#63 | Interne Audits für KMU mit Beispiel und Downloads

Print Friendly, PDF & Email


Internes Audit – klein und fein

Einige meiner Kunden gehören zu den „kleinen“, die unter KMU (kleine und mittelständische Unternehmen) zusammengefasst werden. Die Größenbezeichnung richtet sich wohlgemerkt immer nach der Personalanzahl. Mein kleinster Kunde besteht aus vier Personen: zwei Geschäftsführer und zwei Mitarbeiter. Andere haben etwa um die 20 bis 30 Mitarbeiter und Mitarbeiterinnen. Die Hierarchien sind naturgemäß sehr flach und die Aufteilung erfolgt maximal in Teams. Ein Qualitätsmanagementsystem zu etablieren ist oft schon ein mittlerer Kraftakt. Es geht dabei nicht um den finanziellen Aufwand, denn viele kleine Unternehmen haben oft einen beeindruckenden Umsatz und sind investitionsbereit. Aufwand ist eher in Zeit bemessen. Jede Hand wird gebraucht, Urlaub und Krankheitsausfälle sind teilweise schmerzlich. Sich mit dem QM-System auseinanderzusetzen, bedeutet, sich aus der Alltagsarbeit ein Stück weit zu lösen (sofern das Telefon nicht klingelt) und die Perspektive zu wechseln. Das QM-System bringt einige Aufgaben mit sich, die durchaus als sinnvoll empfunden werden, jedoch in der Umsetzung schwerfallen. Eine Aufgabe im QM-System besteht darin, ein internes Audit durchzuführen.

Vorbild Zertifizierungsaudit

Jede Organisation orientiert sich gerne an Zertifizierungsaudits. Von diesen Auditoren und Auditorinnen kann man schließlich lernen, sie machen das jeden Tag und wissen, wie es geht. Das stimmt. Der Gedanke ist nachvollziehbar. Zertifizierungsauditoren und -auditorinnen gehen jedoch wesentlich formeller vor als es für ein internes Audit notwendig ist. Ihre Sprache ist eine völlig andere und macht die Orientierung schwer. Auditoren und Auditorinnen denken und dokumentieren in Normenkapiteln. Da fällt es manchmal schwer, den eigenen Prozess überhaupt zu erkennen. Zum Beispiel umfasst der Prozess „Arbeitsvorbereitung“ mehr, als der Begriff vermuten lässt – und kommt in Normen nicht vor.

Übersichtsmatrix hilft

Die sprachliche Seite kann mithilfe einer Übersichtsmatrix aufgefangen werden, die ich unabhängig von der Unternehmensgröße empfehle. Sie ist nicht nur hilfreich für interne Audits, sondern für das Managementsystem insgesamt. Im Download finden Sie die Excel-Tabelle „Übersichtsmatrix“, die Sie gerne für Ihre Zwecke weiterverwenden können. Die nachfolgende Abbildung 1 zeigt einen Auszug mit einem Beispiel.

In der linken Spalte sind Überschriften der Kapitel ISO 9001:2015 aufgeführt. Da die ISO 9001 der High Level Structure (HLS) folgt, ist diese Darstellung mit zahlreichen anderen Systemnormen kompatibel. Es sind sogar die gleichen Prozesse in Ihrem Unternehmen gemeint. Möglicherweise sind ein paar Ergänzungen in den Unterkapiteln für andere Normen Ihres integrierten Managementsystems notwendig. In der rechten Spalte (die im Download leer ist) ergänzen Sie Ihre Prozesse so wie Sie sie benennen.

Abb. 1: Auszug Übersichtsmatrix mit Beispiel

Sie erkennen, dass bei den Positionen 8.2 und 8.4 im Beispiel keine Entsprechung in der rechten Spalte zu sehen ist. Das hat einen einfachen logischen Grund: In der Norm folgt direkt unter 8.2 bzw. 8.4 keine Anforderung, also da steht kein Text. Es folgt jeweils sofort die Unterüberschrift, worin die Anforderungen zu finden sind. Wenn ein Zertifizierungsauditor 8.2 vermerkt, sind die Kapitel 8.2.1 bis 8.2.4 gemeint. Da jedoch diese vier Unterkapitel nicht nur einen Prozess umfassen, sondern eventuell mehrere (siehe Beispiel), empfehle ich, die Entsprechungen den Unterkapiteln zuzuordnen.

„Arbeitsvorbereitung (AV)“ ist ein typisches Beispiel eines kleinen Unternehmens, weil dieser Prozess im realen Betriebsleben mehrere Normenkapitel umfasst. Tatsächlich ist die AV in der Regel ein sehr umfassender Prozess: intensive Schnittstelle zum Vertrieb (in manchen Unternehmen ist der Vertrieb Bestandteil der AV), Planung der Abwicklung in der Produktion, Einkauf benötigter Materialien, Nachverfolgung des Wareneingangs, Personaleinsatzplanung, Vorbereitung der Versandpapiere (ggf. mit Export) und Rechnungslegung an den Kunden. Erst in mittelständischen und großen Unternehmen werden diese Prozesse weiter auseinandergezogen und separiert. Normen orientieren sich an großen, komplexen Unternehmen, weil ein Reduzieren von Anforderungen möglich ist – der umgekehrte Weg ist nicht praktikabel.


Tipp QMB Infobrief

Wenn Sie die Entsprechungen nicht so genau kennen, schauen Sie in den Auditbericht der Zertifizierungsgesellschaft oder eines Dienstleisters, der bei Ihnen (interne) Audits durchgeführt hat. Darin finden Sie Ihre Prozesse und die Kapitelzuordnung, vor allem im Abweichungsbericht oder der Maßnahmenliste. Zertifizierungsauditoren und -auditorinnen müssen den Nachweis erbringen, welche Normenanforderung in einem Prozess nicht oder nur teilweise erfüllt wurde. Daher muss dies im Auditbericht transparent dargestellt.


Auditprogramm oder einfach: Grobplanung

Ein internes Audit ist dazu da, möglichst unvoreingenommen auf Prozesse zu schauen und festzustellen, ob alles so läuft, wie es abgesprochen ist. Dabei sollten Sie „nur“ noch darauf achten, die Normenanforderungen vollständig zu berücksichtigen. Mit anderen Worten: So ganz ohne Normenkenntnis geht es nicht. Entweder hat jemand im Unternehmen Normenkenntnis aufgrund einer Fortbildung (sehr zu empfehlen!) oder Sie lassen sich einarbeiten.

Zu meiner Arbeit gehört es, Ihnen bei den Startschwierigkeiten zu helfen. Ich halte sehr viel davon, dass Sie in Ihrem QM-System ein hohes Maß an Selbstständigkeit gewinnen. Jetzt kann ich meinen Lieblingsspruch anbringen: „Sie wissen, wo Ihre Leichen im Keller sind. Ich kenne noch nicht einmal die Tür zum Keller.“

Die Abbildung 2 zeigt einen Ausschnitt aus der Datei „Stichproben planen“, die Sie ebenfalls im Download finden. In der linken Spalte erkennen Sie die Normenkapitel wieder. Dann folgen drei Spalten „interne Audits vor Zertifizierungsaudit“. Die Anzahl der Spalten ist schnell und einfach erklärt: Ein Zertifikat nach ISO 9001:2015 und anderen Systemnormen ist für drei Jahre gültig. Das erste Jahr startet mit der
(Re-)Zertifizierung, dann folgen in jeweils zwölf Monaten Abstand die Überwachungsaudits (Ü1 und Ü2). In den Re-Zertifizierungsaudits (auch Wiederholungsaudits genannt) wird von der Zertifizierungsgesellschaft das „volle Programm“ abgeprüft, das heißt der Auditaufwand ist höher als bei den Überwachungsaudits, bei denen mit vermindertem Aufwand geprüft wird. Anders formuliert: Bei den Überwachungsaudits werden weniger Stichproben genommen.

Abb. 2: Stichproben planen anhand eines Beispiels (Auditprogramm)

Stichproben verteilen

Bei internen Audits soll innerhalb der Zertifikatsgültigkeit (= drei Jahre) einmal alles auditiert sein. So können Sie Ihren Aufwand verteilen, dabei jedoch auch ein wenig die Relation im Auge behalten. In der Datei sehen Sie, dass ich in der Spalte „(Re-)Zert.“ Felder grau hinterlegt habe. Das entspricht in etwa auch dem Aufwand des Zertifizierungsaudits. Prozesse, die zu diesen Anforderungen gehören, sollten für das (Re-)Zertifizierungsaudit fit sein. In den Spalten „Ü1“ und „Ü2“ sind deutlich weniger Felder grau hinterlegt. Sie dürfen die Felder auch anders verteilen. Es ist eine Empfehlung von mir. Gehen Sie am besten nach dem Grundsatz vor:

Tipp QMB Infobrief

Alle Kernprozesse (Wertschöpfung), Kundenzufriedenheit und Managementbewertung jährlich, unterstützende Prozesse einmal in drei Jahren auditieren.


Die Felder in den Spalten nutze ich nicht nur als farbliche Markierung, sondern auch als groben Terminplan. Außerdem lassen sich Ihre Auditoren und Auditorinnen zuweisen. Wenn ich mit meinem Kunden arbeitsteilig auditiere, dann stehen in den Spalten einmal Kürzel des Unternehmens und einmal mein Kürzel.

Zeit für Stichproben einteilen

Die Zertifizierungsgesellschaften entsenden ihre Auditoren und Auditorinnen tageweise. Das hat organisatorische Gründe, die sehr gut nachvollziehbar sind. Niemand möchte einen Zertifizierungsauditor jede Woche für zwei Stunden im Unternehmen haben und zudem noch den hohen Anreiseaufwand bezahlen. Da Organisationen gerne bei Zertifizierungsgesellschaften „abgucken“, hat sich bei vielen die Denkweise gefestigt, tageweise interne Audits durchführen zu müssen. Tun Sie sich das nicht an! Es handelt sich um eine Gepflogenheit, die teilweise unreflektiert übernommen wird.

Teilen Sie sich die Zeit so ein, dass es für Sie praktikabel ist:

  • die Zeit und Konzentration für das Audit zu erbringen und
  • die Zusammenhänge zu erkennen.

Alles auf einmal ist wahrscheinlich ebenso unpraktisch wie „zu weit auseinander“. Überlegen Sie sinnvolle Einheiten und Zusammenhänge. Wichtig ist, dass einmal alles in drei Jahren auditiert wird.

Zwei in Einem: Frageprotokoll und Auditbericht

Alle guten Dinge sind drei: Die dritte Datei zum Download heißt „Auditprotokoll“ und besteht aus zwei Tabellenblättern:

Abb. 3: Datei „Auditprotokoll“ mit zwei Tabellenblättern

Das Tabellenblatt „Auditprotokoll“ ist so formatiert, dass Sie es im DIN-A4-Hochformat ausdrucken können, wenn Sie gerne Papier in der Hand haben und damit zum Auditgespräch gehen. Hier können Sie die Fragen vorbereiten und die Formalitäten des Audits erfüllen. Unten befindet sich auf dem Ausdruck auch ein Feld für Unterschrift/Kürzel des Auditors. Bewahren Sie dieses Protokoll auf! Es ist Ihr Auditbericht. Während des Auditgesprächs füllen Sie die Spalten „Feststellung“ und „Bewertung“ aus. Die Bewertung* erfolgt durch: „1 = erfüllt; 2 = erfüllt mit Verbesserungspotenzial; 3 = nicht erfüllt/Abweichung“.

Abb. 4: Beispiel Frageprotokoll

Um die Ecke denken: Feststellungen

Die Auditorenbrille ist für viele erst einmal ungewohnt. Das zeigt sich in der Spalte „Feststellung“ am deutlichsten. Denn hier geht es darum, den Tatbestand zu formulieren. Beispiele:

Richtig: Prüfmittel Nr. 127: Kalibrierstatus nicht vermerkt
Falsch: Kalibrierstatus

Richtig: Lieferantenbewertung vom 15.01.19: Kriterien für Lieferantenbewertung nicht eindeutig
Falsch: Lieferantenkriterien

Richtig: Mitarbeiter X (oder Schulung Y): Wirksamkeitsprüfung nach Schulung nicht durchgeführt
Falsch: Schulungsnachweis

Machen Sie es so, dass Sie es nachvollziehen können. Stichworte reichen dazu nicht. Halten Sie immer fest, welche Stichprobe Sie wählen: Prüfmittelnummer, Dokumentenbezeichnung, Akte, Projektnummer, Kundenvorgang usw. Je nachdem auditieren Sie zwei Prüfmittel oder zwei Vorgänge.

Tipp QMB Infobrief

Keine Diskussionen mit den Kollegen und Kolleginnen führen im Sinne von „Aber das ist doch bekannt“ oder „Das steht doch in der Anweisung …“ und auch nicht „Richter spielen“. Ziel des Audits ist es, rekonstruierbare Vorgänge darauf zu überprüfen, ob sie so durchgeführt werden, wie es im QM-System vereinbart ist.


Machen Sie was draus

Am Ende des Audits gehen Sie mit Ihren Feststellungen zurück an den Schreibtisch. Der Befund geht an die oberste Leitung und ist Bestandteil der Managementbewertung. Nun können Sie den zweiten Reiter der Excel-Tabelle nutzen: Was beschließen Sie aufgrund der Feststellungen?

Abb. 5: Maßnahmenliste

Sie sehen in der Abbildung 5 drei weiß und zwei grau hinterlegte Spalten. Zum Beschluss gehört auch, die notwendige Ressource zu benennen. Außerdem halten Sie noch fest, wer zuständig ist und welchen Termin Sie vorgeben. Dann verstreicht eine Zeit bis zum oder kurz nach dem Termin und Sie gehen als Auditor oder Auditorin der Sache noch einmal nach. Das halten Sie in der Spalte „überprüft am/von“ fest. Eventuell ergänzen Sie hier noch durch Bemerkungen.
Bitte bewahren Sie diese Liste zusammen mit dem Protokoll auf (digital oder in Papierform).

Fragen für Ihre Stichprobe | Beispiel

Die Stichprobe wird in der Arbeitsvorbereitung zum Unterprozess Lieferantenbewertung genommen. Sie bitten um Einsicht in die Bewertung und stellen zum Beispiel folgende Fragen:

Abb. 6: Beispielfragen Lieferantenbewertung

Wiederkehrende Fragen bei allen Prozessen

  • Prüfen Sie ausgefüllte Formulare bzw. Einträge in Datenbanken und fragen Sie, wer unterschrieben bzw. eingetragen hat. (Zuständigkeit klären)
  • Nehmen Sie einen Vorgang und fragen Sie danach, was derjenige bearbeitet. (Ablauf und Ziel)
  • Betrachten Sie einen Vorgang und fragen Sie danach, wer mit dem Ergebnis aus diesem Prozess weiterarbeitet. (Frage nach dem Nachfolgeprozess, Schnittstellen klären)
  • Fragen Sie danach, welche Prüfungen im Prozess vorgenommen werden. (Selbstkontrollen, Mehr-Augen-Prinzipien, Prüf- und Messmittel)

Beitragsfoto (c) Silke-Kaiser | pixelio.de


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.