Audit


Audit

Im internen Audit prüft die Organisation ihr eigenes System, die Verfahrensanweisungen und die Durchführung im Hinblick auf Nachweis und Übereinstimmung. Das ist das wichtigste aller Audits, es liefert der Leitung die Information über die Wirksamkeit und die Leistungsfähigkeit ihres Systems, ob ihre Ziele verfolgt werden oder nicht, und welche Änderungen angeordnet werden sollten. Unabhängig von Art und Typ von Audits oder von Beurteilungen gilt, dass sie von kundigem, geschultem Personal durchgeführt werden müssen, das können eigene oder fremde Mitarbeiter sein.

Audit-Team

Audit-Team

Englisch: audit team
Der Audit-Leiter und ein Co-Auditor (oder mehrere) sowie ggfs. branchenspezifische Experten bilden das Audit-Team.

Der Ablauf eines internen Audits und relevante Dokumente

Das interne Audit (auch 1st Party Audit) ist eine Sonderform des Audits im Bereich der Managementsysteme, bei welchem dieses von einem Mitarbeiter der Organisation durchgeführt wird. Einen Leitfaden zur Planung, Durchführung und Nachbereitung interner Audits stellt die ISO 19011 dar.[1]

Bedeutung

Das Wort „Audit“ stammt ursprünglich aus dem Lateinischen (lat. audire = zuhören). Im Zusammenhang interner Audits lässt sich dessen Bedeutung am besten aus dem Englischen ableiten (eng. audit = Betriebsprüfung). Das interne Audit ist also eine Selbstprüfung des Managementsystems. In der ISO 9000-Reihe ist ein Audit außerdem definiert als ein systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiver Auswertung, um zu ermitteln, inwieweit die Auditkriterien erfüllt sind.[2]

Ablauf eines internen Audits

Der Ablauf eines internen Audits sowie die damit verbundenen Aufgaben und Dokumente sind in den ISO-Leitlinien ISO 19011 „Guidelines for Auditing Management Systems“ bzw.(deutschsprachig) in der DIN-Norm DIN EN ISO 19011 „Leitfaden zur Auditierung von Managementsystemen“ festgelegt.[3] Demnach wird der Ablauf eines Audits in folgende Schritte unterteilt:

Festlegung des Auditprogramms

Im Auditprogramm wird die Anzahl und der Umfang eines oder mehrerer Audits, welche über einen bestimmten Zeitraum durchgeführt werden sollen, festgelegt. Dabei werden unter anderem die Rollen der einzelnen Verantwortlichen, die zu auditierende Organisationseinheit sowie Ort und Zeitpunkt des Audits festgelegt.

Umsetzung des Auditprogramms

Die oberste Leitung genehmigt das Auditprogramm und informiert die betroffenen Bereiche. Das Auditteam wird ausgewählt und das Auditprogramm wird bewertet sowie verbessert. Außerdem wird das Auditprogramm kontinuierlich überwacht.

Veranlassen des Audits

Nachdem alle beteiligten Personen informiert wurden, werden die notwendigen Bedingungen für die Durchführbarkeit des Audits geschaffen.

Vorbereiten der Audittätigkeiten

Im nächsten Schritt der Planung erstellen die meisten Unternehmen einen Auditplan, was meistens durch den internen Auditor realisiert wird. Dieser sollte zumindest Angaben zu den Prozessen, Prozessverantwortlichen, Auditoren, der Dauer, dem Ort und den relevanten Normvorgaben enthalten. Der Auditor spricht mit dem zu auditierenden Bereich unter anderem eine Agenda und relevante Dokumente für das angesetzte Audit ab. Ebenfalls erstellt der Auditor als Vorbereitung eine Auditcheckliste auf Basis verschiedener Auditkriterien.

Ausführen der Audittätigkeiten

Das Audit beginnt mit einem Eröffnungsgespräch, in welchem sich die einzelnen Parteien vorstellen und den Auditplan erneut abstimmen. Anschließend wird das eigentliche Audit durchgeführt, wobei der Auditor schrittweise vorgeht und schließlich Konformitäten und Nichtkonformitäten darlegt. Letztere werden als Abweichungsnotiz beschrieben und mit der Leitung abgestimmt. Abschließend findet ein Abschlussgespräch statt, in welchem ein Fazit gezogen wird.

Erstellen und Verteilen des Auditberichts

Im Anschluss an das eigentliche Audit erfolgt die Erstellung des Auditberichts. Dieser sollte unter anderem die Zielsetzung des Audits, Auditumfang, Auditkriterien, Auditfeststellungen sowie Auditschlussfolgerungen enthalten. Anschließend wird der Auditbericht an alle im Auditverfahren bezeichneten Empfänger verteilt.[4]

Abschließen des Audits

Aus den im Audit festgestellten Abweichungen werden durch den auditierten Bereich Korrekturmaßnahmen abgeleitet und definiert. Dieser Maßnahmenkatalog wird mit der obersten Leitung abgestimmt und anschließend umgesetzt. Die aus dem Audit gezogenen Schlüsse sollten zudem in den kontinuierlichen Verbesserungsprozess des Managementsystems einfließen.

Durchführen von Auditfolgemaßnahmen

Die Wirksamkeit der durchgeführten Korrekturmaßnahmen wird laufend überwacht und verifiziert. Oft wird ebenfalls eine Auswertung der Wirksamkeit des internen Audits im Zuge der Managementbewertung vorgestellt. Hier können ebenfalls wieder Maßnahmen abgeleitet werden, welche dann in das Auditprogramm mit einfließen. Da diese Aktivitäten nach dem „Abschließen des Audits“ folgen, werden sie häufig als nicht zum Audit gehörend angesehen.

Gesprächsführung im Audit

Die richtige Kommunikationsstrategie ist für einen effizienten Auditablauf maßgeblich wichtig. Dies wird in der Regel vor allem durch die im Audit gestellten Fragen bestimmt. Dabei wird das Audit durch einen strategischen Einstieg eröffnet, bei welchem beispielsweise die gesetzten Ziele hinterfragt werden. Im Anschluss folgt der Hauptteil mit einer dreigeteilten Fragensystematik, welche folgende Arten von Fragen vorsieht:

  1. Fragen zum Prozess-Umfeld
  2. Strategiespezifische Fragen
  3. Fragen zur Normkonformität

Den strategischen Ausstieg des Audits bildet schließlich erneut eine Frage, beispielsweise durch das Erfragen, welche Dinge in einem Jahr anders sein werden. Insgesamt sollten im Audit gestellte Fragen möglichst offen gestellt werden, damit so viele Informationen wie möglich erhalten werden. Falls beispielsweise eine Entscheidung getroffen werden soll, machen allerdings meistens geschlossene Fragen mehr Sinn.[5]

Ziele interner Audits

Das primäre Ziel eines internen Audits ist es, Nichtkonformitäten bzw. Handlungsbedarf innerhalb der Organisation aufzudecken und diesen nachhaltig entgegenzuwirken. Dadurch wird die Qualität der Produkte oder Dienstleistungen kontinuierlich verbessert und damit ebenso die Kundenzufriedenheit. Weitere Ziele sind zudem:

  • Selbstprüfung, ob das Managementsystem die Normanforderungen erfüllt
  • Prüfung, ob vom Unternehmen selbst festgelegte Anforderungen erfüllt werden
  • Prüfung der Wirksamkeit des Managementsystems
  • Kontinuierliche Verbesserung vorantreiben
  • Verbesserung durch Wissenstransfer und Finden optimaler Lösungen

Einzelnachweise

  1. Management system standards. ISO International Organization for Standardization, abgerufen am 3. September 2019 (englisch).
  2. Was ist ein internes Audit? VOREST AG, abgerufen am 6. September 2019 (deutsch).
  3. DIN EN ISO 19011 Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2018). DIN Deutsches Institut für Normung, abgerufen am 5. September 2019 (deutsch).
  4. ISO 9001 Auditing Practices Group Guidance on: Audit Reports. ISO & IAF, abgerufen am 9. September 2019 (englisch).
  5. Audit und internes Audit. In: Qualitätsmanagement.me. Abgerufen am 3. September 2019 (deutsch).

Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein solches Untersuchungsverfahren erfolgt häufig im Rahmen eines Qualitätsmanagements. Die Audits werden von einem speziell hierfür geschulten Auditor durchgeführt.

Innerhalb des Qualitätsmanagements werden zwei Arten von Audits unterschieden: Im Bereich des statischen Qualitätsmanagements haben die Audits Prüfungscharakter, da sie Nachweise über vertragsmäßige Vereinbarungen liefern. Sie werden daher pro Überprüfungszyklus nur einmalig durchgeführt. In der dynamischen Qualitätssicherung (oder Qualitätsmanagement) kommt den Audits eine erweiterte Bedeutung zu: Sie dienen der Erfassung von Entwicklungstrends und geben den Initiatoren von Veränderungen wichtige Rückmeldungen über die Wirksamkeit ihrer eingeleiteten Maßnahmen. Die Aussagekraft dieser begleitenden Audits steigt mit der Wiederholungsrate, mit der der identische Fragenkatalog der identischen Betroffenengruppe zum identischen Thema vorgelegt wird. Vorgaben macht die „DIN EN ISO 19011, Leitfaden zur Auditierung von Managementsystemen“.

In diesem Sinne wurde der Begriff ursprünglich im Personalwesen angewandt. Heute werden in fast allen Bereichen von Unternehmen oder Organisationen von Zeit zu Zeit Audits durchgeführt (siehe Interne Revision): Finanzwesen, Informationsmanagement, Datenschutz, Produktionsabläufe, Kundenmanagement, Qualitätsmanagement, Umwelt, Management bzw. Führung eines Unternehmens/Organisation (siehe Management Audit), Arbeitszufriedenheit, Vereinbarkeit von Familie und Beruf etc.

Je nach Bereich wird bei einem Audit der Ist-Zustand analysiert oder aber ein Vergleich der ursprünglichen Zielsetzung mit den tatsächlich erreichten Zielen ermittelt. Oft soll ein Audit auch dazu dienen, allgemeine Probleme oder einen Verbesserungsbedarf aufzuspüren, damit sie beseitigt werden können. Nachdem mögliche Abstellmaßnahmen/Verbesserungen eingeleitet wurden, müssen diese nachgewiesen werden. Dieses geschieht anhand von Dokumenten, Bildern etc.

Im Englischen bedeutet audit „Bücherprüfung, Rechnungsprüfung“, dies geht wiederum zurück auf lateinisch auditus zu audire = hören; die öffentl. Bücherprüfung wurde ursprünglich mündlich vorgetragen.[1]

Managementsysteme

Beim Einrichten, Zertifizieren und Aufrechterhalten von Managementsystemen spielen Audits eine wichtige Rolle.

Die Audittypen werden nach verschiedenen Kriterien unterschieden. Unterscheidung nach dem Auditgegenstand:

  • Finanzaudit (finanzielle Zahlenwerke nach buchhalterischen Prinzipien (Richtigkeit, Genauigkeit, Ordnungsmäßigkeit) prüfen)
  • Complianceaudit (Überprüfung der Übereinstimmung mit einem Regelwerk, Fragenkatalog)
  • Performanceaudit (auch Rechtsmäßigkeitsprüfung genannt; objektive und systematische Überprüfung der Zielerreichung/Effektivität und ob hierfür die eingesetzten Ressourcen ökonomisch und effizient verwendet wurden)
  • Systemaudit (betrachtet das Managementsystem)
  • Prozessaudit (betrachtet einzelne Prozesse)
  • Verfahrensaudit (Synonym zu Prozessaudit oder zur Betrachtung von Verfahren)
  • Produktaudit (betrachtet das Produkt anhand der Kundenerwartungen)
  • Projektaudit (betrachtet den Fortschritt eines Projektes)
  • Media-Audit (Überprüfung der Übereinstimmung der Media-Aktivitäten)

Unterscheidung nach dem Status des Auditors:

  • Internes Audit (1st Party; der Auditor ist Mitarbeiter der Organisation, in der das Audit durchgeführt wird)
  • Lieferantenaudit (2nd Party; üblicherweise von dem Managementbeauftragten eines Kunden bei seinem Lieferanten)
  • Zertifizierungsaudit (3rd Party; von einem unabhängigen Auditor einer Zertifizierungsstelle, wie beispielsweise durch DEKRA, die DQS oder den TÜV Cert, SGS Institut Fresenius, Bureau Veritas oder das ULD (in Datenschutzangelegenheiten))

Audits im Zusammenhang mit der Zertifizierung von Managementsystemen:

  • Voraudit zur Feststellung der Zertifizierungsfähigkeit, auch friendly Audit genannt
  • Zertifizierungsaudit mit Prüfung der Dokumente und der Erfüllung des zu zertifizierenden Regelwerks anhand eines Fragenkatalogs
  • Überwachungsaudit (wird üblicherweise jährlich durchgeführt) zur Überwachung der weiteren Entwicklung des Managementsystems
  • Wiederholungsaudit oder Rezertifizierung wird bei den meisten Managementsystemen alle drei Jahre durchgeführt

Informationstechnik

In der Informationstechnik wird die Bezeichnung Audit für verschiedene interne Überprüfungen verwendet:

  • eine regelmäßige oder zufällige Prüfung von Softwareprojekten auf die Einhaltung intern festgelegter Regelwerke (Verwendung spezieller Vorlagen, Konformität zum Gesamtprojekt, Eignung zur Umsetzung der Anforderungen an das Modul etc.)
  • das systematische Untersuchen von Quellcode, z. B. auf unsaubere Implementierungen, Qualität (Güte) der Quelltextformatierung oder Vollständigkeit der Dokumentation (Code-Audit)
  • die systematische Suche nach potentiellen Sicherheitslücken in Programmen oder Schwachstellen- und Risikoanalyse einer IT-Infrastruktur (Security-Audit oder Sicherheitsaudit)
  • die Protokollierung von sicherheitskritischen Operationen in Software-Anwendungen
  • Überprüfung, ob ein Unternehmen für die verwendete Software eine ausreichende Anzahl an Lizenzen besitzt (Lizenzaudit)

Hochschulwesen

Im österreichischen Hochschulwesen ist vorgesehen, dass staatliche Universitäten und Fachhochschulen ihr internes Qualitätsmanagementverfahren einem Audit zu unterziehen haben, siehe: Agentur für Qualitätssicherung und Akkreditierung Austria#Audit.

Siehe auch

Literatur

Weblinks

Wiktionary: Audit – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

  1. Online Etymology Dictionary, abgerufen am 3. September 2014.

Seminare zu Audit