Das interne Audit ist ein Verfahren zur Bestimmung aller realistischen und bedeutsamen Bedrohungen für ein Unternehmen. Das klingt sehr einfach, ist aber in der Praxis ein umfassender und komplexer Prozess, da die Bedrohungen technischer, organisatorischer, aber auch sozialer Natur sein können.

Die Ziele der Sicherheitsmaßnahmen im Unternehmen sind allgemein:

• Einheitliches und gleichartiges Sicherheitsniveau im gesamten Unternehmen
• Angemessenheit der Sicherheitsmaßnahmen
• Vollständigkeit der Sicherheitsmaßnahmen
• Konsistenz der Sicherheitsmaßnahmen
• Überdeckungsfreiheit 

Das interne Audit hilft weitere Risiken und Schwachstellen zu identifizieren, weil es die Sicht eines unabhängigen Auditors auf interne Strukturen und Abläufe einbringt. Ohne Prüfung durch einen fachkundigen Außenstehenden würden Schwachstellen und Risiken möglicherweise verborgen bleiben (Stichwort „Betriebsblindheit“). Das aber würde bedeuten, dass ein Unternehmen über den tatsächlichen Zustand seiner IT-Landschaft und eventueller Sicherheitslücken und Risiken im Unklaren bliebe.