Was ist ein Audit?

Ein Audit im weitesten Sinn bedeutet eine objektive Analyse zur Verbesserung der Unternehmensorganisation – basierend auf Beobachtungen, Überprüfungen, Befragungen und Einsichtnahme in die dazugehörigen Unterlagen. Ein Audit dient immer einem Vergleich von Soll und Ist, von Vorgabe und Erfüllung. Damit liefern Audits Klarheit. Sie dienen als Leistungsbewertung oder Diagnose, um Stärken und Verbesserungspotenzial zu identifizieren, und geben wichtige Rückmeldungen über Veränderungen und die Wirksamkeit eingeleiteter Maßnahmen.

In der Auditierung von Managementsystemen ist der Leitfaden ISO 19011 maßgebend. Er definiert in Kapitel 3.1 das Audit als „systematischen, unabhängigen und dokumentierten Prozess zum Erlangen von objektiven Nachweisen und zu deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind“.

Der Begriff Audit kommt vom lateinischen Wort „audire“ – zuhören oder anhören. Das Hören, im Sinne von „dem Gesprächspartner zuhören“, ist eine wesentliche Aufgabe eines Auditors, aber durchaus nicht die einzige. Denn der Auditor fragt, beobachtet und analysiert in einem Audit. Schließlich geht es darum, zu erfahren und zu bewerten, ob und inwieweit es der zur auditierenden Organisation gelungen ist, dargelegte Vorgaben und Anforderungen, zum Beispiel aus einer Managementsystemnorm, umzusetzen. Hierfür hinterfragt der Auditor zum Beispiel auch die Wechselwirkung von Prozessen.

Kennzeichnend für alle unsere Audits ist, dass ein unabhängiger Branchenexperte einen Blick auf Ihr Managementsystem und die Prozesse wirft. Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort.

Wozu ist ein Audit sinnvoll?

Mit der regelmäßigen Durchführung von Audits erhält Ihr Unternehmen Aufschluss darüber, ob Maßnahmen und Prozesse wirksam, angemessen und geeignet sind, Vorgaben und Anforderungen zu erfüllen. Zudem lassen sich Verbesserungspotenziale und Risiken identifizieren. Die dokumentierten Ergebnisse liefern Ihrer obersten Unternehmensleitung wichtige Erkenntnisse für Steuerungsmaßnahmen.

Audits dienen dazu, …

  • Ihre Organisation wertschöpfend weiterzuentwickeln
  • einen umfassenden Soll-Ist-Vergleich zu erhalten
  • Stärken und Verbesserungspotenzial für Ihr Unternehmen zu identifizieren
  • Risiken und Fehler aufzudecken sowie Maßnahmen zur Vermeidung abzuleiten
  • Führungskräften eine fundierte Entscheidungsgrundlage zu liefern
  • blinde Flecken und Schwachstellen im Unternehmen aufzudecken
  • von bewährten Arbeitsweisen und Abläufen zu lernen
  • systematisch und konsequent vorzugehen
  • einen objektiven Nachweis Ihrer Leistungsfähigkeit zu liefern

Welche Arten von Audits gibt es?

Zunächst unterscheidet man nach internen und externen Audits.

Ein internes Audit (auch Selbstprüfung, First Party Audit oder 1st Party Audit) wird innerhalb des Unternehmens geplant. In der Regel führt ein speziell geschulter interner Mitarbeiter, also ein interner Auditor wie zum Beispiel der Qualitätsmanagementbeauftragte, das Audit durch. Interne Audits sind auch regelmäßiger Bestandteil des eigenen Managementsystems.

Ein Audit durch einen externen Dritten kann beispielsweise durch Kunden (Second Party Audit oder 2nd Party Audits) oder eine akkreditierte Zertifizierungsstelle wie der DQS (Third Party Audit oder auch 3rd Party Audit) durchgeführt werden. Dann entscheidet das Unternehmen, welche Bereiche es betrachten möchte. Geht es um bestimmte Normen, wie bei einem Managementsystemaudit, um bestimmte Prozesse, Produkte, Innovationen oder Compliance Themen? Geht es um Lieferanten kommen Second Party Audits durch den QMB eines Kunden ebenso in Frage wie die Beauftragung der DQS.

Oder strebt ein Unternehmen ein vollumfängliches Zertifizierungsaudits des Managementsystems durch externe Auditoren einer Zertifizierungsgesellschaft an? Vielleicht sollen aber auch Teilaspekte im Rahmen eines Deltaaudits im Fokus stehen? Und dann bleibt die Frage, in welcher Form das Audit durchgeführt wird: als Audit vor Ort oder als Fernaudit, dem sogenannten Remote Audit?

 

Was ist eine Auditplanung?

Audits werden nicht aufs „Geratewohl“ durchgeführt. Eine sorgfältige Planung ist stets Voraussetzung für den Erfolg eines Audits. Das trifft vor allem für Audits im Rahmen einer externen Zertifizierung zu. Zertifizierungsaudits werden, vor allem, wenn es um akkreditierte Verfahren geht, sorgfältig geplant. Was dabei zu berücksichtigen gilt, beschreibt die Norm ISO 17021 im Kapitel „9.2 Planen von Audits“ sowie regelwerkspezifische Anforderungen. Die Planung obliegt dem von der Zertifizierungsstelle beauftragten Auditleiter.

DIN EN ISO/IEC 17021-1:2015-11 – Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren – Teil 1: Anforderungen

Eine weitere Norm – DIN ISO/IEC 17065:2013 – formuliert Anforderungen an „Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren“.

Anforderungen an die korrekte Planung und Durchführung von Audits können sich also unterscheiden – je nachdem, ob es sich um die Zertifizierung von Managementsystemen oder aber beispielsweise von Produkten handelt.

DIN EN ISO/IEC 17065:2013-01 – Konformitätsbewertung – Anforderungen an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren
Die Normen sind beim Beuth Verlag erhältlich.

Die Auditplanung umfasst das Festlegen

  • der Auditziele,
  • des Auditumfangs,
  • der Auditkriterien (Vorgaben, die erfüllt werden sollen) und ggf.
  • bedeutender Änderungen, die Einfluss auf Ihr Managementsystem haben.

Abgesehen von den Auditzielen werden die Festlegungen in enger Absprache mit Ihnen als Auftraggeber getroffen. An diese Festlegungen stellt ISO 17021 konkrete Anforderungen, die in die Auditplanung Eingang finden müssen.

Was bedeutet Auditdauer?

Die alte Bezeichnung Auditdauer wird in der Norm ISO 17021 seit der Ausgabe von 2015 als Auditzeitaufwand bezeichnet. Dieser wird definiert als „Zeitaufwand, der benötigt wird, um ein komplettes und wirksames Audit des Managementsystems der Organisation des Kunden zu planen und durchzuführen“. Die Deutsche Akkreditierungsstelle GmbH (DAkkS) spricht an dieser Stelle von Auditzeit.

Der Auditzeitaufwand wird von der DQS als akkreditierte Zertifizierungsstelle nach einem dokumentierten Verfahren ermittelt. Dabei sind eine ganze Reihe von Aspekten zu berücksichtigen, zum Beispiel die

  • Norm, nach deren Anforderungen auditiert werden soll
  • Komplexität Ihrer Unternehmenstätigkeit und Ihres Managementsystems
  • Anzahl Ihrer Mitarbeiter
  • Größe, Anzahl und Lage von Standorten (die Reisezeit zu Standorten ist bei der DQS nicht enthalten)
  • Risiken, die mit Produkten, Tätigkeiten oder Prozessen verbunden sind etc.

Auch die Art und Weise der Durchführung eines Audits – vor Ort oder als sogenanntes Fernaudit (Remote Audit), kann ebenfalls Einfluss auf den Auditzeitaufwand haben und muss berücksichtigt werden.

Welche Aufgaben hat ein Auditleiter?

Ein Auditleiter ist ein Auditor, der aufgrund seiner besonderen Qualifikation von der Zertifizierungsstelle nach einem festgelegten Prozess in dieser Position eingesetzt wird. Er ist dafür verantwortlich, den Auditauftrag, also die Auditplanung und das Audit selbst, ordnungsgemäß auszuführen. Sofern ein Team aus mehreren Auditoren auditiert, hat er – in seiner Funktion als Auditteamleiter – die Aufgabe, das Auditteam zu bilden, einzuteilen und anzuleiten. Ferner muss er das Auditprogramm und den Auditprozess inklusive dem Zeitmanagement steuern.

Der Auditleiter leitet in der Regel das Eröffnungsgespräch und ist der primäre Ansprechpartner für den Auftraggeber. Er tauscht mit den Teammitgliedern Informationen aus, bewertet in regelmäßigen Abständen den Fortschritt des Audits und unterrichtet den Auftraggeber über den aktuellen Stand. Dabei können zum Beispiel auch aufgedeckte Nichtkonformitäten oder ein Änderungsbedarf am Auditumfang zur Sprache kommen. In diesem Zusammenhang muss der Auditleiter gegebenenfalls auch nach Lösungen für Konflikte suchen.

Der Auditleiter zieht schließlich gemeinsam mit seinem Auditteam die Schlussfolgerungen aus den Auditergebnissen, bespricht diese im Abschlussgespräch und erstellt den Auditbericht.

Was ist ein Auditbericht?

Ein Auditbericht zu einem Audit ist eine schriftliche Zusammenfassung der Auditfeststellungen, die der Auditleiter während seines Audits getroffen hat. Dazu gehören die Schlussfolgerungen, die auf der Bewertung der Auditnachweise basieren, und zwar mit Blick auf die Auditkriterien (Vorgaben, die erfüllt werden sollen). Der Auditbericht zu einem externen Zertifizierungsaudit ist die Grundlage für die Entscheidung über die Erteilung eines Zertifikats.

Im Mittelpunkt des Auditberichts stehen Aussagen, inwieweit die Auditkriterien erfüllt sind, ob bzw. welche Nichtkonformitäten festgestellt wurden, und wie schwerwiegend diese sind. Im Detail geht es um die Dokumentation erkannter Stärken, Schwächen, Risiken und Chancen, aber auch ob möglicherweise Sofortmaßnahmen oder ein Nachaudit notwendig sind. Der Auditbericht ist außerdem Grundlage für die Durchführung von Verbesserungsmaßnahmen. Es müssen gegebenenfalls auch Angaben zur Umsetzung von Korrekturmaßnahmen von in früheren Audits festgestellten Nichtkonformitäten gemacht werden. Darüber hinaus muss jede Abweichung vom Auditplan dokumentiert werden.

Der Auditbericht enthält formale Angaben zum Audit, wie Name der Zertifizierungsstelle und der Auditoren des Auditteams. Außerdem Name und Anschrift Ihres Unternehmens, Termin, Ort, Audittyp, Auditkriterien, Auditziele und Auditumfang, Auditzeitaufwand und anderes mehr. Wichtig zu wissen: Der Inhalt eines Auditberichts ist grundsätzlich vertraulich, das Eigentumsrecht am Bericht bleibt bei der Zertifizierungsstelle.

Was ist eine Auditfeststellung?

Bei Auditfeststellungen handelt es sich um relevante Erkenntnisse aus der Analyse von Informationen und Nachweisen, die das Auditteam während des Audits erhalten hat. Sie sind ein wesentlicher Bestandteil des Auditberichts. Die Auditfeststellungen erfahren eine Bewertung durch das Auditteam, das daraus entsprechende Auditschlussfolgerungen zieht. In einem externen Zertifizierungsaudit sind die Schlussfolgerungen für die Zertifikatsentscheidung ausschlaggebend. Bereits in der Eröffnungsbesprechung zum Audit muss der Auditleiter erklären, nach welchen Kriterien die Auditfeststellungen eingestuft werden.  

Auditfeststellungen werden dokumentiert. Sie umfassen sowohl die knappe Darstellung von Konformitäten (Übereinstimmungen mit der zugrundeliegenden Norm), als auch die umfassende Darstellung und Einordnung von Nichtkonformitäten. Eine für Ihr Unternehmen höchst nutzenbringende Variante der Auditfeststellung ist das zielgerichtete Aufdecken von Verbesserungspotenzial. Von Seiten der Norm ISO 17021 ist das kein Muss, wird aber als positiv angesehen. Dieses Vorgehen ist ein Zeichen besonderer Fachkompetenz. Das Aufdecken von Verbesserungspotenzialen darf jedoch keine Lösung enthalten. Verbesserungspotenzial darf nicht als Nichtkonformität bewertet und aufgezeichnet werden. Umgekehrt kann eine Nichtkonformität nicht wie ein Verbesserungspotenzial behandelt werden.

Der Zertifizierungsprozess der DQS

Der Zertifizierungsprozess durch die DQS beginnt mit dem gegenseitigen Kennenlernen und dem Austausch erster Informationen für ein aussagefähiges Angebot. Gemeinsam definieren wir die Ziele der Auditierung und / oder Zertifizierung, einschließlich der anzuwendenden Normen und Regelwerke. Dabei berücksichtigen wir Ihre individuelle Unternehmenssituation, spezielle Abläufe und den Reifegrad Ihres Managementsystems.

Als erste Leistungsbewertung kann ein Voraudit hilfreich sein. So erhalten Sie Aufschluss über den Reifegrad Ihres Managementsystems und erkennen frühzeitig mögliche Lücken zur Zertifizierung. Bei größeren Auditierungs- und Zertifizierungsprojekten ist ein Projektplanungsmeeting eine wertvolle Gelegenheit, um Ihren Auditleiter kennenzulernen sowie ein individuelles Auditprogramm zu entwickeln.

Im Systemaudit (Stufe 1 und Stufe 2) begutachten unsere Auditoren vor Ort, ob Ihr Managementsystem alle Anforderungen der entsprechenden Norm erfüllt. Danach folgt die Systembewertung mit Erstellung eines Auditberichtes. Das DQS-Zertifikat dokumentiert Ihre erfolgreiche Umsetzung. Eine jährliche Überwachung dient der Prozessstabilität und Risikominimierung. Nach drei Jahren erfolgt eine Rezertifizierung.

DQS: Da Audit nicht gleich Audit ist

Unsere Audits haben viele Facetten und folgen je nach Zielsetzung ganz unterschiedlichen Kriterien, z.B. nationalen und internationalen Normen, einzuhaltenden Gesetzen und Richtlinien, den Anforderungen Ihrer Kunden oder den selbst gesteckten Zielen Ihrer Organisation. Egal ob Zertifizierungs- oder ProzessauditCompliance–, Lieferanten– oder integrierte Systemaudits – bei uns steht Ihnen die gesamte Bandbreite an Audit-Dienstleistungen und Zertifizierungen zur Verfügung, um die Leistungsfähigkeit Ihres Unternehmens nachhaltig zu steigern. Und das quer durch alle Branchen.

Übrigens: Ist ein Audit mit der Ausstellung einer Bescheinigung oder eines Zertifikats verbunden, so steht der Name DQS darauf zugleich als sichtbares Zeichen für Qualität, Effizienz und kundenorientierte Prozesse – für Ihre Kunden, für Marktteilnehmer und weitere interessierte Parteien.