Internes Audit durchführen
Was versteht man unter „Internes Audit“?
Der Begriff Audit beschreibt die Bewertung der Effizienz bestehender Abläufe: „Systematischer, unabhängiger und dokumentierter Prozess zum Erlangen von Auditnachweisen und zu deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind“ (vgl. ISO 9001, 3.10.1).
Grundlage für die Auditierung von Managementsystemen ist die Norm ISO 19001 in der zurzeit gültigen Fassung von 2018. Wesentliche Neuerung im Vergleich zur Vorgängerversion 2011 ist der risikobasierte Ansatz im Auditprogramm und bei der Auditdurchführung.
Zur Umsetzung des risikobasierten Ansatzes greift die Norm das 4-Phasen-Modell des PDCA-Zyklus auf:
- PLAN/ Planen
- DO/ Durchführen
- CHECK/ Prüfen
- ACT/ Handeln
Entsprechend ist eine Prozesskette zu realisieren, die wiederkehrend – im zielgerichteten Zyklus – durchlaufen werden sollte.
Im internen Audit von Managementsystemen sind weitere wesentliche Forderungen:
- Die Unabhängigkeit des eingesetzten Auditpersonals
- Dokumentation der gesamten Prozesskette in einem Auditbericht
- Angabe darüber, in welchem Umfang die Auditkriterien erfüllt werden
Grundlage für die Durchführung interner Audits: ISO 19011
Um die Konformität des Managementsystems mit dem/den Normstandards festzustellen, werden Audits als „systematischer, unabhängiger und dokumentierter Prozess durchgeführt, um Auditnachweise zur objektiven Auswertung zu erlangen und zu ermitteln, inwieweit Auditkriterien erfüllt sind“ (vgl. ISO 19011, 3.1).
Entsprechend der Zielrichtung werden interne und externe Audits unterschieden:
- Interne Audits (First Party Audits) im Namen der Organisation selbst durch eigenes Personal oder externe Berater
- Externe Audits (Second Party Audits) von interessierten Parteien, wie z.B. Kunden
- Externe Audits (Third Party Audits) von unabhängigen Organisationen, wie z.B. Zertifizierungsstellen oder Behörden
Wenn zwei oder mehrere Managementsysteme unterschiedlicher Disziplinen, z.B. in den Bereichen Qualitätsmanagement, Umweltmanagement, Energiemanagement und/oder Arbeitsschutzmanagement zusammen auditiert werden, wird dies als kombiniertes Audit bezeichnet.
Grundlage für alle genannten Auditarten ist der zurzeit gültige Normstandard DIN EN ISO 1911:2018 – Leitfaden zur Auditierung von Managementsystem.
Die Hauptabschnitte der ISO 19011:2018 entsprechen im Wesentlichen denen der Revision 2011 und beinhaltet die folgenden Hauptabschnitte:
- Anwendungsbereich
- Normative Verweisungen
- Begriffe
- Auditprinzipien
- Steuerung eines Auditprogramms
- Durchführung eines Audits
- Kompetenz sowie Beurteilung von Auditoren (Qualifizierte Auditoren)
Anhang A: Zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits.
Die wesentlichen Prinzipien zur Auditierung von Organisationen bleiben unverändert und wurden um den risikobasierten Ansatz erweitert.
Systematik
Um einen systematischen Ansatz zu erreichen, wird zur Auditierung im Wesentlichen die in Abbildung 1 dargestellte Prozesskette durchlaufen.
Abbildung 1: Prozesskette zur Planung und Durchführung von Audits
Werden im Ergebnis des Audits die Auditkriterien nicht erfüllt, sind geeignete Maßnahmen festzulegen und zu überwachen sowie deren Wirksamkeit zu bewerten und das Ergebnis im Managementreview zu dokumentieren.
Unabhängigkeit
Die oberste Leitung setzt die internen Auditoren ein. Diese müssen unabhängig von der Tätigkeit sein, die auditiert wird, um frei von Voreingenommenheit und Interessenkonflikten zu handeln. Beim internen Audit sollten Auditoren im passenden Fachbereich eingesetzt werden. Unabhängigkeit von den Leitern der zu auditierenden Funktionsbereiche ist sicherzustellen. Die Auditoren sollten während des gesamten Auditprozesses Objektivität waren, um sicherzustellen, dass sich die Auditfeststellungen und Auditschlussfolgerungen nur auf die Auditnachweise stützen.
Dokumentation interner Audits
Das Audit dient der Erlangung von Auditnachweisen. Die Ergebnisse des Audits werden in einem Auditbericht – der dokumentierten Informationen – zusammengefasst. Der Auditbericht sollte eine vollständige, genaue, kurzgefasste und klare Aufzeichnung des Audits liefern. Er sollte Folgendes umfassen bzw. darauf verweisen:
- Auditziele
- Auditumfang, Organisationsbereiche, auditierte Prozesse
- Auditierte Organisation
- Leitenden Auditor, Auditteam und Auditteilnehmer
- Auditplanung (internes Auditprogramm)
- Auditkriterien
- Auditfeststellungen mit Nachweisen
- Schlussfolgerungen
Angabe darüber, in welchem Umfang die Auditkriterien erfüllt werden
Kompetenz: Risikobasierter Ansatz
Die wichtigste Neuerung der ISO 19001:2018 ist die Implementierung des risikobasierten Denkens, das in verschiedenen Kapiteln betrachtet wird:
- 5.3 – Bestimmung und Beurteilung der Auditprogramm-Risiken und /-Chancen
- 6.3.2.1 – Risikobasierter Ansatz der Planung
- A.10 – Auditieren von Risiken und Chancen
Damit hat das risikobasierte Denken nach den Managementsystemnormen auch in dem Standard zur Auditierung Einzug gehalten. Entscheidend ist, dass das Prinzip des risikobasierten Ansatzes vom Auditpersonal verstanden wurde und angewandt wird.
Interne Audits in der Praxis
Um die Konformität des Managementsystems nachzuweisen, stehen eingesetzte Auditoren für interne Audits (First Party Audits) aus zwei Alternativen zur Verfügung (Abbildung 2):
- Eigenes Personal
- Externe Beratung
Beide Alternativen weisen Stärken und Schwächen auf.
Eigenes Personal |
Externe Beratung |
|
---|---|---|
Systematik |
Die Prozesskette wird in der Regel nicht vollständig abgebildet. Häufig fehlen:
|
Die Prozesskette wird in der Regel vollständig abgebildet, allerdings bestehen Verbesserungspotenziale:
|
Unabhängigkeit |
Die Unabhängigkeit und die Unvoreingenommenheit sind bei eigenem Personal naturgemäß schwierig, d aInteressenkonflikte zu Vorgesetzten und Kollegen auftreten und das Auditergebnis beeinflussen können. |
Die Unabhängigkeit und die Unvoreingenommenheit sollte für externe Auditoren gegeben sein, obwohl ein Vertragsverhältnis zwischen den Parteien besteht. |
Dokumentation |
Häufig trifft man auf einfache Checklisten, die wenig aussagekräftig insbesondere bezüglich Vollständigkeit sind. Eine Angabe zum Erfüllungsgrad der Auditkriterien fehlt in der Regel. |
Hier trifft man die gesamte Brandbreite an:
Eine Angabe zum Erfüllungsgrad der Auditkriterien fehlt in der Regel. |
Kompetenz & Risikobasierter Ansatz |
Empfohlen ist eine Weiterbildung zum internen Auditor, die jedoch in der Regelnicht vorliegt. Der risikobasierte Ansatz findet keine Berücksichtigung. |
Empfohlen ist eine Weiterbildung als interner Auditor. In der Regel liegen zahlreiche Schulungen vor. Der risikobasierte Ansatz findet nur teilweise Berücksichtigung. |
Aufwand / Kosten |
Hoher Aufwand, da wenig Praxis beim Auditieren vorliegt. Da die Aufwände in der Regel nicht erfasst werden, sondern als Eh-da-Kostenbehandelt werden, bleibt der tatsächliche Aufwand unbekannt. |
Effektives Vorgehen, da in der Regel Kompetenz und intensive Erfahrungen vorliegen. Kosten durch Honorarrechnung bekannt. |
Zum langfristigen Nutzen in der auditierten Organisation führen die gewonnenen Erkenntnisse aus internen Audits zu anschließender Zertifizierung und zum kontinuierlichen Verbesserungsprozess der Organisation.
Zyklus der Durchführung
Sinnvollerweise wird die Methode „Internes Audit“ mehrfach unterjährig angewendet – mindestens 2x – besser 3-4x im Jahr. Die Vorteile sind offensichtlich: Einerseits gelingt kann es in den einzelnen Audits gelingen die Änderungen von Prozessen zu berücksichtigen und anzupassen. Andererseits können die analysierten „Lücken“ frühzeitig zum Nutzen der Organisation in Maßnahmen umgesetzt werden.
TIPP: Internes Audit durchführen mit Software.