Den Auditprozess effizient gestalten mit ISO 19011 · den Forderungen der Norm DIN EN ISO 19011:2011 (Kurzform ISO 19011) und geben Ihnen nützliche Tipps für die Gestaltung des
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Den Auditprozess effizient gestalten mit ISO 19011
vonWolfgang Kallmeyer
Audits gehören zum festen Bestandteil in der Praxis vonManagementsystemen. In diesem Beitrag erfahren Sie, wieSie Audits erfolgreich und effizient planen, vorbereiten unddurchführen können. Die Ausführungen orientieren sich anden Forderungen der Norm DIN EN ISO 19011:2011(Kurzform ISO 19011) und geben Ihnen nützliche Tipps fürdie Gestaltung des Auditprozesses. Hierbei unterstützen Siezahlreiche direkt verwendbare Arbeitshilfen in Form vonMustertexten, Beispielen und Formularen, die Sie an die Er-fordernisse Ihres Unternehmens anpassen können.
• Mustertext „Ernennung zum Auditprogrammverantwort-lichen“, Anhang 1 (Word-Datei)
• Beispiel eines tabellarischen Auditprogramms – minimal, Anhang 2 (Excel-Datei)
• Beispiel eines tabellarischen Auditprogramms – erweitert, Anhang 3 (Excel-Datei)
• Beispiel einer Auditprogramm-Risikomatrix, Anhang 4 (Word-Datei)
• Beispiel eines Auditauftrags (Einzelaudit), Anhang 5 (Word-Datei)
• Beispiel einer Dokumentenprüfung, Anhang 6 (Word-Datei)
• Beispiel eines Auditplans, Anhang 7 (Word-Datei)
• Beispiel einer Textanalyse, Anhang 8 (Word-Datei)
• Beispiel einer Auditcheckliste, Anhang 9 (Word-Datei)
• Beispiel eines Auditberichts, Anhang 12 (Excel-Datei)
• Beispiel einer Auditbewertung, Anhang 13 (Word-Datei)
1 Ziel und Zweck von Audits
Nach der DIN EN ISO 9000:2005 ist ein Audit ein „syste-matischer, unabhängiger und dokumentierter Prozess zurErlangung von Auditnachweisen und zu deren objektiverAuswertung, um zu ermitteln, inwieweit Auditkriterien er-füllt sind“. Im Zusammenhang mit Managementsystemenwird üblicherweise unterscheiden zwischen
• interne Audits,
• Lieferantenaudits und
• Zertifizierungsaudits.
Das Ziel eines internen Systemaudits (First-Party-Audit)besteht darin, das gesamte installierte QM-System einesUnternehmens systematisch zu bewerten und zu verbessern.Die Durchführung obliegt dabei meist geschulten Mitarbei-tern des Unternehmens, welches die internen Audits durch-führt. Bei einem Systemaudit wird die gesamte Aufbau- undAblauforganisation eines Unternehmens daraufhin über-prüft, ob die Normenforderungen des Regelwerks erfülltsind und die eigenen Qualitätsziele erreicht werden können.
Wird das gesamte QM-System eines Unternehmens durchregelmäßige Audits überprüft, können Qualitätsabweichun-gen früh erkannt und rechtzeitig korrigiert werden. Diessenkt nicht nur die Fehlerquoten und damit die Fehlerkos-
05111 Auditprozess effizient gestalten mit ISO 19011
Seite 2
- Les
eprob
e -
ten. Da Qualitätsaudits immer auch zum Ziel haben, nachVerbesserungsmöglichkeiten zu suchen, selbst wenn derBetriebsablauf relativ reibungslos funktioniert, könnendiese regelmäßigen Überprüfungen auch dazu genutzt wer-den, das Qualitätsniveau in einem Unternehmen kontinuier-lich zu steigern. Der Schwerpunkt eines internen Auditsliegt in der Suche nach Verbesserungspotenzial zur Weiter-entwicklung des Managementsystems und der Unterneh-mensprozesse. Die Erfüllung der Normenforderung spielt,im Gegensatz zu einem Zertifizierungsaudit, nur eine unter-geordnete Rolle.
Laut Definition der DIN EN ISO 9000:2005 ist ein Liefe-rant „ein Hersteller, eine Vertriebseinrichtung, ein Einzel-händler, ein Dienstleister oder ein Monteur, der dem Kun-den ein Produkt bereitstellt“. Der Begriff beinhaltet sowohlProdukte als auch Dienstleistungen. Daher ist ein Lieferantalso jede Organisation, von der ein Kundenunternehmenmaterielle oder immaterielle Leistungen in Anspruchnimmt.
Lieferantenaudits dienen der Lieferantenauswahl und -be-wertung. Bei einem Lieferantenaudit überprüft der Kundedie Qualitätsfähigkeit seines Lieferanten, d. h., er vergewis-sert sich, ob das Lieferantenunternehmen grundsätzlichdazu in der Lage ist, qualitativ einwandfreie Leistungen zuerbringen. In der Regel sind Lieferantenaudits eine Mi-schung aus Prozess- und Systemaudits. Prozessaudits, weilder Kunde nach den Abläufen und Risiken in den Ferti-gungs- oder Dienstleistungsprozessen fragt, mit dem seineAufträge abgewickelt werden. Systemaudits sind sie gleich-zeitig, weil anhand der Stichprobe auch immer unterstüt-zende/führende Prozesse der Gesamtorganisation betrachtetwerden.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 3
- Les
eprob
e -
Da an dieser Auditart also zwei Parteien beteiligt sind, näm-lich der Kunde und der Lieferant, wird das Lieferantenauditauch als Second-Party-Audit bezeichnet. Ab und zu findetsich in der Literatur dafür auch der Begriff Kundenaudit, daes vom Kunden veranlasst wird. In der Regel wird jedochmeistens die Bezeichnung Lieferantenaudit verwendet.
Der Kunde kann das externe Qualitätsaudit selbst durchfüh-ren oder durch eine beauftragte Stelle oder Person durch-führen lassen. Dies ist insbesondere dann von Bedeutung,wenn der Lieferant weit entfernt im Ausland seinen Firmen-sitz hat.
Neben den Lieferantenaudits zählt zu den externen Quali-tätsaudits auch das sogenannte Zertifizierungsaudit. Da die-ses weder vom Kunden (Second Party) noch vom Lieferan-tenunternehmen selbst (First Party) durchgeführt wird, son-dern von einer dritten, völlig unabhängigen Überprüfungs-instanz, wird das Zertifizierungsaudit international auch alsThird-Party-Audit bezeichnet. Ein Zertifizierungsaudit isthäufig ein Systemaudit. Das Zertifizierungsaudit überprüftals Systemaudit, ob das gesamte QM-System eines Unter-nehmens die vorgegebenen Anforderungen erfüllt.
Welche Anforderungen ein QM-System erfüllen muss, umein entsprechendes Prüfungszertifikat zu erhalten, wirdmeist von einer sogenannten Systemnorm vorgegeben. Dieskann eine branchenspezifische Norm oder eine branchenun-abhängige Nachweisnorm sein, wie z. B. die QualitätsnormISO 9001.
Bei einem Zertifizierungsaudit werden alle von den Anfor-derungen der Norm betroffenen Bereiche eines Unterneh-mens systematisch daraufhin untersucht und beurteilt, obdie notwendigen Qualitätsmanagementmaßnahmen festge-
05111 Auditprozess effizient gestalten mit ISO 19011Seite 4
- Les
eprob
e -
legt und wirksam sind und ob diese Maßnahmen auch ein-gehalten und durchgeführt werden. Ist dies der Fall, bestä-tigt das offizielle QM-Zertifikat die Qualitätsfähigkeit einesUnternehmens. Dies ist allerdings nur die Prüfung im Hin-blick auf einen Mindeststandard (den der anzuwendendenNorm) und sagt nichts über den Reifegrad des Manage-mentsystems aus.
Zur Vorbereitung und Durchführung von internen Auditsund Lieferantenaudits wurde die Norm ISO 19011 entwi-ckelt, die in den folgenden Abschnitten näher behandeltwird.
Das Management von Zertifizierungsaudits wird in derNorm ISO/IEC 17021 geregelt. Wie sich ein Unternehmenauf ein Zertifizierungsaudit vorbereiten kann, wird an ande-rer Stelle dieses Werkes beschrieben.
Abbildung 1 gibt einen zusammenhängenden Überblicküber die Auditarten, ihre Bezeichnungen und ihre normativeZuordnung.
Abb. 1: Auditarten, Bezeichnungen und Anwendungsbereiche der Normen ISO 19011 undISO/IEC 17021
- Les
eprob
e -
2 Grundsätze des Auditprozesses –Die Auditprinzipien
Um den Anforderungen an ein gutes Audit gerecht zu wer-den, legt ISO 19011 im Abschnitt 4 grundlegende Prinzi-pien fest. Diese beziehen sich auf Prinzipien für den Audi-tor und Prinzipien für die Auditdurchführung. Die Ein-haltung dieser Prinzipien ist die Voraussetzung dafür, dassAuditoren unabhängig voneinander in vergleichbaren Situ-ationen zu ähnlichen Schlussfolgerungen kommen. Abbil-dung 2 stellt die Auditprinzipien der ISO 19011 als tragendeSäulen eines effizienten Auditprozesses dar.
05111 Auditprozess effizient gestalten mit ISO 19011Seite 6
Auditergebnis
Inte
gri
tät
der
Pers
on
d
es A
ud
ito
rs
Sach
lich
e D
ars
tellu
ng
Auditerfolg
An
gem
essen
e b
eru
flic
he
So
rgfa
lt
Prinzipien für den Auditor Prinzipien für die Auditdurchführung
Un
ab
hän
gig
keit
der
Au
dit
ore
n
Vo
rgeh
en
sw
eis
e,
die
au
f N
ach
weis
en
beru
ht
Vert
rau
lich
keit
der
Info
rma
tio
n
Abb. 2: Die sechs Auditprinzipien der ISO 19011
2.1 Prinzipien für den Auditor
Integrität der Persönlichkeit des Auditors• Integrität ist die Grundlage des Berufsbilds (früher ethi-
sches Verhalten). Auditoren sowie jene, die das Auditpro-gramm leiten und lenken, sollten:
- Les
eprob
e -
• ihre Arbeit mit Ehrlichkeit, Sorgfalt und Verantwortung ausführen;
• alle anwendbaren rechtlichen Anforderungen beachten und einhalten;
• ihre Kompetenz während ihrer Arbeit nachweisen;
• ihre Arbeit unparteiisch ausführen, d. h., sie bleiben sach-lich und sind frei von Voreingenommenheit bei allen ihrenHandlungen;
• sensibel sein gegenüber jeglichem Einfluss, der auf ihr Urteilsvermögen während der Durchführung eines Audits ausgeübt werden kann.
Sachliche Darstellung
Sachliche Darstellung als die Pflicht, wahrheitsgemäß undgenau zu berichten. Das bedeutet, dass Auditfeststellungen,Auditschlussfolgerungen und Auditberichte die Audittätig-keiten wahrheitsgemäß und genau widerspiegeln sollten.Über wesentliche Hindernisse, die während des Audits auf-treten, und über nicht bereinigte oder auseinandergehendeAuffassungen zwischen dem Auditteam und der auditiertenOrganisation kann berichtet werden.
Die Kommunikation muss wahrheitsgetreu, genau, objek-tiv, zeitgerecht, klar und vollständig sein.
Angemessene berufliche Sorgfalt
Angemessene berufliche Sorgfalt bedeutet die Anwendungvon Sorgfalt und Urteilsvermögen beim Auditieren. Die Au-ditoren sollten Sorgfalt walten lassen gemäß der Bedeutungder Aufgabe, die sie erfüllen, und gemäß dem Vertrauen,welches die Organisation, die das Audit anfordert, und an-dere interessierte Parteien in sie setzen.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 7
- Les
eprob
e -
Ein wichtiger Faktor bei der Ausführung der Arbeit mit an-gemessener beruflicher Sorgfalt ist die Fähigkeit, in allenAuditsituationen begründete Urteile fällen zu können (frü-her nur Bezug zur Qualifikation).
2.2 Prinzipien für die Auditdurchführung
Vertraulichkeit der Information
Vertraulichkeit versteht sich als die Sicherheit von vertrau-lichen/geheimen Informationen. Die Auditoren sollten beider Verwendung und dem Schutz von Informationen, die sieim Verlaufe ihrer Aufgaben erworben haben, umsichtigsein. Auditinformationen sollten nicht unangemessen zurpersönlichen Bereicherung des Auditors oder der Organisa-tion, die das Audit anfordert, oder in einer Weise verwendetwerden, die nachteilig für das berechtigte Interesse der au-ditierten Organisation ist. Dieses Konzept schließt den ord-nungsgemäßen Umgang mit sensiblen, vertraulichen Infor-mationen ein.
Unabhängigkeit der Auditoren
Unabhängigkeit ist die Grundlage für die Unparteilichkeitdes Audits und Objektivität der Auditschlussfolgerungen.Auditoren sollten unabhängig von der Tätigkeit sein, die au-ditiert wird, und möglichst frei von Voreingenommenheitund Interessenkonflikten agieren.
Bei internen Audits sollten Auditoren unabhängig von denLeitern der zu auditierenden Funktionsbereiche sein.
Auditoren sollten Objektivität während des gesamten Au-ditprozesses zeigen, um sicherzustellen, dass die Auditfest-stellungen und -schlussfolgerungen nur auf den Auditnach-weisen beruhen.
05111 Auditprozess effizient gestalten mit ISO 19011Seite 8
- Les
eprob
e -
Bei kleinen Organisationen kann es sein, dass die internenAuditoren nicht völlig unabhängig von der zu auditierendenTätigkeit sind; es sollten aber alle Anstrengungen unter-nommen werden, um Voreingenommenheit zu beseitigenund Objektivität zu ermöglichen.
Vorgehensweise, die auf Nachweisen beruht
Eine Vorgehensweise, die auf Nachweisen beruht, ist die ra-tionale Grundlage, um zu zuverlässigen und nachvollzieh-baren Auditschlussfolgerungen in einem systematischenAuditprozess zu gelangen.
Auditnachweise sollten verifizierbar sein. Sie beruhen aufProben der verfügbaren Informationen, da ein Audit wäh-rend eines begrenzten Zeitraums und mit begrenztenRessourcen durchgeführt wird. Die angemessen durchge-führte Probennahme ist eng mit dem Vertrauen verbunden,das in die Auditschlussfolgerungen gesetzt werden kann.
3 Planung und Steuerung des Auditprozesses –Das Auditprogramm
3.1 Ablauf des Prozesses zum Auditprogramm
„Eine Organisation, die Audits durchführen muss, sollte einAuditprogramm erstellen, das zur Ermittlung der Wirksam-keit des Managementsystems der zu auditierenden Organi-sation beiträgt. Das Auditprogramm kann Audits enthalten,die eine oder mehrere Managementsystemnormen berück-sichtigen und die entweder getrennt oder in Kombinationdurchgeführt werden.“ (ISO 19011, Kap. 5.1)
Auditprozess effizient gestalten mit ISO 19011 05111Seite 9
- Les
eprob
e -
Dazu ist zunächst zu klären, was die ISO 19011 unter einem Auditprogramm versteht. In der Norm steht unter Punkt3.13:
„Festlegungen für einen Satz von einem oder mehreren Au-dits, die für einen bestimmten Zeitraum geplant und aufeinen spezifischen Zweck ausgerichtet sind.
Anmerkung: Ein Auditprogramm enthält alle Tätigkeiten,die für Planen, Organisieren und Durchführen der Audits erforderlich sind.“
Die oberste Leitung sollte sicherstellen, dass eine oder meh-rere Personen beauftragt werden, das Auditprogramm zuleiten und zu lenken sowie Ziele für das Auditprogrammfestzulegen. Der Umfang eines Auditprogramms sollte aufder Größe und der Art der Organisation, die auditiert wird,sowie auf der Art, der Funktionalität, der Komplexität unddem Reifegrad des zu auditierenden Managementsystemsbasieren.
Das Auditprogramm schließt alle Tätigkeiten ein, die zurPlanung und Organisation der Arten und Anzahl von Auditssowie zur Bereitstellung von Ressourcen notwendig sind,um diese Audits effizient und wirksam innerhalb des vorge-gebenen Zeitrahmens durchzuführen.
Das Auditprogramm kann mehrere Audits beinhalten. Eskann Audits einzelner, mehrfacher oder integrierter Ma-nagementsysteme enthalten, die entweder getrennt oder inKombination durchgeführt werden.
05111 Auditprozess effizient gestalten mit ISO 19011Seite 10
- Les
eprob
e -
• den Umfang, die Anzahl, die Arten, die Standorte und den Zeitplan der Audits;
• das hauptsächliche Auditverfahren;
• die Auditkriterien und Auditmethoden;
• die Auswahl des Auditteams und Auditteamleiters;
• Unsicherheiten beim Erreichen der Ziele des Audit-programms und zu ergreifende vorbeugende Maßnah-men;
• die erforderlichen Ressourcen, einschließlich Reisezeiten und Unterbringung, wenn erforderlich;
• Prozesse in Bezug auf Vertraulichkeit, Informations-sicherheit, Arbeitsschutz und weitere ähnliche Belange.
Die Umsetzung des Auditprogramms soll zur Erreichungseiner Ziele überwacht werden. Das Auditprogramm sollteüberprüft werden, um mögliche Verbesserungen zu erken-nen.
Abbildung 3 zeigt vereinfacht den Prozessablauf eines Auditprogramms.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 11
Umsetzen des Auditprogramms
Bewerten und Verbessern des Auditprogramms
Überwachen des Auditprogramms
Festlegen des Auditprogramms
Kompetenz und Bewertung von Auditoren
Durchführung eines Audits
Festlegen der Auditprogrammziele
Abb. 3: Prozessablauf eines Auditprogramms
- Les
eprob
e -
3.2 Ziele für das Auditprogramm (vgl. ISO 19011, Kap. 5.2)
Das Auditprogramm soll neben der reinen Organisation desAuditgeschehens den Prozess der Planung und Durchfüh-rung von Audits kontinuierlich verbessern. Dazu sollte dieoberste Leitung sicherstellen, dass für das Auditprogrammin Übereinstimmung mit der Unternehmenspolitik Ziele er-stellt werden, um das Planen und Durchführen der Audits zulenken und sicherzustellen, dass das Auditprogramm wirk-sam umgesetzt wird. Diese Ziele können variieren in Ab-hängigkeit von
• Managementprioritäten;
• kommerziellen und anderen geschäftlichen Absichten;
• Managementsystemanforderungen (z. B. Zertifizierung nach einer Managementsystemnorm);
• rechtlichen und anderen verpflichtenden Anforderungen (z.B. Verifizieren der Erfüllung vertraglicher Anforderun-gen);
• Erfordernissen der Lieferantenbeurteilung (z. B. Erlangen und Aufrechterhalten des Vertrauens in die Fähigkeit eines Lieferanten);
• Erfordernissen und Erwartungen interessierter Parteien (einschließlich Kunden);
• Leistungsgrad der zu auditierenden Organisation, abgelei-tet beim Auftreten von Fehlern beziehungsweise Zwi-schenfällen/Störfällen oder Kundenbeschwerden;
• Risiken in Bezug auf die auditierte Organisation;
• Ergebnissen aus früheren Audits;
• Reifegrad des Managementsystems;
• Verbesserungen des Managementsystems und dessen Leistungsfähigkeit;
05111 Auditprozess effizient gestalten mit ISO 19011Seite 12
- Les
eprob
e -
• Bewertungen der Verträglichkeit und Ausrichtung der Managementsystemziele mit der Politik des Manage-mentsystems und den gesamten Unternehmenszielen.
3.3 Planen des Auditprogramms
3.3.1 Aufgaben, Verantwortung und Qualifikation des Auditprogrammverantwortlichen
Aufgaben und Verantwortung(vgl. ISO 19011, Kap. 5.3.1)
Der Auditprogrammverantwortliche, d. h. die Person, derdie Verantwortung für das Managen des Auditprogrammsübertragen wurde, sollte
• den Umfang des Auditprogramms festlegen;
• die Risiken für das Auditprogramm bezüglich des Errei-chens der Auditprogrammziele ermitteln und bewerten;
• Verantwortlichkeiten und Verfahren festlegen;
• sicherstellen, dass notwendige Ressourcen ermittelt wer-den;
• die Umsetzung des Auditprogramms sicherstellen, wie z. B. Festlegen der Auditziele, des Auditumfangs und der Kriterien einzelner Audits;
• die Auditmethoden ermitteln, das Auditteam auswählen und die Bewertung der Auditoren sicherstellen;
• sicherstellen, dass angemessene Aufzeichnungen zum Auditprogramm gelenkt und geführt werden;
• das Auditprogramm überwachen, bewerten und verbes-sern.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 13
- Les
eprob
e -
Der Auditprogrammverantwortliche sollte die oberste Lei-tung über die Inhalte des Auditprogramms informieren und,wenn erforderlich, dieses genehmigen lassen. Eine regelmä-ßige Genehmigung, wie in der ISO 19011:2002 noch gefor-dert, ist nicht mehr erforderlich, wenn diese Aufgabe an denAuditprogrammverantwortlichen übertragen wurde.
Es erscheint sinnvoll, die Aufgaben und Verantwortlichkei-ten eines Auditprogrammverantwortlichen in einer Stellen-/Funktionsbeschreibung zu fixieren. Übernimmt der Ma-nagementbeauftragte, z. B. der QMB, diese Funktion, wiehäufig üblich, ist dessen Stellen-/Funktionsbeschreibung zuergänzen.
Im Anhang 1 diese Beitrags sowie auf der Begleit-CD fin-den Sie ein Textmuster für die Ernennung eines Auditpro-grammverantwortlichen, einschließlich einer Funktionsbe-schreibung.
Qualifikation/Kompetenz (vgl. ISO 19011, Kap. 5.3.2)
Der Auditprogrammverantwortliche sollte die Kompetenzbesitzen, das Auditprogramm sowie die damit verbundenenRisiken wirksam und effizient zu lenken, sowie auch Wis-sen und Kenntnisse in den folgenden Bereichen haben:
• Auditprinzipien, -verfahren, -methoden und -techniken;
• Managementsystem und Bezugsdokumente;
• Tätigkeiten, Produkte und Prozesse der zu auditierenden Organisation;
• anwendbare rechtliche und andere Anforderungen in Bezug auf die Tätigkeiten und/oder die Produkte der zu auditierenden Organisation;
05111 Auditprozess effizient gestalten mit ISO 19011Seite 14
05111_01.doc
- Les
eprob
e -
• wo zutreffend, Kunden, Lieferanten und andere inte-ressierte Parteien der zu auditierenden Organisation.
Der Auditprogrammverantwortliche sollte ständig in Tätig-keiten zur beruflichen Entwicklung eingebunden sein, umseine Fähigkeiten aufrechtzuerhalten und weiterzuentwi-ckeln.
3.3.2 Verfahren für das Auditprogramm(vgl. ISO 19011, Kap. 5.3.5)
Der Auditprogrammverantwortliche sollte ein oder mehrereAuditprogrammverfahren festlegen, die folgende Sachin-halte regeln:
• Planen und Terminieren von Audits unter Beachtung von Auditprogrammrisiken;
• Sicherstellen der Informationssicherheit und Vertraulich-keit;
• Sicherstellung der Qualifikation/Kompetenz von Audito-ren und Auditteamleitern;
• Auswahl geeigneter Auditteams und Zuweisung ihrer Rollen und Verantwortlichkeiten;
• Durchführung von Audits, einschließlich der Verwendung geeigneter Stichprobenverfahren;
• Durchführung von Auditfolgemaßnahmen, soweit zutref-fend;
• Berichterstattung an die oberste Leitung über die erreich-ten Ergebnisse des Auditprogramms;
• Führung von Aufzeichnungen zum Auditprogramm (Len-kung von Aufzeichnungen);
• Überwachung der Leistungsfähigkeit, der Risiken und der Verbesserung sowie Wirksamkeit des Auditprogramms.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 15
- Les
eprob
e -
Die Verfahren können, wenn zutreffend, im Rahmen desAuditprozesses geregelt werden, oder man nutzt bestehendeProzesse im Managementsystem, wie z. B. „Lenken vonDokumenten und Aufzeichnungen“, um die Verfahrensin-halte zu regeln.
3.3.3 Ermitteln von Auditumfang, -risiken und -ressourcen
„Ausmaß und Grenzen eines Audits.Anmerkung: Der Auditumfang enthält im Allgemeinen eineBeschreibung der physikalischen Ortsangaben, der organi-satorischen Einheiten, der Tätigkeiten und Prozesse sowieder betrachteten Zeitspanne.“ (DIN EN ISO 9000:2005,3.9.13)
Umfang (vgl. ISO 19011, Kap. 5.3.3)
Der Auditprogrammverantwortliche sollte den Umfangeines Auditprogramms festlegen, der variieren kann in Ab-hängigkeit von der Größe und Art der zu auditierenden Organisation und von der Art, der Funktionalität, der Kom-plexität und dem Reifegrad des zu auditierenden Manage-mentsystems. Hinzu kommen weitere Faktoren, wie:
• Umfang, Ziel und Dauer jedes durchzuführenden Audits;
• Häufigkeit von durchzuführenden Audits;
• Anzahl, Bedeutung, Komplexität, Gleichartigkeit und Orte der zu auditierenden Tätigkeiten;
• solche Faktoren, die für die Wirksamkeit eines Manage-mentsystems von Bedeutung sind;
• anwendbare Auditkriterien der relevanten Norm, wie rechtliche, vertragliche und andere Anforderungen;
05111 Auditprozess effizient gestalten mit ISO 19011Seite 16
- Les
eprob
e -
• Schlussfolgerungen aus früheren internen oder externen Audits oder Ergebnisse aus früheren Bewertungen des Auditprogramms;
• sprachliche, kulturelle und soziale Fragen;
• Anliegen interessierter Parteien, wie z. B. Kundenbe-schwerden, Rechtsverletzungen;
• bedeutsame Änderungen einer zu auditierenden Organi-sation oder ihrer Tätigkeiten;
• Verfügbarkeit von Informations- und Kommunikations-technologien zur Unterstützung der Audittätigkeiten (z. B. Verwendung von Remote-Auditmethoden1);
• Auftreten interner und externer Ereignisse, wie z. B. Pro-duktausfall, Sicherheitsleck bei Informationen, Zwi-schenfälle bei Arbeits- und Gesundheitsschutz, Straftaten oder Umweltschadensfällen.
in das Auditprogramm sollten alle Audits einer Organisa-tion aufgenommen werden, wie z. B.
• interne Systemaudits,
• Zertifizierungs- und Überwachungsaudits,
• Lieferantenaudits, welche die Organisation selber durch-führt oder die Kunden bei ihr durchführen, und
• Prozess- oder Produktaudits, wenn zutreffend.
In den Anhängen 2 und 3 diese Beitrags sowie auf der Be-gleit-CD (als editierbare Excel-Datei) finden Sie Beispielefür ein einfaches bzw. ein erweitertes Auditprogramm, dasSie an Ihre betrieblichen Gegebenheiten anpassen können.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 17
05111_02.xls
05111_03.xls
1 Remote-Auditmethoden = Audits mithilfe von interaktiven Kommunika-tionsmitteln über große Distanz (z. B. Befragungen, Dokumenten- undNachweisprüfungen per Videokonferenz).
- Les
eprob
e -
Risiken (vgl. ISO 19011, Kap. 5.3.4)
Im Zusammenhang mit dem Festlegen, Umsetzen, Überwa-chen und Bewerten eines Auditprogramms gibt es eineReihe von Risiken, die Auswirkungen auf die Auditpro-grammziele haben können. Der Auditprogrammverantwort-liche sollte diese Risiken analysieren und bei der Entwick-lung eines Auditprogramms berücksichtigen. Diese Risikenkönnen im Zusammenhang stehen mit
• der Planung, z. B. Versäumnisse beim Festlegen der rele-vanten Auditziele und bei der Ermittlung des Umfangs des Auditprogramms;
• den Ressourcen, z. B. nicht genügend Zeit zur Entwick-lung des Auditprogramms bzw. zur Auditdurchführung einräumen;
• der Auswahl des Auditteams, z. B. das Team verfügt nicht über die kollektive Kompetenz, das Audit wirksam durch-zuführen;
• der Umsetzung, z. B. ineffektive Kommunikation in Bezug auf das Auditprogramm;
• den Aufzeichnungen und ihrer Kontrolle, z. B. Versäum-nisse in Bezug auf einen angemessenen Schutz der Audit-aufzeichnungen zum Zwecke des Nachweises der Wirk-samkeit des Auditprogramms;
• der Überwachung, Bewertung und Verbesserung des Au-ditprogramms, z. B. ineffektives Überwachen der Audit-programmergebnisse.
Im Anhang 4 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein Beispiel für eine Au-ditprogramm-Risikomatrix, das Sie an Ihre betrieblichenGegebenheiten anpassen können.
05111 Auditprozess effizient gestalten mit ISO 19011Seite 18
05111_04.doc
- Les
eprob
e -
Ressourcen (vgl. ISO 19011, Kap. 5.3.6)
Bei der Festlegung der Ressourcen zur Verwirklichung desAuditprogramms sollte der Auditprogrammverantwortlichefolgende Einflussfaktoren berücksichtigen:
• die erforderlichen finanziellen Ressourcen, um die Audit-tätigkeiten zu entwickeln, zu verwirklichen, zu organisie-ren und zu verbessern;
• anzuwendende Auditmethoden, wie Interviews, Beobach-ten von Tätigkeiten, Prüfen von Dokumenten etc.;
• Verfügbarkeit von Auditoren und Fachexperten/Sach-kundigen, deren Kompetenz die spezifischen Auditpro-grammziele abdecken;
• Umfang des Auditprogramms und Auditprogrammrisi-ken;
• Reisezeit und -kosten, Unterbringung und sonstige Erfor-dernisse für das Auditieren;
• Verfügbarkeit von Informations- und Kommunikations-technologien.
3.4 Realisieren des Auditprogramms
3.4.1 Aufstellen des Auditprogramms
Ziele, Kriterien und Umfang für ein einzelnes Audit(vgl. ISO 19011, Kap. 5.4.1)
Jedes Audit sollte sich auf dokumentierte Auditziele, Audit-kriterien sowie den Auditumfang stützen und im Einklangmit den allgemeinen Auditprogrammzielen stehen. Diesessollte durch den Auditprogrammverantwortlichen festgelegtwerden.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 19
- Les
eprob
e -
Die Auditziele legen fest, was durch dieses einzelne Auditzu erreichen ist. Das kann Folgendes umfassen:
• Bestimmung des Grades der Konformität des zu auditie-renden Managementsystems oder Teile desselben mit den Auditkriterien;
• Bestimmung des Grades der Konformität von Tätigkei-ten, Prozessen und Produkten mit den Anforderungen und Verfahren des Managementsystems;
• Bewertung der Fähigkeit des Managementsystems, dieÜbereinstimmung mit rechtlichen und vertraglichen An-forderungen sicherzustellen sowie mit weiteren Anforde-rungen, zu denen sich die Organisation verpflichtet hat;
• Bewertung der Wirksamkeit des Managementsystems bei der Erfüllung seiner spezifischen Ziele;
• Erkennen von Bereichen für die mögliche Verbesserung des Managementsystems.
„Verfahren, Vorgehensweisen oder Anforderungen, die alsBezugsgrundlage (Referenz) verwendet werden, anhandderer ein Vergleich mit dem Auditnachweis erfolgt.
Anmerkung: Zu den Auditkriterien zählen z. B. Forderun-gen aus Normen, Gesetzen, Verträgen, Festlegungen der Systemdokumentation.“ (ISO 19011, 3.2)
Der Auditumfang sollte dem Auditprogramm sowie den Au-ditzielen entsprechen. Er umfasst solche Faktoren wie zuauditierende physische Standorte, Organisationseinheiten,Tätigkeiten und Prozesse sowie die Dauer, die für das Auditbenötigt wird.
Wenn Veränderungen an den Auditzielen, dem Umfangoder den Kriterien vorgenommen werden, sollte das Audit-
05111 Auditprozess effizient gestalten mit ISO 19011Seite 20
- Les
eprob
e -
programm, wenn erforderlich, entsprechend modifiziertwerden.
Wenn zwei oder mehrere Managementsysteme mit ver-schiedenen Disziplinen zusammen auditiert werden (einkombiniertes Audit), ist es wichtig, dass die Auditziele, derUmfang sowie die Kriterien mit den Zielen des zutreffendenAuditprogramms im Einklang stehen.
Auditmethode (vgl. ISO 19011, Kap. 5.4.3)
Der Auditprogrammverantwortliche muss geeignete Audit-methoden unter Berücksichtigung der vereinbarten Audit-ziele, des Auditumfangs und der Auditkriterien auswählenund festlegen.
Abbildung 4 gibt einen Überblick über die anwendbarenMethoden.
Vor-Ort-Audittätigkeiten werden am Standort der zu audi-tierenden Organisation durchgeführt. Remote-Audittätig-keiten hingegen werden, ungeachtet der Entfernung, anjedem beliebigen Standort mittels interaktiver Kommunika-tionsmittel (Internet, Konferenzschaltungen etc.) durchge-führt.
Bei interaktiven Audittätigkeiten erfolgt die Interaktionzwischen dem Personal der zu auditierenden Organisationund dem Auditteam. Bei nicht interaktiven Audittätigkeitenfindet keine menschliche Interaktion zwischen den Perso-nen, die die zu auditierende Organisation vertreten, statt,sondern die Audittätigkeiten beziehen sich hierbei nur aufdie Ausrüstung, die Einrichtungen und die Dokumentation.Die folgenden Methoden sind im Anhang B der Norm näherbeschrieben:
05111 Auditprozess effizient gestalten mit ISO 19011Seite 22
MethodenMIT menschlicher Interaktion
MethodenOHNE menschliche Interaktion
Methoden mit Auditorvor Ort
Befragungen durchführen
Checklisten und Fragebögenausfüllen unter Beteiligungder zu auditierenden Organi-sation
Dokumentenprüfung durch-führen unter Beteiligung derzu auditierenden Organisa-tion
Durchführen der Dokumen-tenprüfung (z. B. Aufzeich-nungen, Datenanalyse)
Beobachtung der durchge-führten Arbeit
Standortbegehung durchfüh-ren
Checklisten ausfüllen
Stichprobennahme (z. B. Produkte)
---
Methoden mit Auditornicht vor Ort (Remote)
Befragungen durchführen
Checklisten und Fragebögenausfüllen
Dokumentenprüfung durch-führen unter Beteiligung derzu auditierenden Organisa-tion
Dokumentenprüfung durch-führen (z. B. Aufzeichnun-gen, Datenanalyse)
Beobachtung der geleistetenArbeit durch Überwachungbedeutet, soziale und rechtli-che Anforderungen zu be-rücksichtigen
---
---
---
Daten analysieren
Abb. 4: Anwendbare Auditmethoden (nach DIN EN ISO 19011, Anhang B.1)
Beschrei-bungen im Normanhang
- Les
eprob
e -
Führen Auditoren unterschiedlicher Unternehmen oderStandorte ein gemeinsames Audit durch, so sollten sich diebetreffenden Auditprogrammverantwortlichen über die an-zuwendenden Methoden einigen und die Auswirkungen aufdie Auditressourcen und die Auditplanung berücksichtigen.
Betreibt die zu auditierende Organisation mehrere Manage-mentsysteme, z. B. für das Qualitäts-, Umwelt- und Arbeits-schutzmanagement, so können diese in einem kombiniertenVerfahren auditiert werden. Insbesondere um solche kombi-nierten Audits zu ermöglichen, wurde die ISO 19011 ent-wickelt.
Zusammenstellung des Auditorenteams(vgl. ISO 19011, Kap. 5.4.4)
Der Auditprogrammverantwortliche sollte die Mitgliederdes Auditteams benennen, einschließlich des Auditteamlei-ters und der Fachexperten für das spezifische Audit.
Die Auswahl des Auditteams sollte so erfolgen, dass alle er-forderlichen Fachkompetenzen berücksichtigt werden undüber die Zusammensetzung des Auditteams gesichert sind.Bei der Zusammensetzung des Auditteams für ein spezifi-sches Audit sollte auch die Art der gewählten Auditmetho-den berücksichtigt werden. Fachexperten können in dasAudit unter Leitung eines Auditors integriert werden, sollenaber nicht selbst als Auditoren tätig werden.
Bei der Zusammenstellung des Auditteams ist sicherzustel-len, dass die Unabhängigkeit der Auditoren gewährleistetist, um Interessenkonflikte zu vermeiden (siehe Kapitel 3,Prinzip 5).
Auditprozess effizient gestalten mit ISO 19011 05111Seite 23
- Les
eprob
e -
Die Mitglieder des Auditteams sollten in der Lage sein, mitden Mitgliedern der auditierten Organisation und unterein-ander effektiv zusammenzuarbeiten.
Auditoren in der Ausbildung können in das Auditteam ein-bezogen werden, müssen jedoch durch einen erfahrenenAuditor betreut werden.
Übergabe an Auditteamleiter (vgl. ISO 19011, Kap. 5.4.5)
Der Auditprogrammverantwortliche sollte dem Auditteam-leiter die Verantwortung für die Durchführung eines einzel-nen Audits in Form eines Auditauftrags übergeben. Um einewirksame Planung und Durchführung des Audits sicherzu-stellen, sollte dieser Auftrag rechtzeitig vor der Durchfüh-rung des Audits erfolgen und die erforderlichen Informatio-nen enthalten, wie z. B. Auditziele, Auditkriterien, Audit-umfang, Auditmethoden, Termine, Standorte, Ressourcen,Risiken etc.
Falls notwendig, ist der Auditteamleiter auch mit weiterenInformationen zu versorgen, wie z. B. Kontaktdaten der zuauditierenden Organisation, Folgemaßnahmen früherer Au-dits, Gesundheits- und Sicherheitsanforderungen, Anforde-rungen an Vertraulichkeit und Auditbericht.
Im Anhang 5 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein Beispiel für einenAuditauftrag, den Sie an Ihre betrieblichen Gegebenheitenanpassen können.
05111 Auditprozess effizient gestalten mit ISO 19011Seite 24
05111_05.doc
- Les
eprob
e -
3.4.2 Managen von Auditprogrammergebnissen und -aufzeichnungen
Managen von Auditprogrammergebnissen(vgl. ISO 19011, Kap. 5.4.6)
Der Auditprogrammverantwortliche sollte sicherstellen,dass die folgenden Tätigkeiten durchgeführt werden:
• Bewertung und Freigabe von Auditberichten, einschließ-lich der Bewertung der Eignung und Angemessenheit der Auditfeststellungen;
• Bewertung der Ursachenanalyse sowie der Wirksamkeit von Korrektur- und Vorbeugungsmaßnahmen der spezifi-schen Audits;
• Verteilung der Auditberichte an die oberste Leitung und andere relevante Personen;
• Ermittlung der Notwendigkeit nachfolgender Audittä-tigkeiten (Nachaudit).
Verwalten von Aufzeichnungen zum Auditprogramm(vgl. ISO 19011, Kap. 5.4.7)
Der Auditprogrammverantwortliche sollte sicherstellen,dass Auditaufzeichnungen erzeugt, gelenkt und erhaltenwerden, um die Umsetzung des Auditprogramms nachzu-weisen. Die Prozesse sollten die vertraulichkeitsbezogenenErfordernisse berücksichtigen. Die Aufzeichnungen solltenFolgendes enthalten:
• Aufzeichnungen aus dem Auditprogramm, wie z. B.– dokumentierte Auditprogrammziele und Umfang;– Informationen, die auf Risiken im Zusammenhang mit
dem Auditprogramm eingehen;– Bewertungen der Wirksamkeit des Auditprogramms.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 25
- Les
eprob
e -
• Aufzeichnungen in Bezug auf das einzelne Audit, wie z. B.– Auditpläne und Auditberichte; – Berichte zu Nichtkonformitäten; – Berichte zu Korrektur- und Vorbeugungsmaßnahmen;– Berichte zu Auditfolgemaßnahmen, soweit zutreffend
• Aufzeichnungen, die sich auf das Auditpersonal beziehen, wie z. B.– Kompetenz und Leistungsbewertung der Mitglieder
des Auditteams; – Auswahl des Auditteams und der Teammitglieder;– Aufrechterhaltung und Verbesserung der Kompetenz.
Die Form und der Detaillierungsgrad der Aufzeichnungensollten geeignet sein, um nachzuweisen, dass die Auditpro-grammziele erreicht wurden.
Die Regelung zur Lenkung von Auditaufzeichnungen kannauch im Rahmen der Regelungen zur Aufzeichnungslen-kung des spezifischen Managementsystems erfolgen.
3.5 Überwachen, Bewerten und Verbessern des Audit-programms
Überwachen des Auditprogramms(vgl. ISO 19011, Kap. 5.5)Die Umsetzung des Auditprogramms sollte durch den Au-ditprogrammverantwortlichen überwacht werden, damitdas Auditprogramm zur Zielerreichung und Verbesserungdes Managementsystems beiträgt. Dabei sollte Folgendesberücksichtigt werden:
• Die Konformität mit dem Auditprogramm, den Zeitplä-nen und Auditzielen sollte bewertet werden;
• Bewertung der Leistung der Mitglieder des Auditteams;
05111 Auditprozess effizient gestalten mit ISO 19011Seite 26
- Les
eprob
e -
• Bewertung der Fähigkeit des Auditteams, den Audit-plan umzusetzen;
• Bewertung des Informationsrückflusses von der obersten Leitung, den auditierten Organisationen, den Auditoren und weiteren interessierten Parteien.
Durch die laufende Überwachung des Auditprogrammskönnen Änderungen/Korrekturen des Auditprogramms not-wendig werden. Änderungen können sich z. B. ergebendurch:
• Art der Auditfeststellungen;
• Grad der Wirksamkeit des Systems;
• Veränderung des Systems;
• Änderung von rechtlichen/normativen Anforderungen;
• Wechsel von Lieferanten.
Bewerten und Verbessern des Auditprogramms(vgl. ISO 19011, Kap. 5.6)
Der Auditprogrammverantwortliche sollte das Auditpro-gramm daraufhin bewerten, ob dessen Ziele erreicht wur-den. Daraus abgeleitete Erkenntnisse sollten für einen kon-tinuierlichen Verbesserungsprozess genutzt werden. Bei derBewertung des Auditprogramms sollte Folgendes berück-sichtigt werden:
• Ergebnisse und Tendenzen aus der Überwachung des Auditprogramms sowie Konformität mit den Auditpro-grammverfahren;
• sich abzeichnende Erfordernisse und Erwartungen inte-ressierter Parteien;
• Aufzeichnungen zum Auditprogramm sowie alternativeoder neue Auditpraktiken;
Auditprozess effizient gestalten mit ISO 19011 05111Seite 29
Veranlassen des Audits
Vorbereiten der Audittätigkeiten
Erstellen und Verteilen des Auditberichts
Durchführen der Audittätigkeiten
Abschließen des AuditsDurchführen von
Auditfolgemaßnahmen(falls zutreffend)
Abb. 5: Ablauf des Prozesses Auditdurchführung – vereinfacht (nach ISO 19011, Kap. 6.1)
- Les
eprob
e -
4.2 Vorbereitungen zur Realisierung eines einzelnen Audits
4.2.1 Veranlassen eines einzelnen Audits (vgl. ISO 19011, Kap. 6.2.1)
Beim Veranlassen eines einzelnen Audits wird die Verant-wortung zur Durchführung des Audits, wie im Auditpro-gramm festgelegt, dem Auditteamleiter übertragen. Er istfür die Vorbereitung und Durchführung des Audits sowiedie Leitung des Auditteams verantwortlich. Führt nur einAuditor das Audit durch, so ist er in Personalunion der Au-ditteamleiter. Die Verantwortung für das Audit bleibt beimAuditteamleiter, bis das Audit abgeschlossen ist.
Kontaktaufnahme mit der zu auditierenden Organisa-tion/dem zu auditierenden Bereich(vgl. ISO 19011, Kap. 6.2.2)
Der erste Kontakt mit der zu auditierenden Organisationhinsichtlich der Durchführung des Audits kann mehr oderweniger formal sein und sollte vom Auditteamleiter herge-stellt werden. Er ist auch der Hauptansprechpartner für diezu auditierende Organisation. Zweck des ersten Kontakts istes, die Rahmenbedingungen für das Audit abzuklären. Dazukann gehören:
• Informationen über die Auditziele, den Auditumfang, dieAuditmethoden und die Zusammensetzung des Audit-teams (inkl. Fachexperten) zu geben;
• Zugang zu relevanten Dokumenten und Aufzeichnungen für Planungszwecke zu erbitten;
• zutreffende rechtliche, vertragliche und andere Anforde-rungen der Organisation zu ermitteln;
05111 Auditprozess effizient gestalten mit ISO 19011Seite 30
- Les
eprob
e -
• verbindliche Vereinbarungen mit der auditierten Organi-sation hinsichtlich des Umfangs der Offenlegung und der Behandlung vertraulicher Informationen zu treffen;
• Vorbereitungen für das Audit zu treffen, einschließlich Terminabsprache und Festlegen wichtiger Teilnehmer der auditierten Organisation (z. B. Geschäftsführer, Abtei-lungsleiter, Prozessverantwortliche);
• die Anwesenheit von Beobachtern und die Notwendigkeit von Betreuern für das Auditteam abzustimmen;
• standortspezifische Besonderheiten bezüglich Zugang, Sicherheit und Arbeitsschutz zu ermitteln, wenn nicht be-reits bekannt (z. B. Mitarbeiter der Organisation sind in-terne Auditoren);
• die Bereiche oder Prozesse zu ermitteln, die für die audi-tierte Organisation von Interesse oder kritisch sind und daher die Organisation dort vertiefenden Auditierungsbe-darf sieht.
Feststellen der Durchführbarkeit des Audits(vgl. ISO 19011, Kap. 6.2.3)
Die Durchführbarkeit des Audits sollte vom Auditteamleiterermittelt werden, um das notwendige Vertrauen in das Auditund die Erreichung seiner Ziele zu erzeugen.
Die Durchführbarkeit des Audits sollte ermittelt werdenunter Berücksichtigung von Faktoren wie z. B. der Verfüg-barkeit von
• ausreichender und angemessener Information für die Pla-nung und Durchführung des Audits,
• angemessener Zusammenarbeit seitens der auditierten Organisation und
Auditprozess effizient gestalten mit ISO 19011 05111Seite 31
- Les
eprob
e -
• angemessener Zeit und ausreichenden Ressourcen zur Durchführung des Audits.
Die Durchführbarkeit wird auf Basis der Informationen, dieder Auditteamleiter im Rahmen des ersten Kontakts erhält,geprüft und festgestellt.
Wenn das Audit nicht durchführbar ist, sollte vom Audit-teamleiter unter Beteiligung des Auditprogrammverant-wortlichen und der auditierten Organisation eine Alterna-tive vorgeschlagen werden.
4.2.2 Dokumentenprüfung (vgl. ISO 19011, Kap. 6.3.1)
Die Managementsystemdokumentation sollte geprüft wer-den, wenn die Dokumentation dem Auditteam nicht bekanntist oder wesentliche Änderungen der Systemdokumentationdurchgeführt worden sind. Wenn nur Teile der Dokumenta-tion von der Änderung betroffen sind, kann sich das Audit-team darauf beschränken, nur die geänderten Teile zu prü-fen.
Die betreffende Managementsystemdokumentation oderTeile davon sollten dann im Hinblick auf folgende Aspektegeprüft werden:
• das Sammeln von Informationen zur Vorbereitung der Audittätigkeiten und zur Vorbereitung der Arbeitsdoku-mente bezüglich Prozesse und Funktionen;
• darauf, ob die Dokumentation vollständig ist und alle be-züglich des Regelwerks (Normen, Rechtsvorschriften, etc.) zu erwartenden Inhalte in den Dokumenten enthalten sind oder ob es Lücken in der Systemdokumentation gibt;
• darauf, ob die Dokumente ausreichend Informationen zur Unterstützung der Auditziele bereitstellen können;
05111 Auditprozess effizient gestalten mit ISO 19011Seite 32
- Les
eprob
e -
• darauf, ob die Dokumentation konsistent ist, d. h., ob die Dokumente in sich sowie mit weiterführenden Dokumen-ten stimmig sind.
Die Dokumentation kann relevante Dokumente und Auf-zeichnungen zum Managementsystem sowie frühere Audit-berichte enthalten. Die Dokumentenprüfung sollte dieGröße, Art und Komplexität des Managementsystems derauditierten Organisation sowie Ziele und Umfang des Au-dits berücksichtigen.
Aufgrund der Informationssicherheit ist besondere Sorgfaltim Umgang mit solchen Dokumenten erforderlich, in denensensible Daten enthalten sein können.
Über die Dokumentenprüfung sollte ein Bericht erstelltwerden, der das Ergebnis dokumentiert. Der Bericht solltemindestens folgende Punkte enthalten:
• das Dokument, das geprüft wurde (z. B. Handbuch);
• die formalen oder inhaltlichen Mängel in dem Dokument;
• den Bezug zum Regelwerk (z. B. Norm);
• ggf. was zu tun ist, um den Mangel zu beheben.
Unklarheiten in der Dokumentation müssen vor der Audit-durchführung, spätestens aber im Audit selbst, mit der audi-tierten Organisation geklärt werden.
Im Anhang B.2 der Norm gibt es erläuternde Hinweise zumDurchführen von Dokumentenprüfungen.
Im Anhang 6 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein exemplarisch ausge-fülltes Formular für die Dokumentenprüfung, das Sie anIhre betrieblichen Gegebenheiten anpassen können.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 33
05111_06.doc
- Les
eprob
e -
4.2.3 Erstellen und Abstimmen des Auditplans(vgl. ISO 19011, Kap. 6.3.2)
Der Auditteamleiter sollte einen Auditplan erstellen, der aufden Informationen beruht, die im Auditprogramm und inder von der auditierten Organisation bereitgestellten Doku-mentation enthalten sind. Der Auditplan soll die effizienteAblaufplanung und Koordinierung der Audittätigkeiten vorOrt erleichtern, um die Auditziele zu erreichen. Bei der Er-stellung des Auditplans sind folgende Aspekte zu berück-sichtigen:
• Der Auditplan sollte den Umfang und die Komplexität des Audits widerspiegeln.
• Bei der Aufstellung des Auditplans sollte sich der Audit-teamleiter im Klaren sein über geeignete Stichprobenver-fahren, über die Kompetenz der Auditteam-Mitglieder sowie über die Risiken für die Organisation, die durch das Audit entstehen.
• Bei kombinierten Audits ist besonderes Augenmerk auf die Wechselwirkung zwischen den Prozessen und konkur-rierenden Zielen verschiedener Managementsysteme zu legen.
Der Umfang und die Inhalte des Auditplans können variie-ren je nach Erfordernissen (z. B. Erstaudit, Folgeaudit oderinternes bzw. externes Audit). Der Auditplan sollte flexibelsein, um Änderungen im Auditverlauf zu gestatten. Der Au-ditplan sollte Folgendes enthalten oder sich darauf bezie-hen:
• Auditumfang, Auditziele, Auditkriterien und alle relevan-ten Referenzdokumente;
• Auditumfang, einschließlich der Festlegung der zu audi-tierenden Organisationseinheiten und Prozesse;
05111 Auditprozess effizient gestalten mit ISO 19011Seite 34
- Les
eprob
e -
• Termine und Standorte, vorgesehener Zeitpunkt und Dauer für Audittätigkeiten sowie für Besprechungen;
• die verwendete Auditmethode, einschließlich des Um-fangs, innerhalb dessen die Stichprobennahme beim Audit erforderlich ist, um hinreichend Auditnachweise zu erzielen;
• Rollen und Verantwortlichkeiten der Auditteammitglie-der, einschließlich der Betreuer und Beobachter.
Der Auditplan kann vom Auditauftraggeber geprüft und an-genommen werden und er sollte der auditierten Organisa-tion in einem angemessenen Zeitraum vor dem Audit (z. B.2–3 Wochen) vorgestellt werden.
Im Anhang 7 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein Beispiel für einenAuditplan, den Sie an Ihre betrieblichen Gegebenheiten an-passen können.
4.2.4 Vorbereiten der Arbeitsdokumente und Einweisendes Auditteams
Einweisen des Auditteams (vgl. ISO 19011, Kap. 6.3.3)
Der Auditteamleiter sollte in Absprache mit dem Auditteamjedem Teammitglied die Verantwortung für seinen Auditbe-reich und seine Aufgaben zuweisen. Dies sollte im Rahmender Vorbereitung der Arbeitsdokumente ca. eine Woche vordem Audit erfolgen.
Dabei soll die Unabhängigkeit und Kompetenz der Audito-ren, der auszubildenden Auditoren und der Fachexpertenberücksichtigt werden.
Auditprozess effizient gestalten mit ISO 19011 05111Seite 35
05111_07.doc
- Les
eprob
e -
Soweit notwendig, sollen Unterweisungen des Auditteamsbezüglich Aufgabenzuteilungen sowie möglicher Verände-rungen durch den Auditteamleiter erfolgen.
Änderungen an den Aufgabenzuteilungen können je nachFortschreiten des Audits vorgenommen werden, um das Er-reichen der Auditziele sicherzustellen.
Bereitstellen von Arbeitsdokumenten(vgl. ISO 19011, Kap. 6.3.4)
Die Mitglieder des Auditteams sollten die Informationensammeln und prüfen, die für ihren Auditauftrag relevantsind, und Arbeitsdokumente erstellen, die als Referenz undzur Aufzeichnung der Audittätigkeiten dienen können. Ar-beitsdokumente sind zum Beispiel:
• Checklisten und Pläne für Auditproben;
• Formulare für die Aufzeichnung von Informationen, wie z. B. von unterstützenden Nachweisen, Auditfeststellun-gen und Sitzungsprotokollen.
Bei der Erstellung der Arbeitsdokumente sollte das Audit-team für jede Unterlage die folgenden Fragen beantworten:
• Welche Auditaufzeichnung wird durch Verwendung die-ser Arbeitsunterlage erzeugt?
• Welche Audittätigkeit ist durch diese bestimmte Arbeits-unterlage betroffen?
• Wer wird der Nutzer dieser Arbeitsunterlage sein?
• Welche Informationen werden benötigt, um diese Arbeits-unterlage zu erstellen?
05111 Auditprozess effizient gestalten mit ISO 19011Seite 36
- Les
eprob
e -
Bei kombinierten Audits sollten die Arbeitsdokumente auf-einander abgestimmt werden, um doppelte Audittätigkeit zuvermeiden.
Der Gebrauch von Checklisten und Formularen sollte denUmfang von Audittätigkeiten nicht einschränken.
Die Arbeitsdokumente sollten angemessen sein, um alleElemente eines Managementsystems innerhalb des Audit-umfangs anzusprechen, und sie können in allen Medien be-reitgestellt werden.
Eines der wesentlichsten Arbeitsdokumente ist für den Au-ditor die Auditfrageliste, häufig auch Auditcheckliste ge-nannt. Die Frageliste soll dem Auditor als Leitfaden dienen.Sie sollte nicht so umfassend sein, dass der Auditor sichdarin verstrickt. Trotzdem muss auch unter Zeitgesichts-punkten nach relevanten Details gefragt werden, die nötigsind, um den Auditumfang angemessen abzudecken. DieseListe sollte für jedes Audit individuell erstellt werden. Er-fahrene Auditoren formulieren die Auditfragen zur Auf-wandsminimierung aber nicht mehr vollständig aus, son-dern begnügen sich mit Stichworten, die als Gedanken-stütze für die Formulierung der entsprechenden Auditfragendienen.
Eine Methode, um Auditfragen abzuleiten, ist die Textana-lyse der Norm und anderer Regelwerke, die zu den Audit-kriterien zählen. Abbildung 6 zeigt schematisch die Herlei-tung von Auditfragen mithilfe der Textanalyse.
In der Textanalyse werden die Auditfragen aus den Forde-rungen der Managementsystemnorm und deren Umsetzungin die betriebliche Praxis entwickelt. In folgenden vierSchritten kann daraus eine Frageliste erstellt werden: