Internes Audit durchführen

Was versteht man unter „Internes Audit“?

Der Begriff Audit beschreibt die Bewertung der Effizienz bestehender Abläufe: „Systematischer, unabhängiger und dokumentierter Prozess zum Erlangen von Auditnachweisen und zu deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind“ (vgl. ISO 9001, 3.10.1).

Grundlage für die Auditierung von Managementsystemen ist die Norm ISO 19001 in der zurzeit gültigen Fassung von 2018. Wesentliche Neuerung im Vergleich zur Vorgängerversion 2011 ist der risikobasierte Ansatz im Auditprogramm und bei der Auditdurchführung.

Zur Umsetzung des risikobasierten Ansatzes greift die Norm das 4-Phasen-Modell des PDCA-Zyklus auf:

  • PLAN/ Planen
  • DO/ Durchführen
  • CHECK/ Prüfen
  • ACT/ Handeln

Entsprechend ist eine Prozesskette zu realisieren, die wiederkehrend – im zielgerichteten Zyklus – durchlaufen werden sollte.

Im internen Audit von Managementsystemen sind weitere wesentliche Forderungen:

  • Die Unabhängigkeit des eingesetzten Auditpersonals
  • Dokumentation der gesamten Prozesskette in einem Auditbericht
  • Angabe darüber, in welchem Umfang die Auditkriterien erfüllt werden

      Grundlage für die Durchführung interner Audits: ISO 19011

      Um die Konformität des Managementsystems mit dem/den Normstandards festzustellen, werden Audits als „systematischer, unabhängiger und dokumentierter Prozess durchgeführt, um Auditnachweise zur objektiven Auswertung zu erlangen und zu ermitteln, inwieweit Auditkriterien erfüllt sind“ (vgl. ISO 19011, 3.1).

      Entsprechend der Zielrichtung werden interne und externe Audits unterschieden:

      • Interne Audits (First Party Audits) im Namen der Organisation selbst durch eigenes Personal oder externe Berater
      • Externe Audits (Second Party Audits) von interessierten Parteien, wie z.B. Kunden
      • Externe Audits (Third Party Audits) von unabhängigen Organisationen, wie z.B. Zertifizierungsstellen oder Behörden

      Wenn zwei oder mehrere Managementsysteme unterschiedlicher Disziplinen, z.B. in den Bereichen Qualitätsmanagement, Umweltmanagement, Energiemanagement und/oder Arbeitsschutzmanagement zusammen auditiert werden, wird dies als kombiniertes Audit bezeichnet.

      Grundlage für alle genannten Auditarten ist der zurzeit gültige Normstandard DIN EN ISO 1911:2018 – Leitfaden zur Auditierung von Managementsystem.

      Die Hauptabschnitte der ISO 19011:2018 entsprechen im Wesentlichen denen der Revision 2011 und beinhaltet die folgenden Hauptabschnitte:

      • Anwendungsbereich
      • Normative Verweisungen
      • Begriffe
      • Auditprinzipien
      • Steuerung eines Auditprogramms
      • Durchführung eines Audits
      • Kompetenz sowie Beurteilung von Auditoren (Qualifizierte Auditoren)

      Anhang A: Zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits.

      Die wesentlichen Prinzipien zur Auditierung von Organisationen bleiben unverändert und wurden um den risikobasierten Ansatz erweitert.

      Systematik

      Um einen systematischen Ansatz zu erreichen, wird zur Auditierung im Wesentlichen die in Abbildung 1 dargestellte Prozesskette durchlaufen.

      Internes Audit durchführen

      Abbildung 1:   Prozesskette zur Planung und Durchführung von Audits

      Werden im Ergebnis des Audits die Auditkriterien nicht erfüllt, sind geeignete Maßnahmen festzulegen und zu überwachen sowie deren Wirksamkeit zu bewerten und das Ergebnis im Managementreview zu dokumentieren.

      Unabhängigkeit

      Die oberste Leitung setzt die internen Auditoren ein. Diese müssen unabhängig von der Tätigkeit sein, die auditiert wird, um frei von Voreingenommenheit und Interessenkonflikten zu handeln. Beim internen Audit sollten Auditoren im passenden Fachbereich eingesetzt werden. Unabhängigkeit von den Leitern der zu auditierenden Funktionsbereiche ist sicherzustellen. Die Auditoren sollten während des gesamten Auditprozesses Objektivität waren, um sicherzustellen, dass sich die Auditfeststellungen und Auditschlussfolgerungen nur auf die Auditnachweise stützen.

      Dokumentation interner Audits

      Das Audit dient der Erlangung von Auditnachweisen. Die Ergebnisse des Audits werden in einem Auditbericht – der dokumentierten Informationen – zusammengefasst. Der Auditbericht sollte eine vollständige, genaue, kurzgefasste und klare Aufzeichnung des Audits liefern. Er sollte Folgendes umfassen bzw. darauf verweisen:

      • Auditziele
      • Auditumfang, Organisationsbereiche, auditierte Prozesse
      • Auditierte Organisation
      • Leitenden Auditor, Auditteam und Auditteilnehmer
      • Auditplanung (internes Auditprogramm)
      • Auditkriterien
      • Auditfeststellungen mit Nachweisen
      • Schlussfolgerungen

      Angabe darüber, in welchem Umfang die Auditkriterien erfüllt werden

      Kompetenz: Risikobasierter Ansatz

      Die wichtigste Neuerung der ISO 19001:2018 ist die Implementierung des risikobasierten Denkens, das in verschiedenen Kapiteln betrachtet wird:

      • 5.3 – Bestimmung und Beurteilung der Auditprogramm-Risiken und /-Chancen
      • 6.3.2.1 – Risikobasierter Ansatz der Planung
      • A.10 – Auditieren von Risiken und Chancen

      Damit hat das risikobasierte Denken nach den Managementsystemnormen auch in dem Standard zur Auditierung Einzug gehalten. Entscheidend ist, dass das Prinzip des risikobasierten Ansatzes vom Auditpersonal verstanden wurde und angewandt wird.

      Interne Audits in der Praxis

      Um die Konformität des Managementsystems nachzuweisen, stehen eingesetzte Auditoren für interne Audits (First Party Audits) aus zwei Alternativen zur Verfügung (Abbildung 2):

      • Eigenes Personal
      • Externe Beratung

      Beide Alternativen weisen Stärken und Schwächen auf.

       

      Eigenes Personal

      Externe Beratung

      Systematik

      Die Prozesskette wird in der Regel nicht vollständig abgebildet. Häufig fehlen:

      • Die Nachvollziehbarkeit der Auditkriterien

      Die Prozesskette wird in der Regel vollständig abgebildet, allerdings bestehen Verbesserungspotenziale:

      • Starre Fragenkataloge der Auditkriterien

      Unabhängigkeit

      Die Unabhängigkeit und die Unvoreingenommenheit sind bei eigenem Personal naturgemäß schwierig, d aInteressenkonflikte zu Vorgesetzten und Kollegen auftreten und das Auditergebnis beeinflussen können.

      Die Unabhängigkeit  und die Unvoreingenommenheit sollte für externe Auditoren gegeben sein, obwohl ein Vertragsverhältnis zwischen den Parteien besteht.

      Dokumentation

      Häufig trifft man auf einfache Checklisten, die wenig aussagekräftig insbesondere bezüglich Vollständigkeit sind.

      Eine Angabe zum Erfüllungsgrad der Auditkriterien fehlt in der Regel.

      Hier trifft man die gesamte Brandbreite an:

      • Von spartanisch, unzureichend
      • Über ausschweifend überladen
      • Bis normkonform/ zielführend

      Eine Angabe zum Erfüllungsgrad der Auditkriterien fehlt in der Regel.

      Kompetenz & Risikobasierter Ansatz

      Empfohlen ist eine Weiterbildung zum internen Auditor, die jedoch in der Regelnicht vorliegt.

      Der risikobasierte Ansatz findet keine Berücksichtigung.

      Empfohlen ist eine Weiterbildung als interner Auditor. In der Regel liegen zahlreiche Schulungen vor.

      Der risikobasierte Ansatz findet nur teilweise Berücksichtigung.

      Aufwand / Kosten

      Hoher Aufwand, da wenig Praxis beim Auditieren vorliegt.

      Da die Aufwände in der Regel nicht erfasst werden, sondern als Eh-da-Kostenbehandelt werden, bleibt der tatsächliche Aufwand unbekannt.

      Effektives Vorgehen, da in der Regel Kompetenz und intensive Erfahrungen vorliegen.

      Kosten durch Honorarrechnung bekannt.

      Zum langfristigen Nutzen in der auditierten Organisation führen die gewonnenen Erkenntnisse aus internen Audits zu anschließender Zertifizierung und zum kontinuierlichen Verbesserungsprozess der Organisation.

      Zyklus der Durchführung

      Sinnvollerweise wird die Methode „Internes Audit“ mehrfach unterjährig angewendet – mindestens 2x – besser 3-4x im Jahr. Die Vorteile sind offensichtlich: Einerseits gelingt kann es in den einzelnen Audits gelingen die Änderungen von Prozessen zu berücksichtigen und anzupassen. Andererseits können die analysierten „Lücken“ frühzeitig zum Nutzen der Organisation in Maßnahmen umgesetzt werden.