Qualitätsmanagement Was ist ein Audit?

Anbieter zum Thema

Fsas Technologies GmbH

FTAPI Software GmbH

Ein Audit ist eine wichtige Maßnahme im Rahmen des Qualitäts­managements. Während eines Audits erfolgt die Überprüfung von Prozessen, Produkten oder Systemen auf Einhaltung von Vorgaben oder Richtlinien. Solche Betriebsprüfungen können intern oder extern durchgeführt werden.

Der Begriff Audit leitet sich vom lateinischen Verb „audire“ ab, das „hören“ beziehungsweise „zuhören“ bedeutet. Dabei handelt es sich um ein Untersuchungs­verfahren, das die Einhaltung von Vorgaben, Standards oder Richtlinien in einem Unternehmen kontrolliert und dokumentiert. Gegenstand einer Überprüfung können Prozesse, Systeme oder Produkte sein. Durchgeführt wird das Audit von speziell geschulten Auditoren. Abhängig davon, ob die Untersuchung in der eigenen oder in einer fremden Organisation stattfindet, ist die Unterscheidung zwischen internen und externen Prüfungen möglich. Ein erfolgreich durchgeführter Audit kann beispielsweise durch ein Zertifikat einer unabhängigen Organisation bestätigt werden. Diese Überprüfungen sind wichtige Maßnahmen des Qualitätsmanagements.

Die Ziele des Audits

Ein Audit verfolgt mehrere Ziele. Wichtige Ziele sind unter anderem diese:

• Optimierung der Effizienz und Qualität von Unternehmensprozessen, Systemen, Produkten oder Dienstleistungen

• Sicherstellung der Einhaltung wichtiger Qualitätsanforderungen

• Verbesserung der Kundenzufriedenheit

• Verbesserung der Mitarbeiterzufriedenheit

• Qualitätskontrolle von Lieferanten

Eine erfolgreiche Prüfung kann außerdem zum Wettbewerbsvorteil werden. Denn durch die Dokumentation und Zertifizierung der erfolgreichen Durchführung kann sich der Kunde auf eine hohe Effizienz des Unternehmens verlassen.

Welche Arten von Audits gibt es?

Zunächst ist eine grundsätzliche Unterscheidung zwischen internen und externen Überprüfungen möglich. Interne Audits führen Mitglieder der Organisation, Mitarbeiter des Unternehmens oder extern beauftragte Prüfer durch. Zu den externen zählen beispielsweise Lieferantenaudits, die Mitarbeiter oder extern beauftragte Auditoren des Kunden eines Lieferanten durchführen. In der Informationstechnik beziehen sich die Sichtung beispielsweise auf:

• die Einhaltung der Vorgaben eines Softwareprojekts

• die Qualität von Quellcode

• die Schwachstellen und Risiken von IT-Systemen

• die korrekte Lizenzierung von Softwareprodukten

• die Einhaltung von Datenschutzvorgaben

Es gibt drei Arten von Audits, die sowohl intern wie auch extern durchgeführt werden können:

• 1. Prozessaudits unterziehen nur einen bestimmten Prozess der Prüfung, zum Beispiel das Patch-Management, das Identity and Access Management (IAM) oder der Incident-Response-Prozess.

• 2. Systemaudits in der IT-Sicherheit dienen der Bewertung des Informationssicherheitsmanagementsystems (ISMS) hinsichtlich Wirksamkeit und Konformität mit Normen wie ISO/IEC 27001 und kontinuierlicher Verbesserung. Auch der BSI-Grundschutz, die DSGVO, NIS2 oder branchenspezifische Vorgaben und Kundenanforderungen können Kriterien eines Systemaudits sein.

• 3. Bei Produktaudits werden einzelne physische Produkte oder Dienstleistungen auf Einhaltung bestimmter Vorgaben geprüft. In der Cybersecurity könnten dies ein Penetrationstest eines Webportals sein, das Audit eines Verschlüsselungsmoduls oder ein Code-Review einer Software.

Anforderungen an einen Audit nach DIN EN ISO 9001

Wird eine Organisation nach DIN EN ISO 9001 auditiert, sind verschiedene grundlegende Anforderungen einzuhalten. Die Audits müssen der Internationalen Organisation für Normung (ISO) zufolge strukturiert und geplant durchgeführt werden. Sämtliche Kriterien sowie der Umfang und die angewandten Methoden der Prüfung sind zu dokumentieren. Zudem ist sicherzustellen, dass die Planung und Durchführung genau geregelt ist. Alle Ergebnisse werden dokumentiert und der geprüften Organisation zur Verfügung gestellt. Aus den Ergebnissen abgeleitete Maßnahmen sind zu kontrollieren. In regelmäßigen Abständen hat eine erneute Überprüfung stattzufinden.

Wie läuft ein Audit ab?

Audits haben einen geregelten Ablauf. Zunächst findet die Aufstellung eines Plans für die Prüfung und die Vorbereitung darauf statt. Der Auditor führt diese nach Plan durch und dokumentiert alle Ergebnisse in einem Bericht. Auf Basis des Berichts werden Maßnahmen zu eventuell festgestellten Mängeln abgeleitet. Die Nachbereitung der Prüfung umfasst die Umsetzung der Maßnahmen und die Erfolgskontrolle. Ist ein kompletter Prüfzyklus durchlaufen, kann ein erneuter Termin angesetzt werden.

Die Rolle des Auditors

Ein Auditor kann ein interner Mitarbeiter eines Unternehmens, ein internes Mitglied einer Organisation oder ein Beauftragter einer externen Organisation sein. Dieser führt die Prüfung durch und bewertet die Einhaltung der Vorgaben. Existierende Abläufe werden vom Auditor hinterfragt und auf Schwachstellen oder Mängel untersucht. Die Prüfer sind geschult und verfügen über die benötigte Kompetenz zur Durchführung eines Audits. Die Eignung externer Zuständiger wird in der Regel durch eine Zertifizierung nachgewiesen. Wichtig für den Auditor ist seine Neutralität. Er sollte nicht gleichzeitig Prüfer und Verantwortlicher für einen zu auditierenden Bereich sein.

(ID:45745348)