Was ist der Unterschied zwischen internem und externem Audit und was haben sie gemeinsam?

1. Home
2. Blog
3. Fachliche-Ausbildungen
4. Was ist der Unterschied zwischen internem und externem Audit und was haben sie gemeinsam?

Die Regeln für die Durchführung interner und externer Audits werden durch die internationale Norm EN ISO 19011:2018 definiert:

• Sie gibt Anleitung zur Auditierung von Managementsystemen, einschließlich der Auditprinzipien, des Auditprogrammmanagements und der Durchführung von Audits von Managementsystemen.
• Sie bietet Anleitung zur Bewertung der Kompetenz der an Auditprozessen beteiligten Personen, einschließlich der Person, die das Auditprogramm verwaltet, der Auditoren und Auditteams.
• Sie ist in allen Organisationen anwendbar, die interne oder externe Audits von Managementsystemen durchführen müssen oder ein Auditprogramm verwalten müssen.
• Sie kann auch für verschiedene Arten von Audits verwendet werden.

Die internationale Norm EN ISO/IEC 17021-1 gibt Anleitung zur Bewertung der Konformität und zu den Anforderungen an Organisationen, die Audits und Zertifizierungen von Managementsystemen gemäß Teil 1: Anforderungen durchführen.

Die Norm ISO 19011:2018 definiert ein Audit als systematischen, unabhängigen und dokumentierten Prozess zum Sammeln von Auditnachweisen und deren objektive Bewertung, um den Umfang zu bestimmen, in dem die Auditkriterien erfüllt sind.

Interne Audits werden von einem Team kompetenter interner Auditoren durchgeführt, wobei der Prozess zur Verwaltung interner Audits in den meisten Organisationen unter die Leitung des Qualitätsmanagers fällt. Die Durchführung interner Audits ist auch im Hinblick auf die effektive Vorbereitung einer Organisation auf eine Zertifizierungs- oder Überwachungsaudit durch eine unabhängige Zertifizierungsstelle oder externe Kundenaudits unerlässlich.

Externe Audits werden von einem Team kompetenter externer Auditoren durchgeführt, wobei der Prozess zur Verwaltung externer Audits in den meisten Zertifizierungsunternehmen unter die Leitung des Leitenden Zertifizierungsorgans fällt, das auch das Auditprogramm und die Auditziele sowie das Auditteam festlegt.

Während externer Audits kann das Auditteam bei Bedarf auch von einem sogenannten Fachexperten begleitet werden, einer Person, die dem externen Auditteam spezifische Kenntnisse oder Fachkenntnisse zur Verfügung stellt (z. B. ein Arzt für ein Krankenhausaudit oder ein Experte mit 20 Jahren Erfahrung in der Lebensmittelproduktion für ein Audit eines Unternehmens in der Lebensmittelbranche usw.).

In der Managementpraxis unterscheiden wir zwischen drei Arten von Audits (intern, Kunden- und Zertifizierungsaudit).

Audits können durchgeführt werden:

• durch die erste Partei (1st Party) - interne Audits, die von eigenen geschulten Mitarbeitern der Organisation - internen Auditoren der Organisation - durchgeführt werden. Sie konzentrieren sich auf die Bewertung der Stärken und Schwächen sowie auf die Überprüfung der Einhaltung interner Verfahrensweisen/Richtlinien/Methoden sowie externer freiwillig angenommener Normen (ISO 9001 usw.) oder verpflichtender (spezifische Kundenanforderungen) - System-, Prozess- oder Produktaudit.
• durch die zweite Partei (2nd Party) - externes Audit, das vom Kunden oder einem Vertragsunternehmen im Namen des Kunden beim Lieferanten durchgeführt wird. Es besteht ein Vertrag, und Waren oder Dienstleistungen werden geliefert oder werden geliefert. Bei Audits der zweiten Partei gelten die Regeln des Vertragsrechts, da sie die vertragliche Führung vom Kunden zum Lieferanten bieten. Audits der zweiten Partei neigen dazu, formeller zu sein als Audits der ersten Partei, da die Auditergebnisse die Kaufentscheidungen des Kunden beeinflussen könnten. Organisationen vonseiten des Kunden oder potenziellen Geschäftspartnern werden zur Überprüfung des Qualitätsmanagementsystems bei Lieferanten verwendet (sogenanntes Kunden-/Lieferantenaudit).
• durch die dritte Partei (3rd Party) - externes Audit, das von einer Zertifizierungsauditorganisation durchgeführt wird, unabhängig, ohne Beziehung zwischen Kunde und Lieferant, ohne Interessenkonflikt, aufgrund einer Bestellung oder Vertrags. Die Unabhängigkeit der Auditorganisation ist ein Schlüsselelement des Audits der dritten Partei. Zertifizierungsaudits umfassen Erstzertifizierungs-, Überwachungs-, Rezertifizierungsaudits und können auch spezielle Audits umfassen. Ein integriertes Audit bedeutet, dass der Kunde die Anwendung der Anforderungen von zwei oder mehr Managementsystemnormen in ein einziges Managementsystem und dessen Auditierung integriert hat, das nach mehr als einer Norm erfolgt. Das Ergebnis von 3rd Party Audits kann die Zertifizierung eines Qualitätsmanagementsystems oder eines anderen Managementsystems, Registrierung, Anerkennung, Lizenzierung, von einer Dritten oder beteiligten Partei verhängte Strafe oder ähnliches sein. Bei beiden Arten von Audits (intern und extern) werden die Audits von einem Team kompetenter Auditoren durchgeführt, die die Anforderungen des Kapitels 7 erfüllen. Kompetenz der Auditoren - ISO 19011 Norm, bestehend aus einem Leitenden Auditor und Auditoren. Externe Auditoren müssen zusätzlich die Anforderungen erfüllen, die in der "Wissens- und Fähigkeitstabelle des Auditors" gemäß ISO/IEC 17021-1 aufgeführt sind.

Gemäß dem Objekt, der Ausrichtung und dem Fokus der Audits werden diese in Folgendes unterteilt:

• Management Systems Audit (Struktur und Funktionalität des Managementsystems)
• Prozessaudit (Eignung und Zuverlässigkeit von Prozessen, insbesondere Kerngeschäftsprozessen)
• Produktaudit (Überprüfung von Elementen, Teilen, Merkmalen, Komponenten und des Endprodukts gemäß den Spezifikationen)

Das Verhältnis zwischen internen und externen Auditoren ist gut, wenn das Top-Management der Organisation angemessene Ressourcen und Unterstützung bereitstellt, um das Qualitätsmanagementsystem zu verbessern. Je genauer und häufiger interne Audits in der Organisation durchgeführt werden (wobei auch korrigierende Maßnahmen zu festgestellten Abweichungen wirksam implementiert werden), desto einfacher ist es für die Organisation, auch externe Audits zu bewältigen, die entweder von einer unabhängigen Zertifizierungsstelle oder von Kunden durchgeführt werden.

Gemäß EN ISO 19011:2018 können die Hauptunterschiede zwischen externen und internen Audits in Bezug auf den Gegenstand und den Umfang des Audits, das Verständnis der Umgebungsbedingungen und Risiken des auditierten Subjekts sowie das Maß an Unabhängigkeit des Auditors identifiziert werden.

Laut einer Umfrage des IIA (2009) betrachten Top-Management und interne Auditoren die Bereitstellung objektiver Sicherheit, dass wesentliche Geschäftsrisiken angemessen gemanagt werden und das Risikomanagement und das Rahmenwerk für interne Kontrollen effektiv funktionieren, als den bedeutendsten Beitrag des internen Audits. Sie sind der Meinung, dass das interne Audit wahrscheinlicher einen Mehrwert bringt, indem es sich auf seine beruhigende Funktion konzentriert, d.h. die Bestätigung, dass das etablierte Managementsystem die Anforderungen der relevanten internationalen Normen der ISO-Reihe sowie spezifische Unternehmensrichtlinien/Richtlinien und kundenspezifische Anforderungen erfüllt.

Externe Audits von Kunden bringen der Organisation die Möglichkeit, eine neue Geschäftsmöglichkeit zu gewinnen (Due-Diligence-Audits im Rahmen von Geschäftsausschreibungen), während externe Zertifizierungsaudits von Zertifizierungsstellen dem Management der Organisation die Gewissheit geben, dass das etablierte Managementsystem die Anforderungen der relevanten Normen der ISO-Reihe erfüllt und durch die Zertifizierung erhöht die Organisation ihre Glaubwürdigkeit und das Vertrauen ihrer Kunden.