Das Interne Audit muss nicht nur sehr gut vorbereitet werden, es ist zudem eine Voraussetzung für eine geplante Zertifizierung. Dabei spielt es keine Rolle, welcher Standard zertifiziert werden soll: das interne Audit ist ein Bestandteil der Vorbereitung auf das Zertifizierungsaudit. Bei diesem Unternehmen mit dem Hauptsitz in Neu Isenburg und diversen Niederlassungen, auditiere ich nach den vereinbarten Standards ISO/IEC 27001:2022, sowie ISO/IEC 20000-1:2018. Bei der ISO 27001 handelt es sich um ein Informationssicherheitsmanagementsystem, kurz ISMS. Bei vielen Unternehmen und Organisationen, die im Bereich Softwareentwicklung arbeiten, ist dies häufig eine Kundenanforderung. Vergleichbar mit einem Qualitätsmanagement bei Handwerksbetrieben. Zusätzlich wird das Service Managementsystem, kurz SMS auditiert.
Bei beiden Standards werden die vorhandenen Prozesse gesichtet und bewertet. Zudem prüft der Auditor, ob die Prozesse tatsächlich im Unternehmen angewendet werden. Denn wenn die Prozesse nicht anwendet werden, kann die Wirksamkeit des ISMS und SMS nicht nachgewiesen werden. Also sieht sich der interne Auditor zu den unterschiedlichen Normabschnitten Nachweise an.
Diese Nachweise können unterschiedlicher Natur sein und sollten vom Unternehmen bestenfalls vorbereitet sein. Falls zu jeder Frage des internen Auditor erst ein Nachweis gesucht oder produziert werden muss, kann sich das interne Audit unnötig strecken, und ggf. kann der Auditplan nicht eingehalten werden. Ob Nachweise vom internen Auditor gesammelt werden, hängt vom Standard ab und vor allem vom Auditor selbst, der nach dem internen Audit einen Auditbericht für das Unternehmen erstellt.
Ein interner Auditor ist eine qualifizierte Person, die interne Audits (1st party Audits) an firmeninternen Prozessen, Projekten und Managementsystemen nach ISO-Normen durchführt. Er prüft dabei, ob die geltenden Normforderungen sowie die vom Unternehmen selbst festgelegten Anforderungen erfüllt werden und wirksam sind.
Der interne Auditor ist für die Planung, Durchführung sowie die Nachbereitung des internen Audits zuständig. Innerhalb dieses Auditprozesses übernimmt der interne Auditor folgende Aufgaben:
Erstellung eines Auditplans
Mit dem Auditplan legt der interne Auditor eine Agenda fest. Er notiert, welche Aspekte des Managementsystems zu welcher Zeit auditiert werden.Dokumentenprüfung
Ist der Auditplan erstellt, erfolgt die Dokumentenprüfung. Hierbei prüft der Auditor, welche Dokumente für den auditierten Prozess bzw. die auditierte Abteilung relevant sind.Erstellung einer Auditcheckliste
An dieser Stelle erstellt der Auditor einen Fragenkatalog mit vordefinierten Auditfragen. Diese dient ihm als Handlungsrahmen für die Auditdurchführung. Bei der Erstellung der Auditcheckliste werden Ergebnisse vorangegangener Audits einbezogen.Kontaktaufnahme mit dem auditierten Bereich
Mit der Kontaktaufnahme prüft der Auditor, ob das interne Audit wie geplant durchgeführt werden kann. Es wird abgestimmt, ob das nötige Personal am Audittag vor Ort ist oder ggf. besondere Schutzkleidung notwendig ist.Eröffnungsgespräch
An dieser Stelle beginnt das eigentliche Audit. Es werden der Auditplan und die Schwerpunkte des Audits vorgestellt.Durchführung der Auditaktivitäten
Während des Audits sammelt der interne Auditor Konformitäten und Nichtkonformitäten anhand von Auditnachweisen. Als Referenz können die jeweilige Norm, der letzte Auditbericht oder Managementreview sowie die für die Abteilung relevanten Dokumentation herangezogen werden.Abschlussgespräch
Am Ende des Audits führt der interne Auditor ein Abschlussgespräch. Er zieht ein Fazit und stellt die gesammelten Konformitäten und Nichtkonformitäten vor.Maßnahmenverfolgung
Nach dem Auditprozess leitet der auditierte Bereich aus den Nichtkonformitäten Korrekturmaßnahmen ab und setzt diese um. Abhängig von der Schwere der Abweichung überprüft entweder der auditierte Bereich oder der interne Auditor die Umsetzung der Maßnahmen auf Wirksamkeit.Auditbericht erstellen
Nach Abschluss des Audits dokumentiert der interne Auditor die gefundenen Ergebnisse im Auditbericht. Der Bericht kann bei nachfolgenden Audits als Grundlage genutzt werden.Quelle: https://de.wikipedia.org/wiki/Interner_Auditor
English below 🇬🇧:
Internal audit in Neu-Isenburg and Basel, Switzerland ISO 27001, ISO 20000-1
The internal audit must not only be very well prepared, it is also a prerequisite for a planned certification. It doesn’t matter which standard is to be certified: the internal audit is part of the preparation for the certification audit. At this company with its headquarters in Neu Isenburg and various branches, I audit according to the agreed standards ISO/IEC 27001:2022 and ISO/IEC 20000-1:2018. ISO 27001 is an information security management system, or ISMS for short. This is often a customer requirement for many companies and organisations working in the field of software development. It is comparable to a quality management system for craft businesses. The service management system, or SMS for short, is also audited.
For both standards, the existing processes are scrutinised and evaluated. The auditor also checks whether the processes are actually being applied in the company. Because if the processes are not applied, the effectiveness of the ISMS and SMS cannot be proven. The internal auditor therefore looks at evidence for the various sections of the standard.
This evidence can be of a different nature and should ideally be prepared by the company. If evidence first has to be sought or produced for every question asked by the internal auditor, the internal audit may be unnecessarily protracted and the audit plan may not be adhered to. Whether evidence is collected by the internal auditor depends on the standard and, above all, on the auditor himself, who prepares an audit report for the company after the internal audit.
An internal auditor is a qualified person who carries out internal audits (1st party audits) of internal company processes, projects and management systems in accordance with ISO standards. They check whether the applicable standard requirements and the requirements defined by the company itself are fulfilled and are effective.
The internal auditor is responsible for the planning, implementation and follow-up of the internal audit. Within this audit process, the internal auditor performs the following tasks:
Creation of an audit plan
The internal auditor uses the audit plan to set an agenda. He notes which aspects of the management system are to be audited and when.Document review
Once the audit plan has been drawn up, the document review takes place. Here, the auditor checks which documents are relevant to the audited process or the audited department.Creation of an audit checklist
At this point, the auditor creates a catalogue of questions with predefined audit questions. This serves as a framework for carrying out the audit. The results of previous audits are taken into account when drawing up the audit checklist.Contacting the audited area
When making contact, the auditor checks whether the internal audit can be carried out as planned. It is agreed whether the necessary personnel will be on site on the day of the audit or whether special protective clothing may be required.Opening meeting
This is where the actual audit begins. The audit plan and the focal points of the audit are presented.Carrying out the audit activities
During the audit, the internal auditor collects conformities and non-conformities using audit evidence. The relevant standard, the last audit report or management review and the documentation relevant to the department can be used as a reference.Final discussion
At the end of the audit, the internal auditor conducts a final discussion. He draws a conclusion and presents the collected conformities and non-conformities.Follow-up of measures
After the audit process, the audited area derives corrective measures from the non-conformities and implements them. Depending on the severity of the non-conformity, either the audited area or the internal auditor checks the effectiveness of the implementation of the measures.Create audit report
Once the audit has been completed, the internal auditor documents the findings in the audit report. The report can be used as a basis for subsequent audits.Source: https://de.wikipedia.org/wiki/Interner_Auditor