02533 Auditfragen zur ISO 37301
Interne Systemaudits gehören zum Alltag aller Organisationen, die ein zertifiziertes Managementsystem unterhalten. In diesem Beitrag erhalten Sie einleitende Informationen dazu, auf welchen Grundlagen interne Audits beruhen und welche normativen Regelwerke dabei zu berücksichtigen sind.
Im Kern des Beitrags erfahren Sie, wie Sie interne Audits nach dem internationalen Standard ISO 37301 „Compliance-Managementsysteme – Anforderungen mit Leitlinien zur Anwendung ” durchführen können. Zur Bildung von Auditfragen stellen wir Ihnen dazu die Textanalyse und die Turtle-Analyse vor, die beiden gebräuchlichen Methoden, mit denen Sie recht einfach passende Auditfragen generieren können.
Außerdem erhalten Sie Hinweise zu korrektem Kommunikationsverhalten in verschiedenen Auditsituationen und zur richtigen Fragetechnik, mit der Sie im Audit die für eine Bewertung notwendigen Auditinformationen erhalten.
Zu Ihrer Zeitersparnis finden Sie einen direkt verwendbaren Auditfragenkatalog für das interne Systemaudit, basierend auf den Forderungen der ISO 37301:2021, beigefügt. Arbeitshilfen: von: |
1 Auditprozess und seine Grundlagen
Definition Audit
Nach der ISO 9000 [1] (Normkapitel 3.13.1) ist ein Audit ein „systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiver Auswertung, um zu ermitteln, inwieweit Auditkriterien erfüllt sind”.
Nach der ISO 9000 [1] (Normkapitel 3.13.1) ist ein Audit ein „systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiver Auswertung, um zu ermitteln, inwieweit Auditkriterien erfüllt sind”.
ISO 19011
Zur Vorbereitung und Durchführung von internen Audits und Lieferantenaudits wurde die ISO 19011 [2] entwickelt. Das Management von Zertifizierungsaudits wird in der ISO/IEC 17021-1 [3] geregelt, die ISO 19011 kann dabei als Hilfestellung herangezogen werden.
Zur Vorbereitung und Durchführung von internen Audits und Lieferantenaudits wurde die ISO 19011 [2] entwickelt. Das Management von Zertifizierungsaudits wird in der ISO/IEC 17021-1 [3] geregelt, die ISO 19011 kann dabei als Hilfestellung herangezogen werden.
Tabelle 1 gibt einen zusammenhängenden Überblick über die Auditarten, ihre Bezeichnungen und ihre normative Zuordnung.
Tabelle 1: Auditarten, Bezeichnungen und Anwendungsbereiche von ISO 19011 und ISO/IEC 17021
Audit-Arten | Internes Audit | Externes Audit | |
Lieferantenaudit(ggf. Kunden-Audit) | Zertifizierungs-Audit | ||
Alternative Bezeichnungen | First-Party-Audit | Second-Party-Audit | Third-Party-Audit |
Anwendungsbereich der Normen | ISO 19011 | ISO/IEC 17021 |
Bewertung und Verbesserung
Das Ziel eines internen Systemaudits (First-Party-Audit) besteht darin, das gesamte installierte Compliance-Managementsystem (CMS) eines Unternehmens nach ISO 37301 [4] systematisch zu bewerten und zu verbessern. Die Durchführung obliegt dabei meist geschulten Mitarbeitern des Unternehmens. Bei einem Systemaudit wird die gesamte Aufbau- und Ablauforganisation eines Unternehmens daraufhin überprüft, ob die Normenforderungen der ISO 37301 erfüllt sind und die eigenen Compliance-Ziele erreicht werden konnten.
Das Ziel eines internen Systemaudits (First-Party-Audit) besteht darin, das gesamte installierte Compliance-Managementsystem (CMS) eines Unternehmens nach ISO 37301 [4] systematisch zu bewerten und zu verbessern. Die Durchführung obliegt dabei meist geschulten Mitarbeitern des Unternehmens. Bei einem Systemaudit wird die gesamte Aufbau- und Ablauforganisation eines Unternehmens daraufhin überprüft, ob die Normenforderungen der ISO 37301 erfüllt sind und die eigenen Compliance-Ziele erreicht werden konnten.
Die Anforderungen an interne Audits der ISO 37301 unterscheiden sich im Grundsatz nicht von den Anforderungen anderer Systemnormen wie der ISO 9001, 14001 oder 45001. Methodisch ist ein vergleichbares Vorgehen und eine integrierte Auditdurchführung jederzeit möglich.