annex A.7 Physisch | vollständig | teilweise | |
| Annex A.8 Technologisch | teilweise | teilweise | vollständig |
4. Auditplan 2026
| Audit-ID | Scope | Art | Lead Auditor | Geplantes Datum | Aufwand | Status |
|---|---|---|---|---|---|---|
| IA-2026-Q1 | Zugriffskontrolle + HR-Sicherheit (A.5.15-18 + A.6) | Intern | Anna Weber (ISB) + Peer | 2026-02-10 | 3 Tage | Abgeschlossen |
| IA-2026-Q2 | Kryptographie + Datenlöschung + Klassifizierung (A.8.10-12 + A.8.24 + A.5.12-13) | Intern | Anna Weber + externer Peer | 2026-05-12 | 3 Tage | Geplant |
| IA-2026-Q3 | Lieferantensicherheit + Cloud (A.5.19-23) | Intern | Anna Weber | 2026-08-18 | 2 Tage | Geplant |
| IA-2026-Q4 | BCM + Incident-Management (A.5.24-30 + A.8.13-14) | Intern | Externer Auditor (Cobalt Alliance) | 2026-11-09 | 4 Tage | Geplant |
| EA-2026-Surveillance | Vollständiges ISMS-Überwachungsaudit | Externe Zertifizierung | KPMG | 2026-05-18 | 5 Tage | Geplant |
5. Methodik
Jedes interne Audit folgt demselben fünfphasigen Vorgehen:
- Planung: Scope, Kriterien und Stichproben festlegen, Auditierte eine Woche vorab informieren.
- Durchführung: Eröffnungsgespräch → Dokumentenprüfung → Interviews → Beobachtung → Stichprobenprüfung.
- Bericht: Feststellungen klassifiziert als Schwerwiegende Nichtkonformität, Geringfügige Nichtkonformität, Beobachtung oder Verbesserungsvorschlag.
- Abschluss: Feststellungen mit Auditierten besprechen, Sachverhalt einigen, Übergabe in Abschlussgespräch.
- Nachverfolgung: Feststellungen werden im CAPA-Register erfasst und bis zum Abschluss verfolgt.
6. Auditkriterien
- ISO/IEC 27001:2022 (vollständige Norm).
- ISO/IEC 27002:2022 (Kontrollleitfaden, soweit hilfreich).
- Interne Richtlinien und Verfahren aus dem Dokumentenlenkungs-Register.
- Anwendbare rechtliche und regulatorische Anforderungen aus dem Rechtsregister.
- Vertragliche Kundenzusagen.
7. Ressourcen und Kompetenz
Das interne Auditprogramm benötigt für 2026 geschätzt 12 Personentage, abgedeckt durch die ISB und einen externen Co-Auditor zur Sicherstellung der Unabhängigkeit. Die leitende interne Auditorin (Anna Weber) hält eine aktuelle ISO/IEC 27001 Lead Auditor-Zertifizierung. Externe Auditoren benötigen vergleichbare Qualifikationen und reichen vor dem Engagement einen aktuellen Lebenslauf ein.
8. Berichterstattung und Management-Review
Eine konsolidierte Audit-Zusammenfassung wird durch die ISB am Quartalsende erstellt und in die Management-Review-Inputs aufgenommen. Schwerwiegende Nichtkonformitäten werden sofort eskaliert und warten nicht auf den Management-Review-Zyklus.
Teil B — Internes Audit-Bericht IA-2026-Q1
1. Audit-Identifikation
| Feld | Wert |
|---|---|
| Audit-ID | IA-2026-Q1 |
| Audit-Art | Intern |
| Scope | Zugriffskontrolle (A.5.15–A.5.18) + HR-Sicherheit (A.6.1–A.6.6) |
| Auditkriterien | ISO/IEC 27001:2022 + Zugriffskontroll-Richtlinie v2.0 + HR-Sicherheits-Richtlinie v1.5 |
| Lead Auditor | Anna Weber (ISB) |
| Co-Auditor | Tobias Becker (extern — Unabhängigkeit) |
| Auditzeitraum | 2026-02-08 bis 2026-02-10 |
| Auditierte | HR-Leitung, IT-Betriebsleitung, zwei Abteilungsleitungen, drei Stichproben-Mitarbeitende |
| Berichtsdatum | 2026-02-12 |
2. Auditziele
- Verifizieren, dass Joiner-/Mover-/Leaver-Prozesse wie dokumentiert funktionieren.
- Verifizieren, dass Zugriffsrechte gemäß Zugriffskontroll-Richtlinie überprüft und angepasst werden.
- Verifizieren, dass HR-Sicherheitskontrollen (Screening, NDAs, Awareness) umgesetzt und nachgewiesen sind.
3. Angewandte Methodik
- Dokumentenprüfung: HR-Sicherheits-Richtlinie, Zugriffskontroll-Richtlinie, Joiner-/Leaver-Checklisten, letzter quartalsweiser Zugriffsreview-Bericht, Screening-Verfahren.
- Interviews mit HR-Leitung und IT-Betriebsleitung.
- Stichproben: 10 Joiner-Datensätze (Q4 2025 + Q1 2026), 5 Leaver-Datensätze, 2 Mover-Datensätze, 2 quartalsweise Zugriffsreviews.
- Walk-through des Joiner-Workflows mit einer neuen Mitarbeiterin.
- Systemprüfung: Active Directory Account-Erstellungslogs, MDM-Enrolment, Personio-Onboarding-Datensätze.
4. Übersicht der Feststellungen
| Feststellung | Klassifizierung | Klausel | Status |
|---|---|---|---|
| F-01 Drei Joiner-Konten ohne Genehmigungsticket erstellt | Geringfügige Nichtkonformität | A.5.18 | Offen — CAPA-2026-001 |
| F-02 Quartalsweiser Zugriffsreview für Marketing-OU in Q4 2025 nicht abgeschlossen | Geringfügige Nichtkonformität | A.5.18 | Offen — CAPA-2026-006 |
| F-03 Background-Screening-Nachweise nicht einheitlich abgelegt | Beobachtung | A.6.1 | Offen — im MR zu besprechen |
| F-04 Starker Joiner-Workflow mit klarer Automatisierung | Stärke | — | Geschlossen (positiv) |
| F-05 Leaver-Checkliste wirksam — 2-h-Entzug bei Stichproben erreicht | Stärke | A.5.11 + A.6.5 | Geschlossen (positiv) |
5. Detaillierte Feststellungen
F-01 — Joiner-Konten ohne Genehmigungsticket erstellt
Klassifizierung: Geringfügige Nichtkonformität Klausel: A.5.18 Zugriffsrechte Belege: In der Stichprobe von 10 Joiner-Datensätzen wurden drei Konten (erstellt am 2025-11-04, 2025-12-09, 2026-01-22) festgestellt, bei denen das IT-Betriebsteam das AD-Konto angelegt hat, bevor das HR-Onboarding-Ticket in Personio existierte. Die zugehörigen Tickets wurden am Folgetag rückwirkend erstellt. Risiko: Konto-Erstellung ohne vorherige Genehmigung umgeht die Access-Governance und kann zu überprivilegiertem oder verfrühtem Zugriff führen. Empfehlung: Hartes Gate im Joiner-Workflow erzwingen, das die AD-Konto-Erstellung ohne verknüpftes genehmigtes Personio-Ticket verhindert. Monatlicher Abgleich von AD-Konten und Personio-Tickets ergänzen. Maßnahme: CAPA-2026-001 (HR-Leitung, fällig 2026-05-15).
F-02 — Quartalsweiser Zugriffsreview für Marketing-OU in Q4 2025 nicht abgeschlossen
Klassifizierung: Geringfügige Nichtkonformität Klausel: A.5.18 Zugriffsrechte Belege: Der Q4-2025-Zugriffsreview-Bericht deckt alle OUs außer Marketing ab. Der Review für die Marketing-OU war für den 2025-12-15 geplant, das Meeting wurde aber abgesagt und nicht neu terminiert. Risiko: Ohne aktuellen Zugriffsreview könnten ruhende oder unangemessene Zugriffsrechte in der Marketing-OU bestehen bleiben. Empfehlung: Den fehlenden Review für die Marketing-OU innerhalb von 30 Tagen abschließen. Formale Eskalationsregel ergänzen: Jeder abgesagte Zugriffsreview muss innerhalb von 5 Arbeitstagen neu terminiert werden. Maßnahme: CAPA-2026-006 (IT-Betriebsleitung, fällig 2026-03-15).
F-03 — Background-Screening-Nachweise nicht einheitlich abgelegt
Klassifizierung: Beobachtung Belege: Bei zwei von fünf geprüften Einstellungen für sensible Rollen war die Bestätigung der Hintergrundprüfung im persönlichen Postfach der HR-Leitung statt im verschlüsselten HR-Archiv abgelegt. Risiko: Persönliche Postfachablage unterliegt keiner Aufbewahrungssteuerung und birgt Verlust- und Zugriffsrisiken. Empfehlung: Screening-Verfahren so anpassen, dass alle Nachweise innerhalb von 5 Arbeitstagen im verschlüsselten HR-Archiv abgelegt werden müssen. Maßnahme: Im nächsten Management-Review besprechen; leichtgewichtige CAPA wird erwartet.
6. Beobachtete Stärken
- Der Joiner-Workflow ist gut dokumentiert, automatisiert und zwischen Personio und Active Directory integriert.
- Der Leaver-Prozess erreicht durchgängig das 2-Stunden-Ziel für Zugriffsentzug — alle fünf Stichproben-Leaver-Konten wurden innerhalb von 90 Minuten nach dem Austrittsdatum deaktiviert.
- HR-Leitung und IT-Betriebsleitung zeigen eine starke Zusammenarbeit mit klaren Eskalationspfaden für Ausnahmen.
7. Abschlussgespräch
Ein Abschlussgespräch fand am 2026-02-10 um 16:00 mit HR-Leitung, IT-Betriebsleitung und den auditierten Mitarbeitenden statt. Alle Feststellungen wurden vorgestellt, der Sachverhalt unstrittig bestätigt und die Zeitpläne für Korrekturmaßnahmen vereinbart.
8. Schlussfolgerung
Die Auditziele wurden erreicht. Der Audit-Scope (Zugriffskontrolle + HR-Sicherheit) ist weitgehend wirksam, mit zwei geringfügigen Nichtkonformitäten und einer Beobachtung. Keine der Feststellungen beeinträchtigt die Gültigkeit der ISMS-Zertifizierung. Alle Feststellungen sind im CAPA-Register erfasst und werden im nächsten Management-Review berichtet.
Genehmigt: Anna Weber, Informationssicherheitsbeauftragte — 2026-02-12.
Document control
Owner: Information Security Officer
Approved by: CEO
Version: 1.0
Effective date: 2026-01-15
Classification: Internal
Part A — Annual Internal Audit Plan 2026
1. Purpose and scope
This plan describes how Nordwind Logistics GmbH conducts internal audits of its information security management system in 2026, in accordance with ISO/IEC 27001:2022 clause 9.2. The plan ensures that the ISMS is independently and impartially verified against ISO requirements and against the organisation's own policies, and that the audit programme covers the entire ISMS at least once over the three-year cycle 2024–2026.
ISMS scope under audit: all processes, locations and assets within the ISMS scope statement v3.0 (Hamburg HQ + Rotterdam branch).
2. Audit principles
- Independence: auditors do not audit their own work. Where internal capacity is insufficient, an external auditor is engaged.
- Impartiality: findings are based on evidence, not opinion.
- Risk-based prioritisation: areas with higher risk or recent change are audited more frequently.
- Continual improvement: every audit produces input for the next management review and the CAPA register.
3. Three-year coverage matrix
| ISO clause / area | 2024 | 2025 | 2026 |
|---|---|---|---|
| 4 Context of the organisation | x | x | |
| 5 Leadership | x | ||
| 6 Planning + risk management | x | x | x |
| 7 Support (resources awareness documentation) | x | x | |
| 8 Operation | x | x | x |
| 9 Performance evaluation | x | x | x |
| 10 Improvement | x | x | x |
| Annex A.5 Organisational | partial | partial | full |
| Annex A.6 People | partial | full | partial |
| Annex A.7 Physical | full | partial | |
| Annex A.8 Technological | partial | partial | full |
4. 2026 audit schedule
| Audit ID | Scope | Type | Lead Auditor | Planned Date | Effort | Status |
|---|---|---|---|---|---|---|
| IA-2026-Q1 | Access control + HR security (A.5.15-18 + A.6) | Internal | Anna Weber (ISO) + peer | 2026-02-10 | 3 days | Completed |
| IA-2026-Q2 | Cryptography + data deletion + classification (A.8.10-12 + A.8.24 + A.5.12-13) | Internal | Anna Weber + external peer | 2026-05-12 | 3 days | Planned |
| IA-2026-Q3 | Supplier security + cloud (A.5.19-23) | Internal | Anna Weber | 2026-08-18 | 2 days | Planned |
| IA-2026-Q4 | BCM + incident management (A.5.24-30 + A.8.13-14) | Internal | External auditor (Cobalt Alliance) | 2026-11-09 | 4 days | Planned |
| EA-2026-Surveillance | Full ISMS surveillance audit | External certification | KPMG | 2026-05-18 | 5 days | Planned |
5. Methodology
Each internal audit follows the same five-phase approach:
- Plan: confirm scope, criteria, sampling, and notify auditees one week in advance.
- Conduct: opening meeting → document review → interviews → observation → sampling.
- Report: draft findings classified as Major nonconformity, Minor nonconformity, Observation, or Opportunity for improvement.
- Closing: present findings to auditees, agree on facts, hand over to closing meeting.
- Follow-up: findings are entered into the CAPA register and tracked to closure.
6. Audit criteria
- ISO/IEC 27001:2022 (full standard).
- ISO/IEC 27002:2022 (control guidance, where useful).
- Internal policies and procedures listed in the document control register.
- Applicable legal and regulatory requirements from the legal register.
- Contractual customer commitments.
7. Resources and competence
The internal audit programme requires an estimated 12 person-days for 2026, covered by the ISO and one external co-auditor for independence. The lead internal auditor (Anna Weber) holds a current ISO/IEC 27001 Lead Auditor certification. External auditors are required to hold equivalent qualifications and to provide a recent CV before the engagement.
8. Reporting and management review
A consolidated audit summary is prepared by the ISO at the end of each quarter and included in the management review inputs. Major nonconformities are escalated immediately and do not wait for the management review cycle.
Part B — Internal Audit Report IA-2026-Q1
1. Audit identification
| Field | Value |
|---|---|
| Audit ID | IA-2026-Q1 |
| Audit type | Internal |
| Scope | Access control (A.5.15–A.5.18) + HR security (A.6.1–A.6.6) |
| Audit criteria | ISO/IEC 27001:2022 + Access Control Policy v2.0 + HR Security Policy v1.5 |
| Lead auditor | Anna Weber (ISO) |
| Co-auditor | Tobias Becker (external — independence) |
| Audit dates | 2026-02-08 to 2026-02-10 |
| Auditees | HR Lead, IT Operations Lead, two department heads, three sampled employees |
| Report date | 2026-02-12 |
2. Audit objectives
- Verify that joiner / mover / leaver processes work as documented.
- Verify that access rights are reviewed and adjusted in line with the Access Control Policy.
- Verify that HR security controls (screening, NDAs, awareness) are implemented and evidenced.
3. Methodology applied
- Document review: HR Security Policy, Access Control Policy, joiner/leaver checklists, last quarterly access review report, screening procedure.
- Interviews with HR Lead and IT Operations Lead.
- Sampling: 10 joiner records (Q4 2025 + Q1 2026), 5 leaver records, 2 mover records, 2 quarterly access reviews.
- Walk-through of the joiner workflow with one new hire.
- System inspection: Active Directory account creation logs, MDM enrolment, Personio onboarding records.
4. Findings summary
| Finding | Classification | Clause | Status |
|---|---|---|---|
| F-01 Three joiner accounts created without approval ticket | Minor nonconformity | A.5.18 | Open — CAPA-2026-001 |
| F-02 Quarterly access review for marketing OU not completed in Q4 2025 | Minor nonconformity | A.5.18 | Open — CAPA-2026-006 |
| F-03 Background screening evidence not stored consistently | Observation | A.6.1 | Open — to be discussed at MR |
| F-04 Strong joiner workflow with clear automation | Strength | — | Closed (positive) |
| F-05 Leaver checklist effective — 2h revocation target met for sampled records | Strength | A.5.11 + A.6.5 | Closed (positive) |
5. Detailed findings
F-01 — Joiner accounts created without approval ticket
Classification: Minor nonconformity Clause: A.5.18 Access rights Evidence: Sample of 10 joiner records included three accounts (created on 2025-11-04, 2025-12-09, 2026-01-22) where the IT Operations team created the AD account before the HR onboarding ticket existed in Personio. The corresponding tickets were created retroactively the following day. Risk: Account creation without prior approval bypasses the access governance gate and could allow over-privileged or premature access. Recommendation: Enforce a hard gate in the joiner workflow that prevents AD account creation without a linked approved Personio ticket. Add a monthly reconciliation of AD accounts created vs. Personio tickets. Action: CAPA-2026-001 (HR Lead, due 2026-05-15).
F-02 — Quarterly access review for marketing OU not completed in Q4 2025
Classification: Minor nonconformity Clause: A.5.18 Access rights Evidence: The Q4 2025 quarterly access review report covers all OUs except marketing. The marketing OU was scheduled for review on 2025-12-15 but the meeting was cancelled and not rescheduled. Risk: Without a recent access review, dormant or inappropriate marketing OU access rights could persist. Recommendation: Complete the missing review for the marketing OU within 30 days. Add a formal escalation rule: any cancelled access review must be rescheduled within 5 working days. Action: CAPA-2026-006 (IT Operations Lead, due 2026-03-15).
F-03 — Background screening evidence not stored consistently
Classification: Observation Evidence: For two of five sensitive-role hires sampled, the background check confirmation was filed in the HR Lead's personal mailbox rather than the encrypted HR archive. Risk: Personal mailbox storage is not retention-controlled and creates a risk of loss or unauthorised access. Recommendation: Update the screening procedure to require all evidence to be filed in the encrypted HR archive within 5 working days. Action: Discuss at next management review; lightweight CAPA expected.
6. Strengths observed
- The joiner workflow is well documented, automated, and integrated between Personio and Active Directory.
- The leaver process consistently meets the 2-hour access revocation target — all five sampled leaver accounts were disabled within 90 minutes of the leaver date.
- HR Lead and IT Operations Lead demonstrated a strong working relationship, with clear escalation paths for exceptions.
7. Closing meeting
A closing meeting was held on 2026-02-10 at 16:00 with the HR Lead, IT Operations Lead, and the audited employees. All findings were presented, facts were confirmed without dispute, and corrective action timelines were agreed.
8. Conclusion
The audit objectives were achieved. The scope of the audit (access control + HR security) is largely effective, with two minor nonconformities and one observation. None of the findings affect the validity of the ISMS certification. All findings are tracked in the CAPA register and will be reported at the next management review.
Approved: Anna Weber, Information Security Officer — 2026-02-12.
Sources
- ISO/IEC 27001:2022 Clause 9.2 — Internal audit
- ISO 19011:2018 — Guidelines for auditing management systems