Warum benötigt man ein internes Audit?

Ein internes Audit ist für die Einhaltung der jeweils zutreffenden Norm (z.B. ISO 9001, ISO 27001) erforderlich. Die Effektivität des Management Systems muss zuverlässig gewährleistet sein. Dieses interne Prüfung einzelner Prozesse und Systeme folgt einem zuvor festgelegten Zeitplan und Leitfaden. Die Ergebnisse müssen schriftlich dokumentiert sein, damit daraus die Organisation Verbesserungsmaßnahmen einleiten kann. Fehlen die Berichte in der Dokumentation des Managementsystems so kann der leitende Auditor des Zertifizierungsstelle dies als signifikante Hauptabweichung melden. So eine unerwünschte Situation würde die Zertifizierungsstelle hindern ein Zertifikat auszustellen.

Was ist ein internes Audit und wozu dient er?

Dieses „interne Audit“ ist eine Art interne Prüfung einzelner Prozesse und Systeme eines Unternehmens anhand eines zuvor festgelegten Leitfadens oder Kriterienkatalogs. Die Fachliteratur spricht auch von „1st Party Audit“ wenn sie sich auf die Aktivitäten des Internen Auditors bezieht. Dieser Auditor muss in der ISO 27001 Norm fachkundig sein, da er sonst eventuelle interne Aspekte während des Jahres nur schwer begegnen kann.

Welche Vorteile bietet ein internes Audit?

Unternehmen müssen die Notwendigkeit eines internen Audits sowohl aus der Anforderung der ISO 27001 Norm als auch wegen unternehmensinternen Richtlinien sehen. Viele Organisationen haben sich vertraglich verschiedenen Regeln unterworfen. Die Compliance Abteilung muss hierbei sorge tragen, dass die Organisationseinheiten bzw. Abteilungen die Compliance Regeln einhalten. sonst drohen erhebliche Vertragsstrafen. Grundsätzlich gibt es aber auch ohne diese Komplexität viele gute Gründe für ein internes Audit:

  • Voraussetzung für die Zertifizierung: Sind wir normkonform? Klären sie regelmäßig inwieweit Ihr Unternehmen im Rahmen der Zertifizierung die geforderte Normkriterien erfüllt.
  • Schwachstellen und Optimierungspotenziale erkennen: Ein internes Audit Ihres Managementsystem kann viele Vorteile bieten. Die Auditergebnisse helfen gezielt Verbesserungen in Ihrem Unternehmen umzusetzen.

Was beinhaltet ein internes Audit?

Ein „internes Audit“ ist eine Art interne Untersuchung einzelner Prozesse und Systeme der Organisation. Dabei bedient man sich eines festgelegten Leitfadens. Ein Kriterienkatalogs kann ebenfalls bei der Abfrage einzelner Aspekte helfen. Das Managementsystem wird von einem internen Auditor auf die Zielerreichung geprüft.  Das Unternehmens hat bei der Einführung eines Managementsystems (z.B. Qualitätsmanagement, Umweltmanagementsystem, Arbeitssicherheit) bestimmte Ziele festgelegt.

Anders als bei externen Audits werden interne Audits von dem jeweiligen Unternehmen selbst geleitet. Das Audit führen qualifizierte interne Auditoren des Unternehmens. Alternativ kann man diese Aufgabe an einen spezialisierten Dienstleister auslagern. Als Ergebnis des internen Audits sollte ein aussagekräftiger Auditbericht in die Dokumentation des Management Systems (z.B. ISMS, QMS, EMS, IMS) einfließen.

Das interne Audit ist ein wichtiger Teil der Management System Dokumentation

Welche Schritte sind Teil des Internen Audits?

Hier haben wir die einzelnen Phasen dieser Art des 1st Party Audits zusammengefasst. Jede Phase hat spezielle Anforderungen und baut daher auch auf den Ergebnissen der vorangegangenen Phase auf.

Auditplanung (Planungsphase)

Bei der Auditplanung werden die Ziele des internen Audits festgelegt. Dabei plant man den Umfang und die Schwerpunkte der Auditdurchführung. Es ist wichtig zu beschließen, welche Unternehmensbereiche in welchem Zeitraum auditiert werden sollen.

Vorarbeiten zum Audit (Vorbereitungsphase)

Auf Basis der Auditplanung wird die Auditphase vorbereitet: Der Auditleitfaden wird zunächst erstellt. Anschließend ist die Management System Dokumentation zu prüfen. Auf Basis der ersten Erkenntnisse werden die Arbeitspakete der Auditphase weiter spezifiziert. Der leitende Auditor stelle dann das Audit-Team zusammen.Der leitende Auditor muss die konkrete Organisation und zeitlichen Planung der internen Audits durchführen. In mehreren Einzelgesprächen erläutert der leitende Auditor dem jeweiligen Fachbereich die Ziel und den Zweck des geplanten internen Audits.

Durchführung des Internen Audits (Auditphase)

Während der Durchführung des Audits werden einzelne Prozesse beobachtet. Hierzu führt das Auditteam einzelne Gespräche mit den zuständigen Mitarbeitern durch. Zusätzlich erfolgen Interviews mit ausgewählten Mitarbeitern. Die Unternehmensdokumente (z.B. Prozessbeschreibungen, Sicherheitsrichtlinien) und Management Dokumentationen werden dabei im Detail mit den Normvorgaben verglichen. Abweichungen von dem erwünschten Soll-Zustand werden in einer speziellen Dokumentationsvorlage erfasst. Beim Abschlussgespräch mit der Leitungsebene werden diese identifizierten Abweichungen besprochen.

Nachbearbeitung

Während der Nachbereitung muss der leitende interne Auditor einen aussagekräftigen Auditbericht erstellen. Während der Zertifizierung wird der externe Auditor diesen Bericht in den Unterlagen des Managementsystems einsehen wollen.

Umsetzung von Verbesserungsmaßnahmen

Als Folge des internen Audits sollte die Organisation alle Abweichungen in einer Liste sammeln und priorisiert angehen. Diese Liste als auch die Umsetzung der Verbesserungen bzw. Korrekturen muss unbedingt dokumentiert werden. Diese sind wichtige Nachweise der Organisation, dass sie ein gelebtes Management System betreibt.

ISO 27001 Internes Audit Checkliste kostenlos als Download anfordern
Sie können unsere "ISO 27001 Internes Audit" Checkliste für die Dokumentation des erforderlichen Internes Audits verwenden. Sie erhalten die Checkliste hier kostenlos als Download zur Verfügung. Bitte füllen Sie hierzu das folgende Formular aus.