Zum Hauptinhalt springen

Audit

Audit

image-20220911212521978

Ein Audit ist eine Art der Untersuchung, die nach der ÖNORM EN ISO 19011:2018 - Leitfaden zur Auditierung von Managementsystemen wie folgt definiert ist: "Systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiver Auswertung, um zu ermitteln, inwieweit die Auditkriterien erfüllt sind."

Unter systematisch wird im Zusammenhang mit einem Audit ein planvolles, methodisches und durchdachtes Vorgehen verstanden. Der Ablauf eines Audits ist festgelegt und wird von allen Auditor:innen gleich umgesetzt. Unter unabhängig wird im Zusammenhang mit Audits die Unparteilichkeit des/der Auditor:in verstanden. Auditor:innen müssen während der Audittätigkeit frei von Voreingenommenheit und Interessenskonflikten sein. Dies bedeutet, dass zum Beispiel ein:e Auditor:in seine/ihre eigene Tätigkeit nicht auditieren darf.

Das systematische Vorgehen, das für ein Audit festgelegt bzw. definiert wurde, muss schriftlich, in einem dokumentierten Verfahren, festgehalten werden. Das Auditwesen ist sowohl in Form von Prozessen (Prozessanweisung) als auch einer Verfahrensanweisung festgelegt und dokumentiert. Unter objektiver Auswertung wird im Zusammenhang mit einem Audit ein sachliches und tatsachenorientiertes Vorgehen verstanden. Der/die Auditor:in orientiert sich ausschließlich an dem, was in Wirklichkeit stattgefunden hat. Die Auswertung erfolgt nach Zahlen, Daten und Fakten („ZDF“).

Auditkriterien werden pro Audit in Abhängigkeit von den Auditzielen festgelegt und stellen den Zustand dar, wie etwas sein soll. Auditnachweise sind Informationen, anhand welcher festgestellt werden kann, ob Auditkriterien erfüllt sind.

Der Unterschied zwischen Auditprogramm und Auditplan ist in der ISO 19011 definiert. Dieser Leitfaden definiert, wie Sie ein Auditprogramm, einen Auditplan, Auditziele, Auditkriterien ff. erstellen. Es gibt zwei Planungsebenen: das Audit-Programm (Identifizierung der Audit-Aktivitäten während des Auditzyklus) und den Audit-Plan (zeigt, wie ein einzelnes Audit geplant ist). Die wichtigen Bereiche der Organisation und Bereiche, in denen sich in letzter Zeit Änderungen oder Abweichungen in der Vergangenheit ergeben haben, sollten vorrangig festgelegt werden. Audits müssen möglicherweise zeitlich auf die Produktionszyklen oder andere Aktivitäten abgestimmt werden, insbesondere wenn sie saisonabhängig oder sporadisch sind. Obwohl man vielleicht gehört hat, dass alle Prozesse / Bereiche jedes Jahr überprüft werden müssen, wäre es durchaus akzeptabel, einen risikobasierten Ansatz zu wählen und einige Bereiche weniger häufig zu prüfen und sich stattdessen auf bestimmte kritische Bereiche in einem einzigen Jahr zu konzentrieren.

Arten von Audits

Auditarten können nach folgenden Kriterien gegliedert werden:

  • nach der Parteilichkeit
  • nach dem Aspekt des Auditgegenstandes

Auditarten nach der Parteilichkeit

Wir sprechen von First-, Second- und Third Party Audits. Diese sind Bestandteil eines Managementsystems. Je nach Anforderungen der Norm werden diese Auditarten über ein Auditprogramm gesteuert. Der Leitfaden ISO 19011 für das auditieren von Managementsystemen gibt Hilfestellung beispielsweise bei der Festlegung von Auditkriterien und Auditzielen.

Erstparteien-AuditZweitparteien-AuditDrittparteien-Audit
Internes AuditAudit durch Kunden (Lieferantenaudit)Zertifizierungs- und / oder Akkreditierungsaudit
Audit durch eine andere oder externe interessierte Parteigesetzliches, behördliches und vergleichbares Audi

Erstparteien-Audit (First Party Audit)

Bei einem First party Audit handelt es sich um ein internes Audit, dass mindestens 1x im Jahr durchgeführt werden sollte. Beispielsweise ein System-, Produkt- oder Prozessaudit. Wobei Produktaudits monatlich oder nach einem bestimmten Zyklus ausgeführt werden. Die IATF 16949 fordert alle Produktionsprozesse innerhalb von 3 Jahren mit einem Prozessaudit zu überprüfen. Ein First Party Audit ist kein externes Audit sondern ein internes Audit. Die Überprüfung wird in der Regel von einem eigenen Mitarbeiter des Unternehmens durchgeführt. Man spricht daher von einen „Ein-Parteien Audit“. Es ist nur eine Partei, nämlich die des Unternehmens daran beteiligt. Auch ein externer der im Auftrag des Unternehmens auditiert, z.B. Berater, handelt so als wäre er ein Mitarbeiter des Unternehmens. Es ist dadurch kein externes Audit.

Zweitparteien-Audit (Second Party Audit)

Ein Zweitparteien-Audit wird von einer Partei, welche ein Interesse an der zu auditierenden Organisation hat. Dies ist z.B. bei einem Lieferantenaudit der Fall, wo das Unternehmen einen ihrer Lieferanten auditiert. Bei Lieferantenaudits werden aktuelle Leistungen des Lieferanten ermittelt und mit dem vertraglich vereinbarten Soll-Zustand verglichen. Das Second Party Audit ist eine externe Auditart, die auch als Lieferantenaudit oder Kundenaudit bezeichnet werden kann. Der Kunde A auditiert seinen Lieferanten. Hier wird meistens das Prozessaudit eingesetzt. Der Fragenkatalog ist speziell auf den Produktlebenszyklus ausgerichtet entlang der Wertschöpfungskette. So kann beispielsweise der Lieferant B als Kunde seinen Lieferanten durch ein Second Party Audit überprüfen. Diese Auditart wird deshalb auch als Zwei-Parteien-Audit bezeichnet.

Drittparteien-Audit (Third Party Audit)

Ein Drittparteien-Audit wird von einer externen unabhängigen Organisation durchgeführt. Dies ist der Fall, wenn das Unternhmen jährlich vom TÜV zB bzgl. Einhaltung der Anforderungen nach ÖNORM EN ISO/IEC 27001 auditiert wird. Bei einem Third Party Audit (3rd party Audit) sprechen wir von einem Zertifizierungsaudit oder von behördlichen Audits beispielsweise durch das Kraftfahrtbundesamt KBA. Eine Zertifizierungsstelle überprüft im Auftrag, dass die Anforderungen eines Managementsystems erfüllt werden, z.B. ISO 9001, ISO 14001, ISO 50001 oder ISO 45001. Entspricht das Managementsystem den Anforderungen, erhält die Organisation ein Zertifikat ausgestellt, dass 3 Jahre Gültigkeit besitzt. Es wird in einen 3-Jährigen Zyklus überprüft – Erstzertifizierung – 1. Überwachungsaudit – 2. Überwachungsaudit.

Auditarten nach dem Aspekt des Auditgegenstandes

System-Audit

Definition: Entspricht das aktuelle QM System den Anforderungen der Norm? Das Ziel eines Systemaudits ist die Überprüfung der Wirksamkeit eines Qualitätsmanagement Systems. Die Grundlage für die Beurteilung desselben bildet die Dokumentation, also das QM-Handbuch mit den Verfahrens- und Arbeitsanweisungen. Ein Systemaudit umfasst das gesamte Qualitätsmanagement oder nur Teile davon. Hierbei werden die Funktionsfähigkeit der Bereiche oder Abläufe hinsichtlich aller, aus Normen, Verträgen oder anderen bindenden Dokumenten resultierenden, Anforderungen auditiert.

Produkt-Audit

Definition: Hat das Produkt die geforderte Eigenschaften (Beschaffenheit)? Die Analyse des erreichten Standes der Produkt- bzw. Dienstleistungseigenschaften steht beim Produktaudit im Mittelpunkt. Als Bewertungsmaßstab dienen dabei die Kundenspezifikationen sowie entsprechende Fertigungs- und Prüfunterlagen.

Prozess-Audit

Definition: Wird der Prozess gemäß den Vorgaben ausgeführt? „Grundsätzlich ist das Prozessaudit zur systematischen, reproduzierbaren Aufnahmen, Analyse und Verbesserung der Prozesse die am weitesten verbreitete Methodik. Das Prozessaudit kann sowohl intern und/oder extern angewendet werden. Die IATF 16949 fordert, dass alle Produktionsprozesse innerhalb des 3-jährigen Zertifikatszyklus auditiert werden gemäß den Forderungen VDA 6.3 oder mit ähnlicher Systematik.

Was ist ein internes Audit?

Interne Audits werden in der Regel eingeteilt in Prozess-, System-, und Produktaudits. Externe Audits sind spezielle Kundenaudits, meistens nach VDA Standard und Zertifizierungsaudits, sogenannte Konformitätsbewertungen. Durch ein Audit werden Prozesse und/oder Anforderungen an Standards wie zum Beispiel der ISO 9001, IS= 14001 oder ISO27000 bewertet. Die interne Überprüfung bezeichnet man auch als First Party oder ein Ein Parteien Audit. Oft wird es auch als QM Systemaudit bezeichnet. Ein Mitarbeiter aus dem Unternehmen überprüft die Umsetzung der Normforderungen, beispielsweise aus der ISO 9001.

Was ist der Nutzen von Audits?

Audits sind zum einen ein Führungsinstrument und dienen zur Information des Managements (z.B. Information, ob Gesetze ausreichend eingehalten werden). Aus dem Audit können wichtige Steuerungsmaßnahmen für das Unternehmen abgeleitet werden (z.B. Einführung eines Rechtsmanagements). Audits können darüber hinaus jedoch auch großen Nutzen für das gesamte Unternehmen bringen:

  • Weiterentwicklung der Fähigkeit unserer Prozesse, ihre definierten Ziele zu erreichen
  • Beitrag zur Erhaltung von bestehenden Zertifizierungen, z.B. ISO IEC 27001
  • Überblick über Einhaltung und Wirksamkeit unserer Managementsysteme
  • Beurteilung und Entwicklung der Einhaltung vertraglicher Verpflichtungen von Lieferanten
  • Compliance mit gesetzlichen, behördlichen und vertraglichen Verpflichtungen, sowie Normenanforderungen
  • Erhöhung der Rechtssicherheit
  • Bewusstsein für gesetzliche, normative, vertragliche und interne Vorgaben
  • Erkennen von Risiken und Verbesserungspotenzialen. Wichtige Quelle für den kontinuierlichen Verbesserungsprozess (KVP)
  • Bewertung der Angemessenheit und Praxistauglichkeit von internen Vorgaben

Wie läuft ein Audit ab?

ISO19011

Der Ablauf eines Audits ist in der ISO 19011 definiert. Ein Audit beginnt in der Regel mit einer Eröffnungsbesprechung, an welcher die Leitung der auditierten Organisation teilnehmen sollte. Es geht dabei im Wesentlichen um Vorstellung von Personen, Klärung von Fragen bzgl. Auditplan, Bestätigung des Auditplans, Verfügbarkeit von Informationen während des Audits, Angelegenheiten bzgl. Vertraulichkeit etc.

Beim eigentlichen Audit geht es schließlich darum, mittels Befragungen, Beobachtungen und Überprüfung dokumentierter Information sogenannte Auditnachweise zu sammeln. Die Auditnachweise sollten möglichst gut verifizierbar sein, denn sie werden zur Erarbeitung von Auditfeststellungen herangezogen

image-20231216224108367

Abbildung 2 Sammeln und Verifizieren von Informationen

Auditfeststellungen werden in Abweichungen, Feststellungen und Hinweise klassifiziert. Abweichung sind klare Nichtkonformitäten mit Auditkriterien, Feststellungen sind noch keine Abweichungen, identifizieren aber einen klaren Verbesserungsbedarf, und Hinweise stellen ein Optimierungspotenzial dar. Das Audit wird mit einer Abschlussbesprechung beendet. Dabei werden die Auditfeststellungen zusammengefasst, etwaige auseinandergehende Meinungen festgehalten und ein Zeitrahmen für die Behandlung der Auditfeststellungen festgelegt.