- Leseprobe - Den Auditprozess effizient gestalten mit ISO Auditprozess effizient gestalten mit ISO von Wolfgang Kallmeyer

Transkript

1 Seite 1 Den Auditprozess effizient gestalten mit ISO von Wolfgang Kallmeyer Zum Inhalt Arbeitshilfen Audits gehören zum festen Bestandteil in der Praxis von Managementsystemen. In diesem Beitrag erfahren Sie, wie Sie Audits erfolgreich und effizient planen, vorbereiten und durchführen können. Die Ausführungen orientieren sich an den Forderungen der Norm DIN EN ISO 19011:2011 (Kurzform ISO 19011) und geben Ihnen nützliche Tipps für die Gestaltung des Auditprozesses. Hierbei unterstützen Sie zahlreiche direkt verwendbare Arbeitshilfen in Form von Mustertexten, Beispielen und Formularen, die Sie an die Erfordernisse Ihres Unternehmens anpassen können. Mustertext Ernennung zum Auditprogrammverantwortlichen, Anhang 1 (Word-Datei) Beispiel eines tabellarischen Auditprogramms minimal, Anhang 2 (Excel-Datei) Beispiel eines tabellarischen Auditprogramms erweitert, Anhang 3 (Excel-Datei) Beispiel einer Auditprogramm-Risikomatrix, Anhang 4 (Word-Datei) Beispiel eines Auditauftrags (Einzelaudit), Anhang 5 (Word-Datei) Beispiel einer Dokumentenprüfung, Anhang 6 (Word- Datei) Beispiel eines Auditplans, Anhang 7 (Word-Datei) Beispiel einer Textanalyse, Anhang 8 (Word-Datei) Beispiel einer Auditcheckliste, Anhang 9 (Word-Datei)

2 05111 Auditprozess effizient gestalten mit ISO Seite 2 Formular Auditnotizen, Anhang 10 (Word-Datei) Formular Auditteilnehmerliste, Anhang 11 (Word- Datei) Beispiel eines Auditberichts, Anhang 12 (Excel-Datei) Beispiel einer Auditbewertung, Anhang 13 (Word-Datei) Definition Audit Interne Audits 1 Ziel und Zweck von Audits Nach der DIN EN ISO 9000:2005 ist ein Audit ein systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiver Auswertung, um zu ermitteln, inwieweit Auditkriterien erfüllt sind. Im Zusammenhang mit Managementsystemen wird üblicherweise unterscheiden zwischen interne Audits, Lieferantenaudits und Zertifizierungsaudits. Das Ziel eines internen Systemaudits (First-Party-Audit) besteht darin, das gesamte installierte QM-System eines Unternehmens systematisch zu bewerten und zu verbessern. Die Durchführung obliegt dabei meist geschulten Mitarbeitern des Unternehmens, welches die internen Audits durchführt. Bei einem Systemaudit wird die gesamte Aufbau- und Ablauforganisation eines Unternehmens daraufhin überprüft, ob die Normenforderungen des Regelwerks erfüllt sind und die eigenen Qualitätsziele erreicht werden können. Wird das gesamte QM-System eines Unternehmens durch regelmäßige Audits überprüft, können Qualitätsabweichungen früh erkannt und rechtzeitig korrigiert werden. Dies senkt nicht nur die Fehlerquoten und damit die Fehlerkos- Der Qualitätsmanagement-Berater 13. Aktualisierung

3 Seite 3 Lieferantenaudits ten. Da Qualitätsaudits immer auch zum Ziel haben, nach Verbesserungsmöglichkeiten zu suchen, selbst wenn der Betriebsablauf relativ reibungslos funktioniert, können diese regelmäßigen Überprüfungen auch dazu genutzt werden, das Qualitätsniveau in einem Unternehmen kontinuierlich zu steigern. Der Schwerpunkt eines internen Audits liegt in der Suche nach Verbesserungspotenzial zur Weiterentwicklung des Managementsystems und der Unternehmensprozesse. Die Erfüllung der Normenforderung spielt, im Gegensatz zu einem Zertifizierungsaudit, nur eine untergeordnete Rolle. Laut Definition der DIN EN ISO 9000:2005 ist ein Lieferant ein Hersteller, eine Vertriebseinrichtung, ein Einzelhändler, ein Dienstleister oder ein Monteur, der dem Kunden ein Produkt bereitstellt. Der Begriff beinhaltet sowohl Produkte als auch Dienstleistungen. Daher ist ein Lieferant also jede Organisation, von der ein Kundenunternehmen materielle oder immaterielle Leistungen in Anspruch nimmt. Lieferantenaudits dienen der Lieferantenauswahl und -bewertung. Bei einem Lieferantenaudit überprüft der Kunde die Qualitätsfähigkeit seines Lieferanten, d. h., er vergewissert sich, ob das Lieferantenunternehmen grundsätzlich dazu in der Lage ist, qualitativ einwandfreie Leistungen zu erbringen. In der Regel sind Lieferantenaudits eine Mischung aus Prozess- und Systemaudits. Prozessaudits, weil der Kunde nach den Abläufen und Risiken in den Fertigungs- oder Dienstleistungsprozessen fragt, mit dem seine Aufträge abgewickelt werden. Systemaudits sind sie gleichzeitig, weil anhand der Stichprobe auch immer unterstützende/führende Prozesse der Gesamtorganisation betrachtet werden.

4 05111 Auditprozess effizient gestalten mit ISO Seite 4 Bei einem Zertifizierungsaudit werden alle von den Anforderungen der Norm betroffenen Bereiche eines Unternehmens systematisch daraufhin untersucht und beurteilt, ob die notwendigen Qualitätsmanagementmaßnahmen festge- Zertifizierungsaudits Da an dieser Auditart also zwei Parteien beteiligt sind, nämlich der Kunde und der Lieferant, wird das Lieferantenaudit auch als Second-Party-Audit bezeichnet. Ab und zu findet sich in der Literatur dafür auch der Begriff Kundenaudit, da es vom Kunden veranlasst wird. In der Regel wird jedoch meistens die Bezeichnung Lieferantenaudit verwendet. Der Kunde kann das externe Qualitätsaudit selbst durchführen oder durch eine beauftragte Stelle oder Person durchführen lassen. Dies ist insbesondere dann von Bedeutung, wenn der Lieferant weit entfernt im Ausland seinen Firmensitz hat. Neben den Lieferantenaudits zählt zu den externen Qualitätsaudits auch das sogenannte Zertifizierungsaudit. Da dieses weder vom Kunden (Second Party) noch vom Lieferantenunternehmen selbst (First Party) durchgeführt wird, sondern von einer dritten, völlig unabhängigen Überprüfungsinstanz, wird das Zertifizierungsaudit international auch als Third-Party-Audit bezeichnet. Ein Zertifizierungsaudit ist häufig ein Systemaudit. Das Zertifizierungsaudit überprüft als Systemaudit, ob das gesamte QM-System eines Unternehmens die vorgegebenen Anforderungen erfüllt. Welche Anforderungen ein QM-System erfüllen muss, um ein entsprechendes Prüfungszertifikat zu erhalten, wird meist von einer sogenannten Systemnorm vorgegeben. Dies kann eine branchenspezifische Norm oder eine branchenunabhängige Nachweisnorm sein, wie z. B. die Qualitätsnorm ISO Der Qualitätsmanagement-Berater 13. Aktualisierung

5 Seite 5 Auditarten Alternative Bezeichnungen Anwendungsbereich der Normen legt und wirksam sind und ob diese Maßnahmen auch eingehalten und durchgeführt werden. Ist dies der Fall, bestätigt das offizielle QM-Zertifikat die Qualitätsfähigkeit eines Unternehmens. Dies ist allerdings nur die Prüfung im Hinblick auf einen Mindeststandard (den der anzuwendenden Norm) und sagt nichts über den Reifegrad des Managementsystems aus. Zur Vorbereitung und Durchführung von internen Audits und Lieferantenaudits wurde die Norm ISO entwickelt, die in den folgenden Abschnitten näher behandelt wird. Das Management von Zertifizierungsaudits wird in der Norm ISO/IEC geregelt. Wie sich ein Unternehmen auf ein Zertifizierungsaudit vorbereiten kann, wird an anderer Stelle dieses Werkes beschrieben. Abbildung 1 gibt einen zusammenhängenden Überblick über die Auditarten, ihre Bezeichnungen und ihre normative Zuordnung. Abb. 1: Auditarten, Bezeichnungen und Anwendungsbereiche der Normen ISO und ISO/IEC 17021

6 05111 Auditprozess effizient gestalten mit ISO Seite 6 2 Grundsätze des Auditprozesses Die Auditprinzipien Um den Anforderungen an ein gutes Audit gerecht zu werden, legt ISO im Abschnitt 4 grundlegende Prinzipien fest. Diese beziehen sich auf Prinzipien für den Auditor und Prinzipien für die Auditdurchführung. Die Einhaltung dieser Prinzipien ist die Voraussetzung dafür, dass Auditoren unabhängig voneinander in vergleichbaren Situationen zu ähnlichen Schlussfolgerungen kommen. Abbildung 2 stellt die Auditprinzipien der ISO als tragende Säulen eines effizienten Auditprozesses dar. Integrität der Person des Auditors Sachliche Darstellung Auditergebnis Angemessene berufliche Sorgfalt Auditerfolg Unabhängigkeit der Auditoren Vertraulichkeit der Information Vorgehensweise, die auf Nachweisen beruht Prinzipien für den Auditor Prinzipien für die Auditdurchführung Abb. 2: Die sechs Auditprinzipien der ISO Prinzipien für den Auditor 1. Prinzip Integrität der Persönlichkeit des Auditors Integrität ist die Grundlage des Berufsbilds (früher ethisches Verhalten). Auditoren sowie jene, die das Auditprogramm leiten und lenken, sollten: Der Qualitätsmanagement-Berater 13. Aktualisierung

7 Seite 7 2. Prinzip 3. Prinzip ihre Arbeit mit Ehrlichkeit, Sorgfalt und Verantwortung ausführen; alle anwendbaren rechtlichen Anforderungen beachten und einhalten; ihre Kompetenz während ihrer Arbeit nachweisen; ihre Arbeit unparteiisch ausführen, d. h., sie bleiben sachlich und sind frei von Voreingenommenheit bei allen ihren Handlungen; sensibel sein gegenüber jeglichem Einfluss, der auf ihr Urteilsvermögen während der Durchführung eines Audits ausgeübt werden kann. Sachliche Darstellung Sachliche Darstellung als die Pflicht, wahrheitsgemäß und genau zu berichten. Das bedeutet, dass Auditfeststellungen, Auditschlussfolgerungen und Auditberichte die Audittätigkeiten wahrheitsgemäß und genau widerspiegeln sollten. Über wesentliche Hindernisse, die während des Audits auftreten, und über nicht bereinigte oder auseinandergehende Auffassungen zwischen dem Auditteam und der auditierten Organisation kann berichtet werden. Die Kommunikation muss wahrheitsgetreu, genau, objektiv, zeitgerecht, klar und vollständig sein. Angemessene berufliche Sorgfalt Angemessene berufliche Sorgfalt bedeutet die Anwendung von Sorgfalt und Urteilsvermögen beim Auditieren. Die Auditoren sollten Sorgfalt walten lassen gemäß der Bedeutung der Aufgabe, die sie erfüllen, und gemäß dem Vertrauen, welches die Organisation, die das Audit anfordert, und andere interessierte Parteien in sie setzen.

8 05111 Auditprozess effizient gestalten mit ISO Seite 8 Ein wichtiger Faktor bei der Ausführung der Arbeit mit angemessener beruflicher Sorgfalt ist die Fähigkeit, in allen Auditsituationen begründete Urteile fällen zu können (früher nur Bezug zur Qualifikation). 2.2 Prinzipien für die Auditdurchführung 4. Prinzip 5. Prinzip Vertraulichkeit der Information Vertraulichkeit versteht sich als die Sicherheit von vertraulichen/geheimen Informationen. Die Auditoren sollten bei der Verwendung und dem Schutz von Informationen, die sie im Verlaufe ihrer Aufgaben erworben haben, umsichtig sein. Auditinformationen sollten nicht unangemessen zur persönlichen Bereicherung des Auditors oder der Organisation, die das Audit anfordert, oder in einer Weise verwendet werden, die nachteilig für das berechtigte Interesse der auditierten Organisation ist. Dieses Konzept schließt den ordnungsgemäßen Umgang mit sensiblen, vertraulichen Informationen ein. Unabhängigkeit der Auditoren Unabhängigkeit ist die Grundlage für die Unparteilichkeit des Audits und Objektivität der Auditschlussfolgerungen. Auditoren sollten unabhängig von der Tätigkeit sein, die auditiert wird, und möglichst frei von Voreingenommenheit und Interessenkonflikten agieren. Bei internen Audits sollten Auditoren unabhängig von den Leitern der zu auditierenden Funktionsbereiche sein. Auditoren sollten Objektivität während des gesamten Auditprozesses zeigen, um sicherzustellen, dass die Auditfeststellungen und -schlussfolgerungen nur auf den Auditnachweisen beruhen. Der Qualitätsmanagement-Berater 13. Aktualisierung

9 Seite 9 Bei kleinen Organisationen kann es sein, dass die internen Auditoren nicht völlig unabhängig von der zu auditierenden Tätigkeit sind; es sollten aber alle Anstrengungen unternommen werden, um Voreingenommenheit zu beseitigen und Objektivität zu ermöglichen. 6. Prinzip Forderung der ISO Vorgehensweise, die auf Nachweisen beruht Eine Vorgehensweise, die auf Nachweisen beruht, ist die rationale Grundlage, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen. Auditnachweise sollten verifizierbar sein. Sie beruhen auf Proben der verfügbaren Informationen, da ein Audit während eines begrenzten Zeitraums und mit begrenzten Ressourcen durchgeführt wird. Die angemessen durchgeführte Probennahme ist eng mit dem Vertrauen verbunden, das in die Auditschlussfolgerungen gesetzt werden kann. 3 Planung und Steuerung des Auditprozesses Das Auditprogramm 3.1 Ablauf des Prozesses zum Auditprogramm Eine Organisation, die Audits durchführen muss, sollte ein Auditprogramm erstellen, das zur Ermittlung der Wirksamkeit des Managementsystems der zu auditierenden Organisation beiträgt. Das Auditprogramm kann Audits enthalten, die eine oder mehrere Managementsystemnormen berücksichtigen und die entweder getrennt oder in Kombination durchgeführt werden. (ISO 19011, Kap. 5.1)

10 05111 Auditprozess effizient gestalten mit ISO Seite 10 Dazu ist zunächst zu klären, was die ISO unter einem Auditprogramm versteht. In der Norm steht unter Punkt 3.13: Definition Auditprogramm Festlegungen für einen Satz von einem oder mehreren Audits, die für einen bestimmten Zeitraum geplant und auf einen spezifischen Zweck ausgerichtet sind. Anmerkung: Ein Auditprogramm enthält alle Tätigkeiten, die für Planen, Organisieren und Durchführen der Audits erforderlich sind. Die oberste Leitung sollte sicherstellen, dass eine oder mehrere Personen beauftragt werden, das Auditprogramm zu leiten und zu lenken sowie Ziele für das Auditprogramm festzulegen. Der Umfang eines Auditprogramms sollte auf der Größe und der Art der Organisation, die auditiert wird, sowie auf der Art, der Funktionalität, der Komplexität und dem Reifegrad des zu auditierenden Managementsystems basieren. Das Auditprogramm schließt alle Tätigkeiten ein, die zur Planung und Organisation der Arten und Anzahl von Audits sowie zur Bereitstellung von Ressourcen notwendig sind, um diese Audits effizient und wirksam innerhalb des vorgegebenen Zeitrahmens durchzuführen. Das Auditprogramm kann mehrere Audits beinhalten. Es kann Audits einzelner, mehrfacher oder integrierter Managementsysteme enthalten, die entweder getrennt oder in Kombination durchgeführt werden. Inhalte des Auditprogramms Im Einzelnen kann ein Auditprogramm umfassen: die Auditziele; Der Qualitätsmanagement-Berater 13. Aktualisierung

11 Seite 11 den Umfang, die Anzahl, die Arten, die Standorte und den Zeitplan der Audits; das hauptsächliche Auditverfahren; die Auditkriterien und Auditmethoden; die Auswahl des Auditteams und Auditteamleiters; Unsicherheiten beim Erreichen der Ziele des Auditprogramms und zu ergreifende vorbeugende Maßnahmen; die erforderlichen Ressourcen, einschließlich Reisezeiten und Unterbringung, wenn erforderlich; Prozesse in Bezug auf Vertraulichkeit, Informationssicherheit, Arbeitsschutz und weitere ähnliche Belange. Die Umsetzung des Auditprogramms soll zur Erreichung seiner Ziele überwacht werden. Das Auditprogramm sollte überprüft werden, um mögliche Verbesserungen zu erkennen. Abbildung 3 zeigt vereinfacht den Prozessablauf eines Auditprogramms. Festlegen der Auditprogrammziele Festlegen des Auditprogramms Kompetenz und Bewertung von Auditoren Bewerten und Verbessern des Auditprogramms Umsetzen des Auditprogramms Durchführung eines Audits Überwachen des Auditprogramms Abb. 3: Prozessablauf eines Auditprogramms

12 05111 Auditprozess effizient gestalten mit ISO Seite Ziele für das Auditprogramm (vgl. ISO 19011, Kap. 5.2) Einflussfaktoren Das Auditprogramm soll neben der reinen Organisation des Auditgeschehens den Prozess der Planung und Durchführung von Audits kontinuierlich verbessern. Dazu sollte die oberste Leitung sicherstellen, dass für das Auditprogramm in Übereinstimmung mit der Unternehmenspolitik Ziele erstellt werden, um das Planen und Durchführen der Audits zu lenken und sicherzustellen, dass das Auditprogramm wirksam umgesetzt wird. Diese Ziele können variieren in Abhängigkeit von Managementprioritäten; kommerziellen und anderen geschäftlichen Absichten; Managementsystemanforderungen (z. B. Zertifizierung nach einer Managementsystemnorm); rechtlichen und anderen verpflichtenden Anforderungen (z. B. Verifizieren der Erfüllung vertraglicher Anforderungen); Erfordernissen der Lieferantenbeurteilung (z. B. Erlangen und Aufrechterhalten des Vertrauens in die Fähigkeit eines Lieferanten); Erfordernissen und Erwartungen interessierter Parteien (einschließlich Kunden); Leistungsgrad der zu auditierenden Organisation, abgeleitet beim Auftreten von Fehlern beziehungsweise Zwischenfällen/Störfällen oder Kundenbeschwerden; Risiken in Bezug auf die auditierte Organisation; Ergebnissen aus früheren Audits; Reifegrad des Managementsystems; Verbesserungen des Managementsystems und dessen Leistungsfähigkeit; Der Qualitätsmanagement-Berater 13. Aktualisierung

13 Seite 13 Bewertungen der Verträglichkeit und Ausrichtung der Managementsystemziele mit der Politik des Managementsystems und den gesamten Unternehmenszielen. 3.3 Planen des Auditprogramms Aufgaben des Auditprogrammverantwortlichen Aufgaben, Verantwortung und Qualifikation des Auditprogrammverantwortlichen Aufgaben und Verantwortung (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche, d. h. die Person, der die Verantwortung für das Managen des Auditprogramms übertragen wurde, sollte den Umfang des Auditprogramms festlegen; die Risiken für das Auditprogramm bezüglich des Erreichens der Auditprogrammziele ermitteln und bewerten; Verantwortlichkeiten und Verfahren festlegen; sicherstellen, dass notwendige Ressourcen ermittelt werden; die Umsetzung des Auditprogramms sicherstellen, wie z. B. Festlegen der Auditziele, des Auditumfangs und der Kriterien einzelner Audits; die Auditmethoden ermitteln, das Auditteam auswählen und die Bewertung der Auditoren sicherstellen; sicherstellen, dass angemessene Aufzeichnungen zum Auditprogramm gelenkt und geführt werden; das Auditprogramm überwachen, bewerten und verbessern.

14 05111 Auditprozess effizient gestalten mit ISO Seite 14 Der Auditprogrammverantwortliche sollte die oberste Leitung über die Inhalte des Auditprogramms informieren und, wenn erforderlich, dieses genehmigen lassen. Eine regelmäßige Genehmigung, wie in der ISO 19011:2002 noch gefordert, ist nicht mehr erforderlich, wenn diese Aufgabe an den Auditprogrammverantwortlichen übertragen wurde _01.doc Wissen und Kenntnisse Es erscheint sinnvoll, die Aufgaben und Verantwortlichkeiten eines Auditprogrammverantwortlichen in einer Stellen-/ Funktionsbeschreibung zu fixieren. Übernimmt der Managementbeauftragte, z. B. der QMB, diese Funktion, wie häufig üblich, ist dessen Stellen-/Funktionsbeschreibung zu ergänzen. Im Anhang 1 diese Beitrags sowie auf der Begleit-CD finden Sie ein Textmuster für die Ernennung eines Auditprogrammverantwortlichen, einschließlich einer Funktionsbeschreibung. Qualifikation/Kompetenz (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche sollte die Kompetenz besitzen, das Auditprogramm sowie die damit verbundenen Risiken wirksam und effizient zu lenken, sowie auch Wissen und Kenntnisse in den folgenden Bereichen haben: Auditprinzipien, -verfahren, -methoden und -techniken; Managementsystem und Bezugsdokumente; Tätigkeiten, Produkte und Prozesse der zu auditierenden Organisation; anwendbare rechtliche und andere Anforderungen in Bezug auf die Tätigkeiten und/oder die Produkte der zu auditierenden Organisation; Der Qualitätsmanagement-Berater 13. Aktualisierung

15 Seite 15 wo zutreffend, Kunden, Lieferanten und andere interessierte Parteien der zu auditierenden Organisation. Zu regelnde Sachinhalte Der Auditprogrammverantwortliche sollte ständig in Tätigkeiten zur beruflichen Entwicklung eingebunden sein, um seine Fähigkeiten aufrechtzuerhalten und weiterzuentwickeln Verfahren für das Auditprogramm (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche sollte ein oder mehrere Auditprogrammverfahren festlegen, die folgende Sachinhalte regeln: Planen und Terminieren von Audits unter Beachtung von Auditprogrammrisiken; Sicherstellen der Informationssicherheit und Vertraulichkeit; Sicherstellung der Qualifikation/Kompetenz von Auditoren und Auditteamleitern; Auswahl geeigneter Auditteams und Zuweisung ihrer Rollen und Verantwortlichkeiten; Durchführung von Audits, einschließlich der Verwendung geeigneter Stichprobenverfahren; Durchführung von Auditfolgemaßnahmen, soweit zutreffend; Berichterstattung an die oberste Leitung über die erreichten Ergebnisse des Auditprogramms; Führung von Aufzeichnungen zum Auditprogramm (Lenkung von Aufzeichnungen); Überwachung der Leistungsfähigkeit, der Risiken und der Verbesserung sowie Wirksamkeit des Auditprogramms.

16 05111 Auditprozess effizient gestalten mit ISO Seite 16 Die Verfahren können, wenn zutreffend, im Rahmen des Auditprozesses geregelt werden, oder man nutzt bestehende Prozesse im Managementsystem, wie z. B. Lenken von Dokumenten und Aufzeichnungen, um die Verfahrensinhalte zu regeln. Definition Auditumfang Weitere Einflussfaktoren Ermitteln von Auditumfang, -risiken und -ressourcen Ausmaß und Grenzen eines Audits. Anmerkung: Der Auditumfang enthält im Allgemeinen eine Beschreibung der physikalischen Ortsangaben, der organisatorischen Einheiten, der Tätigkeiten und Prozesse sowie der betrachteten Zeitspanne. (DIN EN ISO 9000:2005, ) Umfang (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche sollte den Umfang eines Auditprogramms festlegen, der variieren kann in Abhängigkeit von der Größe und Art der zu auditierenden Organisation und von der Art, der Funktionalität, der Komplexität und dem Reifegrad des zu auditierenden Managementsystems. Hinzu kommen weitere Faktoren, wie: Umfang, Ziel und Dauer jedes durchzuführenden Audits; Häufigkeit von durchzuführenden Audits; Anzahl, Bedeutung, Komplexität, Gleichartigkeit und Orte der zu auditierenden Tätigkeiten; solche Faktoren, die für die Wirksamkeit eines Managementsystems von Bedeutung sind; anwendbare Auditkriterien der relevanten Norm, wie rechtliche, vertragliche und andere Anforderungen; Der Qualitätsmanagement-Berater 13. Aktualisierung

17 Seite 17 Alle Audits ins Auditprogramm 05111_02.xls 05111_03.xls Schlussfolgerungen aus früheren internen oder externen Audits oder Ergebnisse aus früheren Bewertungen des Auditprogramms; sprachliche, kulturelle und soziale Fragen; Anliegen interessierter Parteien, wie z. B. Kundenbeschwerden, Rechtsverletzungen; bedeutsame Änderungen einer zu auditierenden Organisation oder ihrer Tätigkeiten; Verfügbarkeit von Informations- und Kommunikationstechnologien zur Unterstützung der Audittätigkeiten (z. B. Verwendung von Remote-Auditmethoden 1 ); Auftreten interner und externer Ereignisse, wie z. B. Produktausfall, Sicherheitsleck bei Informationen, Zwischenfälle bei Arbeits- und Gesundheitsschutz, Straftaten oder Umweltschadensfällen. in das Auditprogramm sollten alle Audits einer Organisation aufgenommen werden, wie z. B. interne Systemaudits, Zertifizierungs- und Überwachungsaudits, Lieferantenaudits, welche die Organisation selber durchführt oder die Kunden bei ihr durchführen, und Prozess- oder Produktaudits, wenn zutreffend. In den Anhängen 2 und 3 diese Beitrags sowie auf der Begleit-CD (als editierbare Excel-Datei) finden Sie Beispiele für ein einfaches bzw. ein erweitertes Auditprogramm, das Sie an Ihre betrieblichen Gegebenheiten anpassen können. 1 Remote-Auditmethoden = Audits mithilfe von interaktiven Kommunikationsmitteln über große Distanz (z. B. Befragungen, Dokumenten- und Nachweisprüfungen per Videokonferenz).

18 05111 Auditprozess effizient gestalten mit ISO Seite 18 Risiken (vgl. ISO 19011, Kap ) Wo können Risiken auftreten? 05111_04.doc Im Zusammenhang mit dem Festlegen, Umsetzen, Überwachen und Bewerten eines Auditprogramms gibt es eine Reihe von Risiken, die Auswirkungen auf die Auditprogrammziele haben können. Der Auditprogrammverantwortliche sollte diese Risiken analysieren und bei der Entwicklung eines Auditprogramms berücksichtigen. Diese Risiken können im Zusammenhang stehen mit der Planung, z. B. Versäumnisse beim Festlegen der relevanten Auditziele und bei der Ermittlung des Umfangs des Auditprogramms; den Ressourcen, z. B. nicht genügend Zeit zur Entwicklung des Auditprogramms bzw. zur Auditdurchführung einräumen; der Auswahl des Auditteams, z. B. das Team verfügt nicht über die kollektive Kompetenz, das Audit wirksam durchzuführen; der Umsetzung, z. B. ineffektive Kommunikation in Bezug auf das Auditprogramm; den Aufzeichnungen und ihrer Kontrolle, z. B. Versäumnisse in Bezug auf einen angemessenen Schutz der Auditaufzeichnungen zum Zwecke des Nachweises der Wirksamkeit des Auditprogramms; der Überwachung, Bewertung und Verbesserung des Auditprogramms, z. B. ineffektives Überwachen der Auditprogrammergebnisse. Im Anhang 4 dieses Beitrags sowie auf der Begleit-CD (als editierbare Word-Datei) finden Sie ein Beispiel für eine Auditprogramm-Risikomatrix, das Sie an Ihre betrieblichen Gegebenheiten anpassen können. Der Qualitätsmanagement-Berater 13. Aktualisierung

19 Seite 19 Ressourcen (vgl. ISO 19011, Kap ) Bei der Festlegung der Ressourcen zur Verwirklichung des Auditprogramms sollte der Auditprogrammverantwortliche folgende Einflussfaktoren berücksichtigen: Einflussfaktoren die erforderlichen finanziellen Ressourcen, um die Audittätigkeiten zu entwickeln, zu verwirklichen, zu organisieren und zu verbessern; anzuwendende Auditmethoden, wie Interviews, Beobachten von Tätigkeiten, Prüfen von Dokumenten etc.; Verfügbarkeit von Auditoren und Fachexperten/Sachkundigen, deren Kompetenz die spezifischen Auditprogrammziele abdecken; Umfang des Auditprogramms und Auditprogrammrisiken; Reisezeit und -kosten, Unterbringung und sonstige Erfordernisse für das Auditieren; Verfügbarkeit von Informations- und Kommunikationstechnologien. 3.4 Realisieren des Auditprogramms Aufstellen des Auditprogramms Ziele, Kriterien und Umfang für ein einzelnes Audit (vgl. ISO 19011, Kap ) Jedes Audit sollte sich auf dokumentierte Auditziele, Auditkriterien sowie den Auditumfang stützen und im Einklang mit den allgemeinen Auditprogrammzielen stehen. Dieses sollte durch den Auditprogrammverantwortlichen festgelegt werden.

20 05111 Auditprozess effizient gestalten mit ISO Seite 20 Die Auditziele legen fest, was durch dieses einzelne Audit zu erreichen ist. Das kann Folgendes umfassen: Zielinhalte Definition Auditkriterien Auditumfang Bestimmung des Grades der Konformität des zu auditierenden Managementsystems oder Teile desselben mit den Auditkriterien; Bestimmung des Grades der Konformität von Tätigkeiten, Prozessen und Produkten mit den Anforderungen und Verfahren des Managementsystems; Bewertung der Fähigkeit des Managementsystems, die Übereinstimmung mit rechtlichen und vertraglichen Anforderungen sicherzustellen sowie mit weiteren Anforderungen, zu denen sich die Organisation verpflichtet hat; Bewertung der Wirksamkeit des Managementsystems bei der Erfüllung seiner spezifischen Ziele; Erkennen von Bereichen für die mögliche Verbesserung des Managementsystems. Verfahren, Vorgehensweisen oder Anforderungen, die als Bezugsgrundlage (Referenz) verwendet werden, anhand derer ein Vergleich mit dem Auditnachweis erfolgt. Anmerkung: Zu den Auditkriterien zählen z. B. Forderungen aus Normen, Gesetzen, Verträgen, Festlegungen der Systemdokumentation. (ISO 19011, 3.2) Der Auditumfang sollte dem Auditprogramm sowie den Auditzielen entsprechen. Er umfasst solche Faktoren wie zu auditierende physische Standorte, Organisationseinheiten, Tätigkeiten und Prozesse sowie die Dauer, die für das Audit benötigt wird. Wenn Veränderungen an den Auditzielen, dem Umfang oder den Kriterien vorgenommen werden, sollte das Audit- Der Qualitätsmanagement-Berater 13. Aktualisierung

21 Seite 21 programm, wenn erforderlich, entsprechend modifiziert werden. Vor-Ort- und Remote- Methoden Interaktive/ nicht interaktive Methoden Wenn zwei oder mehrere Managementsysteme mit verschiedenen Disziplinen zusammen auditiert werden (ein kombiniertes Audit), ist es wichtig, dass die Auditziele, der Umfang sowie die Kriterien mit den Zielen des zutreffenden Auditprogramms im Einklang stehen. Auditmethode (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche muss geeignete Auditmethoden unter Berücksichtigung der vereinbarten Auditziele, des Auditumfangs und der Auditkriterien auswählen und festlegen. Abbildung 4 gibt einen Überblick über die anwendbaren Methoden. Vor-Ort-Audittätigkeiten werden am Standort der zu auditierenden Organisation durchgeführt. Remote-Audittätigkeiten hingegen werden, ungeachtet der Entfernung, an jedem beliebigen Standort mittels interaktiver Kommunikationsmittel (Internet, Konferenzschaltungen etc.) durchgeführt. Bei interaktiven Audittätigkeiten erfolgt die Interaktion zwischen dem Personal der zu auditierenden Organisation und dem Auditteam. Bei nicht interaktiven Audittätigkeiten findet keine menschliche Interaktion zwischen den Personen, die die zu auditierende Organisation vertreten, statt, sondern die Audittätigkeiten beziehen sich hierbei nur auf die Ausrüstung, die Einrichtungen und die Dokumentation. Die folgenden Methoden sind im Anhang B der Norm näher beschrieben:

22 05111 Auditprozess effizient gestalten mit ISO Seite 22 Methoden MIT menschlicher Interaktion Methoden OHNE menschliche Interaktion Methoden mit Auditor vor Ort Befragungen durchführen Checklisten und Fragebögen ausfüllen unter Beteiligung der zu auditierenden Organisation Dokumentenprüfung durchführen unter Beteiligung der zu auditierenden Organisation Durchführen der Dokumentenprüfung (z. B. Aufzeichnungen, Datenanalyse) Beobachtung der durchgeführten Arbeit Standortbegehung durchführen Checklisten ausfüllen Stichprobennahme (z. B. Produkte) --- Methoden mit Auditor nicht vor Ort (Remote) Befragungen durchführen Checklisten und Fragebögen ausfüllen Dokumentenprüfung durchführen unter Beteiligung der zu auditierenden Organisation Dokumentenprüfung durchführen (z. B. Aufzeichnungen, Datenanalyse) Daten analysieren Abb. 4: Anwendbare Auditmethoden (nach DIN EN ISO 19011, Anhang B.1) Beobachtung der geleisteten Arbeit durch Überwachung bedeutet, soziale und rechtliche Anforderungen zu berücksichtigen Beschreibungen im Normanhang Dokumentenprüfung (B.2) Stichprobennahme (B.3) Standortbegehung (B.6) Befragungen (B.7) Der Qualitätsmanagement-Berater 13. Aktualisierung

23 Seite 23 Führen Auditoren unterschiedlicher Unternehmen oder Standorte ein gemeinsames Audit durch, so sollten sich die betreffenden Auditprogrammverantwortlichen über die anzuwendenden Methoden einigen und die Auswirkungen auf die Auditressourcen und die Auditplanung berücksichtigen. Kombinierte Managementsystemaudits möglich Anforderungen an das Auditteam Betreibt die zu auditierende Organisation mehrere Managementsysteme, z. B. für das Qualitäts-, Umwelt- und Arbeitsschutzmanagement, so können diese in einem kombinierten Verfahren auditiert werden. Insbesondere um solche kombinierten Audits zu ermöglichen, wurde die ISO entwickelt. Zusammenstellung des Auditorenteams (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche sollte die Mitglieder des Auditteams benennen, einschließlich des Auditteamleiters und der Fachexperten für das spezifische Audit. Die Auswahl des Auditteams sollte so erfolgen, dass alle erforderlichen Fachkompetenzen berücksichtigt werden und über die Zusammensetzung des Auditteams gesichert sind. Bei der Zusammensetzung des Auditteams für ein spezifisches Audit sollte auch die Art der gewählten Auditmethoden berücksichtigt werden. Fachexperten können in das Audit unter Leitung eines Auditors integriert werden, sollen aber nicht selbst als Auditoren tätig werden. Bei der Zusammenstellung des Auditteams ist sicherzustellen, dass die Unabhängigkeit der Auditoren gewährleistet ist, um Interessenkonflikte zu vermeiden (siehe Kapitel 3, Prinzip 5).

24 05111 Auditprozess effizient gestalten mit ISO Seite 24 Die Mitglieder des Auditteams sollten in der Lage sein, mit den Mitgliedern der auditierten Organisation und untereinander effektiv zusammenzuarbeiten. Auditauftrag erteilen 05111_05.doc Auditoren in der Ausbildung können in das Auditteam einbezogen werden, müssen jedoch durch einen erfahrenen Auditor betreut werden. Übergabe an Auditteamleiter (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche sollte dem Auditteamleiter die Verantwortung für die Durchführung eines einzelnen Audits in Form eines Auditauftrags übergeben. Um eine wirksame Planung und Durchführung des Audits sicherzustellen, sollte dieser Auftrag rechtzeitig vor der Durchführung des Audits erfolgen und die erforderlichen Informationen enthalten, wie z. B. Auditziele, Auditkriterien, Auditumfang, Auditmethoden, Termine, Standorte, Ressourcen, Risiken etc. Falls notwendig, ist der Auditteamleiter auch mit weiteren Informationen zu versorgen, wie z. B. Kontaktdaten der zu auditierenden Organisation, Folgemaßnahmen früherer Audits, Gesundheits- und Sicherheitsanforderungen, Anforderungen an Vertraulichkeit und Auditbericht. Im Anhang 5 dieses Beitrags sowie auf der Begleit-CD (als editierbare Word-Datei) finden Sie ein Beispiel für einen Auditauftrag, den Sie an Ihre betrieblichen Gegebenheiten anpassen können. Der Qualitätsmanagement-Berater 13. Aktualisierung

25 Seite Managen von Auditprogrammergebnissen und -aufzeichnungen Managen von Auditprogrammergebnissen (vgl. ISO 19011, Kap ) Durchzuführen de Tätigkeiten Inhalte der Aufzeichnungen Der Auditprogrammverantwortliche sollte sicherstellen, dass die folgenden Tätigkeiten durchgeführt werden: Bewertung und Freigabe von Auditberichten, einschließlich der Bewertung der Eignung und Angemessenheit der Auditfeststellungen; Bewertung der Ursachenanalyse sowie der Wirksamkeit von Korrektur- und Vorbeugungsmaßnahmen der spezifischen Audits; Verteilung der Auditberichte an die oberste Leitung und andere relevante Personen; Ermittlung der Notwendigkeit nachfolgender Audittätigkeiten (Nachaudit). Verwalten von Aufzeichnungen zum Auditprogramm (vgl. ISO 19011, Kap ) Der Auditprogrammverantwortliche sollte sicherstellen, dass Auditaufzeichnungen erzeugt, gelenkt und erhalten werden, um die Umsetzung des Auditprogramms nachzuweisen. Die Prozesse sollten die vertraulichkeitsbezogenen Erfordernisse berücksichtigen. Die Aufzeichnungen sollten Folgendes enthalten: Aufzeichnungen aus dem Auditprogramm, wie z. B. dokumentierte Auditprogrammziele und Umfang; Informationen, die auf Risiken im Zusammenhang mit dem Auditprogramm eingehen; Bewertungen der Wirksamkeit des Auditprogramms.

26 05111 Auditprozess effizient gestalten mit ISO Seite 26 Aufzeichnungen in Bezug auf das einzelne Audit, wie z. B. Auditpläne und Auditberichte; Berichte zu Nichtkonformitäten; Berichte zu Korrektur- und Vorbeugungsmaßnahmen; Berichte zu Auditfolgemaßnahmen, soweit zutreffend Aufzeichnungen, die sich auf das Auditpersonal beziehen, wie z. B. Kompetenz und Leistungsbewertung der Mitglieder des Auditteams; Auswahl des Auditteams und der Teammitglieder; Aufrechterhaltung und Verbesserung der Kompetenz. Die Form und der Detaillierungsgrad der Aufzeichnungen sollten geeignet sein, um nachzuweisen, dass die Auditprogrammziele erreicht wurden. Die Regelung zur Lenkung von Auditaufzeichnungen kann auch im Rahmen der Regelungen zur Aufzeichnungslenkung des spezifischen Managementsystems erfolgen. 3.5 Überwachen, Bewerten und Verbessern des Auditprogramms Überwachen des Auditprogramms (vgl. ISO 19011, Kap. 5.5) Die Umsetzung des Auditprogramms sollte durch den Auditprogrammverantwortlichen überwacht werden, damit das Auditprogramm zur Zielerreichung und Verbesserung des Managementsystems beiträgt. Dabei sollte Folgendes berücksichtigt werden: Was ist zu beachten? Die Konformität mit dem Auditprogramm, den Zeitplänen und Auditzielen sollte bewertet werden; Bewertung der Leistung der Mitglieder des Auditteams; Der Qualitätsmanagement-Berater 13. Aktualisierung

27 Seite 27 Bewertung der Fähigkeit des Auditteams, den Auditplan umzusetzen; Bewertung des Informationsrückflusses von der obersten Leitung, den auditierten Organisationen, den Auditoren und weiteren interessierten Parteien. Änderungsgründe für Auditprogramm Zu berücksichtigende Punkte Durch die laufende Überwachung des Auditprogramms können Änderungen/Korrekturen des Auditprogramms notwendig werden. Änderungen können sich z. B. ergeben durch: Art der Auditfeststellungen; Grad der Wirksamkeit des Systems; Veränderung des Systems; Änderung von rechtlichen/normativen Anforderungen; Wechsel von Lieferanten. Bewerten und Verbessern des Auditprogramms (vgl. ISO 19011, Kap. 5.6) Der Auditprogrammverantwortliche sollte das Auditprogramm daraufhin bewerten, ob dessen Ziele erreicht wurden. Daraus abgeleitete Erkenntnisse sollten für einen kontinuierlichen Verbesserungsprozess genutzt werden. Bei der Bewertung des Auditprogramms sollte Folgendes berücksichtigt werden: Ergebnisse und Tendenzen aus der Überwachung des Auditprogramms sowie Konformität mit den Auditprogrammverfahren; sich abzeichnende Erfordernisse und Erwartungen interessierter Parteien; Aufzeichnungen zum Auditprogramm sowie alternative oder neue Auditpraktiken;

28 05111 Auditprozess effizient gestalten mit ISO Seite 28 Wirksamkeit von Maßnahmen, um auf Risiken, die mit dem Auditprogramm verbunden sind, einzugehen; Fragen zur Vertraulichkeit/Informationssicherheit bezüglich des Auditprogramms; Bewertung der kontinuierlichen Entwicklung der Auditoren; die Ergebnisse aus der Bewertung des Auditprogramms sollten der obersten Leitung mitgeteilt werden. Aus der Bewertung der Gesamtumsetzung des Auditprogramms sollten: Verbesserungsbereiche ermittelt werden, um das Programm, wenn nötig, anzupassen und die kontinuierliche berufliche Entwicklung der Auditoren sicherzustellen Der obersten Leitung sollte das Ergebnis der Gesamtbewertung mitgeteilt werden. 4 Die Umsetzung des Auditprogramms Durchführung von Audits 4.1 Ablauf des Prozesses Auditdurchführung Abbildung 5 zeigt vereinfacht den Ablauf des Prozesses zur Durchführung von Audits. Im Folgenden sind die einzelnen Prozessschritte näher erläutert. Zur Erläuterung von einzelnen Audittätigkeiten sind im Normanhang B Zusätzliche Anleitung für Auditoren zum Der Qualitätsmanagement-Berater 13. Aktualisierung

29 Seite 29 Veranlassen des Audits Vorbereiten der Audittätigkeiten Themen des Normanhangs B Durchführen von Auditfolgemaßnahmen (falls zutreffend) Durchführen der Audittätigkeiten Erstellen und Verteilen des Auditberichts Abschließen des Audits Abb. 5: Ablauf des Prozesses Auditdurchführung vereinfacht (nach ISO 19011, Kap. 6.1) Planen und Durchführen von Audits ergänzende Hinweise gegeben. Erläuterungen gibt es zu folgenden Themen: Anwendung der Auditmethoden Durchführen von Dokumentenprüfungen Stichprobennahme (entscheidungsbasierte und statistische Stichprobennahme) Erstellung von Arbeitsunterlagen Auswählen von Informationsquellen Anleitung zu Begehungen des Standorts der auditierten Organisation Durchführen von Befragungen Auditfeststellungen

30 05111 Auditprozess effizient gestalten mit ISO Seite Vorbereitungen zur Realisierung eines einzelnen Audits Veranlassen eines einzelnen Audits (vgl. ISO 19011, Kap ) Beim Veranlassen eines einzelnen Audits wird die Verantwortung zur Durchführung des Audits, wie im Auditprogramm festgelegt, dem Auditteamleiter übertragen. Er ist für die Vorbereitung und Durchführung des Audits sowie die Leitung des Auditteams verantwortlich. Führt nur ein Auditor das Audit durch, so ist er in Personalunion der Auditteamleiter. Die Verantwortung für das Audit bleibt beim Auditteamleiter, bis das Audit abgeschlossen ist. Kontaktaufnahme mit der zu auditierenden Organisation/dem zu auditierenden Bereich (vgl. ISO 19011, Kap ) Der erste Kontakt mit der zu auditierenden Organisation hinsichtlich der Durchführung des Audits kann mehr oder weniger formal sein und sollte vom Auditteamleiter hergestellt werden. Er ist auch der Hauptansprechpartner für die zu auditierende Organisation. Zweck des ersten Kontakts ist es, die Rahmenbedingungen für das Audit abzuklären. Dazu kann gehören: Zweck des ersten Kontakts Informationen über die Auditziele, den Auditumfang, die Auditmethoden und die Zusammensetzung des Auditteams (inkl. Fachexperten) zu geben; Zugang zu relevanten Dokumenten und Aufzeichnungen für Planungszwecke zu erbitten; zutreffende rechtliche, vertragliche und andere Anforderungen der Organisation zu ermitteln; Der Qualitätsmanagement-Berater 13. Aktualisierung

31 Seite 31 verbindliche Vereinbarungen mit der auditierten Organisation hinsichtlich des Umfangs der Offenlegung und der Behandlung vertraulicher Informationen zu treffen; Vorbereitungen für das Audit zu treffen, einschließlich Terminabsprache und Festlegen wichtiger Teilnehmer der auditierten Organisation (z. B. Geschäftsführer, Abteilungsleiter, Prozessverantwortliche); die Anwesenheit von Beobachtern und die Notwendigkeit von Betreuern für das Auditteam abzustimmen; standortspezifische Besonderheiten bezüglich Zugang, Sicherheit und Arbeitsschutz zu ermitteln, wenn nicht bereits bekannt (z. B. Mitarbeiter der Organisation sind interne Auditoren); die Bereiche oder Prozesse zu ermitteln, die für die auditierte Organisation von Interesse oder kritisch sind und daher die Organisation dort vertiefenden Auditierungsbedarf sieht. Feststellen der Durchführbarkeit des Audits (vgl. ISO 19011, Kap ) Die Durchführbarkeit des Audits sollte vom Auditteamleiter ermittelt werden, um das notwendige Vertrauen in das Audit und die Erreichung seiner Ziele zu erzeugen. Die Durchführbarkeit des Audits sollte ermittelt werden unter Berücksichtigung von Faktoren wie z. B. der Verfügbarkeit von Prüfen der Verfügbarkeit von... ausreichender und angemessener Information für die Planung und Durchführung des Audits, angemessener Zusammenarbeit seitens der auditierten Organisation und

32 05111 Auditprozess effizient gestalten mit ISO Seite 32 angemessener Zeit und ausreichenden Ressourcen zur Durchführung des Audits. Die Durchführbarkeit wird auf Basis der Informationen, die der Auditteamleiter im Rahmen des ersten Kontakts erhält, geprüft und festgestellt. Wenn das Audit nicht durchführbar ist, sollte vom Auditteamleiter unter Beteiligung des Auditprogrammverantwortlichen und der auditierten Organisation eine Alternative vorgeschlagen werden Dokumentenprüfung (vgl. ISO 19011, Kap ) Die Managementsystemdokumentation sollte geprüft werden, wenn die Dokumentation dem Auditteam nicht bekannt ist oder wesentliche Änderungen der Systemdokumentation durchgeführt worden sind. Wenn nur Teile der Dokumentation von der Änderung betroffen sind, kann sich das Auditteam darauf beschränken, nur die geänderten Teile zu prüfen. Die betreffende Managementsystemdokumentation oder Teile davon sollten dann im Hinblick auf folgende Aspekte geprüft werden: Aspekte der Dokumentenprüfung das Sammeln von Informationen zur Vorbereitung der Audittätigkeiten und zur Vorbereitung der Arbeitsdokumente bezüglich Prozesse und Funktionen; darauf, ob die Dokumentation vollständig ist und alle bezüglich des Regelwerks (Normen, Rechtsvorschriften, etc.) zu erwartenden Inhalte in den Dokumenten enthalten sind oder ob es Lücken in der Systemdokumentation gibt; darauf, ob die Dokumente ausreichend Informationen zur Unterstützung der Auditziele bereitstellen können; Der Qualitätsmanagement-Berater 13. Aktualisierung

33 Seite 33 darauf, ob die Dokumentation konsistent ist, d. h., ob die Dokumente in sich sowie mit weiterführenden Dokumenten stimmig sind. Inhalt des Prüfberichts Die Dokumentation kann relevante Dokumente und Aufzeichnungen zum Managementsystem sowie frühere Auditberichte enthalten. Die Dokumentenprüfung sollte die Größe, Art und Komplexität des Managementsystems der auditierten Organisation sowie Ziele und Umfang des Audits berücksichtigen. Aufgrund der Informationssicherheit ist besondere Sorgfalt im Umgang mit solchen Dokumenten erforderlich, in denen sensible Daten enthalten sein können. Über die Dokumentenprüfung sollte ein Bericht erstellt werden, der das Ergebnis dokumentiert. Der Bericht sollte mindestens folgende Punkte enthalten: das Dokument, das geprüft wurde (z. B. Handbuch); die formalen oder inhaltlichen Mängel in dem Dokument; den Bezug zum Regelwerk (z. B. Norm); ggf. was zu tun ist, um den Mangel zu beheben. Unklarheiten in der Dokumentation müssen vor der Auditdurchführung, spätestens aber im Audit selbst, mit der auditierten Organisation geklärt werden. Im Anhang B.2 der Norm gibt es erläuternde Hinweise zum Durchführen von Dokumentenprüfungen _06.doc Im Anhang 6 dieses Beitrags sowie auf der Begleit-CD (als editierbare Word-Datei) finden Sie ein exemplarisch ausgefülltes Formular für die Dokumentenprüfung, das Sie an Ihre betrieblichen Gegebenheiten anpassen können.

34 05111 Auditprozess effizient gestalten mit ISO Seite Erstellen und Abstimmen des Auditplans (vgl. ISO 19011, Kap ) Zu berücksichtigende Aspekte Inhalt des Auditplans Der Auditteamleiter sollte einen Auditplan erstellen, der auf den Informationen beruht, die im Auditprogramm und in der von der auditierten Organisation bereitgestellten Dokumentation enthalten sind. Der Auditplan soll die effiziente Ablaufplanung und Koordinierung der Audittätigkeiten vor Ort erleichtern, um die Auditziele zu erreichen. Bei der Erstellung des Auditplans sind folgende Aspekte zu berücksichtigen: Der Auditplan sollte den Umfang und die Komplexität des Audits widerspiegeln. Bei der Aufstellung des Auditplans sollte sich der Auditteamleiter im Klaren sein über geeignete Stichprobenverfahren, über die Kompetenz der Auditteam-Mitglieder sowie über die Risiken für die Organisation, die durch das Audit entstehen. Bei kombinierten Audits ist besonderes Augenmerk auf die Wechselwirkung zwischen den Prozessen und konkurrierenden Zielen verschiedener Managementsysteme zu legen. Der Umfang und die Inhalte des Auditplans können variieren je nach Erfordernissen (z. B. Erstaudit, Folgeaudit oder internes bzw. externes Audit). Der Auditplan sollte flexibel sein, um Änderungen im Auditverlauf zu gestatten. Der Auditplan sollte Folgendes enthalten oder sich darauf beziehen: Auditumfang, Auditziele, Auditkriterien und alle relevanten Referenzdokumente; Auditumfang, einschließlich der Festlegung der zu auditierenden Organisationseinheiten und Prozesse; Der Qualitätsmanagement-Berater 13. Aktualisierung

35 Seite _07.doc Termine und Standorte, vorgesehener Zeitpunkt und Dauer für Audittätigkeiten sowie für Besprechungen; die verwendete Auditmethode, einschließlich des Umfangs, innerhalb dessen die Stichprobennahme beim Audit erforderlich ist, um hinreichend Auditnachweise zu erzielen; Rollen und Verantwortlichkeiten der Auditteammitglieder, einschließlich der Betreuer und Beobachter. Der Auditplan kann vom Auditauftraggeber geprüft und angenommen werden und er sollte der auditierten Organisation in einem angemessenen Zeitraum vor dem Audit (z. B. 2 3 Wochen) vorgestellt werden. Im Anhang 7 dieses Beitrags sowie auf der Begleit-CD (als editierbare Word-Datei) finden Sie ein Beispiel für einen Auditplan, den Sie an Ihre betrieblichen Gegebenheiten anpassen können Vorbereiten der Arbeitsdokumente und Einweisen des Auditteams Einweisen des Auditteams (vgl. ISO 19011, Kap ) Der Auditteamleiter sollte in Absprache mit dem Auditteam jedem Teammitglied die Verantwortung für seinen Auditbereich und seine Aufgaben zuweisen. Dies sollte im Rahmen der Vorbereitung der Arbeitsdokumente ca. eine Woche vor dem Audit erfolgen. Dabei soll die Unabhängigkeit und Kompetenz der Auditoren, der auszubildenden Auditoren und der Fachexperten berücksichtigt werden.

36 05111 Auditprozess effizient gestalten mit ISO Seite 36 Soweit notwendig, sollen Unterweisungen des Auditteams bezüglich Aufgabenzuteilungen sowie möglicher Veränderungen durch den Auditteamleiter erfolgen. Art der Arbeitsdokumente Zu beantwortende Fragen Änderungen an den Aufgabenzuteilungen können je nach Fortschreiten des Audits vorgenommen werden, um das Erreichen der Auditziele sicherzustellen. Bereitstellen von Arbeitsdokumenten (vgl. ISO 19011, Kap ) Die Mitglieder des Auditteams sollten die Informationen sammeln und prüfen, die für ihren Auditauftrag relevant sind, und Arbeitsdokumente erstellen, die als Referenz und zur Aufzeichnung der Audittätigkeiten dienen können. Arbeitsdokumente sind zum Beispiel: Checklisten und Pläne für Auditproben; Formulare für die Aufzeichnung von Informationen, wie z. B. von unterstützenden Nachweisen, Auditfeststellungen und Sitzungsprotokollen. Bei der Erstellung der Arbeitsdokumente sollte das Auditteam für jede Unterlage die folgenden Fragen beantworten: Welche Auditaufzeichnung wird durch Verwendung dieser Arbeitsunterlage erzeugt? Welche Audittätigkeit ist durch diese bestimmte Arbeitsunterlage betroffen? Wer wird der Nutzer dieser Arbeitsunterlage sein? Welche Informationen werden benötigt, um diese Arbeitsunterlage zu erstellen? Der Qualitätsmanagement-Berater 13. Aktualisierung

37 Seite 37 Bei kombinierten Audits sollten die Arbeitsdokumente aufeinander abgestimmt werden, um doppelte Audittätigkeit zu vermeiden. Der Gebrauch von Checklisten und Formularen sollte den Umfang von Audittätigkeiten nicht einschränken. Auditfrageliste Textanalyse zur Herleitung von Fragen Die Arbeitsdokumente sollten angemessen sein, um alle Elemente eines Managementsystems innerhalb des Auditumfangs anzusprechen, und sie können in allen Medien bereitgestellt werden. Eines der wesentlichsten Arbeitsdokumente ist für den Auditor die Auditfrageliste, häufig auch Auditcheckliste genannt. Die Frageliste soll dem Auditor als Leitfaden dienen. Sie sollte nicht so umfassend sein, dass der Auditor sich darin verstrickt. Trotzdem muss auch unter Zeitgesichtspunkten nach relevanten Details gefragt werden, die nötig sind, um den Auditumfang angemessen abzudecken. Diese Liste sollte für jedes Audit individuell erstellt werden. Erfahrene Auditoren formulieren die Auditfragen zur Aufwandsminimierung aber nicht mehr vollständig aus, sondern begnügen sich mit Stichworten, die als Gedankenstütze für die Formulierung der entsprechenden Auditfragen dienen. Eine Methode, um Auditfragen abzuleiten, ist die Textanalyse der Norm und anderer Regelwerke, die zu den Auditkriterien zählen. Abbildung 6 zeigt schematisch die Herleitung von Auditfragen mithilfe der Textanalyse. In der Textanalyse werden die Auditfragen aus den Forderungen der Managementsystemnorm und deren Umsetzung in die betriebliche Praxis entwickelt. In folgenden vier Schritten kann daraus eine Frageliste erstellt werden: