Audit - Wissenswertes leicht erklärt

INHALT

• Was ist ein Audit?
• Wozu ist ein Audit sinnvoll?
• Welche Arten von Audits gibt es?
• Was ist eine Auditplanung?
• Was bedeutet Auditdauer?
• Welche Aufgaben hat ein Auditleiter?
• Was ist ein Auditbericht?
• Was ist eine Auditfeststellung?

Was ist ein Audit?

Ein Audit im weitesten Sinn bedeutet eine objektive Analyse zur Verbesserung der Unternehmensorganisation – basierend auf Beobachtungen, Überprüfungen, Befragungen und Einsichtnahme in die dazugehörigen Unterlagen. Ein Audit dient immer einem Vergleich von Soll und Ist, von Vorgabe und Erfüllung. Damit liefern Audits Klarheit. Sie dienen als Leistungsbewertung oder Diagnose, um Stärken und Verbesserungspotenzial zu identifizieren, und geben wichtige Rückmeldungen über Veränderungen und die Wirksamkeit eingeleiteter Maßnahmen.

In der Auditierung von Managementsystemen ist der Leitfaden ISO 19011 maßgebend. Er definiert in Kapitel 3.1 das Audit als „systematischen, unabhängigen und dokumentierten Prozess zum Erlangen von objektiven Nachweisen und zu deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind“.

Der Begriff Audit kommt vom lateinischen Wort „audire“ – zuhören oder anhören. Das Hören, im Sinne von „dem Gesprächspartner zuhören“, ist eine wesentliche Aufgabe eines Auditors, aber durchaus nicht die einzige. Denn der Auditor fragt, beobachtet und analysiert in einem Audit. Schließlich geht es darum, zu erfahren und zu bewerten, ob und inwieweit es der zur auditierenden Organisation gelungen ist, dargelegte Vorgaben und Anforderungen, zum Beispiel aus einer Managementsystemnorm, umzusetzen. Hierfür hinterfragt der Auditor zum Beispiel auch die Wechselwirkung von Prozessen.

Kennzeichnend für alle unsere Audits ist, dass ein unabhängiger Branchenexperte einen Blick auf Ihr Managementsystem und die Prozesse wirft. Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort.

Wozu ist ein Audit sinnvoll?

Mit der regelmäßigen Durchführung von Audits erhält Ihr Unternehmen Aufschluss darüber, ob Maßnahmen und Prozesse wirksam, angemessen und geeignet sind, Vorgaben und Anforderungen zu erfüllen. Zudem lassen sich Verbesserungspotenziale und Risiken identifizieren. Die dokumentierten Ergebnisse liefern Ihrer obersten Unternehmensleitung wichtige Erkenntnisse für Steuerungsmaßnahmen.

Audits dienen dazu …

• Ihre Organisation wertschöpfend weiterzuentwickeln
• einen umfassenden Soll-Ist-Vergleich zu erhalten
• Stärken und Verbesserungspotenzial für Ihr Unternehmen zu identifizieren
• Risiken und Fehler aufzudecken sowie Maßnahmen zur Vermeidung abzuleiten
• Führungskräften eine fundierte Entscheidungsgrundlage zu liefern
• blinde Flecken und Schwachstellen im Unternehmen aufzudecken
• von bewährten Arbeitsweisen und Abläufen zu lernen
• systematisch und konsequent vorzugehen
• einen objektiven Nachweis Ihrer Leistungsfähigkeit zu liefern

Welche Arten von Audits gibt es?

Zunächst unterscheidet man nach internen und externen Audits.

Ein internes Audit (auch Selbstprüfung, First Party Audit oder 1st Party Audit) wird innerhalb des Unternehmens geplant. In der Regel führt ein speziell geschulter interner Mitarbeiter, also ein interner Auditor wie zum Beispiel der Qualitätsmanagementbeauftragte, das Audit durch. Interne Audits sind auch regelmäßiger Bestandteil des eigenen Managementsystems. Ein Audit durch einen externen Dritten kann beispielsweise durch Kunden (Second Party Audit oder 2nd Party Audits) oder eine akkreditierte Zertifizierungsstelle wie der DQS (Third Party Audit oder auch 3rd Party Audit) durchgeführt werden.

Dann entscheidet das Unternehmen, welche Bereiche es betrachten möchte. Geht es um bestimmte Normen, wie bei einem Managementsystemaudit, um bestimmte Prozesse, Produkte, Innovationen oder Compliance Themen? Geht es um Lieferanten, kommen Second Party Audits durch den QMB eines Kunden ebenso infrage wie die Beauftragung der DQS.

Oder strebt ein Unternehmen ein vollumfängliches Zertifizierungsaudits des Managementsystems durch externe Auditoren einer Zertifizierungsgesellschaft an? Vielleicht sollen aber auch Teilaspekte im Rahmen eines Deltaaudits im Fokus stehen? Und dann bleibt die Frage, in welcher Form das Audit durchgeführt wird: als Audit vor Ort oder als Fernaudit, dem sogenannten Remote Audit?

Was ist eine Auditplanung?

Audits werden nicht aufs „Geratewohl“ durchgeführt. Eine sorgfältige Planung ist stets Voraussetzung für den Erfolg eines Audits. Das trifft vor allem für Audits im Rahmen einer externen Zertifizierung zu. Zertifizierungsaudits werden, vor allem, wenn es um akkreditierte Verfahren geht, sorgfältig geplant. Was dabei zu berücksichtigen gilt, beschreibt die Norm ISO 17021 im Kapitel „9.2 Planen von Audits“ sowie regelwerkspezifische Anforderungen. Die Planung obliegt dem von der Zertifizierungsstelle beauftragten Auditleiter.

Die Auditplanung umfasst das Festlegen der Auditziele, des Auditumfangs, der Auditkriterien (Vorgaben, die erfüllt werden sollen) und ggf. bedeutender Änderungen, die Einfluss auf Ihr Managementsystem haben. Abgesehen von den Auditzielen werden die Festlegungen in enger Absprache mit Ihnen als Auftraggeber getroffen. An diese Festlegungen stellt ISO 17021 konkrete Anforderungen, die bei der Auditplanung berücksichtigt werden müssen.

Zur Auditplanung zählt wesentlich auch die Auswahl eines Auditorenteams (Auditteams) und das Zuordnen von Rollen durch den eingesetzten Auditleiter, und zwar in seiner Funktion als „Auditteamleiter“. Die Auswahl der Auditoren folgt einem von der DQS festgelegten Prozess. Die Planung umfasst die Anzahl an Auditoren, dessen Zusammensetzung bzw. Kompetenz (benötigte Fachexpertise) und deren konkreten Einsatz. Die Auditplanung muss sich vor allem an den Auditzielen, dem Auditumfang, den Auditkriterien , dem geschätzten Auditzeitaufwand sowie einer Reihe weiterer Aspekte orientieren.

Zur Auditplanung gehört auch die Erstellung eines Auditzeitplans durch den Auditleiter, der konkrete Daten für die Auditdurchführung enthält. Dazu zählt, welche Organisations- bzw. Funktionseinheiten und Prozesse wann, wo, wie lange und durch wen auditiert werden sollen. Der Auditplan wird vor Beginn des Audits mit dem Auftraggeber abgestimmt.

Was bedeutet Auditdauer?

Die alte Bezeichnung Auditdauer wird in der Norm ISO 17021 seit der Ausgabe von 2015 als Auditzeitaufwand bezeichnet. Dieser wird definiert als „Zeitaufwand, der benötigt wird, um ein komplettes und wirksames Audit des Managementsystems der Organisation des Kunden zu planen und durchzuführen“. Die Deutsche Akkreditierungsstelle GmbH (DAkkS) spricht an dieser Stelle von Auditzeit.

Der Auditzeitaufwand wird von der DQS als akkreditierte Zertifizierungsstelle nach einem dokumentierten Verfahren ermittelt. Dabei sind eine ganze Reihe von Aspekten zu berücksichtigen, zum Beispiel die

• Norm, nach deren Anforderungen auditiert werden soll
• Komplexität Ihrer Unternehmenstätigkeit und Ihres Managementsystems
• Anzahl Ihrer Mitarbeiter
• Größe, Anzahl und Lage von Standorten (die Reisezeit zu Standorten ist bei der DQS nicht enthalten)
• Risiken, die mit Produkten, Tätigkeiten oder Prozessen verbunden sind etc.

Auch die Art und Weise der Durchführung eines Audits – vor Ort oder als sogenanntes Fernaudit (Remote Audit), kann ebenfalls Einfluss auf den Auditzeitaufwand haben und muss berücksichtigt werden.

Welche Aufgaben hat ein Auditleiter?

Ein Auditleiter ist ein Auditor, der aufgrund seiner besonderen Qualifikation von der Zertifizierungsstelle nach einem festgelegten Prozess in dieser Position eingesetzt wird. Er ist dafür verantwortlich, den Auditauftrag, also die Auditplanung und das Audit selbst, ordnungsgemäß auszuführen. Sofern ein Team aus mehreren Auditoren auditiert, hat er – in seiner Funktion als Auditteamleiter – die Aufgabe, das Auditteam zu bilden, einzuteilen und anzuleiten. Ferner muss er das Auditprogramm und den Auditprozess inklusive des Zeitmanagements steuern.

Der Auditleiter leitet in der Regel das Eröffnungsgespräch und ist der primäre Ansprechpartner für den Auftraggeber. Er tauscht mit den Teammitgliedern Informationen aus, bewertet in regelmäßigen Abständen den Fortschritt des Audits und unterrichtet den Auftraggeber über den aktuellen Stand. Dabei können zum Beispiel auch aufgedeckte Nichtkonformitäten oder ein Änderungsbedarf am Auditumfang zur Sprache kommen. In diesem Zusammenhang muss der Auditleiter gegebenenfalls auch nach Lösungen für Konflikte suchen.

Der Auditleiter zieht schließlich gemeinsam mit seinem Auditteam die Schlussfolgerungen aus den Auditergebnissen, bespricht diese im Abschlussgespräch und erstellt den Auditbericht.

Was ist ein Auditbericht?

Ein Auditbericht zu einem Audit ist eine schriftliche Zusammenfassung der Auditfeststellungen, die der Auditleiter während seines Audits getroffen hat. Dazu gehören die Schlussfolgerungen, die auf der Bewertung der Auditnachweise basieren, und zwar mit Blick auf die Auditkriterien (Vorgaben, die erfüllt werden sollen). Der Auditbericht zu einem externen Zertifizierungsaudit ist die Grundlage für die Entscheidung über die Erteilung eines Zertifikats.

Im Mittelpunkt des Auditberichts stehen Aussagen, inwieweit die Auditkriterien erfüllt sind, ob bzw. welche Nichtkonformitäten festgestellt wurden, und wie schwerwiegend diese sind. Im Detail geht es um die Dokumentation erkannter Stärken, Schwächen, Risiken und Chancen, aber auch ob möglicherweise Sofortmaßnahmen oder ein Nachaudit notwendig sind. Der Auditbericht ist außerdem Grundlage für die Durchführung von Verbesserungsmaßnahmen. Es müssen gegebenenfalls auch Angaben zur Umsetzung von Korrekturmaßnahmen von in früheren Audits festgestellten Nichtkonformitäten gemacht werden. Darüber hinaus muss jede Abweichung vom Auditplan dokumentiert werden.

Der Auditbericht enthält formale Angaben zum Audit, wie Name der Zertifizierungsstelle und der Auditoren des Auditteams. Hinzu kommen Name und Anschrift Ihres Unternehmens, Termin, Ort, Audittyp, Auditkriterien, Auditziele und Auditumfang, Auditzeitaufwand und einiges mehr. Wichtig zu wissen: Der Inhalt eines Auditberichts ist grundsätzlich vertraulich, das Eigentumsrecht am Bericht bleibt bei der Zertifizierungsstelle.

Was ist eine Auditfeststellung?

Bei Auditfeststellungen handelt es sich um relevante Erkenntnisse aus der Analyse von Informationen und Nachweisen, die das Auditteam während des Audits erhalten hat. Sie sind ein wesentlicher Bestandteil des Auditberichts. Die Auditfeststellungen erfahren eine Bewertung durch das Auditteam, das daraus entsprechende Auditschlussfolgerungen zieht. In einem externen Zertifizierungsaudit sind die Schlussfolgerungen für die Zertifikatsentscheidung ausschlaggebend. Bereits in der Eröffnungsbesprechung zum Audit muss der Auditleiter erklären, nach welchen Kriterien die Auditfeststellungen eingestuft werden.  

Auditfeststellungen werden dokumentiert. Sie umfassen sowohl die knappe Darstellung von Konformitäten (Übereinstimmungen mit der zugrundeliegenden Norm), als auch die umfassende Darstellung und Einordnung von Nichtkonformitäten. Eine für Ihr Unternehmen höchst nutzenbringende Variante der Auditfeststellung ist das zielgerichtete Aufdecken von Verbesserungspotenzial. Vonseiten der Norm ISO 17021 ist das kein Muss, wird aber als positiv angesehen. Dieses Vorgehen ist ein Zeichen besonderer Fachkompetenz. Das Aufdecken von Verbesserungspotenzialen darf jedoch keine Lösung enthalten. Verbesserungspotenzial darf nicht als Nichtkonformität bewertet und aufgezeichnet werden. Umgekehrt kann eine Nichtkonformität nicht wie ein Verbesserungspotenzial behandelt werden.