Interner Auditor im Qualitätsmanagement

Geschulte interne Auditoren können Audits konfliktfrei durchführen – und Qualitätsprobleme lösen.

Die Prozedur verschlingt Zeit, bindet Personal und statt Anerkennung hagelt es Kritik: Auditoren, die das interne Information Security Management System prüfen, haben oft mit Vorurteilen von Kollegen zu kämpfen. Dabei ist ihre Rolle aus Unternehmen und Verwaltungen nicht wegzudenken: Regelmäßige Audits sind für jedes zertifizierte Managementsystem Pflicht – ob im Bereich Qualität, Umwelt oder Informationssicherheit.

Das schreiben auch internationale Normen und Richtlinien vor, darunter die ISO 9001 für das Qualitätsmanagement sowie die ISO 27001 und der Automobilbranchen-Standard TISAX^® (Trusted Information Security Assessment Exchange) für Informationssicherheitsmanagementsysteme (ISMS). Sie legen zudem fest, welche Anforderungen die Systeme im Einzelnen erfüllen müssen – und die bei internen Audits zu prüfen sind. Dafür verantwortlich sind interne Auditoren.

Sie führen im Auftrag der Geschäftsleitung die Audits in den verschiedenen Abteilungen und Niederlassungen ihres Unternehmens durch. Dafür müssen sie die einschlägigen Normen und Richtlinien sehr gut kennen und in die Unternehmenspraxis übertragen können. Sie müssen aber auch in der Lage dazu sein, die verschiedenen Anforderungen im Rahmen eines Qualitätsaudits miteinander zu verknüpfen. Dabei hilft ihnen umfangreiches Methodenwissen, das ebenfalls in einer Norm festgelegt ist: der DIN EN ISO 19011 – dem Leitfaden zum Auditieren von Managementsystemen.

Zum erfolgreichen Audit gehört unter anderem das Analysieren und Bewerten der Leistungskennzahlen (Key Performance Indicators, kurz: KPI). Dies können bei dem Audit eines ISMS beispielsweise die Zahl der Mitarbeiter sein, die ein Datensicherheitstraining absolviert haben, oder die Zahl der Sicherheitsvorfälle in einem bestimmten Zeitraum. Daraus leitet der Auditor dann Verbesserungspotenziale für das Security Management System ab. Dann erfolgt die Erstellung eines abschließenden Auditberichts und der Auditor legt Korrekturmaßnahmen fest.

„Im Gegensatz zu externen Auditoren darf der interne Auditor auch beraten“, sagt Michael Will. „Seine Aufgabe ist es längst nicht nur, Fehler aufzudecken, sondern vor allem eine Kultur der fortlaufenden Verbesserung zu pflegen.“ Will leitet das Projekt- und Qualitätsmanagement einer Software-Firma. Außerdem bildet er an der TÜV NORD Akademie interne Auditoren nach den Anforderungen von Informationssicherheitsmanagementsystemen aus.

„Die größte Herausforderung für interne Auditoren ist es, ihrem Unternehmen einschließlich der Geschäftsführung den Spiegel vorzuhalten“, sagt der IT-Experte. „Hilfreich ist es, gemeinsam mit dem zuständigen Management die Auditziele festzulegen.“

Michael Will vermittelt den Teilnehmern in den Seminaren auch Kommunikationstechniken und Methoden für die Gesprächsführung, "Wenn ich jemanden auf einen Prozessverstoß hinweise, kann das schnell als Kritik aufgefasst werden“, erklärt er. In solchen Situationen heißt es: Ruhe bewahren – und für eine kooperative Arbeitsatmosphäre sorgen. Professionelle Schulungen helfen dabei, die erforderlichen Kompetenzen aufzubauen und eine gute Auditpraxis zu entwickeln.

Hilfreich ist auch eine Rückbesinnung auf die Bedeutung des Wortes „Audit“: Es stammt aus dem Lateinischen und bedeutet „zuhören“. Denn nicht die Suche nach einem Schuldigen soll bei internen Audits im Vordergrund stehen, sondern die Lösung von Problemen. Das geht nur, wenn alle an einem Strang ziehen: Die beteiligten Mitarbeiter kennen die Abläufe am besten. Nur wer die richtigen Fragen stellt, Raum für Vorschläge lässt und gut zuhört, kann geeignete Verbesserungen anstoßen.

Der interne Auditor erweist seinem Unternehmen somit einen wichtigen Dienst, auch über das Erfüllen der Normanforderungen hinaus. Denn Störungen in den Abläufen schwächen die Organisation. Als „Schatzsucher“ im eigenen Unternehmen spüren Auditoren verborgene Verbesserungspotenziale auf. Und das spart am Ende allen Beteiligten Zeit.