In einer Welt, in der sich Vorschriften, Technologien, Geschäftsrisiken und Erwartungen der Interessengruppen kontinuierlich ändern und die von Dienstleistungsunternehmen angebotenen Lösungen beeinflussen, ist ein effektives, risikobasiertes Auditprogramm wichtiger denn je. Auch die ISO-Managementnormen stellen im Abschnitt 9.2.2 zu internen Audits entsprechende Anforderungen: „Die Organisation muss ein oder mehrere Auditprogramme planen, einführen, umsetzen und aufrechterhalten (...), wobei die Bedeutung der beteiligten Prozesse, die die Organisation betreffenden Änderungen und die Ergebnisse früherer Audits zu berücksichtigen sind.“
Dennoch höre ich von Teilnehmern meiner Schulungen immer wieder, dass Organisationen Auditprogramme mit einem festen Zyklus erstellen, der sich oft an der Gültigkeitsdauer eines ISO-Zertifikats orientiert. Dann wird ein Programm für drei Jahre erstellt, in dem jeder Prozess oder ISO-Paragraf mindestens einmal alle drei Jahre bewertet wird, „weil das die ISO verlangt“. Das Ergebnis eines solchen „in Stein gemeißelten“ Programms ist, dass Audits zu viel Zeit mit weniger relevanten Prozessen verbringen, während die tatsächlichen Risiken nicht ausreichend in den Fokus gerückt werden und daher zu spät oder gar nicht entdeckt werden.
Dieser Ansatz erschwert proaktives Handeln und kann zu einem falschen Sicherheitsgefühl führen. Im Rahmen von LRQA-Schulungen helfen wir Auditoren daher, eine andere Denkweise zu entwickeln: nicht nur die Einhaltung von Regeln zu überprüfen, sondern echte Risiken zu identifizieren und Chancen zu nutzen.
Die Kernprinzipien eines risikobasierten Auditprogramms
Ein risikobasierter Ansatz stellt sicher, dass sich Audits auf die Bereiche konzentrieren, die den größten Einfluss auf die Organisation haben. Aber wie setzt man dies in die Praxis um? Und wie stellt man sicher, dass Audits nicht nur ein Kontrollmechanismus bleiben, „weil die ISO dies verlangt“, sondern auch einen echten Mehrwert bieten?
Ein risikobasiertes Auditprogramm erfordert eine andere Denkweise. Dies sind die Kernprinzipien, die ich in meinen Schulungen hervorhebe:
1. Die tatsächlichen Risiken bestimmen
Ein risikobasiertes Auditprogramm beginnt mit einer gründlichen Risikoanalyse. Das bedeutet, dass Sie interne und externe Faktoren betrachten müssen, die sich auf die Organisation auswirken, wie z. B. sich ändernde Gesetze und Vorschriften, Technologie, Marktentwicklungen und Erwartungen der Interessengruppen. Sie müssen auch bestimmen, welche Prozesse im Hinblick auf die für die Organisation wichtigen Aspekte am kritischsten sind. Dazu gehören Kundenzufriedenheit, Produktqualität, (Lebensmittel-)Sicherheit, Umweltauswirkungen usw.
2. Flexibilität statt Starrheit
Es ist sinnvoll, zunächst ein Erstauditprogramm zu erstellen, in dem alle Prozesse enthalten sind, wobei die wichtigen Prozesse häufiger (und mit mehr Tiefe in der Umsetzung) geplant werden als die weniger wichtigen Prozesse.
Außerdem muss das Programm Raum für die Anpassung an sich ändernde Umstände bieten. Denken Sie beispielsweise an einen neuen Lieferanten, eine Gesetzesänderung oder die Folgen eines Zwischenfalls. Halten Sie also Zeitfenster frei, um auf derartige Ereignisse reagieren zu können, um Flexibilität und Widerstandsfähigkeit zu gewährleisten.
3. Konzentrieren Sie sich auf Effektivität, nicht nur auf Konformität
Eine risikobasierte Auditierung muss über die Überprüfung, ob Mitarbeiter die Regeln befolgen, hinausgehen. Auch hierzu ist der ISO-Paragraph eindeutig: „9.2.1 Die Organisation muss interne Audits in geplanten Abständen durchführen, um Informationen darüber zu erhalten, ob das QMS (...) a) die eigenen Anforderungen der Organisation (...) erfüllt und b) wirksam umgesetzt und aufrechterhalten wurde.“
Natürlich ist es wichtig, festzustellen, inwieweit Vereinbarungen eingehalten werden (und wenn nicht, was der (oft berechtigte) Grund dafür ist). Entscheidend ist jedoch, ob ein Prozess auch effektiv ist. Was ist das beabsichtigte Ergebnis, welche Ziele wurden festgelegt? Eine gute Frage, die man sich immer stellen sollte, ist: Was bedeutet „gut“? Und was haben Sie veranlasst, um sicherzustellen, dass Sie es tatsächlich erreichen (d. h. welche Risiken haben Sie erkannt und minimiert)?
4. Beziehen Sie das Management ein
Audits stehen nicht für sich allein, sondern sind Teil der Fähigkeit der Organisation zur Selbsterneuerung. Gute interne Audits liefern wertvolle Beiträge für strategische Entscheidungen. Nicht ohne Grund gehören die Ergebnisse interner Audits zu den festen Bestandteilen, die ein Vorstand bei der Vorstandsbeurteilung als Grundlage für Verbesserungen berücksichtigen muss.
Ein risikobasiertes Auditprogramm erfordert daher regelmäßige Rücksprachen zwischen dem internen Auditteam und dem Vorstand. Welche Anliegen hat der Vorstand, was möchte er prüfen lassen, worüber möchte er Gewissheit haben, was interessiert ihn usw.? Je spezifischer die Bedürfnisse der Geschäftsführung sind, desto gezielter können die internen Audits sein. Ein weiterer Vorteil: Die Wahrscheinlichkeit, dass interne Auditberichte ungelesen in Schubladen verschwinden, ist sehr gering!
Die sich wandelnde Rolle des internen Auditors
Effektive, risikobasierte Audits erfordern auch eine Veränderung der Rolle des Auditors und damit der erforderlichen Fähigkeiten. Dazu gehören Organisations- und Risikobewusstsein (Verständnis dafür, wie eine Organisation zusammenarbeitet und wo die wirklichen Knackpunkte liegen), kritisches und analytisches Denken und das Stellen von Fragen (nicht nur die Regeln betrachten, sondern auch neugierig auf den Grund und die Auswirkungen sein) und Kommunikationsfähigkeiten (in der Lage sein, sich auf allen Ebenen der Organisation anzupassen und die Auditergebnisse dem Vorstand, der Geschäftsführung und den Mitarbeitern klar zu vermitteln).
Deshalb ist die Fortbildung so wichtig. Im Rahmen der LRQA-Schulungen beschäftigen wir uns intensiv mit praktischen Fällen und interaktiven Übungen, damit die Auditoren nicht nur Wissen erwerben, sondern auch lernen, diese Fähigkeiten direkt anzuwenden.
Zusammenfassend lässt sich sagen: Audits müssen einen Mehrwert schaffen
Ein risikobasiertes Auditprogramm ist kein Trend, sondern eine notwendige Entwicklung für Organisationen, die Risiken wirklich in den Griff bekommen wollen. Es hilft, Audits strategischer einzusetzen und sich auf das zu konzentrieren, was wirklich zählt. Verabschieden Sie sich von der traditionellen, starren Planung und schauen Sie sich an, wo die wirklichen Risiken liegen. Dies erfordert eine andere Denkweise, führt aber letztlich zu Audits, die nicht nur prüfen, sondern auch zu einer besseren Leistung und kontinuierlichen Verbesserung der Organisation beitragen.
Möchten Sie mehr darüber erfahren, wie LRQA Ihrer Organisation mit risikobasierten Audits helfen kann? Kontaktieren Sie unser Team oder sehen Sie sich unsere Weiterbildungsmöglichkeiten an.