22.02.2024

Steht Ihr Auditprogramm für Ihre internen Audits 2024?

Das Auditprogramm ist eine Zusammenstellung darüber, welche Audits mit welchen Zielen in einem Unternehmen in einem festgelegten Intervall (üblicherweise innerhalb eines Jahres) durchgeführt werden sollen. Auditprogramme können ein oder mehrere Audits einschließen, die unterschiedliche Ziele verfolgen und einzeln oder kombiniert durchgeführt werden. Ein Auditprogramm schließt die Tätigkeiten Planung und Organisation des Audits sowie die Bereitstellung der notwendigen Mittel ein. Sind die allgemeinen Auditziele aus der spezifischen Situation eines Unternehmens aufgestellt und an der übergeordneten Unternehmensstrategie ausgerichtet sowie alle Informationen eingeholt, kann das Auditprogramm unternehmenskonform vorbereitet und erstellt werden. Eine sorgfältige Planung und Vorbereitung ist stets die Voraussetzung für den Erfolg der durchzuführenden Audits.

Grundlegende Vorgehensweise für die Erstellung eines Auditprogramms

Die Grundlage für die Durchführung von internen Audits bildet ein Auditprogramm, in dem für einen festgelegten Zeitraum u.a. die durchzuführenden Audits zusammengefasst sind. Es unterscheidet sich je nach Größe und Art der jeweiligen Organisation und basiert auf der Art, Funktionalität und Komplexität der jeweiligen Organisation sowie auf der Art der Risiken und Chancen und dem Reifegrad des zu auditierenden Managementsystems bzw. mehrerer zu auditierender Managementsysteme.

Auditprogrammziele festlegen

Das Auditprogramm selbst sollte nach Empfehlung der ISO 19011 mit einem Gesamtziel versehen werden. Dabei können z.B. folgende Aspekte als Grundlage dienen:

  • Erfordernisse und Erwartungen der internen und externen Parteien
  • Anforderungen an oder Änderungen von Unternehmensprozessen
  • Anforderungen an oder Änderungen von Produkten und Dienstleistungen
  • Ergebnisse aus der Risiko- und Chancenanalyse
  • Ergebnisse durchgeführter Audits

Nachfolgend werden Beispiele für Auditprogrammziele aufgeführt.

Beispiel

  • Chancen zur Verbesserung des Managementsystems und dessen Leistungsfähigkeit identifizieren
  • feststellen, ob alle relevanten Anforderungen erfüllt werden (Kundenanforderungen, gesetzliche und behördliche Anforderungen, Compliance-Verpflichtungen, Anforderungen zur Zertifizierung nach einer Managementsystemnorm)
  • Fähigkeit zum Erkennen von Risiken und deren Behandlung feststellen
  • prüfen, ob und wie zwei Managementsysteme zusammengeführt werden können

 

Auditkriterien  bestimmen

Entsprechend den Auditzielen, die für das Auditprogramm festgelegt wurden, werden die Auditkriterien für die einzelnen Auditarten bestimmt:

  • Bei einem Systemaudit können die Auditkriterien z.B. Normanforderungen und die internen Anforderungen des Managementsystems (Prozess-, Verfahrens-, Arbeitsanweisungen etc.) sein.
  • Bei einem Prozessaudit können die Auditkriterien die Ziele des Prozesses und eventuelle Kundenvorgaben bezüglich der Prozessstabilität sein.
  • Bei einem Lieferantenaudit kann das Auditkriterium die Einhaltung von Vorgaben und Gesetzen, wie z.B. dem Lieferkettengesetz (LkSG), sein.

Notwendige Informationen zur Erstellung des Auditprogramms

Das Auditprogrammverfahren, das meistens einen ein- bis dreijährigen Durchlaufzyklus besitzt, sollte alle Informationen enthalten, die erforderlich sind, um die Audits innerhalb des festgelegten Zeitrahmens wirksam und effizient durchführen zu können:

  • Ziele für das Auditprogramm
  • Risiken und Chancen mit Maßnahmen in Verbindung mit dem Auditprogramm
  • Umfang der einzelnen Audits (Ausmaß, Grenzen und Standorte, auch virtuelle)
  • Zeitplan der Audits mit Anzahl und Dauer
  • Auditarten (z.B. intern oder extern)
  • Auditkriterien
  • anzuwendende Auditmethoden, vor Ort oder remote/virtuell
  • Kriterien zur Aufstellung eines Auditteams
  • relevante dokumentierte Informationen
  • benötigte Ressourcen auch für Remote-Audits und Audits an virtuellen Standorten

 Hinweis

Die Erstellung und Steuerung des Auditprogramms sollte kompetenten Personen übertragen werden, die ein umfassendes Verständnis der Organisation und der zu auditierenden Standards aufweisen und die Auditprogrammrisiken und -chancen beurteilen können.

 

Die richtige Vorbereitung: Einholen dokumentierter Informationen

Wichtig ist, dass vor der Erstellung eines Auditprogramms ausreichend Vorinformationen eingeholt und dokumentierte Informationen eingesehen werden.

Diese sollten mindestens folgende Fakten liefern:

  • Ziele der Organisation
  • relevante externe und interne Themen
  • Erfordernisse und Erwartungen relevanter interessierter Parteien
  • relevante ausgelagerte Prozesse
  • von der Organisation bestimmte Risiken und Chancen
  • Art der Produkte und Dienstleistungen
  • Informationen zu Standorten (Land, Sprache, Tätigkeiten, Mitarbeiterzahl und alle relevanten Details) einschließlich der virtuellen Standorte (u.a. Sprache(n), virtuelle Tätigkeiten, Angebote, Funktionen oder Prozesse, technische Lösung/Plattform)
  • Informationen zu vorhandenen Managementsystemen
  • Informationen zu relevanten Kriterien (zutreffende Normen, gesetzliche Vorgaben etc.)
  • Anforderungen an Informationssicherheit und Vertraulichkeit
  • Ressourcen und Kompetenz für Remote-Audits und virtuelle Audits
  • relevante dokumentierte Information zum Managementsystem
  • Ergebnisse vorheriger Audits

Betrachtung möglicher Risiken des Auditprogramms

Auditprogramm und Risiken? Sie fragen sich sicher: Was kann es denn überhaupt für Risiken geben? Und welche Chancen bietet ein Auditprogramm? Die ISO 19011 leitet Sie in Abschnitt 5.3 an, die Risiken und Chancen mit Maßnahmen in Verbindung mit dem Auditprogramm zu ermitteln.

Beispiele für Bereiche, in denen Risiken auftreten können, sind:

  • Planung
  • Ressourcen
  • Auswahl des Auditteams
  • Kommunikation
  • Umsetzung
  • Dokumentation
  • Überprüfung und Verbesserung

Es gibt einige Risiken, die entstehen können, wenn die Planung des Auditprogramms nicht vollständig durchdacht wird, wie nachfolgende Tabelle zeigt:

 

Tab. 1:  Beispiele für mögliche Risiken bei einem Auditprogramm
Risikobereich Beispiele für mögliche Risiken
Planung Ermessensspielräume bestehen bei der Auswahl und Festlegung von Umfang, Anzahl, Dauer und bei der Standortauswahl.

Das bedeutet, dass bei der Erstellung des Auditprogramms genau überlegt werden muss, ob tatsächlich Ziele für das Auditprogramm und die einzelnen Audits festgelegt sind – und ob alle relevanten Normen und Standards sowie Anforderungen der Gesetzgeber, Behörden und Kunden berücksichtigt werden.

Ein weiteres Risiko kann sein, dass die Ziele einer Organisation nicht in das Auditprogramm eingeflossen sind und der Kontext der Organisation mit allen relevanten Themen und die interessierten Parteien nicht ausreichend berücksichtigt werden.

Dasselbe gilt, wenn etwaige Änderungen im Kontext, in den Organisationszielen oder im Angebot von Produkten und Dienstleistungen nicht berücksichtigt werden.

Ressourcen Bei der Zuteilung der Ressourcen besteht das größte Risiko darin, dass diese nicht ausreichend zur Verfügung stehen, sei es finanzieller oder personeller Art oder die notwendige Ausrüstung betreffend.

Ein weiteres Risiko besteht darin, dass nicht alle benötigten Kompetenzen intern abgedeckt werden können. Weiterhin kann eine fehlende Kooperationsbereitschaft von Mitarbeitern und Führungskräften zu Risiken für die Erreichung der Auditziele führen.

Auswahl des Auditteams Haben Sie ausreichend interne Auditoren? Werden demnächst interne Auditoren das Unternehmen verlassen? Welche Kompetenzen haben Ihre internen Auditoren? Sind alle erforderlichen Kompetenzen ausreichend vertreten? Wurden im Auditprogramm die Auditteams so zusammengestellt, dass die für das jeweilige Audit erforderlichen Kompetenzen abgedeckt sind?
Kommunikation Risiken können z.B. darin bestehen, dass im Unternehmen nicht alle notwendigen Kommunikationskanäle bekannt sind oder dass nicht alle benötigten Kontaktdaten aktuell sind.
Umsetzung Die größten Umsetzungsrisiken finden sich im Bereich der Informationssicherheit und im Umgang mit vertraulichen Daten im Hinblick auf das Vorhandensein der notwendigen Vorkehrungen.
Dokumentation Risiken können in fehlenden Vorgaben z.B. zum Schutz von Auditaufzeichnungen, zu deren Speicherung oder zum Verteiler bestehen.

Weiterhin können Festlegungen fehlen, welche Auditdokumente wann zu verwenden und mit welchen Inhalten sie zu erstellen sind.

Überprüfung und Verbesserung Das Fehlen von Festlegungen im Hinblick auf die Überprüfung des Auditprogramms oder die Nachvollziehbarkeit dieser Überprüfung können ebenfalls Risiken mit sich bringen.

Betrachtung möglicher Chancen des Auditprogramms

Chancen für die Verbesserung des Auditprogramms liegen z.B. in der Möglichkeit, mehrere Audits anlässlich eines Besuchs durchzuführen, um die Dauer und die Kosten zu minimieren. Weiterhin bieten oft auch Remote-Audits eine Möglichkeit, die Auditdurchführung zu optimieren.

Nachdem alle Risiken und Chancen in der Auditprogrammplanung betrachtet und berücksichtigt wurden, kommt der Ressourcenplanung eine große Bedeutung zu.

Ressourcenplanung

Im Zuge der Auditprogrammplanung müssen die erforderlichen Ressourcen ermittelt und ihre Bereitstellung sichergestellt werden. Dabei sollten nicht nur die finanziellen Ressourcen für die Entwicklung, Verwirklichung, Steuerung und Verbesserung von Auditprogrammen berücksichtigt werden, sondern es sollten z.B. auch folgende Aspekte mit einfließen:

  • Auditmethoden
  • Aufrechterhaltung und Erwerb der notwendigen Qualifikationen der Auditoren
  • Verfügbarkeit von Auditoren
  • Arbeitszeiten
  • Ausstattung für Remote-Audits und Audits an virtuellen Standorten
  • Einweisung in Remote-Audits und Audits an virtuellen Standorten

Freigabe des Auditprogramms durch die oberste Leitung

Das Auditprogramm ist von der obersten Leitung genehmigen zu lassen. Mit ihrer Unterschrift sichert sie die zur Auditplanung, -durchführung und -berichterstattung notwendigen Ressourcen zu. Auch die Risiken und Chancen, die bei der Entwicklung des Auditprogramms und der Ressourcenanforderungen berücksichtigt wurden, sind der obersten Leitung vorzulegen, damit sie angemessen bewertet und mit Maßnahmen versehen werden können.

Wenn das Auditprogramm feststeht und von der obersten Leitung freigegeben wurde, kann mit der Vorbereitung der durchzuführenden Audits begonnen werden. Dabei kommt der Betrachtung der Auditziele und -kriterien oberste Priorität zu.

Ziele und Methoden für die geplanten internen Audits festlegen

Zusammenhang zwischen Auditzielen und Auditkriterien

Nachdem das Auditprogramm erstellt wurde, sollten auch für jedes einzelne der geplanten Audits Ziele und Kriterien festgelegt werden, die auf den Auditgesamtzielen basieren. Auditziele und Auditkriterien sind zwei wichtige Aspekte im Auditprozess. Sie geben den Rahmen vor und damit die Definition für Zweck und Umfang eines Audits. Sie dienen dazu, sicherzustellen, dass ein Audit effektiv und effizient durchgeführt wird.

Auditziele als Grundlage für die Auditkriterien

Auditziele sind richtungsweisend. Sie geben an, was geprüft werden soll, warum dies wichtig ist und welche Ergebnisse erwartet werden. Die Auditziele sind die Grundlage für die Ableitung der Auditkriterien.

Die Auditkriterien werden als Referenz für die Beurteilung und Feststellung einer Konformität bzw. einer Nichtkonformität verwendet. Auditkriterien sind Vorgaben oder Maßstäbe, z.B. Verfahren, Vorgehensweisen, Gesetze oder Normen, die als Bezugsgrundlage dienen. Diese Kriterien ermöglichen es dem Auditor zu beurteilen, ob das auditierte Unternehmen bzw. ein auditierter Prozess die erforderlichen Anforderungen erfüllt oder nicht. Sie bilden damit die Basis für einen objektiven, korrekten und aussagekräftigen Auditbericht.

Auditprogramm überwachen

Der Verantwortliche für das Auditprogramm sollte dieses kontinuierlich überwachen, damit die gesetzten Auditziele erreicht werden. Eine Überwachung kann z.B. durch die Betrachtung folgender Aspekte erfolgen:

  • Wurden die Zeitpläne für die einzelnen Audits eingehalten?
  • Gab es negative Rückmeldung zur Auditdurchführung?
  • Waren die Auditoren in der Lage, den Auditplan umzusetzen?
  • Waren die Auditaufzeichnungen ausreichend, um die Durchführung ausführlich widerzuspiegeln?

Kontinuierliche Verbesserung des Auditprogramms

Ebenso sollte der Verantwortliche für das Auditprogramm dafür sorgen, dass es auch der kontinuierlichen Verbesserung unterliegt. Dazu sollte mindestens einmal pro Jahr eine Bewertung erfolgen, ob die Auditprogrammziele erreicht wurden. Die Erkenntnisse, die sich daraus ableiten lassen, sollten zur Einführung von Verbesserungsmaßnahmen für das Auditprogramm herangezogen werden.

Autor*in: Claudia Brückner