Interne Audits werden von allen Managementsystem-Normen gefordert, um Konformitäten festzustellen. Diese müssen systematisch, dokumentiert und unabhängig durchgeführt werden. Nun beschreiben diese Anforderungen zwar, welche internen Audits gemacht werden müssen – aber nicht wie. Beste Voraussetzungen also, interne Audits zu modernisieren.
Interne Audits sind ein wirkungsvolles Kommunikationsinstrument. Das beginnt mit dem Auditor, der (über fachliche Kompetenzen hinaus) mit seiner Einstellung und seinem Verhalten die Themen und Fragen gut balanciert, um in einem gemeinsamen Dialog zu klaren Feststellungen zu gelangen: freundlich und wertschätzend im Gespräch, verbindlich in der Sache, fokussiert auf Prozesse. Und ja, Humor und Lächeln sind im Audit tatsächlich auch erlaubt – wenn es denn passend ist. Interne Audits können auch Spaß machen, wenn man gemeinsam überlegt, Abläufe noch besser zu gestalten.
So entwickelt sich der interne Auditor im Laufe der Zeit vom „Konformitätsfeststeller“ zum internen Berater, Coach, Ideengeber und „Verbindungsschaffer“ zu anderen Prozessbeteiligten. Und deshalb lohnt es sich vor einem Audit auch, sich in die Lage der interessierten Parteien zu versetzen. Welche Anforderungen haben Geschäftsleitung und Auditierte an internen Audits? Keine? Dann wird es Zeit, dies zu ändern. Denn Unternehmensstrategie, Ziele und Veränderungen wollen ja erfolgreich gemanagt werden.
Audits können dabei unterstützen. Auch in der Managementbewertung kann ja nicht nur ein simpler Rückblick auf Audits erfolgen, sondern auch auf (künftige) Auditziele und –schwerpunkte sowie neue Prozesse und Systeme, die zur strategischen Entwicklung des Unternehmens beitragen. Der Auditor sollte den Prozessverantwortlichen vorab fragen, welche Auditschwerpunkte dieser sich wünscht. Mag sein, dass diese Frage überrascht – aber sie erklärt sich von selbst und zeigt Wirkung, wenn nach dem Audit impulsstarke Feststellungen als zurückgemeldet werden.
Schon die Planung sollte sich auf die Risiken konzentrieren
Ein Hebel für eine ebenso effiziente wie effektive Auditdurchführung liegt in der risikobasierten Auditplanung. Der Fokus sowie die Tiefe des Audits sollten auf Prozesse, Bereiche und Produkte beziehungsweise Dienstleistungen gerichtet werden, bei denen aktuelle Risiken und Chancen bestehen oder abzusehen sind. Dabei gilt es, nicht alle Prozesse penibel nach dem anstehenden Auditzyklus zu auditieren, sondern vielmehr nach deren Relevanz. Dies hat dann auch Einfluss auf die Auswahl der Auditteams. Nicht jeder muss über alle erforderlichen Kompetenzen verfügen – das Auditteam in der Summe hingegen sehr wohl. Mit diesem Ansatz können Audits ganzheitlich und unter einem risikobasierten Einbezug der gesamten Organisation durchgeführt werden und dabei natürlich auch mehrere Regelwerke abdecken.
Diese Form des integrierten Auditierens gelingt in der Praxis oft noch zu wenig. Dabei können sich Auditoren viel Handwerkszeug aus der ISO 19011:2018 aneignen – dem Leitfaden für das Auditieren von Managementsystemen. Dieser ist für interne Audits und Lieferantenaudits gut anwendbar und beschreibt Auditprinzipien, Begriffe sowie Auditphasen bis hin zu Empfehlungen zu den Kompetenzen von Auditoren. Empfehlenswert ist der Anhang A mit Kurzanleitungen zu ausgewählten Themen.
Neue Methoden sorgen für mehr Effizienz
In der ISO 19011 geht es auch um Auditmethoden. So gibt es etwa Alternativen zum klassischen Auditinterview. Nicht wenige Unternehmen gehen hier neue Wege, um die Audits so etwas interessanter und effizienter zu machen. Ein paar Beispiele:
- Schnittstellenaudit: Die beteiligten Bereiche auditieren sich wechselseitig. Nicht selten kommen so Schnittstellenprobleme und Missverständnisse zwischen Bereichen auf eine möglichst objektive Art und Weise zu Tage.
- Stellvertreteraudit: Hier werden bewusst die Stellvertreter von Rollen und Funktionen auditiert. Dabei werden mögliche Stärken und Schwächen beim Informations- und Wissenstransfer deutlich.
- In eine Rolle/Szenario gehen: bewusst etwas schauspielerisch darstellen, in eine Rolle gehen (neuer oder beschwerender Kunde, Bewerber etc.) oder ein mögliches Szenario nachstellen (Bombenfund, Cyberangriff etc.). Hier werden Prozesse noch einmal ganz anders – nämlich situativ – betrachtet und diskutiert.
- Audit/-Prozessworkshop: Alle wichtigen am Prozess Beteiligten werden zu einem Termin eingeladen, in dem der Auditor seine Fragen in die Runde hinein moderiert. Hier könnte es unterschiedliche Antworten und Erkenntnisse geben, die als Handlungsbedarf beziehungsweise Maßnahmen festgehalten werden können.
Abweichungen bieten auch Chancen
Manchmal unangenehm und gefürchtet sind Abweichungen, also Nichtkonformitäten. Doch Abweichungen zeigen Risiken auf, aus denen möglicherweise teure Folgen erwachsen. Mit der Abweichung können diese Risiken offen gelegt und entschärft werden. Auf der anderen Seite sollten auch Stärken sowie Best Practices und sicherlich auch Verbesserungspotenziale hervorgehoben werden.
Gute Kommunikation ist auch am Ende des Audits wichtig. Beim Abschlussgespräch kommen alle wesentlichen Feststellungen auf den Tisch. Idealerweise können Risiken, Chancen und Nutzen benannt werden. Wenn möglich auch, was dies geschätzt in Euros bedeutet. Der Auditbericht sollte zeitnah (circa 14 Tage) alle Fakten und Feststellungen angemessen umfangreich darstellen. Auch ein Feedback der Beteiligten zum Audit darf dazugehören. Der Bericht ist am besten so gut und verständlich, dass er von vorne bis hinten gerne gelesen wird – und sogar für Personen nachvollziehbar ist, die beim Audit nicht anwesend waren. Das sollte eigentlich selbstverständlich sein, ist aber in der Praxis nicht immer der Fall.
Der Mut interne Audits zu verändern, ist also oft bei allen am Audit Beteiligten gefragt – die meisten Regelwerke lassen uns in der Umsetzung durchaus angemessene Möglichkeiten dafür. Ganz nach dem Sprichwort „Probieren geht über Studieren“ können Audits so auch zunehmend Freude machen.
Hier finden Sie mehr über:
