Managementsysteme auditieren E-Book

Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutzgesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürfen.

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Dieses Werk ist urheberrechtlich geschützt.

Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder einem anderen Verfahren), auch nicht für Zwecke der Unterrichtsgestaltung – mit Ausnahme der in den §§ 53, 54 URG genannten Sonderfälle –, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

© 2019 Carl Hanser Verlag München

http://www.hanser-fachbuch.de

Lektorat: Lisa Hoffmann-Bäuml

Herstellung: Cornelia Rothenaicher

Umschlaggestaltung: Parzhuber & Partner GmbH, München

Umschlagrealisation: Max Kostopoulos

ISBN 978-3-446-45834-5

eBook-ISBN 978-3-446-45967-0

ePub-ISBN 978-3-446-47121-4

Inhaltsverzeichnis

1Einleitung

2Was ist ein Audit?

3Normen, die für Auditoren wichtig sind

3.1Auditprinzipien

3.2Auditprogramm planen und Audits durchführen

3.3Auditfeststellungen und Auditschlussfolgerungen

3.4Die Reihe der ISO/IEC 17021-Normen

4Praktische Tipps zur Planung und Durchführung von Audits

4.1Audits im Auditprogramm planen

4.2Das Audit planen und vorbereiten

4.3Kommunikation im Audit

4.4Stichproben ziehen

4.5Prüfverfahren im Audit

4.6Auditprotokoll

4.7Auditbericht

4.8Auditfeststellungen

5Auditmethoden

5.1Prozessorientierte Auditmethode

5.2Turtle-Methode

5.3Funktionsorientierte Auditmethode

5.4Retrograde Auditmethode

5.5Schnittstellen- und wechselwirkungsorientierte Auditmethode

5.6Risikobasierte Auditmethode

5.7Remote-Auditmethode

5.8Top-Flop-Methode

5.9Blitzaudit

5.10Quick-Scan-Auditmethode

5.11Digital-Layer-Audit

5.12Upsizing-/Downsizing-Effekt

5.13Audits in integrierten Managementsystemen

Danksagung

Literatur

1Einleitung

Audits sind ein wichtiges Element in Managementsystemen. Durch ein Audit sollen Aussagen getroffen werden, ob Anforderungen (z. B. normative, Kunden- oder eigene Anforderungen) durch das Managementsystem erfüllt werden, inwieweit dieses im täglichen Leben in der Organisation angewendet wird und wirksam funktioniert.

Die Managementsystemnormen, wie z. B. ISO 9001, ISO 14001 oder ISO 45001, beinhalten keine konkreten Anforderungen, wie Audits durchgeführt werden sollten. In einigen Branchen haben sich konkretere Vorgehensweisen als „Best Practice“ oder auch als Branchenvorgabe etabliert.

Ein zentraler Leitfaden für die Durchführung von Audits ist die Norm ISO 19011. Dort sind viele Anleitungen zur Planung und Durchführung von Audits enthalten, jedoch auch dort sind Auditmethoden nur in Ansätzen beschrieben.

Warum sollte man sich mit dem Thema dann überhaupt beschäftigen? Audits binden Zeit – jene der Auditoren und jene der Auditierten. Wie bei jeder Tätigkeit geht es darum, die maximale Wertschöpfung für das Unternehmen zu erzielen. Je klarer die durch die Organisation gesetzten Ziele mit der Vorgehensweise, also der „Auditmethode“, abgestimmt sind, desto besser können die gewünschten Ergebnisse erzielt werden.

Es macht einen Unterschied, ob ein Audit für eine Lieferantenerstbewertung ansteht, ein internes Audit aufgrund eines aufgetretenen Problemfalls notwendig ist oder ein Audit durchgeführt werden soll, um die Prozesseffizienz zu bewerten. In diesen Fällen sollte man unterschiedlich vorgehen – und genau diese verschiedenen, möglichen Vorgehensweisen werden in diesem Buch vorgestellt.

Die Auditmethoden, die hier beschrieben werden, sind in der Praxis erprobt. In den Abschnitten wird beschrieben, welche Methode sich in welchem Kontext und in welcher Situation am besten eignet.

Wegweiser

2Was ist ein Audit?

WORUM GEHT ES?

Der Begriff „Audit“ hat sich in den letzten Jahrzehnten als Leit- und Verfahrensbegriff am Markt etabliert und wird in den verschiedensten Fachdisziplinen (z. B. Systemmanagement, Finanzmanagement, Personalmanagement) verwendet. Eine einheitliche Begriffsdefinition über alle Fachdisziplinen existiert derzeit nicht. Somit ist es besonders wichtig, die facheinschlägige Begriffsdefinition zu kennen und zu verstehen, um den Begriff in der jeweiligen Fachdisziplin richtig verwenden zu können. Für Qualitäts-, Umwelt- und Sicherheitsaudits wurde der Begriff „Audit“ in der ISO 19011 Punkt 3.1 wie folgt definiert:

Der allgemeine, lateinische Begriff „audire“ bedeutet erhören, zuhören und überprüfen.

WAS BRINGT ES?

Dies ist eine zentrale Fragestellung: „Was bringt ein Audit?“ Audits können vielfältigen Nutzen bringen, der über die Konformitätsfeststellung weit hinausgehen kann, wie z. B. die Eignung der Prozesse zu verstehen, Verbesserungen zu identifizieren, Ursachen für Erfolge, Misserfolge oder auch Fehler aufzuspüren oder die Organisationskultur zu gewissen Themen (z. B. Umweltschutz, Arbeitssicherheit) zu hinterfragen.

Wie bei vielen anderen Tätigkeiten kommt der Nutzen aber nicht von alleine. Was man reinsteckt, kommt am Ende auch wieder heraus. Das heißt, wenn wenig kompetente Auditoren ohne klares Briefing, ohne klaren methodischen Ansatz auditieren, so werden auch die Ergebnisse eher zufällig sein. Was ist notwendig, damit sich Audits auch wirklich auszahlen? Dieses Buch gibt Antworten.

WIE GEHE ICH VOR?

Dieser Frage ist der Rest dieses Buches gewidmet. Es ist das Ziel, Auditmethoden darzustellen, die sich in der Praxis bewährt haben und dadurch einen wichtigen Beitrag zur Weiterentwicklung des Unternehmens leisten.

In der betrieblichen Praxis werden verschiedenste Auditarten angewendet. Diese sind z. B.:

Auch wenn diese unterschiedlichen Auditarten verschiedene Schwerpunkte haben, so sind sie alle ein Mittel, um über den Status einer Organisation mehr zu erfahren und Verbesserungen zu identifizieren. In einem Auditprogramm werden dann die verschiedenen Audits zusammengefasst, um ein Gesamtziel zu erreichen.

3Normen, die für Auditoren wichtig sind

Für die Durchführung von Audits im Unternehmen gibt es eine zentrale Norm, die ISO 19011. Die Anleitungen der ISO 19011:2018 „Leitfaden zur Auditierung von Managementsystemen“ sind auf alle Organisationen (Profit-Organisationen, Non-Profit-Organisationen, Industriebetriebe, KMU . . .), die interne und externe Audits durchführen, anwendbar.

Die ISO 19011 besteht aus vier inhaltlichen Bausteinen, die in Bild 1 dargestellt sind: Als Handlungsrahmen werden Auditprinzipien festgelegt, dann folgen die beiden zentralen Abschnitte über das Auditprogramm und die Durchführung von einzelnen Audits. Die Bedeutung der Kompetenz der Auditoren wird durch einen eigenen, umfangreichen Normabschnitt betont.

Für Zertifizierungsauditoren (Third-Party-Auditoren) ist primär die Serie ISO/IEC 17021 ff. relevant. In der Norm ISO/IEC 17021-1 sind die Anforderungen an Zertifizierungsstellen und auch den Auditprozess beschrieben, in den weiteren Normen ISO/IEC 17021-2, ISO/IEC 17021-3 etc. die spezifischen Kompetenzanforderungen für Auditoren in spezifischen Fachdisziplinen (z. B. Qualität, Umwelt). Jedoch erarbeiten auch manche Fachnormenausschüsse noch weitere Anforderungen an Audits, wie z. B. in der ISO/IEC 27007.

Bild 1:

Die vier inhaltlichen Bausteine der ISO 19011

3.1Auditprinzipien

Die Auditprinzipien der ISO 19011 (Bild 2) bilden die gemeinsame Grundlage und stellen einen Wertekatalog für Auditoren bereit. Diese Prinzipien sollen unabhängig von den Anleitungen innerhalb der Norm sicherstellen, dass Auditoren vergleichbar arbeiten und objektive, fundierte Ergebnisse erzielt werden können.

Bild 2:

Auditprinzipien der ISO 19011

Während Integrität, Vertraulichkeit und Unabhängigkeit allgemeine Prinzipien darstellen, die einem Audit zugrunde liegen, so sind die Prinzipien sachliche Darstellung, angemessene berufliche Sorgfalt, faktengestützter Ansatz und risikobasierter Ansatz Prinzipien, die sich auch in der Wahl und Verwendung der Auditmethoden widerspiegeln: Wie werden Stichproben ausgewählt, nach welcher Methode Sachverhalte beurteilt und analysiert oder welche Informationen zur Beurteilung herangezogen? Je nach Auditmethode werden hier unterschiedliche Zugänge gewählt, und es obliegt der Auditoren, die Eignung und Angemessenheit zu beurteilen.

3.2Auditprogramm planen und Audits durchführen

Im Zentrum der ISO 19011 (Abschnitte 5 und 6) stehen die Planung des Auditprogramms und die Durchführung der einzelnen Audits (Bild 3).

Als Auditprogramm bezeichnet man die Planung von Audits über einen gewissen Zeitraum, meist über ein bis maximal drei Jahre. In dem Auditprogramm wird geplant, welche Prozesse, Funktionen, Produkte etc. wann und gegen welche Anforderungen (in der Fachsprache „Auditkriterien“) auditiert werden.

In kleinen Organisationen kann es sich um eine Tabelle von wenigen Zeilen handeln. In großen Konzernen hingegen kann eine Auditprogrammerstellung äußerst komplex sein. Es sollte immer sichergestellt werden, dass die wichtigsten Bereiche auditiert werden. Welche die „wichtigsten“ sind, leitet sich dabei aus den Zielen und den Risiken und Chancen (siehe Bild 3, Schritt 1 und 2) ab: Welche Arbeitsschwerpunkte haben wir uns für dieses Jahr gesetzt? Zum Beispiel abgeleitet aus unserer Strategie:

Wo haben wir häufig Fehler und Reklamationen?

Wo gibt es große Änderungen?

Wo wären Innovationen gefragt, damit wir unsere Konkurrenzfähigkeit bewahren?

Bild 3:

Ineinandergeflochtene Kreisläufe: Auditprogramm planen und einzelne Audits durchführen

Der Abschnitt 6 der ISO 19011 befasst sich dann mit der Umsetzung von Audits im Detail. Die Schritte gehen vom ersten Anruf bei der zu auditierenden Organisation bis hin zum Abschluss der Tätigkeiten und der Verteilung des Auditberichts. Es sind also Anleitungen für das einzelne Audit, wie dieses geplant (Auditprogramm und Auditplan inklusive Festlegung der Auditziele und Auditkriterien), durchgeführt und abgeschlossen werden sollte. Zentral dabei sind das Sammeln von Informationen (die für das jeweilige Auditkriterium relevant sind), das Ziehen von Stichproben, die Bewertung von Information und letztlich das Erarbeiten von Auditfeststellungen und danach auch das Festlegen von Auditschlussfolgerungen.

Die letzten beiden Begriffe werden zwar oft synonym verwendet, das ist allerdings nicht zielführend. Diese Trennung ist vor allem in der Auditpraxis wichtig, da dadurch der Auditor entlastet und vermieden wird, keine „voreiligen Schlüsse“ zu ziehen.

Bild 4 zeigt den Zusammenhang der auditrelevanten Schlüsselbegriffe im Überblick.

Bild 4:

Zusammenhang der auditrelevanten Schlüsselbegriffe