Interne Audits: Von der Planung, über die Durchführung, bis hin zur Nachbereitung

Woher weiß ein Unternehmer nach der Einführung eines Qualitätsmanagementsystems (QMS), ob das aufwendig erarbeitete System eigentlich noch von den Mitarbeitenden angewendet wird? Und welchen Reifegrad es mittlerweile erreicht hat? Oder ob die dokumentierten, verbindlichen Regelungen zwar alle aufgeschrieben wurden, die Mitarbeitenden sie jedoch ein oder zwei Jahre nach der Implementierung ignorieren und es doch so machen „wie früher“. Genau dafür kennt das Qualitätsmanagement das Werkzeug des „Internen Audits“. In diesem Beitrag erläutere ich Ihnen, was genau ein Internes Audit ist, wie wertvoll es sein kann und was Sie dadurch erreichen können.

1. Was ist ein internes Audit?

Der Begriff „Audit“ leitet sich vom lateinischen Wort „audire“ ab, was „hören“ bedeutet. Im erweiterten Sinne geht es also darum, durch Befragungen (hören), Beobachtungen (sehen) und Dokumentenprüfungen zu erkennen, ob bestimmte Anforderungen, wie die der DIN EN ISO 9001, umgesetzt werden.

Der Begriff „Intern“ drückt aus, dass es sich um die Sicht des Unternehmens auf die eigene Organisation handelt. Bei einem internen Audit können auch betriebsfremde Personen anwesend sein, z. B. der IT-Systemadministrator vom IT-Systemhaus, oder es kann durch eine externe Person, z. B. einen Unternehmensberater, geleitet werden. Sie alle haben die Innensicht auf das Unternehmen, weil sie mithelfen, die Strukturen aufzubauen, aufrechtzuerhalten und zu verbessern. Werden Mängel festgestellt, helfen sie auch, diese zu beseitigen und sind demnach nicht neutral. Die Einbeziehung eines Beraters oder eines Dienstleisters kann sehr hilfreich sein, um z. B. zu überprüfen, ob durch bestimmte Technik-Einstellungen tatsächlich der Datenschutz gewährt wird. Durch den „Blick von außen“ wird man überhaupt in die Lage versetzt, das eigene Unternehmen kritisch betrachten zu können.

Neben den „internen Audits“ gibt es die „externen Audits“. Das sind – meist in Folge auf ein internes Audit – die Zertifizierungsaudits. Diese werden durch einen unabhängigen Dritten, den externen Auditor einer Zertifizierungsgesellschaft, durchgeführt. Der externe Auditor prüft, ob eine Normen-Anforderung eingehalten wird oder nicht. Dementsprechend erhält das Unternehmen bei positiver Beurteilung ein Zertifikat. Das interne Audit kann auch als Probelauf für das anschließende Zertifizierungsaudit genutzt werden.

Zweck eines Audits ist nicht, Fehler und Schwachstellen zu finden – obwohl diese häufig die Auslöser für Verbesserungen sind. Je nachdem, was überprüft wird, kann es das Ziel sein, den Entwicklungsstand zu einem Thema festzustellen (der sogenannte „Reifegrad“). Beispielsweise gibt es beim Datenschutz Mindeststandards, die zwingend eingehalten werden müssen. Es gibt aber auch weitere hilfreiche Maßnahmen, die das Unternehmen noch besser gegen Hackerangriffe oder Datendiebstahl absichern. Sie gehen möglicherweise über die Mindeststandards hinaus. Als einfacher Vergleich dient das deutsche Schulnoten-System von 1 bis 6: Schüler mit einer Note 1-4 haben bestanden, nur unterschiedlich gut. Schüler mit einer Note 5-6 erfüllen die Mindeststandards nicht. Reifegrad-Modelle können alternativ in Punkten oder Prozenten ausgedrückt werden (z. B. 1 von 10“ oder „30% von 100%“).

2. Planung eines Audits

Eine sorgfältige Planung des Audits ist das A&O, um dieses erfolgreich und effizient durchzuführen. Nur so können Unklarheiten vor der Durchführung beseitigt werden. Bei der Planung geht es z. B. um die Fragen:

  • Welcher Bereich soll auditiert werden (Audit-Geltungsbereich)? Das gesamte Unternehmen? Eine Abteilung? Ein Prozess? Ein Thema (z. B. Arbeitsschutz, Lagerhaltung)?
  • Was soll auditiert werden (Audit-Gegenstand)?
  • Wann soll das Audit stattfinden (Datum, Uhrzeit)?
  • Wer soll beim Audit anwesend sein? Welche Ansprechpartner sollten währende des Audits zur Verfügung stehen? (Audit-Teilnehmer)
  • Wer wird das Audit leiten? (Auditor)
  • Wird es einen oder mehrere Auditoren geben (z. B. mit verschiedenen Fachgebieten)? Können sie parallel auditieren oder bleiben alle zusammen? (Auditorenteam)
  • Wie lang soll das Audit sein? (Audit-Dauer)
  • Welche Dokumente sollen geprüft werden? (Audit-Gegenstand)
  • Wer protokolliert das Audit? Und wie? (Audit-Bericht)

Die finale Planung wird im Auditplan (auch „Auditrahmenplan“) festgehalten. Darin enthalten oder als separates Dokument kann es dann zusätzlich den „Auditzeitplan“ geben.

3. Durchführung eines Audits

„in medias res“ (der Sprung mitten ins Geschehen) ist gut für den Start eines Romans. Bei einem Audit dagegen ist es hilfreich, zunächst zu warten, bis alle Beteiligten anwesend und „angekommen“ sind.

Nach der Begrüßung und ggf. Vorstellung der Auditoren und Teilnehmer sollte zunächst noch einmal der Ablauf besprochen werden. Möglicherweise haben nicht alle den Auditplan gelesen, sich nur auf ihren Abschnitt konzentriert oder den Plan schon wieder vergessen.

Früher waren Audits oft sehr gefürchtet, da die Mitarbeitenden der auditierten Abteilung Angst vor einer schlechten Bewertung, einem herrscherischen, scheinbar willkürlichen Auftreten des Auditors oder einem polizeiähnlichen Verhör mit drangsalierenden Maßnahmen hatten. Das hat sich sehr verändert. Bei der DGQ (Deutsche Gesellschaft für Qualität), bei der ich meine Ausbildung gemacht habe, liegt der Schwerpunkt schon lange auf kooperativen Audits. Auch von Prüforganisationen durchgeführte Audits werden mittlerweile sehr viel freundlicher und entgegenkommender durchgeführt.

Heute stelle ich fest, dass die Mitarbeitenden meist nur Angst vor dem Unbekannten haben, weil sie vielleicht noch nie ein Audit miterlebt haben. Deswegen ist es sehr hilfreich, wenn der Auditor nicht nur stur Fragen stellt und Antworten erwartet, sondern auch erklärt, was er mit der Frage bezwecken möchte. Manchmal ist dies erst nach Beantwortung der Frage möglich, um keine verfälschte Aussage zu erhalten. Die Erklärungen fördern das Verständnis der Auditierten für die Gesamt-Situation und die Bereitschaft, weitere Antworten zu geben – und vielleicht sogar selbst Sachverhalte zu hinterfragen. Ich habe damit in den Audits sehr gute Erfahrungen gemacht – spätestens nach 10 Minuten ist das Eis gebrochen und die Mitarbeitenden, die manchmal vorher schrecklich nervös waren, haben Freude am weiteren Verlauf.

Grundsätzlich schaden Freundlichkeit und Höflichkeit grundsätzlich nie. So wird die Überprüfungssituation zwischenmenschlich angenehmer, der gegenseitige Respekt zeigt, dass das Gespräch auf Augenhöhe geführt wird, und selbst die Feststellung größerer Abweichungen (Major Abweichungen – Gegenteil: Minor Abweichungen), können von den Auditierten besser aufgenommen werden. Wenn sich ein Team im Vergleich zum vorherigen Audit deutlich verbessert hat, darf das auch mit ein paar anerkennenden Worten zum Ausdruck gebracht werden. Ebenfalls setzt sich der positive Umgang mit Fehlern und die Einsicht, dass man aus Fehlern lernen und oft in sehr kurzer Zeit erhebliche Verbesserungs-Fortschritte erzielen kann, immer mehr durch. Dadurch werden die Mitarbeitenden offener für das Erkennen von Mängeln und Fehlern. Zudem sind sie eher bereit, an deren Behebung mitzuarbeiten.

4. Nachbereitung eines Audits

Zu jedem guten Audit gehört abschließend ein Protokoll bzw. ein Bericht, aus dem hervorgeht, was auditiert wurde und zu welchem Ergebnis die Überprüfung kam. Auch eine Maßnahmenliste kann Teil der Dokumentation sein. So kann die Abweichung zwischen Ist- und Soll-Zustand strukturiert reduziert werden.


Referenzen:

GAMP 5 Guide 2nd Edition (https://ispe.org/publications/guidance-documents/gamp-5-guide-2nd-edition)

Bildnachweis:

iStock.com/ninitta

Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Nach oben scrollen