Audit – Planung und Durchführung

An ein Audit werden hohe Anforderungen gestellt. Es geht nicht darum, mal schnell zu schauen und einen Bericht zu erstellen, sondern das Audit stellt eine Qualitätskontrolle dar. Werden die aus Normen und Standards, aber auch aus eigenen Richtlinien definierten Tätigkeiten auch entsprechend umgesetzt und gelebt? Einen Schuldigen für Fehler zu suchen, ist aber nicht das Ziel, sondern Abweichungen und Verbesserungsmöglichkeiten zu erkennen. Als Ergebnis kann das Managementsystem stetig verbessert und optimiert werden. 

© Storyblocks, Registriert auf Andreas Wisler

Die ISO 19011 hilft, passende Auditoren zu finden, das Audit zu planen und durchzuführen. Die Norm trägt den Titel «Leitfaden zur Auditierung von Managementsystemen / Guidelines for auditing management systems (ISO 19011:2018)». In Kapitel 3 werden zuerst die Begriffe definiert. So zum Beispiel der Unterschied zwischen «kombiniertes Audit» und «gemeinschaftliches Audit». Auch was ein Nachweis und was eine Feststellung ist, wird erläutert.

Das Kapitel 4 definiert die notwendigen Prinzipien, um ein Audit objektiv, vollständig und korrekt durchführen zu können. Dabei werden folgende Anforderungen gestellt:

  • Integrität: die Auditoren müssen die notwendige Professionalität mitbringen, ehrlich und verantwortungsvoll sein. Nur wenn die entsprechende Kompetenz vorhanden ist, darf dieses Gebiet auch überprüft werden. Bei vielen Zertifizierungsfirmen muss die auditierende Person mehrjährige Erfahrung im Bereich des Kunden mitbringen. Zum Beispiel im Finanzwesen, Medizin, IT oä. Die notwendige Kompetenz der Auditoren wird umfassend im Kapitel 7 beschrieben.
  • Sachlichkeit: Werden abweichende Punkte festgestellt, sollten diese offen und wahrheitsgemäss festgehalten werden. Gibt es Meinungsverschiedenheiten gehören diese ebenfalls in den Bericht. Die Kommunikation sollte wahrheitsgetreu, genau, objektiv, zeitgerecht, klar und vollständig sein.
  • Sorgfalt: Bei den Kontrollen braucht es oft Fingerspitzengefühl. Sei dies bei Interviews, aber auch bei technischen Kontrollen. So dürfen beispielsweise Systeme und Einstellungen auf keinen Fall verändert werden.
  • Vertraulichkeit: eigentlich selbstverständlich, aber trotzdem erwähnenswert. Über Ergebnisse und Erkenntnisse wird nicht mit anderen Personen diskutiert, egal ob beim Kunden, bei der Auditgesellschaft oder im eigenen Umfeld ist. Alle Unterlagen gilt es korrekt und vor fremden Zugriffen geschützt aufzubewahren.
  • Unabhängigkeit: Die Auditoren müssen ihre Arbeit unabhängig durchführen. Es darf keine Interessenskonflikte geben. Ein Auditor kann beispielsweise nicht das Unternehmen beraten und dann das Zertifizierungsaudit durchführen. Dies sollte, wenn immer möglich, auch nicht durch die gleiche Firma erfolgen. Ein Team berät, das andere auditiert. Hier ist eine Unabhängigkeit nicht gewährleistet.
  • Faktenbasierend: Werden Abweichungen festgestellt, müssen diese nachvollziehbar sein. Hörensagen, oft in Pausengesprächen etwas aufgeschnappt, gilt nicht als Nachweis. Der Auditor muss Aussagen immer prüfen und genau festhalten.
  • Risikobasierend: Es ist nicht möglich, alle Prozesse, jeden Schritt darin im Detail zu untersuchen. Im Vorfeld gilt es festzuhalten, wo sind hohe Risiken vorhanden. Diese Gebiete werden genauer und tiefer untersucht als weniger kritische. Weggelassen dürfen aber keine Prüfpunkte.


Das Kapitel 5 beinhaltet die Steuerung des Audits. Nachfolgende Punkte gilt es zu definieren:

  • Audit-Ziele: Das Audit-Programm richtet sich an die Grösse und Komplexität des Unternehmens. Werden diese outgesourced? Sind viele internen und externen Personen involviert? Sind viele, teilweise komplexe Prozesse vorhanden? Gibt es mehrere Standorte? Daher wird vor dem Audit der Kontext des Unternehmens verlangt (siehe Kontext des Unternehmens). Darin sind die Ziele des Unternehmens, die relevante internen und externen Themen, die Erfordernisse und Erwartungen interessierter Parteien sowie die Anforderungen an die Informationssicherheit und den Datenschutz definiert.
  • Risiken und Chancen während des Audits. Nachfolgende Fragen gilt es selbstkritisch zu stellen: Wurde das Audit optimal geplant? Sind genügend Ressourcen vorhanden (Zeit, kompetente Auditoren, Hilfsmittel, etc.)? Funktioniert die interne und externe Kommunikation? Wurden Kontrollen korrekt geplant? Ist definiert, wie die (Audit-) Dokumente gelenkt werden (Erstellung, Korrektur, Überprüfung durch vorgesetzte Stelle, Freigabe, Kommunikation mit auditiertem Unternehmen)?
  • Festlegen des Auditprogramms. Nach der Bewertung der möglichen Risiken wird das Audit-Programm erstellt. Wer führt den Lead des Audits? Werden weitere Auditoren benötigt (z.B. bei fehlendem Fachwissen)? Wurde bereits ein Audit bei diesem Unternehmen durchgeführt? Wie sahen die Resultate aus? Wie sieht der neue Zeitplan aus? Welche Audit-Methoden werden angewendet (Interview, Stichproben, technische Kontrollen, Begehungen, etc.)? Welche Standorte werden angeschaut? Welche Personen werden interviewt? Welche Sprache(n) wird gesprochen? Braucht es einen Dolmetscher? Welche Prozesse, Systeme und/oder Applikationen werden angeschaut? Wie werden die Resultate und Erkenntnisse dokumentiert? Wie werden allfällige Probleme behandelt?


Mit dieser seriösen Vorarbeit kann das Audit durchgeführt werden. Das Kapitel 6 beschreibt alle notwendigen Schritte:

  • Zuerst wird der Kontakt mit der auditierten Organisation aufgenommen. Dabei wird festgehalten, über welche Kanäle kommuniziert wird (Stichwort Vertraulichkeit der Informationen), es wird nochmals die Befugnis für das Audit abgeholt, Audit-Umfang und -Ziele besprochen, geltende gesetzliche und firmeninterne Anforderungen geklärt, notwendige Vorbereitungen abgemacht und das Audit-Team bekanntgegeben.
  • Das auditierte Unternehmen liefert anschliessend die vom Audit-Leiter verlangte Dokumente zur Vorbereitung der Auditoren. Dazu gehören der Anwendungsbereich, die Informationssicherheitsrichtlinie, Rollen und Verantwortlichkeiten, wichtige Prozesse (nicht nur auf Informationssicherheit bezogen), frühere Audit-Resultate (z.B. aus internen Audits) und auf die Ziele des Audits ausgerichtete Dokumentationen.
  • Die gelieferten Unterlagen werden vom Audit-Team studiert und erste Erkenntnisse notiert. Allenfalls ist es notwendig, kleine Anpassungen am Audit-Zeitplan vorzunehmen, Themengebiete anzupassen oder zu erweitern.
  • Nun kann endlich das Audit stattfinden. Im Eröffnungsgespräch werden die Auditoren sowie die involvierten Personen des Unternehmens vorgestellt und nochmals kurz der Tagesablauf besprochen, notwendige Anpassungen vorgenommen und offene Fragen geklärt.
  • Die geplanten Themen werden gemäss Audit-Plan durchgearbeitet, Unklarheiten besprochen und Nachweise schriftlich festgehalten. Der Lead-Auditor sammelt diese und prüft, ob alles verständlich und nachvollziehbar ist. 
  • Das Auditoren-Team bereitet im Anschluss das Schlussgespräch vor, überprüft nochmals alle Feststellungen und bewertet diese.
  • Die Abweichungen und Empfehlungen werden im Audit-Schlussgespräch den involvierten Personen mitgeteilt. Das Ziel ist es, dass alle wissen, um welche Punkte es sich handelt und dass diese auch verstanden sind. Je nach Schweregrad der Abweichungen wird eine Frist zwischen einem Monat und einem Jahr zur Behebung definiert. Reicht es aus, einen schriftlichen Nachweis zur Umsetzung zu liefern oder müssen die Auditoren nochmals vorbeikommen? Auch dies wird mit dem Unternehmen besprochen.
  • Im letzten Schritt wird der Audit-Bericht erstellt. Hier werden nochmals die Ziele, der Audit-Umfang sowie -Kriterien und die Auditoren erwähnt. Weiter folgen die Auditfeststellungen und die dazugehörenden Nachweise, die Schlussfolgerungen daraus und ob das Audit bestanden wurde oder nicht. Ergänzend können die geforderten Massnahmen erläutert werden.
  • Dieser Audit-Bericht wird nach einem Qualitäts-Review dem auditierten Unternehmen zugestellt. 


Das Kapitel 7 geht umfassend auf die Kompetenz von Auditoren ein. Folgende Punkte werden aufgezählt:

  • Ethisches Verhalten
  • Aufgeschlossenheit
  • Aufmerksamkeit
  • Aufnahmefähigkeit
  • Vielseitigkeit
  • Hartnäckigkeit
  • Entscheidungsfähigkeit
  • Selbstsicherheit
  • Standhaftigkeit
  • Offenheit
  • Kulturelle Sensibilität
  • Teamfähigkeit
  • disziplin- und branchenspezifisches Wissen und -spezifische Fertigkeiten


Zu den Tätigkeiten gehören:

  • Risiken und Chancen sowie die Prinzipien des risikobasierten Ansatzes des Auditierens verstehen
  • Effektives Planen
  • Zeitplan einhalten
  • Richtige Prioritäten setzen
  • Wirksame Kommunikation in Wort und Schrift
  • Informationen durch Befragung, Zuhören, Beobachten sowie Überprüfung sammeln
  • Stichproben gut auszuwählen
  • Meinungen von anderen berücksichtigen
  • Audit von A bis Z durchführen
  • Genauigkeit der Resultate
  • Hinlänglichkeit und Angemessenheit bei der Erarbeitung der Auditnachweise
  • Audittätigkeiten und Auditfeststellung korrekt festhalten
  • Vertraulichkeit und Sicherheit gewährleisten
  • Kennen der Managementsystem-Normen und sonstigen Referenzen
  • Schnelles Verständnis für die Organisation und ihres Kontexts
  • gesetzliche und behördliche Anforderungen kennen und auf das Unternehmen adaptieren


Der Anhang rundet das Dokument ab. Darin enthalten sind:

  • Wie Audit-Methoden angewendet werden (unterschieden nach Vor-Ort und aus der Ferne)
  • Definition von «Fachmännisches Urteil», «Leistungsbezogene Ergebnisse»
  • Beschreibung, wie Informationen verifiziert werden
  • Anleitung, wie gute Stichproben gezogen (z.B. Grösse) und Informationsquellen ausgewählt werden
  • Auditieren von Compliance-Anforderungen, damit keine gesetzlichen oder vertraglichen Anforderungen vergessen gehen
  • Wie der Kontext eines Unternehmens idealerweise geprüft wird
  • Vorgehen zum Auditieren der Themen Führung und Verpflichtung, also der Verantwortung des Top Managements
  • Auditieren von Risken und Chancen sowie möglicher Lieferketten
  • Nachweis des Lebenszyklus des Managementsystems
  • Wie Auditarbeitsunterlagen aussehen sollten
  • Wie die Begehung vor Ort durchgeführt wird
  • Wie virtuelle Tätigkeiten auditiert werden können
  • Wie gute Befragungen durchgeführt werden (z.B. offene anstelle von geschlossenen Fragen stellen)
  • Und zu guter Letzt, wie Auditfeststellungen bestimmt, aufgezeichnet und festgehalten werden müssen


Die ISO 19011 ist ein sehr umfassendes Dokument, welches alle Anforderungen an Audits definiert. Von der Planung, der Durchführung bis zum Schlussbericht sind alle Schritte ausführlich beschrieben. Ebenfalls sind die notwendigen Kompetenzen von Auditoren enthalten. Dieses Dokument lohnt sich für alle, die selbst Audits durchführen müssen oder sich auf ein Audit vorbereiten möchten.

ISO 27002:2021 – Die Informationssicherheit in neu...
Der Security Kreislauf

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Guest
Dienstag, 09. März 2021

Captcha Image

By accepting you will be accessing a service provided by a third-party external to https://27001.blog/