AuditWas ist ein Audit und worauf achten Sie beim Audit?

Im Audit wird untersucht, ob zuvor definierte Prozesse, Aufgaben oder Ergebnisse den Vorgaben hinsichtlich

• Richtlinien,
• Standards,
• Normen oder
• Gesetzen

entsprechen. Dazu prüft ein Auditor nach einem festgelegten Ablauf den Audit-Gegenstand und erstellt dann einen Audit-Bericht mit dem Prüfergebnis. Der Auditor ist eine unabhängige Person, die mit dem Audit-Gegenstand und dem Audit-Ablauf vertraut und zum Auditor bestellt ist. Für einige Audits sind dafür spezielle, unabhängige und zertifizierte Stellen eingerichtet.

Audits werden zum Beispiel in den Bereichen Arbeitsschutz, Qualitätsmanagement, Umwelt, Beschaffung und Energie durchgeführt. Werden Managementsysteme implementiert, führt man ein Audit standardmäßig durch.

Der Begriff Audit wird vom lateinischen Verb „audire“ abgeleitet, was „hören“ oder „zuhören“ bedeutet. Dabei wird beim Audit aber nicht nur zugehört, was die für den Audit-Gegenstand Verantwortlichen sagen; es wird auch in Augenschein genommen, gemessen, begutachtet und ausgewertet.

Das Audit-Ergebnis, der Prüfbericht, muss eindeutig interpretierbar und klare Aussagen machen, ob die Vorgaben eingehalten und wo Verbesserungen notwendig sind. Er ist für die Praxis dann besonders hilfreich, wenn sich konkrete Aktivitäten für den Audit-Gegenstand daraus ableiten lassen.

Häufig ist mit dem Begriff Audit das Qualitätsaudit gemeint. Aufgaben, Rollen und das richtige Vorgehen beim Qualitätsaudit werden im Management-Handbuch zum Thema Qualitätsaudit vorbereiten und durchführen anschaulich erläutert.

Allerdings hat Audit auch einen allgemeineren Charakter: Wer ein Audit durchführt, der prüft und dokumentiert die Einhaltung von vorgegebenen Prozessen, Normen und gesetzlichen Vorgaben – hierbei muss es sich nicht zwingend um eine Vorgabe handeln, die das Qualitätsmanagement betrifft.

Folgende Auditarten kommen in der Praxis häufiger vor:

• Produktaudit: Bei diesem Audit betrachtet man das Qualitätsniveau der intern und extern gefertigten Produkte im Vergleich zur Kundenerwartung.
• Prozessaudit: Hier werden einzelne Prozesse und Abläufe sowie die damit verbundenen Tätigkeiten betrachtet.
• Finanzaudit: Auditoren prüfen finanzielle Zahlen und Werte, zum Beispiel aus dem Jahresabschluss oder aus der Buchhaltung, in Bezug auf deren Richtigkeit sowie Genauigkeit.
• Complianceaudit: Hier wird geprüft, ob alle relevanten Richtlinien und Vorschriften eingehalten werden.
• Projektaudit: Der Fortschritt oder Zustand eines Projekts wird geprüft.

Weiter unterscheidet man interne und externe Audits in Abhängigkeit davon, wer das Audit veranlasst oder fordert.

• Interne Audits werden meistens von Mitarbeitenden des Unternehmens oder externen Beauftragten durchgeführt. Dabei veranlasst der Verantwortliche des Audit-Gegenstands das Audit. Beispiel: Das ISO-9001-Audit wird vom Unternehmen veranlasst, um sein Qualitätsmanagement-System zu zertifizieren und von einem externen Dienstleister durchgeführt.
• Externe Audits werden von einer externen Stelle veranlasst. Zum Beispiel von einer Aufsichtsbehörde oder von einem Kunden. Diese beauftragen dann einen externen Auditor oder führen das Audit selbst durch. Ein Beispiel dafür ist das Lieferantenaudit, das ein Kunde von seinem Lieferanten fordert.

Für alle Audits gibt es feste Regeln zur Durchführung und Bewertung. Häufig wird das Audit durchgeführt, damit zum Beispiel ein Prozess oder ein Produkt offiziell zertifiziert werden kann. In diesen Fällen findet das Audit auf Basis einer ISO-Norm statt. Welche Regeln gelten, steht in der Norm. Der Auditor prüft, ob diese Regeln eingehalten sind. Ist das der Fall, bescheinigt der Auditor dies in Form eines Zertifikats.

Für einige Auditarten muss der Auditor seinerseits befugt sein, solche Audits durchzuführen und die entsprechenden Zertifikate auszustellen. Dazu wird von einer Akkreditierungsstelle die Fachkenntnis und Kompetenz des Auditors bescheinigt. Er ist dann akkreditierter Auditor.

Regeln zur Durchführung des Audits gibt es mindestens für die Qualifikationen des Auditors sowie die Planung und Lenkung des Audits. Für Audits relevante ISO-Normen sind unter anderem:

• ISO/IEC 17021:2011: Legt Anforderungen zu „Stellen, die Managementsysteme auditieren und zertifizieren“ fest.
• ISO/IEC 17065:2013: Stellt Forderungen an die „Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren“.
• ISO 19011:2011: Leitfaden zur Auditierung von Managementsystemen

Verbindliche Regeln zur Bewertung werden allerdings nicht nur von der Internationalen Organisation für Standardisierung (ISO) festgelegt, sondern auch von nationalen Einrichtungen für einzelne Dienstleistungsbereiche oder Industrien oder von einem Branchenverband. Die Regeln sind dann branchenspezifisch.

Beispiele für branchenspezifische Normen und Standards:

• EN 9100: Luft- und Raumfahrtindustrie
• IATF 16949: Automobilindustrie
• IRIS: Industrie der Schienenfahrzeuge

Der jeweilige Begründer ist gleichzeitig die Akkreditierungsstelle, denn er gibt Standards, Bewertungskriterien und Anforderungen vor.

Mit einem Audit werden unter anderem folgende Ziele verfolgt:

• mehr Effizienz und bessere Qualität von Systemen, Prozessen, Produkten …
• Einhaltung von Qualitätsanforderungen sichern
• höhere Kundenzufriedenheit
• Mitarbeiterzufriedenheit steigern
• Qualität von Lieferanten und Partnern kontrollieren
• Kundinnen und Kunden von nachweislich hoher und konstanter Qualität sowie Zuverlässigkeit überzeugen
• Wettbewerbsvorteil durch offizielle Zertifizierung verschaffen
• in den Lieferantenstamm von Kunden aufgenommen und als potenzieller Lieferant berücksichtigt werden

Die meisten Audits bestehen aus vier Phasen:

1. Erstellung des Auditplans und Vorbereitung
2. Durchführung des Audits gemäß Auditplan
3. Erstellung des Auditberichts (Abschlussdokumentation, meist mit Protokoll und Liste der notwendigen Verbesserungen, Änderungen …)
4. Umsetzung auferlegter Maßnahmen anhand der Abschlussdokumentation und anschließender Nachprüfung

Interne Audits finden in regelmäßigen Abständen statt, häufig einmal pro Kalenderjahr oder alle zwei Jahre. Strebt das Unternehmen mit dem Audit eine Zertifizierung an, findet eine Erstzertifizierung statt. Die Überprüfungsaudits finden in regelmäßigen Intervallen statt. Nach einem festen Zeitraum – meist nach vier Jahren – erfolgt die Re-Zertifizierung. Dann beginnt der Prozess der Auditierung von vorn.

Stellen Sie sich vor, Sie sind eine Auditorin oder ein Auditor und arbeiten für eine Zertifizierungsgesellschaft. Sie sind damit beauftragt, den internen Prozess der Lieferantenbewertung zu prüfen. Dafür nehmen Sie Einsicht in den Prozess und in die Dokumente, die zur Lieferantenbewertung verwendet werden.

Sie stellen Fragen zu einzelnen Prozessschritten und zum Gesamtprozess. Die Antworten werden eingeteilt in „erfüllt“, „teilweise Abweichung“ und „Abweichung“.

Beispiel 1: Kriterien zur Lieferantenbewertung
Anhand welcher Kriterien werden die Lieferanten beurteilt?

Vermerk „teilweise Abweichung“, wenn Folgendes gegeben:
Die Kriterien werden nicht unterschiedlich gewichtet, sondern alle gleich.

Vermerk „Abweichung“, wenn Folgendes gegeben:
Die Lieferanten werden nur anhand der Preise bewertet, nicht nach Qualität oder Zuverlässigkeit.

Beispiel 2: Häufigkeit der Lieferantenbewertung
Wie oft werden Lieferanten bewertet?

Vermerk „teilweise Abweichung“, wenn Folgendes gegeben:
Lieferanten werden unregelmäßig bewertet, wenn personelle Ressourcen verfügbar sind.

Vermerk „Abweichung“:
Es gibt keine Regelung zur Häufigkeit; manche Lieferanten werden nur einmal initial bewertet.

Zu den folgenden Themen können Sie beim internen Prozessaudit Fragen stellen:

• Klären Sie die Zuständigkeiten: Fragen Sie, wer Formulare unterschrieben und Einträge (etwa in der Datenbank) vorgenommen hat.
• Prüfen Sie Abläufe und Ziele: Suchen Sie sich einen einzelnen Vorgang aus und fragen Sie, was genau in welcher Reihenfolge und jeweils mit welchem Ziel bearbeitet wurde.
• Fragen Sie nach Schnittstellen und Nachfolgeprozessen: Wer arbeitet mit den (Teil-)Ergebnissen aus den einzelnen Prozessen weiter?
• Informieren Sie sich über die Prüf- und Messmittel: Gibt es ein Mehr-Augen-Prinzip? Wie läuft eine Selbstkontrolle ab? Werden die Ergebnisse protokolliert?