6 Audittätigkeiten
Transcription
6 Audittätigkeiten
Qualifizierung von internen Auditorinnen und Auditoren - Einführung in die Audit-Norm DIN EN ISO 19011:2002 Modul 5 1 Allgemeines Die neue Auditnorm DIN EN ISO 19011:2002 Der Begriff Audit stammt von dem lateinischen Wort "audire" das bedeutet: "Hören". 2 Allgemeines Inhaltsverzeichnis der Norm DIN EN ISO 19011:2002 Vorwort Einleitung 1 Anwendungsbereich 2 Normative Verweise 3 Begriffe 4 Auditprinzipien 5 Management eines Auditprogramms 6 Audittätigkeiten 7 Qualifikation und Bewertung von Auditoren 3 Allgemeines Gliederung der Norm DIN EN ISO 19011:2002 Die Abschnitte 1, 2 und 3 befassen sich mit dem Umfang, normativen Verweisen bzw. Begriffen. Abschnitt 4 beschreibt die Auditprinzipien. Sie sind eine erforderliche Voraussetzung für die Abschnitte 5,6 und 7. Abschnitt 5 gibt Anleitungen für den Aufbau und das Management von Auditprogrammen Abschnitt 6 gibt Anleitungen für die Durchführung der Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemen, einschließlich der Auswahl von Auditteams. Abschnitt 7 gibt Anleitungen zur Qualifikation des Auditors/der Auditorin und beschreibt einen Prozess für die Bewertung von Auditoren. 4 1. Anwendungsbereich Diese Internationale Norm gibt eine Anleitung für • das Management von Auditprogrammen sowie für • die Durchführung interner oder externer Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemen. Sie ist anwendbar für alle Organisationen, die interne oder externe Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemen durchführen müssen oder ein Auditprogramm benötigen. 5 3 Begriffe 3.1 Audit Systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen (3.3) und zu deren objektiver Auswertung, um zu ermitteln, inwieweit Auditkriterien (3.2) erfüllt sind. Anmerkung 3: Wenn Qualitäts- und Umweltmanagementsysteme zusammen auditiert werden, wird dies als "kombiniertes Audit" bezeichnet. Anmerkung 4: Wenn zwei oder mehr Auditorganisationen zusammenarbeiten, um eine zu auditierende Organisation zu auditieren, wird dies als "gemeinschaftliches Audit" bezeichnet . 6 3 Begriffe 3.2 Auditkriterien Satz von Verfahren, Vorgehensweisen oder Anforderungen, der als Referenz herangezogen wird. Anmerkung: Auditkriterien werden als Referenz verwendet, um die Relevanz der Auditnachweise (3.3) zu prüfen. 3.3 Auditnachweis Aufzeichnungen, Tatsachenfeststellungen oder andere Informationen, die für die Auditkriterien (3.2) relevant und verifizierbar sind. Anmerkung: Auditnachweise können qualitativ oder quantitativ sein. 7 3 Begriffe 3.4 Auditfeststellungen Ergebnisse der Beurteilung der zusammengestellten Auditnachweise (3.3) gegen Auditkriterien (3.2). Anmerkung: Auditfeststellungen können entweder Konformität oder Nichtkonformität mit Auditkriterien sowie Verbesserungsmöglichkeiten aufzeigen. 3.5 Auditschlussfolgerung Ergebnis eines Audits (3.1), das das Auditteam (3.9) nach Erwägung der Auditziele und aller Auditfeststellungen (3.4) geliefert hat. 3.6 Auditauftraggeber Organisation oder Person, die ein Audit (3.1) anfordert. Anmerkung: Der Auftraggeber kann die zu auditierende Organisation (3.7) oder eine andere Organisation sein, welche das gesetzliche oder vertragliche Recht hat, ein Audit (3.1) anzufordern. 8 3 Begriffe 3.7 Auditierte Organisation Organisation, die ein Audit (3.1) anfordert 3.8 Auditor Person mit der Qualifikation, ein Audit (3.1) durchzuführen. 3.9 Auditteam ein oder mehrere Auditoren (3.8), die ein Audit (3.1) durchführen, gegebenenfalls unterstützt durch Sachkundige (3.10). Anmerkung 1: Ein Auditor (3.8) des Auditteams wird als Leiter des Auditteams eingesetzt. Anmerkung 2: Zum Auditteam können in der Ausbildung befindliche Auditoren gehören . 9 3 Begriffe 3.10 Sachkundiger Person, die spezielle Kenntnisse oder Fachwissen dem Auditteam (3.9) zur Verfügung stellt. Anmerkung 1: Spezielle Kenntnisse oder Fachwissen beziehen sich auf die Organisation, den Prozess oder die zu auditierende Tätigkeit, die Sprache oder Kultur. Anmerkung 2: ein Sachkundiger handelt nicht als Auditor (3.8) des Auditteams. 3.11 Auditprogramm Satz von einem oder mehreren Audits (3.1), die für einen spezifischen Zeitraum geplant werden und auf einen spezifischen Zweck gerichtet sind. Anmerkung: Ein Auditprogramm schließt alle Tätigkeiten ein, die für die Planung, Organisation und Durchführung von Audits erforderlich sind. 10 3 Begriffe 3.12 Auditplan Beschreibung der Tätigkeiten und Vorkehrungen für ein Audit (3.1) 3.13 Auditumfang Ausmaß und Grenzen eines Audits (3.1). 3.14 Qualifikation demonstrierte persönliche Eigenschaften und nachgewiesene Befähigung, Kenntnisse und Fähigkeiten anzuwenden. Abweichung Der in der QM-Dokumentation festgelegte Zustand bzw. der vorgesehene Ablauf wird nicht vorgefunden . 11 4 Auditprinzipien Die Auditierung stützt sich auf eine Reihe von Prinzipien. Die Einhaltung dieser Prinzipien ist eine Voraussetzung für die Auditschlussfolgerungen, die relevant und ausreichend sind, und um zu ermöglichen, dass Auditoren, unabhängig von einander zu gleichartigen Schlussfolgerungen unter gleichartigen Umständen gelangen. Die Anleitung, die in den verbleibenden Abschnitten (5,6 und 7) dieser Internationalen Norm gegeben wird, beruht auf den nachfolgend dargelegten Prinzipien. 12 4 Auditprinzipien Prinzipien, die sich auf die Auditoren beziehen a) Ethisches Verhalten: die Grundlage des Berufsbildes. Vertrauen, Integrität, Vertraulichkeit und Diskretion sind unabdingbar für das Auditieren. b) Sachliche Darstellung: die Pflicht, wahrheitsgemäß und genau zu berichten Auditfeststellungen, Auditschlussfolgerungen und Auditberichte spiegeln wahrheitsgemäß und genau die Audittätigkeiten wider. Über wesentliche Hindernisse, die während des Audits auftreten, und über nicht bereinigte oder auseinander gehende Auffassungen zwischen dem Auditteam und der auditierten Organisation wird berichtet . 13 4 Auditprinzipien Prinzipien, die sich auf die Auditoren beziehen c) Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt und Urteilsvermögen beim Auditieren. Die Auditoren lassen Sorgfalt walten gemäß der Bedeutung der Aufgabe, die sie erfüllen, und gemäß dem Vertrauen, welches Auditauftraggeber und andere interessierte Parteien in sie setzen. Eine wichtige Voraussetzung ist das Vorhandensein der erforderlichen Qualifikation . 14 4 Auditprinzipien Prinzipien, die sich auf das Audit beziehen d) Unabhängigkeit: die Grundlage für die Unparteilichkeit des Audits und Objektivität der Auditschlussfolgerungen. Auditoren sind unabhängig von der Tätigkeit, die auditiert wird, und sie sind frei von Voreingenommenheit und Interessenkonflikten. Auditoren zeigen Objektivität während des gesamten Auditprozesses, um sicherzustellen, dass die Auditfeststellungen und -schlussfolgerungen nur auf den Nachweisen beruhen . 15 4 Auditprinzipien Prinzipien, die sich auf den Auditprozess beziehen e) Vorgehensweise, die auf Nachweisen beruht: die rationale Grundlage, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen. Auditnachweise sind verifizierbar. Sie beruhen auf Stichproben der verfügbaren Informationen, da ein Audit während eines begrenzten Zeitraums und mit begrenzten Ressourcen vorgenommen wird. Der angemessene Gebrauch der Stichprobennahme ist eng mit dem Vertrauen verbunden, das in die Auditschlussfolgerungen gesetzt werden kann . 16 5 Management eines Auditprogramms Befugnis für das Auditprogramm (Abschnitt 5.1) Handeln Verbesserung des Auditprogramms (Abschnitt 5.6) Festlegung des Auditprogramms (Abschnitte 5.2, 5.3) • Ziele und Umfang (5.2.1, 5.2.2) • Verantwortlichkeiten (5.3.1) • Ressourcen (5.3.2) • Verfahren (5.3.3) Umsetzung des Auditprogramms (Abschnitte 5.4, 5.5) • Planung von Audits (5.4) • Bewertung der Auditoren (5.4) • Auswahl von von Auditteams (5.4) • Lenkung der Audittätigkeiten (5.4) • Führung von Aufzeichnungen (5.5) Überwachung und Bewertung des Auditprogramms (Abschnitt 5.6) • Überwachung und Bewertung (5.6) • Ermittlung des Bedarfs an Vorbeugungs- und Korrekturmaßnahmen (5.6) • Ermittlung von Verbesserungsmöglichkeiten (5.6) Planen Qualifikation und Bewertung von Auditoren (Abschnitt 7) Tun Audittätigkeiten (Abschnitt 6) Prüfen 17 6 Audittätigkeiten Der Abschnitt 6 besteht aus folgenden Absätzen: 6.1 Allgemeines 6.2 Veranlassen des Audits 6.3 Prüfung der Dokumentation 6.4 Vorbereitung auf die Audittätigkeiten vor Ort 6.5 Audittätigkeiten vor Ort 6.6 Erstellung, Genehmigung und Verteilung des Auditberichts 6.7 Abschluss des Audits 6.8 Durchführung von Auditfolgemaßnahmen 18 Veranlassen des Audits (Abschnitt 6.2) 6 Audittätigkeiten • Benennung des Auditteam-Leiters (6.2.1) • Festlegung der Auditziele, des Auditumfangs und der Auditkriterien (6.2.2) • Feststellung der Durchführbarkeit des Audits (6.2.3) • Auswahl des Auditteams (6.2.4) • Herstellung des ersten Kontakts mit der zu auditierenden Organisation (6.2.5) Prüfung der Dokumentation (Abschnitt 6.3) • Bewertung zutreffender Managementsystem- Dokumente, einschließlich Aufzeichnungen und Ermittlung ihrer Konformität hinsichtlich der Auditkriterien Vorbereitung auf die Audittätigkeit vor Ort (Abschnitt 6.4) • Erstellung des Auditplans (6.4.1) • Aufgabenverteilung im Auditteam (6.4.2) • Vorbereitung von Arbeitsdokumenten (6.4.3) Audittätigkeiten vor Ort (Abschnitt 6.5) • Durchführung der Eröffnungsbesprechung (6.5.1) • Kommunikation während des Audits (6.5.2) • Rollen und Verantwortlichkeiten von Betreuern und Beobachtern (6.5.3) • Erfassen und Verifizieren von Informationen (6.5.4) • Treffen von Auditfeststellungen (6.5.5) • Erarbeiten von Auditschlussfolgerungen (6.5.6) • Durchführen der Abschlussbesprechung (6.5.7) Erstellung, Genehmigung und Verteilung des Auditberichts (Abschnitt 6.6) • Erstellung des Auditberichts (6.6.1) • Genehmigung und Verteilung des Auditberichts (6.6.2) Abschluss des Audits (Abschnitt 6.7) • Auditende • Aufbewahrung und Vernichtung von Dokumenten Durchführung von Auditfolgemaßnahmen (Abschnitt 6.8) 19 6 Audittätigkeiten 6.2 Veranlassen des Audits Hierzu führt die Norm folgende Audittätigkeiten auf: 6.2.1 Benennung des Auditteam-Leiters 6.2.2 Festlegung der Auditziele, des Auditumfang und der Auditkriterien 6.2.3 Feststellung der Durchführbarkeit des Audits 6.2.4 Auswahl des Auditteams 6.2.5 Herstellung des ersten Kontakts mit der zu auditierenden Organisation . 20 6 Audittätigkeiten 6.2.2 Festlegung der Auditziele, des Auditumfangs und der Auditkriterien Innerhalb der Gesamtziele eines Auditprogramms sollte ein einzelnes Audit auf dokumentierten Zielen, auf einem dokumentierten Umfang und auf dokumentierten Kriterien beruhen. 21 6 Audittätigkeiten 6.2.2 Festlegung der Auditziele, des Auditumfangs und der Auditkriterien Die Ziele des Audits präzisieren, was durch das Audit erreicht werden soll, sie können z. B. Folgendes enthalten: a) Ermittlung, inwieweit das Managementsystem der auditierten Organisation oder Teile desselben mit Auditkriterien übereinstimmen; b) Beurteilung der Fähigkeit des Managementsystems, die Erfüllung von gesetzlichen, behördlichen und vertraglichen Anforderungen sicherzustellen; c) Beurteilung der Wirksamkeit des Managementsystems in Bezug auf die Erreichung seiner festgelegten Ziele oder d) Aufzeigen von Möglichkeiten zur Verbesserung des Managementsystems . Die Ziele des Audits sollten vom Auditauftraggeber festgelegt werden. 22 6 Audittätigkeiten 6.2.2 Festlegung der Auditziele, des Auditumfangs und der Auditkriterien Der Auditumfang beschreibt das Ausmaß und die Grenzen des Audits, wie zum Beispiel physische Standorte, Organisationseinheiten, Tätigkeiten und Prozesse, die zu auditieren sind, sowie den Zeitraum, der durch das Audit abgedeckt wird. Die Auditkriterien werden als Referenz verwendet, wogegen Konformität festgestellt wird, und können zutreffende Grundsätze, Verfahren, Normen, Gesetze und Bestimmungen, Anforderungen an das Managementsystem, vertragliche Anforderungen oder Verhaltenkodizes der Industriesektoren/Branchen enthalten. Der Umfang und die Kriterien des Audits sollten zwischen dem Auditauftraggeber und dem Auditteam-Leiter in Übereinstimmung mit dem Auditprogramm-Verfahren festgelegt werden. Alle Änderungen der Ziele, des Umfangs oder der Kriterien sollten von den gleichen Parteien neu vereinbart werden. 23 6 Audittätigkeiten 6.2.5 Herstellung des ersten Kontakts mit der zu auditierenden Organisation Der erste Kontakt hinsichtlich des Audits mit der zu auditierenden Organisation kann informell oder formell sein, und er sollte von den Verantwortlichen für das Management des Auditprogramms oder vom Auditteam-Leiter hergestellt werden. Der Zweck des ersten Kontakts ist: a) Kommunikationskanäle mit dem Vertreter der zu auditierenden Organisation festzulegen; b) die Befugnis für die Durchführung des Audits zu bestätigen; c) Information über die vorgesehene Terminplanung und die Zusammensetzung des Auditteams zu geben; d) Zugang zu relevanten Dokumenten, einschließlich Aufzeichnungen, zu ersuchen; 24 6 Audittätigkeiten 6.2.5 Herstellung des ersten Kontakts mit der zu auditierenden Organisation e) Sicherheitsvorschriften zu ermitteln, die vor Ort anzuwenden sind; f) Vorbereitungen für das Audit zu treffen und g) die Anwesenheit von Beobachtern und die Notwendigkeit von Betreuern für das Auditteam abzustimmen . 25 6 Audittätigkeiten 6.4 Vorbereiten auf die Audittätigkeiten vor Ort Hierzu führt die Norm folgende Audittätigkeiten auf: 6.4.1 Erstellung des Auditplans 6.4.2 Aufgabenverteilung im Auditteam 6.4.3 Vorbereitung von Arbeitsdokumenten . 26 6 Audittätigkeiten 6.4.1 Erstellung des Auditplans Der Auditteam-Leiter sollte einen Auditplan als Basis für die Übereinkunft zwischen Auditauftraggeber, Auditteam und zu auditierender Organisation hinsichtlich der Auditdurchführung erarbeiten. Der Detaillierungsgrad der Auditplans sollte den Auditumfang und die Komplexität des Audits widerspiegeln. Die Einzelheiten können sich zum Beispiel hinsichtlich Erstaudits und Folgeaudits aber auch hinsichtlich interner und externer Audits unterscheiden. Der Auditplan sollte ausreichend flexibel sein, um Änderungen zu gestatten, wie zum Beispiel Änderungen im Auditumfang, die beim Fortgang der Audittätigkeiten vor Ort erforderlich werden können. 27 6 Audittätigkeiten 6.4.1 Erstellung des Auditplans Der Auditplan sollte enthalten: a) die Auditziele; b) die Auditkriterien und alle relevanten Referenzdokumente; c) den Auditumfang, einschließlich der Festlegung der zu auditierenden Organisations- und Funktionseinheiten und Prozesse; d) die Termine und Orte, an denen die Audittätigkeiten vor Ort vorgenommen werden sollen; e) vorgesehener Zeitpunkt und Dauer für Audittätigkeiten vor Ort, einschließlich Besprechungen mit der Leitung der zu auditierenden Organisation und Sitzungen des Auditteams; f) die Rollen und Verantwortlichkeiten der Mitglieder des Auditteams und der Begleitpersonen; g) die Bereitstellung der erforderlichen Ressourcen für besonders wichtige Teile des Audits. 28 6 Audittätigkeiten 6.4.1 Erstellung des Auditplans Der Auditplan sollte ebenfalls, soweit angemessen, Folgendes enthalten : h) Benennung des Vertreters der zu auditierenden Organisation für das Audit; i) Arbeits- und Berichtssprache des Audits, wenn sich diese von der Sprache des Auditors bzw. der zu auditierenden Organisation unterscheidet; j) die Themen des Auditberichts; k) logistische Vorkehrungen (Reise, Einrichtung vor Ort, usw.); l) Angelegenheiten der Vertraulichkeit; m) Auditfolgemaßnahmen, soweit zutreffend . 29 6 Audittätigkeiten 6.4.1 Erstellung des Auditplans Der Plan sollte vom Auditauftraggeber geprüft und freigegeben und der zu auditierenden Organisation vorgelegt werden, ehe die Audittätigkeiten vor Ort beginnen. Alle Einwände seitens der zu auditierenden Organisation sollten zwischen dem Auditteam-Leiter, der zu auditierenden Organisation und dem Auditauftraggeber ausgeräumt werden. Falls der Auditplan geändert wird, sollten sich die betroffenen Parteien über den Fortgang einigen, bevor das Audit fortgesetzt wird . 30 6 Audittätigkeiten 6.4.3 Vorbereitung von Arbeitsdokumenten Die Mitglieder der Auditteams sollten die Informationen prüfen, die für ihre Audit-Aufgaben relevant sind und entsprechende Arbeitsdokumente als Referenz und zur Aufzeichnung der Audittätigkeiten vorbereiten. Solche Arbeitsdokumente sind zum Beispiel: a) Checklisten und Pläne für Auditstichproben und b) Formulare für die Aufzeichnung von Informationen, wie z.B. unterstützenden Nachweisen, Auditfeststellungen und Sitzungsprotokollen. Der Gebrauch von Checklisten und Formularen sollte den Umfang von Audittätigkeiten nicht einschränken; diese können sich aufgrund der Informationen, die im Verlauf des Audits gesammelt werden, verändern. 31 6 Audittätigkeiten 6.5 Audittätigkeiten vor Ort Hierzu führt die Norm folgende Audittätigkeiten auf: 6.5.1 Durchführung der Eröffnungsbesprechung 6.5.2 Kommunikation während des Audits 6.5.3 Rollen und Verantwortlichkeiten von Betreuern und Beobachtern 6.5.4 Erfassen und Verifizieren von Informationen 6.5.5 Treffen von Auditfeststellungen 6.5.6 Erarbeiten der Auditschlussfolgerungen 6.5.7 Durchführung der Abschlussbesprechung . 32 6 Audittätigkeiten 6.5.1 Durchführung der Eröffnungsbesprechung Praktische Hilfe - Eröffnungsbesprechung Die folgenden Punkte sollten bei einer Eröffnungsbesprechung, soweit angemessen, behandelt werden: a) Vorstellung der Teilnehmer, einschließlich einer Kurzdarstellung ihrer Rollen; b) Bestätigung der Auditziele, des Auditumfangs und der Auditkriterien; c) Bestätigung des Audit-Zeitplans und anderer relevanter Regelungen mit der zu auditierenden Organisation, wie zum Beispiel Datum und Uhrzeit für die Abschlussbesprechung, Zusammenkünfte in der Zwischenzeit zwischen Auditteam und der Leitung der zu auditierenden Organisation, sowie gegebenenfalls späte Änderungen; 33 6 Audittätigkeiten 6.5.1 Durchführung der Eröffnungsbesprechung Praktische Hilfe - Eröffnungsbesprechung Die folgenden Punkte sollten bei einer Eröffnungsbesprechung, soweit angemessen, behandelt werden: d) Methoden und Verfahren, die für die Durchführung des Audits zur Anwendung kommen sollen, einschließlich des Hinweises an die zu auditierende Organisation, dass die Auditnachweise nur eine Auswahl aus den verfügbaren Informationen sein werden, und dass das Auditieren daher ein Element der Ungewissheit enthält; e) Bestätigung der offiziellen Kommunikationskanäle zwischen dem Auditteam und der zu auditierenden Organisation; f) Bestätigung der Sprache, die während des Audits zu gebrauchen ist; 34 6 Audittätigkeiten 6.5.1 Durchführung der Eröffnungsbesprechung Praktische Hilfe - Eröffnungsbesprechung Die folgenden Punkte sollten bei einer Eröffnungsbesprechung, soweit angemessen, behandelt werden: g) Bestätigung, dass die zu auditierende Organisation während des Audits über den Fortschritt des Audits auf dem Laufenden gehalten wird; h) Bestätigung, dass die vom Auditteam benötigten Ressourcen und Einrichtungen verfügbar sind; i) Bestätigung von Angelegenheiten, die sich auf Vertraulichkeit beziehen; j) Bestätigung zutreffender Arbeitschutz-, Notfall- und Sicherheitsverfahren für das Auditteam; 35 6 Audittätigkeiten 6.5.1 Durchführung der Eröffnungsbesprechung Praktische Hilfe - Eröffnungsbesprechung Die folgenden Punkte sollten bei einer Eröffnungsbesprechung, soweit angemessen, behandelt werden: k) Bestätigung der Verfügbarkeit, der Rollen und Identitäten von etwaigen Betreuern; l) Methoden der Berichterstattung, einschließlich einer eventuellen Klassifizierung von Abweichungen; m) Informationen über Bedingungen, die zum Abbruch des Audits führen können; n) Informationen über eventuelle Einspruchsmöglichkeiten in Bezug auf die Auditdurchführung oder -schlussfolgerungen . 36 6 Audittätigkeiten 6.5.4 Erfassen und Verifizieren von Informationen Nur verifizierbare Informationen können Auditnachweise sein. Auditnachweise sollten aufgezeichnet werden. Anmerkung: Der Auditnachweis beruht auf Stichproben der verfügbaren Informationen. Daher gibt es beim Auditieren ein Element der Ungewissheit, und diejenigen, die auf der Grundlage der Auditschlussfolgerungen handeln, sollten sich dieser Ungewissheit bewusst sein. 37 6 Audittätigkeiten 6.5.4 Erfassen und Verifizieren von Informationen Praktische Hilfe – Informationsquellen Die ausgewählten Informationsquellen können entsprechend dem Umfang und der Komplexität des Audits variieren und Folgendes enthalten: a) Befragungen von Beschäftigten und anderen Personen; b) Beobachtung von Tätigkeiten sowie der Arbeitsumgebung und der Arbeitsbedingungen; c) Dokumente, wie zum Beispiel Politik, Ziele, Pläne, Verfahren, Normen, Anweisungen, Lizenzen und Genehmigungen, Spezifikationen, Zeichnungen, Verträge, Aufträge; d) Aufzeichnungen, wie zum Beispiel Prüfaufzeichnungen, Besprechungsprotokolle, Auditberichte, Aufzeichnungen von Überwachungsprogrammen und Messergebnisse; 38 6 Audittätigkeiten 6.5.4 Erfassen und Verifizieren von Informationen Praktische Hilfe – Informationsquellen e) Zusammenfassungen von Daten, Analysen und Leistungsindikatoren; f) Informationen zu Stichprobenverfahren der zu auditierenden Organisation und sowie über Verfahren zur Kontrolle der Stichprobenverfahren und Messprozesse; g) Berichte aus anderen Quellen, zum Beispiel Informationsrückfluss von Kunden, andere zutreffende Informationen von außenstehenden Parteien und Lieferantenbewertungen; h) Datenbanken und Webseiten . 39 6 Audittätigkeiten 6.5.4 Erfassen und Verifizieren von Informationen Praktische Hilfe –Durchführung von Befragungen Die Befragung ist eines der wichtigen Mittel für die Erfassung von Informationen und sollte in einer Weise durchgeführt werden, die an die Situation und an die befragte Person angepasst ist. Der Auditor sollte jedoch Folgendes beachten: a) Befragungen sollten bei Personen der relevanten Ebenen und Funktionsbereiche vorgenommen werden, die Tätigkeiten oder Aufgaben innerhalb des Auditumfangs ausführen; b) Befragungen sollten während der üblichen Arbeitszeit und wo praktikabel am üblichen Arbeitsplatz der befragten Person vorgenommen werden; c) es sollte alles getan werden, um der zu befragenden Person vor und während der Befragung die Befangenheit zu nehmen; 40 6 Audittätigkeiten 6.5.4 Erfassen und Verifizieren von Informationen Praktische Hilfe –Durchführung von Befragungen d) der Grund für die Befragung und gegebenenfalls die Anfertigung von Aufzeichnungen sollten erläutert werden; e) Befragungen können eingeleitet werden, indem die Personen gebeten werden, ihre Arbeit zu beschreiben; f) Fragen, welche die Antworten vorwegnehmen (Suggestivfragen), sollten vermieden werden; g) die Ergebnisse der Befragungen sollten zusammengefasst und gemeinsam mit der befragten Person bewertet werden; h) den befragten Personen sollte für ihre Teilnahme und ihre Kooperation gedankt werden . 41 6.5.4 Erfassen und Verifizieren von Informationen Informationsquellen Erfassen durch angemessene Stichprobennahme Beurteilung gegenüber Auditkriterien Auditfeststellungen Informationen Bewertung Verifizierung Auditschlussfolgerungen Auditnachweise 42 6 Audittätigkeiten 6.5.5 Treffen von Auditfeststellungen Auditfeststellungen können entweder auf Konformität mit oder Abweichungen von Auditkriterien hinweisen oder, soweit durch die Auditziele festgelegt, können Auditfeststellungen die Möglichkeit für Verbesserungen aufzeigen. Abweichungen und Auditnachweise, deren Feststellungen zu diesen Abweichungen geführt haben, sollten aufgezeichnet werden. Sie sollten mit der auditierten Organisation bewertet werden, um die Bestätigung dafür zu erhalten, dass die Auditnachweise korrekt sind und dass die Abweichungen verstanden werden. Punkte, bei denen keine Übereinstimmung gefunden werden kann, sollten aufgezeichnet werden . 43 6 Audittätigkeiten 6.5.6 Erarbeiten der Auditschlussfolgerungen Praktische Hilfe – Auditschlussfolgerungen Auditschlussfolgerungen können sich mit solchen Fragen befassen, wie: a) Grad der Konformität des Managementsystems mit den Auditkriterien; b) Wirksamkeit der Umsetzung und Aufrechterhaltung sowie Verbesserung des Managementsystems und c) Fähigkeit des Managementbewertungsprozesses, die dauerhafte Eignung, Angemessenheit und Wirksamkeit sowie Verbesserung des Managementsystems sicherzustellen. Falls in den Auditzielen vorgesehen, können Auditschlussfolgerungen zu Empfehlungen in Bezug auf Verbesserungen, Geschäftsbeziehungen, Zertifizierung oder Registrierung oder in Bezug auf zukünftige Audittätigkeiten führen. 44 6 Audittätigkeiten 6.5.7 Durchführung der Abschlussbesprechung Eine Abschlussbesprechung unter Leitung des Auditteam-Leiters sollte durchgeführt werden, um die Auditfeststellungen und –schlussfolgerungen so darzulegen, dass sie von der auditierten Organisation verstanden und bestätigt werden und um, sofern angemessen, den Zeitraum für die auditierten Organisation für die Vorlage eines Korrektur- und Vorbeugungsmaßnahmeplans zu vereinbaren. In vielen Fällen, zum Beispiel bei internen Audits in einer kleinen Organisation, kann die Abschlussbesprechung darin bestehen, dass die Auditfeststellungen und -schlussfolgerungen mitgeteilt werden. Bei anderen Auditsituationen sollte die Sitzung einen offiziellen Charakter haben, und ein Protokoll, einschließlich Anwesenheitsliste, sollte geführt werden . 45 6 Audittätigkeiten 6.5.7 Durchführung der Abschlussbesprechung Alle unterschiedlichen Meinungen in Bezug auf Auditfeststellungen und Auditschlussfolgerungen zwischen dem Auditteam und der auditierten Organisation sollten diskutiert und, wenn möglich, Übereinstimmung gefunden werden. Falls keine Einigung erreicht wird, sollten beide Meinungen aufgezeichnet werden. Falls es in den Auditzielen festgelegt wurde, sollten Empfehlungen für Verbesserungen vorgelegt werden. Es sollte hervorgehoben werden, dass Empfehlungen nicht verbindlich sind . 46 6 Audittätigkeiten 6.6 Erstellung, Genehmigung und Verteilung des Auditberichts Hierzu führt die Norm folgende Audittätigkeiten auf: 6.6.1 Erstellung des Auditberichts 6.6.2 Genehmigung und Verteilung des Auditberichts . 47 6 Audittätigkeiten 6.6.1 Erstellung des Auditberichts Der Auditbericht sollte eine umfassende, genaue, kurzgefasste und eindeutige Aufzeichnung des Audits geben und sollte Folgendes enthalten bzw. auf Folgendes verweisen: a) Zielsetzung des Audits; b) Auditumfang, besonders die Festlegung der Organisations- und Funktionseinheiten oder die Prozesse, die auditiert wurden und Angaben des betrachteten Zeitraums; c) Benennung des Auditauftraggebers; d) Benennung des Leiters und der Mitglieder des Auditteams; e) Termine und Orte, an denen die Audittätigkeiten vor Ort durchgeführt wurden; f) die Auditkriterien; 48 6 Audittätigkeiten 6.6.1 Erstellung des Auditberichts g) die Auditfeststellungen; h) die Auditschlussfolgerungen. Der Auditbericht kann ebenfalls Folgendes enthalten bzw., so angemessen, auf Folgendes verweisen: i) Auditplan; j) Liste der Vertreter der auditierten Organisation; k) Zusammenfassung des Auditprozesses, einschließlich Unsicherheiten bzw. aufgetretener Hindernisse, die das Vertrauen in die Auditschlussfolgerungen verringern könnten; l) Bestätigung, dass die Auditziele innerhalb des Auditumfangs in Übereinstimmung mit dem Auditplan erreicht wurden; 49 6 Audittätigkeiten 6.6.1 Erstellung des Auditberichts Der Auditbericht sollte ebenfalls folgendes enthalten oder, sofern angemessen, auf folgendes verweisen: m) nicht abgedeckte Bereiche, obwohl diese sich im Auditumfang befanden; n) nicht beigelegte Meinungsverschiedenheiten zwischen dem Auditteam und der auditierten Organisation; o) Empfehlungen für Verbesserungen, falls in den Auditzielen vorgesehen; p) vereinbarte Pläne für Folgemaßnahmen, soweit zutreffend; q) Erklärung der Vertraulichkeit des Inhalts; r) Verteilerliste für den Auditbericht . 50 6 Audittätigkeiten 6.6.2 Genehmigung und Verteilung des Auditberichts Der Auditbericht sollte innerhalb des vereinbarten Zeitraums ausgefertigt werden. Wenn dies nicht möglich ist, sollten die Gründe für die Verzögerung dem Auditauftraggeber mitgeteilt werden. Der Auditbericht sollte so datiert, geprüft und genehmigt werden, wie es im Auditprogramm-Verfahren festgelegt ist. Der Auditbericht ist Eigentum des Auditauftraggebers. Die Mitglieder des Auditteams und alle Empfänger des Berichts sollten die Vertraulichkeit des Berichts wahren und schützen . 51 6 Audittätigkeiten 6.7 Abschluss des Audits Das Audit ist beendet, wenn alle Tätigkeiten im Auditplan abgeschlossen worden sind und wenn der genehmigte Auditbericht verteilt worden ist. Dokumente, die sich auf das Audit beziehen, sollten gemäß Übereinkunft zwischen den teilnehmenden Parteien und in Übereinstimmung mit dem Auditprogramm-Verfahren und zutreffenden gesetzlichen, behördlichen und vertraglichen Anforderungen aufbewahrt oder vernichtet werden . 52 6 Audittätigkeiten 6.8 Durchführung von Auditfolgemaßnahmen Die Schlussfolgerungen des Audits können ggf. die Notwendigkeit von Korrektur-, Vorbeugungs- oder Verbesserungsmaßnahmen aufzeigen. Solche Maßnahmen werden üblicherweise von der auditierten Organisation entschieden und innerhalb eines vereinbarten Zeitrahmens durchgeführt und werden nicht als Bestandteil des Audits betrachtet. Die auditierte Organisation sollte den Auditauftraggeber hinsichtlich des Standes der Umsetzung dieser Maßnahmen auf dem Laufenden halten. Der Abschluss und die Wirksamkeit der Korrekturmaßnahmen sollten verifiziert werden. Diese Verifizierung kann Bestandteil eines nachfolgenden Audits sein . 53