SES Durchführung von Audits vor Ort

Transkript

1 Der Leiter des Auditteams ist für die Vorbereitung, Durchführung und Nachbereitung der Audits vor Ort verantwortlich. Vorbereitung von Arbeitsdokumenten Die Mitglieder des Auditteams sollten die Informationen prüfen, die für ihre Audit-Aufgaben relevant sind und entsprechende Arbeitsdokumente als Referenz und zur Aufzeichnung der Audittätigkeiten vorbereiten. Solche Arbeitsdokumente sind zum Beispiel: - Checklisten und Pläne für Auditstichproben und - Formulare für die Aufzeichnung von Informationen wie z. B. unterstützenden Nachweisen, Auditfeststellungen und Sitzungsprotokollen. Der Gebrauch von Checklisten und Formularen sollte den Umfang von Audittätigkeiten nicht einschränken; diese können sich aufgrund der Informationen, die im Verlauf des Audits gesammelt werden, verändern. Arbeitsdokumente, einschließlich Aufzeichnungen, die sich aus ihrem Gebrauch ergeben, sollten, zumindest bis zum Abschluss des Audits, aufbewahrt werden. Diejenigen Dokumente, die vertrauliche oder geschützte Informationen enthalten, sollten stets von den Mitgliedern des Auditteams in geeigneter Weise geschützt werden. Durchführung der Eröffnungsbesprechung Eine Eröffnungsbesprechung sollte mit dem Management der zu auditierenden Organisation oder gegebenenfalls mit den Verantwortlichen für die zu auditierenden Funktionsbereiche der Prozesse durchgeführt werden. In der Eröffnungsbesprechung sollten folgende Punkte behandelt werden: a) Bestätigung des Auditplans, b) kurze Erläuterung der geplanten Audittätigkeiten, c) Bestätigung von Kommunikationskanälen und d) Möglichkeit für die auditierte Organisation, Fragen zu stellen. Kommunikation während des Audits Abhängig von Auditumfang und von der Komplexität des Audits kann es erforderlich sein, offizielle Regelungen für die Kommunikation innerhalb des Auditteams und mit der zu auditierenden Organisation während des Audits zu treffen. Das Auditteam sollte sich in regelmäßigen Abständen treffen, um Informationen auszutauschen, den Fortgang des Audits zu bewerten und falls notwendig, die Aufgabenverteilung unter den Auditoren neu zu regeln. Während des Audits sollte der Auditteam-Leiter in regelmäßigen Abständen der auditierten Organisation und gegebenenfalls dem Auditauftraggeber den Stand des Audits und etwaige Probleme mitteilen. Nachweise, die beim Audit erfasst werden und die auf ein sofortiges und wesentliches Risiko 1) hinweisen (z. B. in Bezug auf Sicherheit, Umwelt oder Qualität), sollten der auditierten Organisation und gegebenenfalls dem Auditauftraggeber unverzüglich berich- SES Durchführung Von Vor-Ort-Audits ( SE).Doc Seite 1 von 5

2 tet werden. Bedenken zu irgendeinem Thema außerhalb des Auditumfangs sollten notiert und dem Auditteam-Leiter berichtet werden zur eventuellen Weiterleitung an den Auditauftraggeber und die auditierte Organisation. Falls die verfügbaren Auditnachweise darauf hinweisen, dass die Auditziele nicht erreichbar sind, sollte der Auditteam-Leiter dem Auftraggeber und der auditierten Organisation die Gründe dafür mitteilen, um angemessene Maßnahmen festzulegen. Eine solche Maßnahme kann die erneute Bestätigung oder Modifizierung des Auditplans sein oder kann Änderungen bei den Auditzielen oder dem Auditumfang oder die Beendigung des Audits bedeuten. Die Notwendigkeit von Änderungen im Auditumfang, die im Verlauf der Audittätigkeiten vor Ort erkannt werden, sollte mit dem Auditauftraggeber und gegebenenfalls der auditierten Organisation geprüft und von diesen genehmigt werden. Rollen und Verantwortlichkeiten von Betreuern und Beobachtern Betreuer und Beobachter können das Auditteam begleiten, sind jedoch nicht Teil desselben. Sie sollten die Durchführung des Audits weder beeinflussen noch behindern. Wenn Betreuer von der zu auditierenden Organisation zugeteilt werden, sollten sie das Auditteam unterstützen und gemäß Aufforderung durch den Auditteam-Leiter handeln. Ihre Verantwortlichkeiten können einschließen: a) Herstellung von Kontakten und Terminplanung für Befragungen; b) Organisation von Besuchen spezifischer Teile des Standorts oder der Organisation; c) Sicherstellung, dass Vorschriften bezüglich Schutz- und Sicherheitsverfahren am Standort den Mitgliedern des Auditteams bekannt sind und von diesen eingehalten werden; d) Begleitung des Audits im Auftrag der zu auditierenden Organisation; e) Zur Klärung von Fragen beitragen und das Sammeln von Informationen unterstützen. Erfassen und Verifizieren von Informationen Im Verlauf des Audits sollten Informationen in Bezug auf die Auditziele, den Auditumfang und die Auditkriterien, einschließlich von Informationen, die sich auf Schnittstellen zwischen Funktionsbereichen, Tätigkeiten und Prozessen beziehen, durch angemessene Stichproben erfasst und verifiziert werden. Nur verifizierbare Informationen können Auditnachweise sein. Auditnachweise sollten aufgezeichnet werden. Anmerkung: Der Auditnachweis beruht auf Stichproben der verfügbaren Informationen. Daher gibt es beim Auditieren ein Element der Ungewissheit und diejenigen, die auf der Grundlage der Auditschlussfolgerungen handeln, sollten sich dieser Ungewissheit bewusst sein. Methoden zur Erfassung von Informationen schließen ein: - Befragungen, - Beobachtungen von Tätigkeiten und - Auswertung von Dokumenten. SES Durchführung Von Vor-Ort-Audits ( SE).Doc Seite 2 von 5

3 Treffen von Auditfeststellungen Die Auditnachweise sollten gegenüber den Auditkriterien bewertet werden, um die Auditfeststellungen zu erarbeiten. Auditfeststellungen können entweder auf Konformität mit oder Abweichungen von Auditkriterien hinweisen. Soweit durch die Auditziele festgelegt können Auditfeststellungen die Möglichkeit von Verbesserungen aufzeigen. Das Auditteam sollte nach Bedarf zusammenkommen, um die Auditfeststellungen in geeigneten Abständen während des Audits zu bewerten. Es sollte zusammenfassend dokumentiert werden, an welchen Standorten, in welchen Funktionsbereichen und in welchen Prozessen Konformität mit Auditkriterien festgestellt wurde. Falls es im Auditplan vorgesehen ist, sollten spezifische Auditfeststellungen der Konformität und deren unterstützende Nachweise ebenfalls aufgezeichnet werden. Abweichungen und Auditnachweise, deren Feststellung zu diesen Abweichungen geführt haben, sollten aufgezeichnet werden. Abweichungen können klassifiziert werden. Sie sollten mit der auditierten Organisation bewertet werden, um die Bestätigung dafür zu erhalten, dass die Auditnachweise korrekt sind und dass die Abweichungen verstanden werden. Es sollte alles getan werden, um Meinungsverschiedenheiten bezüglich der Auditnachweise oder der Auditfeststellungen auszuräumen. Punkte, bei denen keine Übereinstimmung gefunden werden kann, sollten aufgezeichnet werden. Erarbeiten der Auditschlussfolgerungen Das Auditteam sollte vor der Abschlussbesprechung zusammentreten, um: a) Die Auditfeststellungen und andere angemessene Informationen, die während des Audits erfasst wurden, gegenüber den Auditzielen zu bewerten, b) gemeinsam die Auditschlussfolgerungen unter Berücksichtigung von Ungewissheiten bezüglich des Auditprozesses zu ziehen, c) Empfehlungen zu erarbeiten, falls dies durch die Auditziele festgelegt worden sind, und d) Auditfolgemaßnahmen zu erörtern, soweit im Auditplan vorgesehen. Durchführung der Abschlussbesprechung Eine Abschlussbesprechung unter der Leitung des Auditteam-Leiters sollte durchgeführt werden, um die Auditfeststellungen und schlussfolgerungen so darzulegen, dass sie von der auditierten Organisation verstanden und bestätigt werden, und um, so angemessen, den Zeitraum für die auditierte Organisation für die Vorlage eines Korrektur- und Vorbeugungsmaßnahmenplans zu vereinbaren. Die Teilnehmer der Schlussbesprechung sollten die Vertreter der auditierten Organisation einschließen. Ferner dürfen auch der Auftraggeber und andere Parteien teilnehmen. Falls erforderlich sollte der Auditteam-Leiter die auditierte Organisation auf Situationen aufmerksam machen, die während des Audits auftraten und welche das Vertrauen verringern könnten, welches in die Auditschlussfolgerungen gesetzt werden kann. SES Durchführung Von Vor-Ort-Audits ( SE).Doc Seite 3 von 5

4 In vielen Fällen, z. B. bei internen Audits in einer kleinen Organisation, kann die Abschlussbesprechung darin bestehen, dass die Auditfeststellungen und schlussfolgerungen mitgeteilt werden. Bei anderen Auditsituationen sollte die Sitzung einen offiziellen Charakter haben und ein Protokoll, einschließlich Anwesenheitsliste, sollte geführt werden. Alle unterschiedlichen Meinungen in Bezug auf Auditfeststellungen und Auditschlussfolgerungen zwischen dem Auditteam und der auditierten Organisation sollten diskutiert und, wenn möglich, eine Übereinstimmung gefunden werden. Falls keine Einigung erreicht wird, sollten beide Meinungen aufgezeichnet werden. Falls es in den Auditzielen festgelegt wurde, sollten Empfehlungen für Verbesserungen vorgelegt werden. Es sollte hervorgehoben werden, dass Empfehlungen nicht verbindlich sind. Erstellung, Genehmigung und Verteilung des Auditberichts Erstellung des Auditberichts Der Auditteam-Leiter sollte verantwortlich für die Erstellung und den Inhalt des Auditberichts sein. Der Auditbericht sollte eine umfassende, genaue, kurzgefasste und eindeutige Aufzeichnung des Audits geben und Folgendes enthalten bzw. auf Folgendes verweisen: a) Zielsetzung des Audits; b) Auditumfang, besonders die Festlegung der Organisations- und Funktionseinheiten oder die Prozesse, die auditiert wurden, und Angabe des betrachteten Zeitraums; c) Benennung des Auditauftraggebers; d) Benennung des Leiters und der Mitglieder des Auditteams; e) Termine und Orte, an denen die Audittätigkeiten vor Ort durchgeführt wurden; f) die Auditkriterien; g) die Auditfeststellungen; h) die Auditschlussfolgerungen. Der Auditbericht kann ebenfalls Folgendes enthalten bzw., so angemessen, auf Folgendes verweisen: i) Auditplan; j) Liste der Vertreter der auditierten Organisation; k) Zusammenfassung des Auditprozesses, einschließlich Unsicherheiten bzw. aufgetretener Hindernisse, die das Vertrauen in die Auditschlussfolgerungen verringern könnten; l) Bestätigung, dass die Auditziele innerhalb des Auditumfangs in Übereinstimmung mit dem Auditplan erreicht wurden; m) nicht abgedeckte Bereiche, obwohl diese sich im Auditumfang befanden; n) nicht beigelegte Meinungsverschiedenheiten zwischen dem Auditteam und der auditierten Organisation; o) Empfehlungen für Verbesserungen, falls in den Auditzielen vorgesehen; p) vereinbarte Pläne für Folgemaßnahmen, soweit zutreffend; q) Erklärung zur Vertraulichkeit des Inhalts; r) Verteilerliste für den Auditbericht. SES Durchführung Von Vor-Ort-Audits ( SE).Doc Seite 4 von 5

5 Genehmigung und Verteilung des Auditberichts Der Auditbericht sollte innerhalb des vereinbarten Zeitraums ausgefertigt werden. Wenn dies nicht möglich ist, sollten die Gründe für die Verzögerung dem Auftraggeber mitgeteilt werden, und ein neues Ausfertigungsdatum sollte vereinbart werden. Der Auditbericht sollte so datiert, geprüft und genehmigt werden, wie es im Auditprogramm- Verfahren festgelegt ist. Der genehmigte Auditbericht sollte dann an die vom Auditauftraggeber bezeichneten Empfänger verteilt werden. Die Mitglieder des Auditteams und alle Empfänger des Berichtes sollten die Vertraulichkeit des Berichtes wahren und schützen. Abschluss des Audits Das Audit ist beendet, wenn alle Tätigkeiten im Auditplan abgeschlossen worden sind und der genehmigte Auditbericht verteilt worden ist. Dokumente, die sich auf das Audit beziehen, sollten gemäß Übereinkunft zwischen den teilnehmenden Parteien und in Übereinstimmung mit dem Auditprogramm-Verfahren und zutreffenden gesetzlichen, behördlichen und vertraglichen Anforderungen aufbewahrt oder vernichtet werden. Gesetzliche Forderungen ausgenommen, sollten das Auditteam und die Verantwortlichen für das Management des Auditprogramms weder den Inhalt von Dokumenten noch irgendwelche anderen Informationen, die während des Audits erhalten wurden, offen legen. Dies betrifft auch den Auditbericht ohne die ausdrückliche Genehmigung des Auditauftraggebers / Zertifikatsinhabers. Wenn die Offenlegung des Inhalts eines Auditdokuments erforderlich ist, sollten der Auditauftraggeber und die auditierte Organisation so schnell wie möglich informiert werden. SES Durchführung Von Vor-Ort-Audits ( SE).Doc Seite 5 von 5