Was ist eigentlich ein Audit?
Der Auditor hört
Das Wort „Audit“ ist eine Substantivierung von „audit“ – er, sie, es hört (zu) –, der 3. Person Singular Präsens Indikativ Aktiv des lateinischen Verbs „audire“ – soweit der Lateinlehrer. Mit dem Kunstwort „Audit“ wird also ein Vorgang bezeichnet, bei dem sich ein Zuhörer (der Auditor) dem widmet, was ihm andere Personen sagen, woraus er wiederum seine Schlüsse zieht; dass ein Auditor nicht nur hört, sondern auch sieht und – fast noch wichtiger – „hineinspürt“, versteht sich eigentlich fast von selbst. Wäre ein Auditor ein Prüfer, wie es oft behauptet, manchmal auch empfunden wird, müsste man ihn, für eine Audit-Situation wenig vertrauenserweckend, als „Examinator“ bezeichnen, die zu Prüfenden würden gleichsam ein Examen ablegen und dafür ein Zeugnis erhalten – jedenfalls keine Konformitätsbestätigung und auch kein Zertifikat.
Im Zuge eines Audits, das im Übrigen immer geplant und sinnvoll geleitet und gelenkt werden muss, wird zunächst „nur“ festgestellt, ob z. B. ein Unternehmen das, was es sich selbst als Ziel gesetzt hat, erreichen konnte, in manchen Fällen auch noch zu welchem Grad. Dabei wird nicht das Unternehmen an sich auditiert, sondern das System, das ein Unternehmen zum Erreichen seiner Ziele implementiert hat, das Managementsystem. Der mögliche, oft erhebliche Zusatznutzen, der sich aus einem Audit für ein Unternehmen ergeben kann, wird im übernächsten Absatz angesprochen.
Welche Art von Audit zum Einsatz kommt, hängt von der Art der Ziele ab, die ein Unternehmen als „erreicht“ festgestellt haben möchte. Will es – eventuell im Zuge der Vorbereitung auf eine Zertifizierung – wissen, auf welchem Stand es sich in Bezug auf die Erfüllung der jeweiligen Normforderungen befindet, wird es zunächst interne Audits durchführen, danach kann (optional) ein Vor-Audit durch die Zertifizierungsgesellschaft erfolgen; hierbei würde deutlich, ob das betreffende Managementsystem bereits reif für ein Zertifizierungs-Audit ist, das dann letztendlich über eine Zertifizierung entscheidet. Der Vollständigkeit halber sei erwähnt, dass zwischen der Erteilung eines Zertifikates und dem drei Jahre später folgenden Audit zur Rezertifizierung noch zwei jährliche Überwachungs-Audits anstehen.
Ein Audit ist keine Prüfung
Ein Audit ist also keine Prüfungssituation. Es ist ein Vorgang, bei dem das auditierte Unternehmen einen großen Nutzen im Sinn eines echten Mehrwertes erwarten kann – jedenfalls dann, wenn das Unternehmen und der Auditor diesen Gedanken aktiv aufgreifen. Inzwischen gibt es eine große Anzahl von Unternehmen, die im Zuge von Zertifizierungs-Audits neben der Feststellung der Konformität das Aufdecken von Verbesserungspotenzialen geradezu fordern – laut einer aktuellen Umfrage mit ca. 1.000 antwortenden DQS-Kunden erwarten 60 Prozent eine gesteigerte Wertschöpfung für ihr Unternehmen durch „impulsstarke Audits“. Solche Impulse, die nicht mit in diesem Zusammenhang verbotener Beratung verwechselt werden dürfen, geben kompetente und erfahrene Auditoren mit ihrem neutralen Blick auf das Managementsystem und damit auch auf das ganze Unternehmen, denn sie sehen, wo verstecktes Potenzial schlummert.
Berufsbild Auditor Für die Integrität und Zuverlässigkeit von Unternehmen ist das Einhalten von gesetzlichen, behördlichen und normativen Vorgaben und Anforderungen essenziell. Neben dem Feststellen der Konformität können im Rahmen eines Audits unter anderem bewährte Praktiken erkannt, Lücken identifiziert und Optimierungspotenziale aufgedeckt werden. Auditoren können so einen entscheidenden Beitrag für das Unternehmen leisten und haben gute Karriereaussichten in den verschiedensten Branchen. Antworten auf die wichtigsten Fragen finden Sie in unserem Berufsbild zum Auditor:
|
Audit-Arten
Es gibt eine Reihe von Audit-Arten oder -Typen, die auf unterschiedlichen Grundlagen unter bestimmten Voraussetzungen und Bedingung durchgeführt werden. Eine übliche Unterscheidung wird nach dem Status des verantwortlichen Auditors getroffen:
- Die als „1st Party Audits“ bezeichneten Verfahren heißen so, weil sie in der Regel von einem „internen Auditor“ durchgeführt werden, also meist, aber nicht zwingend, von einem dafür geschulten Unternehmensangehörigen. Es ist in diesem Fall nur eine Partei, nämlich das Unternehmen selbst, involviert. Gleichwohl können interne Audits auch von externen Auditoren durchgeführt werden, jedoch nur unter der Voraussetzung, dass für ein eventuelles Zertifizierungs-Audit ein anderer Zertifizierer zum Zuge kommt.
- „2nd Party Audits“ heißen Verfahren, bei denen zwei Parteien involviert sind; Auditor ist hier oft der QMB eines Unternehmens als derjenige, der z. B. ein anderes Unternehmen auf die Eignung als Lieferant auditiert. Auch hier werden heute immer häufiger erfahrene externe Auditoren beauftragt.
- „3rd Party Audits“ schließlich können ausschließlich externe Auditoren (unabhängige Dritte) durchführen, die für das zugrunde liegende Regelwerk zugelassen sind, z. B. bei Zertifizierungs-Audits. In diesem Bereich spielen Akkreditierungen eine entscheidende Rolle.
Regeln für Audits
Ein Audit, das im Zug einer Zertifizierung nach einer ISO-Norm stattfindet, unterliegt den Regeln der ISO bzw. des jeweiligen Akkreditierers, die von akkreditierten Zertifizierungsgesellschaften wie der DQS eingehalten werden müssen. Das bezieht sich in der Praxis zum Beispiel auf die Qualifikation der Auditoren und die korrekte Planung und Lenkung von Audits u. v. a., was in eigens dafür erarbeiteten Normen und Leitfäden dokumentiert ist:
- ISO/IEC 17021:2011 legt die Forderungen an „Stellen, die Managementsysteme auditieren und zertifizieren“ fest.
- ISO/IEC 17065:2013 stellt Forderungen an „Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren“.
- ISO 19011:2011 ist ein Leitfaden zur Auditierung von Managementsystemen.
Wichtig ist bei Letzterem das Stichwort „Leitfaden“, denn ISO 19011 stellt keine klassischen Forderungen, wie ein Audit durchgeführt werden muss, es gibt vielmehr „Anleitungen zum Leiten und Lenken eines Auditprogramms und zum Planen und Durchführen eines Audits“. Bei ISO 19011 wird das interne Audit (1st Party Audit) oder etwa das Lieferantenaudit (2nd Party Audit) behandelt, während ISO 17021 das Zertifizierungsaudit (3rd Party Audit) in den Mittelpunkt stellt. Schließlich arbeiten auch die Akkreditierer auf der Grundlage einer Norm, nämlich ISO 17011.
Verbindliche Bewertungsgrundlagen für Audits und Zertifizierungen kommen jedoch nicht nur von der International Organization for Standardization (ISO). Auch Industriezweige oder Dienstleistungsbereiche entwickeln solche Vorgaben. Zwar haben diese vielfach eher den Charakter von Bewertungskriterien für ein branchenspezifisches Managementsystem – zum Beispiel IATF 16949 für die Automobilindustrie, EN 9100 für die Luft- & Raumfahrtindustrie oder IRIS für die Schienenfahrzeugindustrie; faktisch nehmen die Initiatoren aber damit die Rolle einer Akkreditierungsstelle ein.
Weitere Audit-Arten
Jenseits der klassischen Zertifizierungs-Audits gibt es eine Reihe weiterer Audit-Arten, die jeweils auf einen bestimmten Teilaspekt abzielen. Nachfolgend die häufigsten Arten in einer kurzen Übersicht:
- Prozess- und Organisations-Audits – Möchte ein Unternehmen einzelne (Teil)Prozesse oder Organisationsbereiche auf aufbau- und ablauforganisatorische Tauglichkeit, Störanfälligkeit und/oder Risiken untersuchen lassen, kann es einzelne Prozess- und/oder Organisations-Audits auch außerplanmäßig in Auftrag geben.
- Compliance-Audits – Geht es Unternehmen darum festzustellen, in wie weit seine Geschäftstätigkeiten mit Gesetzen, Verordnungen und sonstigen Regeln oder Vorgaben konform sind, wird ein Compliance-Audit durchgeführt.
- Performance-Audits – Stellt sich ein Unternehmen die sinnvolle Frage, ob es seine unternehmerischen (Teil)Ziele erreicht bzw. ob dies auf effiziente Weise geschieht, wird ein Performance-Audit effektiv dabei unterstützen, den Status Quo zu bestimmen.
- Lieferanten-Audits – Möchte ein Unternehmen (regelmäßig) überprüfen, ob sein Lieferant die an ihn gestellten Vorgaben tatsächlich einhält und den Ansprüchen genügt, vereinbart es ein Lieferanten-Audit.
Audit-Dienstleistungen bei der DQS
Als Spezialist für Audits und Zertifizierungen fokussiert die DQS sich auf die Art und Weise, wie Unternehmen – also die Menschen, Prozesse und Systeme – geführt und organisiert werden. DQS-Audits sind eine dialogstarke, intelligente und individuelle Auseinandersetzung, in die der Auditor seine fachlich hohe Kompetenz und uneingeschränkte Integrität einbringt. Ziel der DQS ist es, dem Management konkrete Anhaltspunkte zu geben, ob ein Managementsystem etabliert ist, verstanden und umgesetzt wird. Und ob es geeignet ist, geplante Ziele zu erreichen.