Die DIN EN ISO 190111:2018 gilt als roter Faden für Auditoren in den unterschiedlichsten Bereichen. Unabhängig von der Branche, dem Managementsystem und der Unternehmensgröße bietet sie einen angemessenen Rahmen, in dem sich Auditoren international bewegen.

Die DIN EN ISO 19011:2018

Die Norm in der Übersicht:

  1. Anwendungsbereich
  2. Normative Verweisungen
  3. Begriffe
  4. Auditprinzipien

Integrität: Auditoren sollen ihre Tätigkeit nach moralischen Werten und verantwortungsvoll ausführen. Sie müssen unparteiisch sein, und darauf achten, ihr Urteilsvermögen nicht beeinflussen zu lassen.

Integrität

Sachliche Darstellung: Auditoren sind verpflichtet exakt und wahrheitsgemäß zu berichten.

Sachliche Darstellung

Berufliche Sorgfalt: Auditoren sollten ihr Urteil stets begründen können, und sich der Bedeutung ihre Aufgaben stets bewusst sein.

Berufliche Sorgfalt

Vertraulichkeit: Auditoren sollten über die Informationen, die ihnen im Zusammenhang mit ihrer Tätigkeit bekannt werden Stillschweigen bewahren.

Vertraulichkeit

Unabhängigkeit: Auditoren sollten um parteilich und unvoreingenommen sein, um einen objektiven Auditprozess zu gewährleisten.

Unabhängigkeit

Faktengestützter Ansatz: Schlussfolgerungen der Auditoren sollten nachvollziehbar und verifizierbar sein.

Faktengestützter Ansatz

Risikobasierter Ansatz: das Auditprogramm sollte auf die relevanten Themen und das Erreichen der Ziele ausgerichtet sein.

Risikobasierter Ansatz

5. Steuerung des Auditprogramms

5.1 Allgemeines

Ein Auditprogramm kann mehrere Managementsystemnormen oder andere Vorgaben beinhalten und sollte an die Art und Größe des Unternehmens angepasst sein. Unterschiedliche Normen können kombiniert oder voneinander getrennt auditiert werden. Auf jeden Fall sollte das Auditprogramm folgende Punkte umfassen:

  • Unternehmensziele
  • Relevante interne und externe Themen
  • Erfordernisse interessierter Parteien

Wesentliche Eckpfeiler des Auditprogramms sind:

  • Kompetenz der verantwortlichen Personen
  • Benötigte Ressourcen
  • Ziele, Risiken und Chancen
  • Umfang, Anzahl, Dauer und Häufigkeit
  • Auditarten
  • Und vieles mehr

Die Umsetzung des Auditprogramms sollte ständig überwacht werden, um die Erreichung der Ziele sicherzustellen.

5.2 Auditprogrammziele

Um die Planung und Durchführung der Audits zu steuern sollte der Auftraggeber darauf achten, dass Audit-Ziele festgelegt werden, die mit der strategischen Ausrichtung des Auftraggebers und den Zielen des Managementsystem vereinbar sind. Bei der Festlegung der Ziele sind unter anderem die Anforderungen der Managementsysteme, der externen Anbieter, sowie relevante interessierte Parteien zu berücksichtigen.

Auditprogrammziele

5.3 Bestimmung und Beurteilung der Chancen und Risiken des Auditprogramms

Chancen und Risiken des zu auditierenden Unternehmens können das Erreichen der Ziele eines Audit-Programms beeinflussen. Dabei gilt es diese bei der Entwicklung des Programms zu berücksichtigen, und mit dem Auftraggeber abzustimmen, damit sichergestellt ist, dass diese angemessen behandelt werden.

Folgende Punkte können in Verbindung mit Risiken stehen:

  • Unzureichende Festlegung von Auditzielen
  • Mangel an Ressourcen zur Durchführung des Audits
  • Mangelnde Kompetenz der Auditoren
  • Fehlende oder unzweckmäßige Kommunikation
  • Das Fehlen relevanter Dokumente
  • Geringe Kooperation des zu auditierenden Unternehmens

Dem entgegen stehen Chancen zur Verbesserung des Auditprogramms:

  • Die Möglichkeit der Durchführung kombinierter Audits
  • Reduktion des zeitlichen Aufwands für das Audit
  • Anpassung der Kompetenz der Auditoren
  • Terminliche Abstimmung mit den Mitarbeitern des zu auditierenden Unternehmens.
Chancen und Risiken des Auditprogramms

5.4 Festlegen des Auditprogramms

Es sollen Rollen und Verantwortlichkeiten der Personen festgelegt werden, die das Audit-Programm steuern. Diese Personen legen das Ausmaß des Auditprogramms und Themen, die es beeinträchtigen könnten fest. Weitere wichtige Punkte bei der Festlegung sind:

  • Das Know-how und die Auswahl des Audit Teams
  • Relevante Prozesse
  • Notwendige Ressourcen
  • Angemessene Dokumentation

Der Inhalt des Audit-Programms muss mit dem Auftraggeber und unter Umständen mit weiteren interessierten Parteien abgestimmt werden.

Diejenigen, die das Audit Programm steuern, müssen über folgendes Know-how verfügen:

  • Auditprinzipien
  • Managementsysteme
  • Relevante Informationen über das auditierte Unternehmen
  • Rechtliche und behördliche Anforderungen

Bei der Bestimmung der Ressourcen muss auf finanzielle und zeitliche Aspekte genauso geachtet werden, wie auf die Verfügbarkeit von IT-Systemen, oder beispielsweise das Vorhandensein von Sicherheitsüberprüfungen und persönlicher Schutzausrüstung.

5.5 Umsetzung des Auditprogramms

Für die Umsetzung des Auditprogramms müssen konkrete Ziele, Umfang und Kriterien festgelegt sein. Anzuwendende Methoden, die Mitglieder des Auditteams und die Zuweisung der Verantwortung an den Teamleiter sind wichtige Schlüsselelemente und die Voraussetzung für das Gelingen eines Audits.

5.6 Überwachung des Auditprogramms

Bei der Überwachung des Audit-Programms müssen zahlreiche Parameter im Auge behalten werden:

  • Einhaltung von Zeitplänen und Zielen
  • Leistungen der Mitglieder des Audit-Teams und deren Eignung
  • Feedback des Auftraggebers
  • Angemessenheit der Dokumentation

5.7 Überprüfen und verbessern des Auditprogramm

Lehren die aus der Überprüfung des Auditprogramms gezogen wurden, sollen zur Verbesserung künftiger Programme genutzt werden. Nachdem Kontakt zu dem Unternehmen hergestellt wurde, das auditiert werden soll, wird die Durchführbarkeit des Audits bestimmt. Ausschlaggebend hierfür ist das ausreichende Vorhandensein dokumentierter Informationen, die Kooperation des Unternehmens und ein ausreichend großes Zeitfenster.

6. Durchführung des Audits

6.1 Allgemeines

Hier findet sich eine Anleitung zur Durchführung eines Audits als Teil eines Auditprogramms. Die Ausmaße, für das diese Bestimmungen gelten, hängt von den Zielen und dem Umfang des Audits ab.

6.2 Veranlassen des Audits

Nachdem der Kontakt zu dem Unternehmen hergestellt wurde, das auditiert werden soll, wird die Durchführbarkeit des Audits bestimmt. Ausschlaggebend hierfür ist das ausreichende Vorhandensein dokumentierter Informationen, die Kooperation des Unternehmens und ein ausreichendes Zeitfenster.

6.3 Vorbereiten der Audittätigkeit

Im Vorfeld müssen die dokumentierten Informationen des Managementsystems des Unternehmens überprüft werden, um Informationen zu sammeln und sich einen Überblick über die vorhandenen Informationen zu verschaffen. Bei der Planung des Audits verfolgt der Audit-Teamleiter einen risikobasierten Ansatz. Er verteilt die entsprechenden Aufgaben an das Auditteam und bereitet die Informationen vor.

6.4 Durchführung von Audittätigkeiten

Für gewöhnlich werden die Tätigkeiten eines Audits in einer festen Reihenfolge ausgeführt. Bei der Zuweisung der Verantwortlichkeiten kann es auch erforderlich sein, externe Betreuer, Beobachter oder Experten für bestimmte Bereiche hinzuzuziehen. Wichtig hierbei ist, dass diese die Durchführung des Audits weder beeinflussen noch behindern. Vielmehr sollen sie mit ihrer Expertise das Team unterstützen, Zugang zu bestimmten Bereichen ermöglichen, und zur Klärung von Fragen beitragen.

In der Regel wird das Audit durch ein Eröffnungsgespräch eingeleitet. Dies dient vor allem dazu, die Zustimmung des Unternehmens zum Auditplan einzuholen, das Team vorzustellen und zu gewährleisten, dass alle geplanten Tätigkeiten durchgeführt werden können. Während des Audits soll dann der Teamleiter in regelmäßigen Abständen Rücksprache mit seinem Team und Vertreten des Unternehmens halten.

Für den Erfolg des gesamten Audits ist es entscheidend, wann, wo und wie die relevanten Informationen durch das Unternehmen zur Verfügung gestellt werden. Die dokumentierten Informationen, die durch das Team überprüft werden sollen, können in vielfältiger Weise im Unternehmen vorliegen:

  • Audio oder Videodateien
  • In Papierform
  • Als Datensatz in der IT

Diese Informationen sollten überprüft werden um die Konformität des Systems mit den Auditkriterien zu bestimmen und Informationen zur Unterstützung der Audit Tätigkeit zu sammeln. Nachdem alle relevanten Informationen gesammelt und verifiziert sind, gilt es Feststellungen zu erarbeiten und die sich daraus ergebenden Auditschlussfolgerungen zu bestimmen. Diese Schlussfolgerungen behandeln beispielsweise:

  • Den Grad der Konformität
  • Die wirksame Aufrechterhaltung und Verbesserung des Managementsystems
  • Das Erreichen der Audit-Ziele
  • Ähnliche Feststellungen aus vorangegangenen Audits, um Tendenzen festzustellen

Zum Ende des Audits wird eine Abschlussbesprechung durchgeführt, an der der Audit-Teamleiter mit seinem Team, Prozessverantwortliche und Funktionen des Unternehmens, der Auftraggeber und unter Umständen andere interessierte Parteien teilnehmen.

6.5 Erstellen und Verteilen des Auditberichts

Im nächsten Schritt wird ein Auditbericht erstellt und verteilt. Dieser umfasst für gewöhnlich folgende Punkte:

  • Auditziele
  • Umfang
  • Nennung des Auftraggebers
  • Mitglieder des Audits Teams
  • Termine und Standorte
  • Auditkriterien
  • Feststellungen inklusive der Nachweise
  • Schlussfolgerungen in welchem Umfang die Kriterien erfüllt wurden.

Ist der Bericht verteilt, kann es sein, dass in Abhängigkeit von den Zielen, die Notwendigkeit von Korrekturmaßnahmen oder Verbesserungen aufgezeigt werden.

7. Kompetenz und Beurteilung von Auditoren

7.1 Allgemeines

Das Vertrauen in den Audit Prozess und in die Fähigkeit, dessen Ziele zu erreichen, hängt von der Kompetenz der Auditoren ab. Diese Kompetenz sollte regelmäßig beurteilt werden. Dies berücksichtigt:

  • Persönliches Verhalten
  • Wissen und Fertigkeiten
  • Ausbildung und Erfahrung

Die Kompetenz des gesamten Teams muss ausreichen, um dessen Ziele zu erreichen.

7.2 Bestimmung der Kompetenz von Auditoren

Kenntnisse und Fertigkeiten eines Auditors sollten in Bezug auf folgende Punkte geprüft werden:

  • Größe, Art und Komplexität des Unternehmens
  • Auditmethoden
  • Zu auditierende Managementsysteme
  • Komplexität der Prozesse
  • Risiken und Chancen
  • Ziel und Ausmaß des Audit Programms

Weiterhin sollten Auditoren angemessenes persönliches Verhalten an den Tag legen.

7.3 Festlegung der Beurteilungskriterien von Auditoren

Es sollten qualitative und quantitative Kriterien zur Beurteilung von Auditoren herangezogen werden. Dies kann unter anderem den Nachweis über das erwünschte Verhalten, Berufserfahrung, Ausbildung und Auditerfahrung beinhalten.

7.4 Auswahl der Beurteilungsmethoden für Auditoren

Die Beurteilung sollte unter Verwendung von mindestens zwei Methoden erfolgen. Dabei sollte Folgendes beachtet werden:

  • Die Methoden stellen eine Reihe von Optionen dar und treffen möglicherweise nicht für alle Situationen zu
  • Die Methoden können sich in ihrer Zuverlässigkeit unterscheiden
  • Die Methoden sollten kombiniert angewendet werden um ein objektives Ergebnis sicherzustellen

Beurteilungsmethoden sind:

  • Überprüfung der Aufzeichnungen
  • Feedback
  • Befragung
  • Beobachtung
  • Prüfung
  • Überprüfung nach dem Audit

7.5 Durchführung der Auditoren-Beurteilung

Die über den Auditor erhobenen Informationen sollten mit den festgelegten Kriterien verglichen werden. Sollte ein eingesetzter Auditor nicht die Kriterien erfüllen, sollte für zusätzliche Schulungen oder Auditerfahrung gesorgt werden. Daraufhin sollte eine wiederholte Beurteilung stattfinden.

7.6 Aufrechterhaltung und Verbessrung der Kompetenz des Auditors

Auditoren und Teamleiter sollten ihre Kompetenz fortlaufend verbessern. Durch regelmäßige Teilnahme an Managementsystem-Audits sowie fortlaufende fachliche Entwicklung sollten Auditoren ihre Kompetenz aufrechterhalten.

Kompetenz und Beurteilung von Auditoren

* Diese Liste hat keinen Anspruch auf Vollständigkeit und gib nicht den exakten Wortlaut der Norm wieder. Vielmehr soll sie als grobe Orientierung dienen.