Den Auditprozess effizient gestalten mit ISO 19011 · den Forderungen der Norm DIN EN ISO 19011:2011 (Kurzform ISO 19011) und geben Ihnen nützliche Tipps für die Gestaltung des

Den Auditprozess effizient gestalten mit ISO 19011

vonWolfgang Kallmeyer

Audits gehören zum festen Bestandteil in der Praxis vonManagementsystemen. In diesem Beitrag erfahren Sie, wieSie Audits erfolgreich und effizient planen, vorbereiten unddurchführen können. Die Ausführungen orientieren sich anden Forderungen der Norm DIN EN ISO 19011:2011(Kurzform ISO 19011) und geben Ihnen nützliche Tipps fürdie Gestaltung des Auditprozesses. Hierbei unterstützen Siezahlreiche direkt verwendbare Arbeitshilfen in Form vonMustertexten, Beispielen und Formularen, die Sie an die Er-fordernisse Ihres Unternehmens anpassen können.

• Mustertext „Ernennung zum Auditprogrammverantwort-lichen“, Anhang 1 (Word-Datei)

• Beispiel eines tabellarischen Auditprogramms – minimal, Anhang 2 (Excel-Datei)

• Beispiel eines tabellarischen Auditprogramms – erweitert, Anhang 3 (Excel-Datei)

• Beispiel einer Auditprogramm-Risikomatrix, Anhang 4 (Word-Datei)

• Beispiel eines Auditauftrags (Einzelaudit), Anhang 5 (Word-Datei)

• Beispiel einer Dokumentenprüfung, Anhang 6 (Word-Datei)

• Beispiel eines Auditplans, Anhang 7 (Word-Datei)

• Beispiel einer Textanalyse, Anhang 8 (Word-Datei)

• Beispiel einer Auditcheckliste, Anhang 9 (Word-Datei)

Zum Inhalt

Arbeitshilfen

13. Aktualisierung © Der Qualitätsmanagement-Berater

Auditprozess effizient gestalten mit ISO 19011 05111

Seite 1

- Les

eprob

e -

• Formular „Auditnotizen“, Anhang 10 (Word-Datei)

• Formular „Auditteilnehmerliste“, Anhang 11 (Word-Datei)

• Beispiel eines Auditberichts, Anhang 12 (Excel-Datei)

• Beispiel einer Auditbewertung, Anhang 13 (Word-Datei)

1 Ziel und Zweck von Audits

Nach der DIN EN ISO 9000:2005 ist ein Audit ein „syste-matischer, unabhängiger und dokumentierter Prozess zurErlangung von Auditnachweisen und zu deren objektiverAuswertung, um zu ermitteln, inwieweit Auditkriterien er-füllt sind“. Im Zusammenhang mit Managementsystemenwird üblicherweise unterscheiden zwischen

• interne Audits,

• Lieferantenaudits und

• Zertifizierungsaudits.

Das Ziel eines internen Systemaudits (First-Party-Audit)besteht darin, das gesamte installierte QM-System einesUnternehmens systematisch zu bewerten und zu verbessern.Die Durchführung obliegt dabei meist geschulten Mitarbei-tern des Unternehmens, welches die internen Audits durch-führt. Bei einem Systemaudit wird die gesamte Aufbau- undAblauforganisation eines Unternehmens daraufhin über-prüft, ob die Normenforderungen des Regelwerks erfülltsind und die eigenen Qualitätsziele erreicht werden können.

Wird das gesamte QM-System eines Unternehmens durchregelmäßige Audits überprüft, können Qualitätsabweichun-gen früh erkannt und rechtzeitig korrigiert werden. Diessenkt nicht nur die Fehlerquoten und damit die Fehlerkos-

DefinitionAudit

Interne Audits

© Der Qualitätsmanagement-Berater 13. Aktualisierung

05111 Auditprozess effizient gestalten mit ISO 19011

Seite 2

- Les

eprob

e -

ten. Da Qualitätsaudits immer auch zum Ziel haben, nachVerbesserungsmöglichkeiten zu suchen, selbst wenn derBetriebsablauf relativ reibungslos funktioniert, könnendiese regelmäßigen Überprüfungen auch dazu genutzt wer-den, das Qualitätsniveau in einem Unternehmen kontinuier-lich zu steigern. Der Schwerpunkt eines internen Auditsliegt in der Suche nach Verbesserungspotenzial zur Weiter-entwicklung des Managementsystems und der Unterneh-mensprozesse. Die Erfüllung der Normenforderung spielt,im Gegensatz zu einem Zertifizierungsaudit, nur eine unter-geordnete Rolle.

Laut Definition der DIN EN ISO 9000:2005 ist ein Liefe-rant „ein Hersteller, eine Vertriebseinrichtung, ein Einzel-händler, ein Dienstleister oder ein Monteur, der dem Kun-den ein Produkt bereitstellt“. Der Begriff beinhaltet sowohlProdukte als auch Dienstleistungen. Daher ist ein Lieferantalso jede Organisation, von der ein Kundenunternehmenmaterielle oder immaterielle Leistungen in Anspruchnimmt.

Lieferantenaudits dienen der Lieferantenauswahl und -be-wertung. Bei einem Lieferantenaudit überprüft der Kundedie Qualitätsfähigkeit seines Lieferanten, d. h., er vergewis-sert sich, ob das Lieferantenunternehmen grundsätzlichdazu in der Lage ist, qualitativ einwandfreie Leistungen zuerbringen. In der Regel sind Lieferantenaudits eine Mi-schung aus Prozess- und Systemaudits. Prozessaudits, weilder Kunde nach den Abläufen und Risiken in den Ferti-gungs- oder Dienstleistungsprozessen fragt, mit dem seineAufträge abgewickelt werden. Systemaudits sind sie gleich-zeitig, weil anhand der Stichprobe auch immer unterstüt-zende/führende Prozesse der Gesamtorganisation betrachtetwerden.

Lieferanten-audits


Auditprozess effizient gestalten mit ISO 19011 05111Seite 3

- Les

eprob

e -

Da an dieser Auditart also zwei Parteien beteiligt sind, näm-lich der Kunde und der Lieferant, wird das Lieferantenauditauch als Second-Party-Audit bezeichnet. Ab und zu findetsich in der Literatur dafür auch der Begriff Kundenaudit, daes vom Kunden veranlasst wird. In der Regel wird jedochmeistens die Bezeichnung Lieferantenaudit verwendet.

Der Kunde kann das externe Qualitätsaudit selbst durchfüh-ren oder durch eine beauftragte Stelle oder Person durch-führen lassen. Dies ist insbesondere dann von Bedeutung,wenn der Lieferant weit entfernt im Ausland seinen Firmen-sitz hat.

Neben den Lieferantenaudits zählt zu den externen Quali-tätsaudits auch das sogenannte Zertifizierungsaudit. Da die-ses weder vom Kunden (Second Party) noch vom Lieferan-tenunternehmen selbst (First Party) durchgeführt wird, son-dern von einer dritten, völlig unabhängigen Überprüfungs-instanz, wird das Zertifizierungsaudit international auch alsThird-Party-Audit bezeichnet. Ein Zertifizierungsaudit isthäufig ein Systemaudit. Das Zertifizierungsaudit überprüftals Systemaudit, ob das gesamte QM-System eines Unter-nehmens die vorgegebenen Anforderungen erfüllt.

Welche Anforderungen ein QM-System erfüllen muss, umein entsprechendes Prüfungszertifikat zu erhalten, wirdmeist von einer sogenannten Systemnorm vorgegeben. Dieskann eine branchenspezifische Norm oder eine branchenun-abhängige Nachweisnorm sein, wie z. B. die QualitätsnormISO 9001.

Bei einem Zertifizierungsaudit werden alle von den Anfor-derungen der Norm betroffenen Bereiche eines Unterneh-mens systematisch daraufhin untersucht und beurteilt, obdie notwendigen Qualitätsmanagementmaßnahmen festge-

Zertifizierungs-audits


05111 Auditprozess effizient gestalten mit ISO 19011Seite 4

- Les

eprob

e -

legt und wirksam sind und ob diese Maßnahmen auch ein-gehalten und durchgeführt werden. Ist dies der Fall, bestä-tigt das offizielle QM-Zertifikat die Qualitätsfähigkeit einesUnternehmens. Dies ist allerdings nur die Prüfung im Hin-blick auf einen Mindeststandard (den der anzuwendendenNorm) und sagt nichts über den Reifegrad des Manage-mentsystems aus.

Zur Vorbereitung und Durchführung von internen Auditsund Lieferantenaudits wurde die Norm ISO 19011 entwi-ckelt, die in den folgenden Abschnitten näher behandeltwird.

Das Management von Zertifizierungsaudits wird in derNorm ISO/IEC 17021 geregelt. Wie sich ein Unternehmenauf ein Zertifizierungsaudit vorbereiten kann, wird an ande-rer Stelle dieses Werkes beschrieben.

Abbildung 1 gibt einen zusammenhängenden Überblicküber die Auditarten, ihre Bezeichnungen und ihre normativeZuordnung.



Auditarten

AlternativeBezeichnungenAnwendungsbereichder Normen

Abb. 1: Auditarten, Bezeichnungen und Anwendungsbereiche der Normen ISO 19011 undISO/IEC 17021

- Les

eprob

e -

2 Grundsätze des Auditprozesses –Die Auditprinzipien

Um den Anforderungen an ein gutes Audit gerecht zu wer-den, legt ISO 19011 im Abschnitt 4 grundlegende Prinzi-pien fest. Diese beziehen sich auf Prinzipien für den Audi-tor und Prinzipien für die Auditdurchführung. Die Ein-haltung dieser Prinzipien ist die Voraussetzung dafür, dassAuditoren unabhängig voneinander in vergleichbaren Situ-ationen zu ähnlichen Schlussfolgerungen kommen. Abbil-dung 2 stellt die Auditprinzipien der ISO 19011 als tragendeSäulen eines effizienten Auditprozesses dar.

1. Prinzip



Auditergebnis

Inte

gri

tät

der

Pers

on

d

es A

ud

ito

rs

Sach

lich

e D

ars

tellu

ng

Auditerfolg

An

gem

essen

e b

eru

flic

he

So

rgfa

lt

Prinzipien für den Auditor Prinzipien für die Auditdurchführung

Un

ab

hän

gig

keit

der

Au

dit

ore

n

Vo

rgeh

en

sw

eis

e,

die

au

f N

ach

weis

en

beru

ht

Vert

rau

lich

keit

der

Info

rma

tio

n

Abb. 2: Die sechs Auditprinzipien der ISO 19011

2.1 Prinzipien für den Auditor

Integrität der Persönlichkeit des Auditors• Integrität ist die Grundlage des Berufsbilds (früher ethi-

sches Verhalten). Auditoren sowie jene, die das Auditpro-gramm leiten und lenken, sollten:

- Les

eprob

e -

• ihre Arbeit mit Ehrlichkeit, Sorgfalt und Verantwortung ausführen;

• alle anwendbaren rechtlichen Anforderungen beachten und einhalten;

• ihre Kompetenz während ihrer Arbeit nachweisen;

• ihre Arbeit unparteiisch ausführen, d. h., sie bleiben sach-lich und sind frei von Voreingenommenheit bei allen ihrenHandlungen;

• sensibel sein gegenüber jeglichem Einfluss, der auf ihr Urteilsvermögen während der Durchführung eines Audits ausgeübt werden kann.

Sachliche Darstellung

Sachliche Darstellung als die Pflicht, wahrheitsgemäß undgenau zu berichten. Das bedeutet, dass Auditfeststellungen,Auditschlussfolgerungen und Auditberichte die Audittätig-keiten wahrheitsgemäß und genau widerspiegeln sollten.Über wesentliche Hindernisse, die während des Audits auf-treten, und über nicht bereinigte oder auseinandergehendeAuffassungen zwischen dem Auditteam und der auditiertenOrganisation kann berichtet werden.

Die Kommunikation muss wahrheitsgetreu, genau, objek-tiv, zeitgerecht, klar und vollständig sein.

Angemessene berufliche Sorgfalt

Angemessene berufliche Sorgfalt bedeutet die Anwendungvon Sorgfalt und Urteilsvermögen beim Auditieren. Die Au-ditoren sollten Sorgfalt walten lassen gemäß der Bedeutungder Aufgabe, die sie erfüllen, und gemäß dem Vertrauen,welches die Organisation, die das Audit anfordert, und an-dere interessierte Parteien in sie setzen.

2. Prinzip

3. Prinzip



- Les

eprob

e -

Ein wichtiger Faktor bei der Ausführung der Arbeit mit an-gemessener beruflicher Sorgfalt ist die Fähigkeit, in allenAuditsituationen begründete Urteile fällen zu können (frü-her nur Bezug zur Qualifikation).

2.2 Prinzipien für die Auditdurchführung

Vertraulichkeit der Information

Vertraulichkeit versteht sich als die Sicherheit von vertrau-lichen/geheimen Informationen. Die Auditoren sollten beider Verwendung und dem Schutz von Informationen, die sieim Verlaufe ihrer Aufgaben erworben haben, umsichtigsein. Auditinformationen sollten nicht unangemessen zurpersönlichen Bereicherung des Auditors oder der Organisa-tion, die das Audit anfordert, oder in einer Weise verwendetwerden, die nachteilig für das berechtigte Interesse der au-ditierten Organisation ist. Dieses Konzept schließt den ord-nungsgemäßen Umgang mit sensiblen, vertraulichen Infor-mationen ein.

Unabhängigkeit der Auditoren

Unabhängigkeit ist die Grundlage für die Unparteilichkeitdes Audits und Objektivität der Auditschlussfolgerungen.Auditoren sollten unabhängig von der Tätigkeit sein, die au-ditiert wird, und möglichst frei von Voreingenommenheitund Interessenkonflikten agieren.

Bei internen Audits sollten Auditoren unabhängig von denLeitern der zu auditierenden Funktionsbereiche sein.

Auditoren sollten Objektivität während des gesamten Au-ditprozesses zeigen, um sicherzustellen, dass die Auditfest-stellungen und -schlussfolgerungen nur auf den Auditnach-weisen beruhen.

4. Prinzip

5. Prinzip



- Les

eprob

e -

Bei kleinen Organisationen kann es sein, dass die internenAuditoren nicht völlig unabhängig von der zu auditierendenTätigkeit sind; es sollten aber alle Anstrengungen unter-nommen werden, um Voreingenommenheit zu beseitigenund Objektivität zu ermöglichen.

Vorgehensweise, die auf Nachweisen beruht

Eine Vorgehensweise, die auf Nachweisen beruht, ist die ra-tionale Grundlage, um zu zuverlässigen und nachvollzieh-baren Auditschlussfolgerungen in einem systematischenAuditprozess zu gelangen.

Auditnachweise sollten verifizierbar sein. Sie beruhen aufProben der verfügbaren Informationen, da ein Audit wäh-rend eines begrenzten Zeitraums und mit begrenztenRessourcen durchgeführt wird. Die angemessen durchge-führte Probennahme ist eng mit dem Vertrauen verbunden,das in die Auditschlussfolgerungen gesetzt werden kann.

3 Planung und Steuerung des Auditprozesses –Das Auditprogramm

3.1 Ablauf des Prozesses zum Auditprogramm

„Eine Organisation, die Audits durchführen muss, sollte einAuditprogramm erstellen, das zur Ermittlung der Wirksam-keit des Managementsystems der zu auditierenden Organi-sation beiträgt. Das Auditprogramm kann Audits enthalten,die eine oder mehrere Managementsystemnormen berück-sichtigen und die entweder getrennt oder in Kombinationdurchgeführt werden.“ (ISO 19011, Kap. 5.1)

6. Prinzip

Forderung der ISO 19011



- Les

eprob

e -

Dazu ist zunächst zu klären, was die ISO 19011 unter einem Auditprogramm versteht. In der Norm steht unter Punkt3.13:

„Festlegungen für einen Satz von einem oder mehreren Au-dits, die für einen bestimmten Zeitraum geplant und aufeinen spezifischen Zweck ausgerichtet sind.

Anmerkung: Ein Auditprogramm enthält alle Tätigkeiten,die für Planen, Organisieren und Durchführen der Audits erforderlich sind.“

Die oberste Leitung sollte sicherstellen, dass eine oder meh-rere Personen beauftragt werden, das Auditprogramm zuleiten und zu lenken sowie Ziele für das Auditprogrammfestzulegen. Der Umfang eines Auditprogramms sollte aufder Größe und der Art der Organisation, die auditiert wird,sowie auf der Art, der Funktionalität, der Komplexität unddem Reifegrad des zu auditierenden Managementsystemsbasieren.

Das Auditprogramm schließt alle Tätigkeiten ein, die zurPlanung und Organisation der Arten und Anzahl von Auditssowie zur Bereitstellung von Ressourcen notwendig sind,um diese Audits effizient und wirksam innerhalb des vorge-gebenen Zeitrahmens durchzuführen.

Das Auditprogramm kann mehrere Audits beinhalten. Eskann Audits einzelner, mehrfacher oder integrierter Ma-nagementsysteme enthalten, die entweder getrennt oder inKombination durchgeführt werden.

Im Einzelnen kann ein Auditprogramm umfassen:

• die Auditziele;

DefinitionAuditpro-gramm

Inhalte desAudit-programms



- Les

eprob

e -

• den Umfang, die Anzahl, die Arten, die Standorte und den Zeitplan der Audits;

• das hauptsächliche Auditverfahren;

• die Auditkriterien und Auditmethoden;

• die Auswahl des Auditteams und Auditteamleiters;

• Unsicherheiten beim Erreichen der Ziele des Audit-programms und zu ergreifende vorbeugende Maßnah-men;

• die erforderlichen Ressourcen, einschließlich Reisezeiten und Unterbringung, wenn erforderlich;

• Prozesse in Bezug auf Vertraulichkeit, Informations-sicherheit, Arbeitsschutz und weitere ähnliche Belange.

Die Umsetzung des Auditprogramms soll zur Erreichungseiner Ziele überwacht werden. Das Auditprogramm sollteüberprüft werden, um mögliche Verbesserungen zu erken-nen.

Abbildung 3 zeigt vereinfacht den Prozessablauf eines Auditprogramms.



Umsetzen des Auditprogramms

Bewerten und Verbessern des Auditprogramms

Überwachen des Auditprogramms

Festlegen des Auditprogramms

Kompetenz und Bewertung von Auditoren

Durchführung eines Audits

Festlegen der Auditprogrammziele

Abb. 3: Prozessablauf eines Auditprogramms

- Les

eprob

e -

3.2 Ziele für das Auditprogramm (vgl. ISO 19011, Kap. 5.2)

Das Auditprogramm soll neben der reinen Organisation desAuditgeschehens den Prozess der Planung und Durchfüh-rung von Audits kontinuierlich verbessern. Dazu sollte dieoberste Leitung sicherstellen, dass für das Auditprogrammin Übereinstimmung mit der Unternehmenspolitik Ziele er-stellt werden, um das Planen und Durchführen der Audits zulenken und sicherzustellen, dass das Auditprogramm wirk-sam umgesetzt wird. Diese Ziele können variieren in Ab-hängigkeit von

• Managementprioritäten;

• kommerziellen und anderen geschäftlichen Absichten;

• Managementsystemanforderungen (z. B. Zertifizierung nach einer Managementsystemnorm);

• rechtlichen und anderen verpflichtenden Anforderungen (z.B. Verifizieren der Erfüllung vertraglicher Anforderun-gen);

• Erfordernissen der Lieferantenbeurteilung (z. B. Erlangen und Aufrechterhalten des Vertrauens in die Fähigkeit eines Lieferanten);

• Erfordernissen und Erwartungen interessierter Parteien (einschließlich Kunden);

• Leistungsgrad der zu auditierenden Organisation, abgelei-tet beim Auftreten von Fehlern beziehungsweise Zwi-schenfällen/Störfällen oder Kundenbeschwerden;

• Risiken in Bezug auf die auditierte Organisation;

• Ergebnissen aus früheren Audits;

• Reifegrad des Managementsystems;

• Verbesserungen des Managementsystems und dessen Leistungsfähigkeit;

Einfluss-faktoren



- Les

eprob

e -

• Bewertungen der Verträglichkeit und Ausrichtung der Managementsystemziele mit der Politik des Manage-mentsystems und den gesamten Unternehmenszielen.

3.3 Planen des Auditprogramms

3.3.1 Aufgaben, Verantwortung und Qualifikation des Auditprogrammverantwortlichen

Aufgaben und Verantwortung(vgl. ISO 19011, Kap. 5.3.1)

Der Auditprogrammverantwortliche, d. h. die Person, derdie Verantwortung für das Managen des Auditprogrammsübertragen wurde, sollte

• den Umfang des Auditprogramms festlegen;

• die Risiken für das Auditprogramm bezüglich des Errei-chens der Auditprogrammziele ermitteln und bewerten;

• Verantwortlichkeiten und Verfahren festlegen;

• sicherstellen, dass notwendige Ressourcen ermittelt wer-den;

• die Umsetzung des Auditprogramms sicherstellen, wie z. B. Festlegen der Auditziele, des Auditumfangs und der Kriterien einzelner Audits;

• die Auditmethoden ermitteln, das Auditteam auswählen und die Bewertung der Auditoren sicherstellen;

• sicherstellen, dass angemessene Aufzeichnungen zum Auditprogramm gelenkt und geführt werden;

• das Auditprogramm überwachen, bewerten und verbes-sern.

Aufgaben desAuditpro-grammverant-wortlichen



- Les

eprob

e -

Der Auditprogrammverantwortliche sollte die oberste Lei-tung über die Inhalte des Auditprogramms informieren und,wenn erforderlich, dieses genehmigen lassen. Eine regelmä-ßige Genehmigung, wie in der ISO 19011:2002 noch gefor-dert, ist nicht mehr erforderlich, wenn diese Aufgabe an denAuditprogrammverantwortlichen übertragen wurde.

Es erscheint sinnvoll, die Aufgaben und Verantwortlichkei-ten eines Auditprogrammverantwortlichen in einer Stellen-/Funktionsbeschreibung zu fixieren. Übernimmt der Ma-nagementbeauftragte, z. B. der QMB, diese Funktion, wiehäufig üblich, ist dessen Stellen-/Funktionsbeschreibung zuergänzen.

Im Anhang 1 diese Beitrags sowie auf der Begleit-CD fin-den Sie ein Textmuster für die Ernennung eines Auditpro-grammverantwortlichen, einschließlich einer Funktionsbe-schreibung.

Qualifikation/Kompetenz (vgl. ISO 19011, Kap. 5.3.2)

Der Auditprogrammverantwortliche sollte die Kompetenzbesitzen, das Auditprogramm sowie die damit verbundenenRisiken wirksam und effizient zu lenken, sowie auch Wis-sen und Kenntnisse in den folgenden Bereichen haben:

• Auditprinzipien, -verfahren, -methoden und -techniken;

• Managementsystem und Bezugsdokumente;

• Tätigkeiten, Produkte und Prozesse der zu auditierenden Organisation;

• anwendbare rechtliche und andere Anforderungen in Bezug auf die Tätigkeiten und/oder die Produkte der zu auditierenden Organisation;

Wissen undKenntnisse



05111_01.doc

- Les

eprob

e -

• wo zutreffend, Kunden, Lieferanten und andere inte-ressierte Parteien der zu auditierenden Organisation.

Der Auditprogrammverantwortliche sollte ständig in Tätig-keiten zur beruflichen Entwicklung eingebunden sein, umseine Fähigkeiten aufrechtzuerhalten und weiterzuentwi-ckeln.

3.3.2 Verfahren für das Auditprogramm(vgl. ISO 19011, Kap. 5.3.5)

Der Auditprogrammverantwortliche sollte ein oder mehrereAuditprogrammverfahren festlegen, die folgende Sachin-halte regeln:

• Planen und Terminieren von Audits unter Beachtung von Auditprogrammrisiken;

• Sicherstellen der Informationssicherheit und Vertraulich-keit;

• Sicherstellung der Qualifikation/Kompetenz von Audito-ren und Auditteamleitern;

• Auswahl geeigneter Auditteams und Zuweisung ihrer Rollen und Verantwortlichkeiten;

• Durchführung von Audits, einschließlich der Verwendung geeigneter Stichprobenverfahren;

• Durchführung von Auditfolgemaßnahmen, soweit zutref-fend;

• Berichterstattung an die oberste Leitung über die erreich-ten Ergebnisse des Auditprogramms;

• Führung von Aufzeichnungen zum Auditprogramm (Len-kung von Aufzeichnungen);

• Überwachung der Leistungsfähigkeit, der Risiken und der Verbesserung sowie Wirksamkeit des Auditprogramms.

Zu regelndeSachinhalte



- Les

eprob

e -

Die Verfahren können, wenn zutreffend, im Rahmen desAuditprozesses geregelt werden, oder man nutzt bestehendeProzesse im Managementsystem, wie z. B. „Lenken vonDokumenten und Aufzeichnungen“, um die Verfahrensin-halte zu regeln.

3.3.3 Ermitteln von Auditumfang, -risiken und -ressourcen

„Ausmaß und Grenzen eines Audits.Anmerkung: Der Auditumfang enthält im Allgemeinen eineBeschreibung der physikalischen Ortsangaben, der organi-satorischen Einheiten, der Tätigkeiten und Prozesse sowieder betrachteten Zeitspanne.“ (DIN EN ISO 9000:2005,3.9.13)

Umfang (vgl. ISO 19011, Kap. 5.3.3)

Der Auditprogrammverantwortliche sollte den Umfangeines Auditprogramms festlegen, der variieren kann in Ab-hängigkeit von der Größe und Art der zu auditierenden Organisation und von der Art, der Funktionalität, der Kom-plexität und dem Reifegrad des zu auditierenden Manage-mentsystems. Hinzu kommen weitere Faktoren, wie:

• Umfang, Ziel und Dauer jedes durchzuführenden Audits;

• Häufigkeit von durchzuführenden Audits;

• Anzahl, Bedeutung, Komplexität, Gleichartigkeit und Orte der zu auditierenden Tätigkeiten;

• solche Faktoren, die für die Wirksamkeit eines Manage-mentsystems von Bedeutung sind;

• anwendbare Auditkriterien der relevanten Norm, wie rechtliche, vertragliche und andere Anforderungen;

DefinitionAuditumfang

Weitere Ein-flussfaktoren



- Les

eprob

e -

• Schlussfolgerungen aus früheren internen oder externen Audits oder Ergebnisse aus früheren Bewertungen des Auditprogramms;

• sprachliche, kulturelle und soziale Fragen;

• Anliegen interessierter Parteien, wie z. B. Kundenbe-schwerden, Rechtsverletzungen;

• bedeutsame Änderungen einer zu auditierenden Organi-sation oder ihrer Tätigkeiten;

• Verfügbarkeit von Informations- und Kommunikations-technologien zur Unterstützung der Audittätigkeiten (z. B. Verwendung von Remote-Auditmethoden1);

• Auftreten interner und externer Ereignisse, wie z. B. Pro-duktausfall, Sicherheitsleck bei Informationen, Zwi-schenfälle bei Arbeits- und Gesundheitsschutz, Straftaten oder Umweltschadensfällen.

in das Auditprogramm sollten alle Audits einer Organisa-tion aufgenommen werden, wie z. B.

• interne Systemaudits,

• Zertifizierungs- und Überwachungsaudits,

• Lieferantenaudits, welche die Organisation selber durch-führt oder die Kunden bei ihr durchführen, und

• Prozess- oder Produktaudits, wenn zutreffend.

In den Anhängen 2 und 3 diese Beitrags sowie auf der Be-gleit-CD (als editierbare Excel-Datei) finden Sie Beispielefür ein einfaches bzw. ein erweitertes Auditprogramm, dasSie an Ihre betrieblichen Gegebenheiten anpassen können.

Alle Audits ins Audit-programm



05111_02.xls

05111_03.xls

1 Remote-Auditmethoden = Audits mithilfe von interaktiven Kommunika-tionsmitteln über große Distanz (z. B. Befragungen, Dokumenten- undNachweisprüfungen per Videokonferenz).

- Les

eprob

e -

Risiken (vgl. ISO 19011, Kap. 5.3.4)

Im Zusammenhang mit dem Festlegen, Umsetzen, Überwa-chen und Bewerten eines Auditprogramms gibt es eineReihe von Risiken, die Auswirkungen auf die Auditpro-grammziele haben können. Der Auditprogrammverantwort-liche sollte diese Risiken analysieren und bei der Entwick-lung eines Auditprogramms berücksichtigen. Diese Risikenkönnen im Zusammenhang stehen mit

• der Planung, z. B. Versäumnisse beim Festlegen der rele-vanten Auditziele und bei der Ermittlung des Umfangs des Auditprogramms;

• den Ressourcen, z. B. nicht genügend Zeit zur Entwick-lung des Auditprogramms bzw. zur Auditdurchführung einräumen;

• der Auswahl des Auditteams, z. B. das Team verfügt nicht über die kollektive Kompetenz, das Audit wirksam durch-zuführen;

• der Umsetzung, z. B. ineffektive Kommunikation in Bezug auf das Auditprogramm;

• den Aufzeichnungen und ihrer Kontrolle, z. B. Versäum-nisse in Bezug auf einen angemessenen Schutz der Audit-aufzeichnungen zum Zwecke des Nachweises der Wirk-samkeit des Auditprogramms;

• der Überwachung, Bewertung und Verbesserung des Au-ditprogramms, z. B. ineffektives Überwachen der Audit-programmergebnisse.

Im Anhang 4 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein Beispiel für eine Au-ditprogramm-Risikomatrix, das Sie an Ihre betrieblichenGegebenheiten anpassen können.

Wo könnenRisikenauftreten?



05111_04.doc

- Les

eprob

e -

Ressourcen (vgl. ISO 19011, Kap. 5.3.6)

Bei der Festlegung der Ressourcen zur Verwirklichung desAuditprogramms sollte der Auditprogrammverantwortlichefolgende Einflussfaktoren berücksichtigen:

• die erforderlichen finanziellen Ressourcen, um die Audit-tätigkeiten zu entwickeln, zu verwirklichen, zu organisie-ren und zu verbessern;

• anzuwendende Auditmethoden, wie Interviews, Beobach-ten von Tätigkeiten, Prüfen von Dokumenten etc.;

• Verfügbarkeit von Auditoren und Fachexperten/Sach-kundigen, deren Kompetenz die spezifischen Auditpro-grammziele abdecken;

• Umfang des Auditprogramms und Auditprogrammrisi-ken;

• Reisezeit und -kosten, Unterbringung und sonstige Erfor-dernisse für das Auditieren;

• Verfügbarkeit von Informations- und Kommunikations-technologien.

3.4 Realisieren des Auditprogramms

3.4.1 Aufstellen des Auditprogramms

Ziele, Kriterien und Umfang für ein einzelnes Audit(vgl. ISO 19011, Kap. 5.4.1)

Jedes Audit sollte sich auf dokumentierte Auditziele, Audit-kriterien sowie den Auditumfang stützen und im Einklangmit den allgemeinen Auditprogrammzielen stehen. Diesessollte durch den Auditprogrammverantwortlichen festgelegtwerden.

Einfluss-faktoren



- Les

eprob

e -

Die Auditziele legen fest, was durch dieses einzelne Auditzu erreichen ist. Das kann Folgendes umfassen:

• Bestimmung des Grades der Konformität des zu auditie-renden Managementsystems oder Teile desselben mit den Auditkriterien;

• Bestimmung des Grades der Konformität von Tätigkei-ten, Prozessen und Produkten mit den Anforderungen und Verfahren des Managementsystems;

• Bewertung der Fähigkeit des Managementsystems, dieÜbereinstimmung mit rechtlichen und vertraglichen An-forderungen sicherzustellen sowie mit weiteren Anforde-rungen, zu denen sich die Organisation verpflichtet hat;

• Bewertung der Wirksamkeit des Managementsystems bei der Erfüllung seiner spezifischen Ziele;

• Erkennen von Bereichen für die mögliche Verbesserung des Managementsystems.

„Verfahren, Vorgehensweisen oder Anforderungen, die alsBezugsgrundlage (Referenz) verwendet werden, anhandderer ein Vergleich mit dem Auditnachweis erfolgt.

Anmerkung: Zu den Auditkriterien zählen z. B. Forderun-gen aus Normen, Gesetzen, Verträgen, Festlegungen der Systemdokumentation.“ (ISO 19011, 3.2)

Der Auditumfang sollte dem Auditprogramm sowie den Au-ditzielen entsprechen. Er umfasst solche Faktoren wie zuauditierende physische Standorte, Organisationseinheiten,Tätigkeiten und Prozesse sowie die Dauer, die für das Auditbenötigt wird.

Wenn Veränderungen an den Auditzielen, dem Umfangoder den Kriterien vorgenommen werden, sollte das Audit-

Zielinhalte

DefinitionAuditkriterien

Auditumfang



- Les

eprob

e -

programm, wenn erforderlich, entsprechend modifiziertwerden.

Wenn zwei oder mehrere Managementsysteme mit ver-schiedenen Disziplinen zusammen auditiert werden (einkombiniertes Audit), ist es wichtig, dass die Auditziele, derUmfang sowie die Kriterien mit den Zielen des zutreffendenAuditprogramms im Einklang stehen.

Auditmethode (vgl. ISO 19011, Kap. 5.4.3)

Der Auditprogrammverantwortliche muss geeignete Audit-methoden unter Berücksichtigung der vereinbarten Audit-ziele, des Auditumfangs und der Auditkriterien auswählenund festlegen.

Abbildung 4 gibt einen Überblick über die anwendbarenMethoden.

Vor-Ort-Audittätigkeiten werden am Standort der zu audi-tierenden Organisation durchgeführt. Remote-Audittätig-keiten hingegen werden, ungeachtet der Entfernung, anjedem beliebigen Standort mittels interaktiver Kommunika-tionsmittel (Internet, Konferenzschaltungen etc.) durchge-führt.

Bei interaktiven Audittätigkeiten erfolgt die Interaktionzwischen dem Personal der zu auditierenden Organisationund dem Auditteam. Bei nicht interaktiven Audittätigkeitenfindet keine menschliche Interaktion zwischen den Perso-nen, die die zu auditierende Organisation vertreten, statt,sondern die Audittätigkeiten beziehen sich hierbei nur aufdie Ausrüstung, die Einrichtungen und die Dokumentation.Die folgenden Methoden sind im Anhang B der Norm näherbeschrieben:

Vor-Ort- undRemote-Methoden

Interaktive/nicht interak-tive Methoden



- Les

eprob

e -

• Dokumentenprüfung (B.2)

• Stichprobennahme (B.3)

• Standortbegehung (B.6)

• Befragungen (B.7)



MethodenMIT menschlicher Interaktion

MethodenOHNE menschliche Interaktion

Methoden mit Auditorvor Ort

Befragungen durchführen

Checklisten und Fragebögenausfüllen unter Beteiligungder zu auditierenden Organi-sation

Dokumentenprüfung durch-führen unter Beteiligung derzu auditierenden Organisa-tion

Durchführen der Dokumen-tenprüfung (z. B. Aufzeich-nungen, Datenanalyse)

Beobachtung der durchge-führten Arbeit

Standortbegehung durchfüh-ren

Checklisten ausfüllen

Stichprobennahme (z. B. Produkte)

---

Methoden mit Auditornicht vor Ort (Remote)

Befragungen durchführen

Checklisten und Fragebögenausfüllen

Dokumentenprüfung durch-führen unter Beteiligung derzu auditierenden Organisa-tion

Dokumentenprüfung durch-führen (z. B. Aufzeichnun-gen, Datenanalyse)

Beobachtung der geleistetenArbeit durch Überwachungbedeutet, soziale und rechtli-che Anforderungen zu be-rücksichtigen

---

---

---

Daten analysieren

Abb. 4: Anwendbare Auditmethoden (nach DIN EN ISO 19011, Anhang B.1)

Beschrei-bungen im Normanhang

- Les

eprob

e -

Führen Auditoren unterschiedlicher Unternehmen oderStandorte ein gemeinsames Audit durch, so sollten sich diebetreffenden Auditprogrammverantwortlichen über die an-zuwendenden Methoden einigen und die Auswirkungen aufdie Auditressourcen und die Auditplanung berücksichtigen.

Betreibt die zu auditierende Organisation mehrere Manage-mentsysteme, z. B. für das Qualitäts-, Umwelt- und Arbeits-schutzmanagement, so können diese in einem kombiniertenVerfahren auditiert werden. Insbesondere um solche kombi-nierten Audits zu ermöglichen, wurde die ISO 19011 ent-wickelt.

Zusammenstellung des Auditorenteams(vgl. ISO 19011, Kap. 5.4.4)

Der Auditprogrammverantwortliche sollte die Mitgliederdes Auditteams benennen, einschließlich des Auditteamlei-ters und der Fachexperten für das spezifische Audit.

Die Auswahl des Auditteams sollte so erfolgen, dass alle er-forderlichen Fachkompetenzen berücksichtigt werden undüber die Zusammensetzung des Auditteams gesichert sind.Bei der Zusammensetzung des Auditteams für ein spezifi-sches Audit sollte auch die Art der gewählten Auditmetho-den berücksichtigt werden. Fachexperten können in dasAudit unter Leitung eines Auditors integriert werden, sollenaber nicht selbst als Auditoren tätig werden.

Bei der Zusammenstellung des Auditteams ist sicherzustel-len, dass die Unabhängigkeit der Auditoren gewährleistetist, um Interessenkonflikte zu vermeiden (siehe Kapitel 3,Prinzip 5).

KombinierteManagement-systemauditsmöglich

Anforderungenan das Audit-team



- Les

eprob

e -

Die Mitglieder des Auditteams sollten in der Lage sein, mitden Mitgliedern der auditierten Organisation und unterein-ander effektiv zusammenzuarbeiten.

Auditoren in der Ausbildung können in das Auditteam ein-bezogen werden, müssen jedoch durch einen erfahrenenAuditor betreut werden.

Übergabe an Auditteamleiter (vgl. ISO 19011, Kap. 5.4.5)

Der Auditprogrammverantwortliche sollte dem Auditteam-leiter die Verantwortung für die Durchführung eines einzel-nen Audits in Form eines Auditauftrags übergeben. Um einewirksame Planung und Durchführung des Audits sicherzu-stellen, sollte dieser Auftrag rechtzeitig vor der Durchfüh-rung des Audits erfolgen und die erforderlichen Informatio-nen enthalten, wie z. B. Auditziele, Auditkriterien, Audit-umfang, Auditmethoden, Termine, Standorte, Ressourcen,Risiken etc.

Falls notwendig, ist der Auditteamleiter auch mit weiterenInformationen zu versorgen, wie z. B. Kontaktdaten der zuauditierenden Organisation, Folgemaßnahmen früherer Au-dits, Gesundheits- und Sicherheitsanforderungen, Anforde-rungen an Vertraulichkeit und Auditbericht.

Im Anhang 5 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein Beispiel für einenAuditauftrag, den Sie an Ihre betrieblichen Gegebenheitenanpassen können.

Auditauftragerteilen



05111_05.doc

- Les

eprob

e -

3.4.2 Managen von Auditprogrammergebnissen und -aufzeichnungen

Managen von Auditprogrammergebnissen(vgl. ISO 19011, Kap. 5.4.6)

Der Auditprogrammverantwortliche sollte sicherstellen,dass die folgenden Tätigkeiten durchgeführt werden:

• Bewertung und Freigabe von Auditberichten, einschließ-lich der Bewertung der Eignung und Angemessenheit der Auditfeststellungen;

• Bewertung der Ursachenanalyse sowie der Wirksamkeit von Korrektur- und Vorbeugungsmaßnahmen der spezifi-schen Audits;

• Verteilung der Auditberichte an die oberste Leitung und andere relevante Personen;

• Ermittlung der Notwendigkeit nachfolgender Audittä-tigkeiten (Nachaudit).

Verwalten von Aufzeichnungen zum Auditprogramm(vgl. ISO 19011, Kap. 5.4.7)

Der Auditprogrammverantwortliche sollte sicherstellen,dass Auditaufzeichnungen erzeugt, gelenkt und erhaltenwerden, um die Umsetzung des Auditprogramms nachzu-weisen. Die Prozesse sollten die vertraulichkeitsbezogenenErfordernisse berücksichtigen. Die Aufzeichnungen solltenFolgendes enthalten:

• Aufzeichnungen aus dem Auditprogramm, wie z. B.– dokumentierte Auditprogrammziele und Umfang;– Informationen, die auf Risiken im Zusammenhang mit

dem Auditprogramm eingehen;– Bewertungen der Wirksamkeit des Auditprogramms.

Durchzuführende Tätigkeiten

Inhalte derAufzeich-nungen



- Les

eprob

e -

• Aufzeichnungen in Bezug auf das einzelne Audit, wie z. B.– Auditpläne und Auditberichte; – Berichte zu Nichtkonformitäten; – Berichte zu Korrektur- und Vorbeugungsmaßnahmen;– Berichte zu Auditfolgemaßnahmen, soweit zutreffend

• Aufzeichnungen, die sich auf das Auditpersonal beziehen, wie z. B.– Kompetenz und Leistungsbewertung der Mitglieder

des Auditteams; – Auswahl des Auditteams und der Teammitglieder;– Aufrechterhaltung und Verbesserung der Kompetenz.

Die Form und der Detaillierungsgrad der Aufzeichnungensollten geeignet sein, um nachzuweisen, dass die Auditpro-grammziele erreicht wurden.

Die Regelung zur Lenkung von Auditaufzeichnungen kannauch im Rahmen der Regelungen zur Aufzeichnungslen-kung des spezifischen Managementsystems erfolgen.

3.5 Überwachen, Bewerten und Verbessern des Audit-programms

Überwachen des Auditprogramms(vgl. ISO 19011, Kap. 5.5)Die Umsetzung des Auditprogramms sollte durch den Au-ditprogrammverantwortlichen überwacht werden, damitdas Auditprogramm zur Zielerreichung und Verbesserungdes Managementsystems beiträgt. Dabei sollte Folgendesberücksichtigt werden:

• Die Konformität mit dem Auditprogramm, den Zeitplä-nen und Auditzielen sollte bewertet werden;

• Bewertung der Leistung der Mitglieder des Auditteams;

Was ist zubeachten?



- Les

eprob

e -

• Bewertung der Fähigkeit des Auditteams, den Audit-plan umzusetzen;

• Bewertung des Informationsrückflusses von der obersten Leitung, den auditierten Organisationen, den Auditoren und weiteren interessierten Parteien.

Durch die laufende Überwachung des Auditprogrammskönnen Änderungen/Korrekturen des Auditprogramms not-wendig werden. Änderungen können sich z. B. ergebendurch:

• Art der Auditfeststellungen;

• Grad der Wirksamkeit des Systems;

• Veränderung des Systems;

• Änderung von rechtlichen/normativen Anforderungen;

• Wechsel von Lieferanten.

Bewerten und Verbessern des Auditprogramms(vgl. ISO 19011, Kap. 5.6)

Der Auditprogrammverantwortliche sollte das Auditpro-gramm daraufhin bewerten, ob dessen Ziele erreicht wur-den. Daraus abgeleitete Erkenntnisse sollten für einen kon-tinuierlichen Verbesserungsprozess genutzt werden. Bei derBewertung des Auditprogramms sollte Folgendes berück-sichtigt werden:

• Ergebnisse und Tendenzen aus der Überwachung des Auditprogramms sowie Konformität mit den Auditpro-grammverfahren;

• sich abzeichnende Erfordernisse und Erwartungen inte-ressierter Parteien;

• Aufzeichnungen zum Auditprogramm sowie alternativeoder neue Auditpraktiken;

Änderungs-gründe fürAuditpro-gramm

Zu berück-sichtigendePunkte



- Les

eprob

e -

• Wirksamkeit von Maßnahmen, um auf Risiken, die mit dem Auditprogramm verbunden sind, einzugehen;

• Fragen zur Vertraulichkeit/Informationssicherheit bezüg-lich des Auditprogramms;

• Bewertung der kontinuierlichen Entwicklung der Audi-toren;

• die Ergebnisse aus der Bewertung des Auditprogramms sollten der obersten Leitung mitgeteilt werden.

Aus der Bewertung der Gesamtumsetzung des Auditpro-gramms sollten:

• Verbesserungsbereiche ermittelt werden, um das Pro-gramm, wenn nötig, anzupassen und

• die kontinuierliche berufliche Entwicklung der Auditoren sicherzustellen

Der obersten Leitung sollte das Ergebnis der Gesamtbewer-tung mitgeteilt werden.

4 Die Umsetzung des Auditprogramms – Durchführung von Audits

4.1 Ablauf des Prozesses Auditdurchführung

Abbildung 5 zeigt vereinfacht den Ablauf des Prozesses zurDurchführung von Audits.

Im Folgenden sind die einzelnen Prozessschritte näher er-läutert.

Zur Erläuterung von einzelnen Audittätigkeiten sind imNormanhang B „Zusätzliche Anleitung für Auditoren zum



- Les

eprob

e -

Planen und Durchführen von Audits“ ergänzende Hinweisegegeben. Erläuterungen gibt es zu folgenden Themen:

• Anwendung der Auditmethoden

• Durchführen von Dokumentenprüfungen

• Stichprobennahme (entscheidungsbasierte und statisti-sche Stichprobennahme)

• Erstellung von Arbeitsunterlagen

• Auswählen von Informationsquellen

• Anleitung zu Begehungen des Standorts der auditierten Organisation

• Durchführen von Befragungen

• Auditfeststellungen

Themen des Norm-anhangs B



Veranlassen des Audits

Vorbereiten der Audittätigkeiten

Erstellen und Verteilen des Auditberichts

Durchführen der Audittätigkeiten

Abschließen des AuditsDurchführen von

Auditfolgemaßnahmen(falls zutreffend)

Abb. 5: Ablauf des Prozesses Auditdurchführung – vereinfacht (nach ISO 19011, Kap. 6.1)

- Les

eprob

e -

4.2 Vorbereitungen zur Realisierung eines einzelnen Audits

4.2.1 Veranlassen eines einzelnen Audits (vgl. ISO 19011, Kap. 6.2.1)

Beim Veranlassen eines einzelnen Audits wird die Verant-wortung zur Durchführung des Audits, wie im Auditpro-gramm festgelegt, dem Auditteamleiter übertragen. Er istfür die Vorbereitung und Durchführung des Audits sowiedie Leitung des Auditteams verantwortlich. Führt nur einAuditor das Audit durch, so ist er in Personalunion der Au-ditteamleiter. Die Verantwortung für das Audit bleibt beimAuditteamleiter, bis das Audit abgeschlossen ist.

Kontaktaufnahme mit der zu auditierenden Organisa-tion/dem zu auditierenden Bereich(vgl. ISO 19011, Kap. 6.2.2)

Der erste Kontakt mit der zu auditierenden Organisationhinsichtlich der Durchführung des Audits kann mehr oderweniger formal sein und sollte vom Auditteamleiter herge-stellt werden. Er ist auch der Hauptansprechpartner für diezu auditierende Organisation. Zweck des ersten Kontakts istes, die Rahmenbedingungen für das Audit abzuklären. Dazukann gehören:

• Informationen über die Auditziele, den Auditumfang, dieAuditmethoden und die Zusammensetzung des Audit-teams (inkl. Fachexperten) zu geben;

• Zugang zu relevanten Dokumenten und Aufzeichnungen für Planungszwecke zu erbitten;

• zutreffende rechtliche, vertragliche und andere Anforde-rungen der Organisation zu ermitteln;

Zweck desersten Kontakts



- Les

eprob

e -

• verbindliche Vereinbarungen mit der auditierten Organi-sation hinsichtlich des Umfangs der Offenlegung und der Behandlung vertraulicher Informationen zu treffen;

• Vorbereitungen für das Audit zu treffen, einschließlich Terminabsprache und Festlegen wichtiger Teilnehmer der auditierten Organisation (z. B. Geschäftsführer, Abtei-lungsleiter, Prozessverantwortliche);

• die Anwesenheit von Beobachtern und die Notwendigkeit von Betreuern für das Auditteam abzustimmen;

• standortspezifische Besonderheiten bezüglich Zugang, Sicherheit und Arbeitsschutz zu ermitteln, wenn nicht be-reits bekannt (z. B. Mitarbeiter der Organisation sind in-terne Auditoren);

• die Bereiche oder Prozesse zu ermitteln, die für die audi-tierte Organisation von Interesse oder kritisch sind und daher die Organisation dort vertiefenden Auditierungsbe-darf sieht.

Feststellen der Durchführbarkeit des Audits(vgl. ISO 19011, Kap. 6.2.3)

Die Durchführbarkeit des Audits sollte vom Auditteamleiterermittelt werden, um das notwendige Vertrauen in das Auditund die Erreichung seiner Ziele zu erzeugen.

Die Durchführbarkeit des Audits sollte ermittelt werdenunter Berücksichtigung von Faktoren wie z. B. der Verfüg-barkeit von

• ausreichender und angemessener Information für die Pla-nung und Durchführung des Audits,

• angemessener Zusammenarbeit seitens der auditierten Organisation und

Prüfen derVerfügbarkeitvon ...



- Les

eprob

e -

• angemessener Zeit und ausreichenden Ressourcen zur Durchführung des Audits.

Die Durchführbarkeit wird auf Basis der Informationen, dieder Auditteamleiter im Rahmen des ersten Kontakts erhält,geprüft und festgestellt.

Wenn das Audit nicht durchführbar ist, sollte vom Audit-teamleiter unter Beteiligung des Auditprogrammverant-wortlichen und der auditierten Organisation eine Alterna-tive vorgeschlagen werden.

4.2.2 Dokumentenprüfung (vgl. ISO 19011, Kap. 6.3.1)

Die Managementsystemdokumentation sollte geprüft wer-den, wenn die Dokumentation dem Auditteam nicht bekanntist oder wesentliche Änderungen der Systemdokumentationdurchgeführt worden sind. Wenn nur Teile der Dokumenta-tion von der Änderung betroffen sind, kann sich das Audit-team darauf beschränken, nur die geänderten Teile zu prü-fen.

Die betreffende Managementsystemdokumentation oderTeile davon sollten dann im Hinblick auf folgende Aspektegeprüft werden:

• das Sammeln von Informationen zur Vorbereitung der Audittätigkeiten und zur Vorbereitung der Arbeitsdoku-mente bezüglich Prozesse und Funktionen;

• darauf, ob die Dokumentation vollständig ist und alle be-züglich des Regelwerks (Normen, Rechtsvorschriften, etc.) zu erwartenden Inhalte in den Dokumenten enthalten sind oder ob es Lücken in der Systemdokumentation gibt;

• darauf, ob die Dokumente ausreichend Informationen zur Unterstützung der Auditziele bereitstellen können;

Aspekte derDokumenten-prüfung



- Les

eprob

e -

• darauf, ob die Dokumentation konsistent ist, d. h., ob die Dokumente in sich sowie mit weiterführenden Dokumen-ten stimmig sind.

Die Dokumentation kann relevante Dokumente und Auf-zeichnungen zum Managementsystem sowie frühere Audit-berichte enthalten. Die Dokumentenprüfung sollte dieGröße, Art und Komplexität des Managementsystems derauditierten Organisation sowie Ziele und Umfang des Au-dits berücksichtigen.

Aufgrund der Informationssicherheit ist besondere Sorgfaltim Umgang mit solchen Dokumenten erforderlich, in denensensible Daten enthalten sein können.

Über die Dokumentenprüfung sollte ein Bericht erstelltwerden, der das Ergebnis dokumentiert. Der Bericht solltemindestens folgende Punkte enthalten:

• das Dokument, das geprüft wurde (z. B. Handbuch);

• die formalen oder inhaltlichen Mängel in dem Dokument;

• den Bezug zum Regelwerk (z. B. Norm);

• ggf. was zu tun ist, um den Mangel zu beheben.

Unklarheiten in der Dokumentation müssen vor der Audit-durchführung, spätestens aber im Audit selbst, mit der audi-tierten Organisation geklärt werden.

Im Anhang B.2 der Norm gibt es erläuternde Hinweise zumDurchführen von Dokumentenprüfungen.

Im Anhang 6 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein exemplarisch ausge-fülltes Formular für die Dokumentenprüfung, das Sie anIhre betrieblichen Gegebenheiten anpassen können.

Inhalt desPrüfberichts



05111_06.doc

- Les

eprob

e -

4.2.3 Erstellen und Abstimmen des Auditplans(vgl. ISO 19011, Kap. 6.3.2)

Der Auditteamleiter sollte einen Auditplan erstellen, der aufden Informationen beruht, die im Auditprogramm und inder von der auditierten Organisation bereitgestellten Doku-mentation enthalten sind. Der Auditplan soll die effizienteAblaufplanung und Koordinierung der Audittätigkeiten vorOrt erleichtern, um die Auditziele zu erreichen. Bei der Er-stellung des Auditplans sind folgende Aspekte zu berück-sichtigen:

• Der Auditplan sollte den Umfang und die Komplexität des Audits widerspiegeln.

• Bei der Aufstellung des Auditplans sollte sich der Audit-teamleiter im Klaren sein über geeignete Stichprobenver-fahren, über die Kompetenz der Auditteam-Mitglieder sowie über die Risiken für die Organisation, die durch das Audit entstehen.

• Bei kombinierten Audits ist besonderes Augenmerk auf die Wechselwirkung zwischen den Prozessen und konkur-rierenden Zielen verschiedener Managementsysteme zu legen.

Der Umfang und die Inhalte des Auditplans können variie-ren je nach Erfordernissen (z. B. Erstaudit, Folgeaudit oderinternes bzw. externes Audit). Der Auditplan sollte flexibelsein, um Änderungen im Auditverlauf zu gestatten. Der Au-ditplan sollte Folgendes enthalten oder sich darauf bezie-hen:

• Auditumfang, Auditziele, Auditkriterien und alle relevan-ten Referenzdokumente;

• Auditumfang, einschließlich der Festlegung der zu audi-tierenden Organisationseinheiten und Prozesse;

Zu berück-sichtigendeAspekte

Inhalt desAuditplans



- Les

eprob

e -

• Termine und Standorte, vorgesehener Zeitpunkt und Dauer für Audittätigkeiten sowie für Besprechungen;

• die verwendete Auditmethode, einschließlich des Um-fangs, innerhalb dessen die Stichprobennahme beim Audit erforderlich ist, um hinreichend Auditnachweise zu erzielen;

• Rollen und Verantwortlichkeiten der Auditteammitglie-der, einschließlich der Betreuer und Beobachter.

Der Auditplan kann vom Auditauftraggeber geprüft und an-genommen werden und er sollte der auditierten Organisa-tion in einem angemessenen Zeitraum vor dem Audit (z. B.2–3 Wochen) vorgestellt werden.

Im Anhang 7 dieses Beitrags sowie auf der Begleit-CD (alseditierbare Word-Datei) finden Sie ein Beispiel für einenAuditplan, den Sie an Ihre betrieblichen Gegebenheiten an-passen können.

4.2.4 Vorbereiten der Arbeitsdokumente und Einweisendes Auditteams

Einweisen des Auditteams (vgl. ISO 19011, Kap. 6.3.3)

Der Auditteamleiter sollte in Absprache mit dem Auditteamjedem Teammitglied die Verantwortung für seinen Auditbe-reich und seine Aufgaben zuweisen. Dies sollte im Rahmender Vorbereitung der Arbeitsdokumente ca. eine Woche vordem Audit erfolgen.

Dabei soll die Unabhängigkeit und Kompetenz der Audito-ren, der auszubildenden Auditoren und der Fachexpertenberücksichtigt werden.



05111_07.doc

- Les

eprob

e -

Soweit notwendig, sollen Unterweisungen des Auditteamsbezüglich Aufgabenzuteilungen sowie möglicher Verände-rungen durch den Auditteamleiter erfolgen.

Änderungen an den Aufgabenzuteilungen können je nachFortschreiten des Audits vorgenommen werden, um das Er-reichen der Auditziele sicherzustellen.

Bereitstellen von Arbeitsdokumenten(vgl. ISO 19011, Kap. 6.3.4)

Die Mitglieder des Auditteams sollten die Informationensammeln und prüfen, die für ihren Auditauftrag relevantsind, und Arbeitsdokumente erstellen, die als Referenz undzur Aufzeichnung der Audittätigkeiten dienen können. Ar-beitsdokumente sind zum Beispiel:

• Checklisten und Pläne für Auditproben;

• Formulare für die Aufzeichnung von Informationen, wie z. B. von unterstützenden Nachweisen, Auditfeststellun-gen und Sitzungsprotokollen.

Bei der Erstellung der Arbeitsdokumente sollte das Audit-team für jede Unterlage die folgenden Fragen beantworten:

• Welche Auditaufzeichnung wird durch Verwendung die-ser Arbeitsunterlage erzeugt?

• Welche Audittätigkeit ist durch diese bestimmte Arbeits-unterlage betroffen?

• Wer wird der Nutzer dieser Arbeitsunterlage sein?

• Welche Informationen werden benötigt, um diese Arbeits-unterlage zu erstellen?

Art der Arbeits-dokumente

Zu beantwor-tende Fragen



- Les

eprob

e -

Bei kombinierten Audits sollten die Arbeitsdokumente auf-einander abgestimmt werden, um doppelte Audittätigkeit zuvermeiden.

Der Gebrauch von Checklisten und Formularen sollte denUmfang von Audittätigkeiten nicht einschränken.

Die Arbeitsdokumente sollten angemessen sein, um alleElemente eines Managementsystems innerhalb des Audit-umfangs anzusprechen, und sie können in allen Medien be-reitgestellt werden.

Eines der wesentlichsten Arbeitsdokumente ist für den Au-ditor die Auditfrageliste, häufig auch Auditcheckliste ge-nannt. Die Frageliste soll dem Auditor als Leitfaden dienen.Sie sollte nicht so umfassend sein, dass der Auditor sichdarin verstrickt. Trotzdem muss auch unter Zeitgesichts-punkten nach relevanten Details gefragt werden, die nötigsind, um den Auditumfang angemessen abzudecken. DieseListe sollte für jedes Audit individuell erstellt werden. Er-fahrene Auditoren formulieren die Auditfragen zur Auf-wandsminimierung aber nicht mehr vollständig aus, son-dern begnügen sich mit Stichworten, die als Gedanken-stütze für die Formulierung der entsprechenden Auditfragendienen.

Eine Methode, um Auditfragen abzuleiten, ist die Textana-lyse der Norm und anderer Regelwerke, die zu den Audit-kriterien zählen. Abbildung 6 zeigt schematisch die Herlei-tung von Auditfragen mithilfe der Textanalyse.

In der Textanalyse werden die Auditfragen aus den Forde-rungen der Managementsystemnorm und deren Umsetzungin die betriebliche Praxis entwickelt. In folgenden vierSchritten kann daraus eine Frageliste erstellt werden:

Auditfrageliste

Textanalyse zur Herleitungvon Fragen



- Les

eprob

e -

Documents

Den Auditprozess effizient gestalten mit ISO 19011 · den Forderungen der Norm DIN EN ISO 19011:2011 (Kurzform ISO 19011) und geben Ihnen nützliche Tipps für die Gestaltung des