DEUTSCHE NORM
Dezember 2011
D
DIN EN ISO 19011
ICS 03.120.10
Ersatz für DIN EN ISO 19011:2002-12
Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2011); Deutsche und Englische Fassung EN ISO 19011:2011 Guidelines for auditing management systems (ISO 19011:2011); German and English version EN ISO 19011:2011 Lignes directrices pour l’audit des systèmes de management (ISO 19011:2011); Version allemande et anglaise EN ISO 19011:2011
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Gesamtumfang 86 Seiten
Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) im DIN Normenausschuss Grundlagen des Umweltschutzes (NAGUS) im DIN Normenausschuss Lebensmittel und landwirtschaftliche Produkte (NAL) im DIN
©
DIN Deutsches Institut für Normung e. V. · Jede Art der Vervielfältigung, Vervielfältigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut für Normung e. V., Berlin, gestattet. Alleinverkauf der Normen durch durch Beuth Verlag Verlag GmbH, 10772 10772 Berlin
Preisgruppe 28 www.din.de www.beuth.de
!$t@+" 1812908
DIN EN ISO 19011:2011-12
Nationales Vorwort Dieses Dokument (EN ISO 19011:2011) wurde unter der Federführung einer gemeinsamen technischen Koordinierungsgruppe (Joint Technical Coordination Group), WG 16, vom Technischen Komitee ISO/TC 176, Quality management and quality assurance , Unterkomitee SC 3, Supporting technologies (Sekretariat: AFNOR, Frankreich), erarbeitet. Als Mitglieder sind in der zuständigen Arbeitsgruppe WG 16 im SC 3 auch Vertreter anderer Technischen Komitees, z. B. ISO/TC 207, ISO/TC 34 sowie weiterer interessierter Kreise für Managementsysteme beteiligt. Das zuständige deutsche Normungsgremium ist der Gemeinschaftsausschuss NA 147-00-07 GA Audits, im Normenausschuss NA 147 Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ). Dieser Arbeitsausschuss setzt sich aus Vertretern folgender Gremien zusammen:
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
NA 147 — Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) NA 172 — Grundlagen des Umweltschutzes (NAGUS) NA 057 — Lebensmittel und landwirtschaftliche Produkte (NAL) NA 094 — Kommission Sicherheitstechnik (KS) (KS) NA 095 — Sicherheitstechnische Grundsätze (NASG) NA 031 — Feuerwehrwesen (FNFW) NA 115 — Verpackungswesen (NAVp) Für die in diesem Dokument zitierten Internationalen Normen wird im Folgenden auf die entsprechenden Deutschen Normen hingewiesen: ISO 2859-4 ISO 9000 ISO 9001 ISO 14001 ISO 14050 ISO 22000 ISO 50001 ISO/IEC 17021 ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002
siehe siehe siehe siehe siehe siehe siehe siehe siehe siehe siehe
DIN ISO 2859-4 DIN EN ISO 9000 DIN EN ISO 9001 DIN EN ISO 14001 DIN EN ISO 14050 DIN EN ISO 22000 DIN EN ISO 50001 DIN EN ISO/IEC 17021 DIN ISO/IEC 27000 DIN ISO/IEC 27001 DIN ISO/IEC 27002
Änderungen Gegenüber DIN EN ISO 19011:2002-12 wurden folgende Änderungen vorgenommen: a)
der Anwendungsbereich wurde vom vom Auditieren von Qualitäts- und Umweltmanagementsystemen auf das Auditieren jeglicher Managementsysteme erweitert;
b)
die Beziehung zwischen zwischen ISO 19011 und ISO/IEC 17021 wurde geklärt;
c)
Remote-Auditmethoden (Methoden, die nicht nicht die physische Anwesenheit des Auditors vor Ort erfordern) sowie das Risikokonzept wurden eingeführt;
d)
Vertraulichkeit wurde als neues Prinzip hinzugefügt;
2
DIN EN ISO 19011:2011-12
Nationales Vorwort Dieses Dokument (EN ISO 19011:2011) wurde unter der Federführung einer gemeinsamen technischen Koordinierungsgruppe (Joint Technical Coordination Group), WG 16, vom Technischen Komitee ISO/TC 176, Quality management and quality assurance , Unterkomitee SC 3, Supporting technologies (Sekretariat: AFNOR, Frankreich), erarbeitet. Als Mitglieder sind in der zuständigen Arbeitsgruppe WG 16 im SC 3 auch Vertreter anderer Technischen Komitees, z. B. ISO/TC 207, ISO/TC 34 sowie weiterer interessierter Kreise für Managementsysteme beteiligt. Das zuständige deutsche Normungsgremium ist der Gemeinschaftsausschuss NA 147-00-07 GA Audits, im Normenausschuss NA 147 Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ). Dieser Arbeitsausschuss setzt sich aus Vertretern folgender Gremien zusammen:
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
NA 147 — Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) NA 172 — Grundlagen des Umweltschutzes (NAGUS) NA 057 — Lebensmittel und landwirtschaftliche Produkte (NAL) NA 094 — Kommission Sicherheitstechnik (KS) (KS) NA 095 — Sicherheitstechnische Grundsätze (NASG) NA 031 — Feuerwehrwesen (FNFW) NA 115 — Verpackungswesen (NAVp) Für die in diesem Dokument zitierten Internationalen Normen wird im Folgenden auf die entsprechenden Deutschen Normen hingewiesen: ISO 2859-4 ISO 9000 ISO 9001 ISO 14001 ISO 14050 ISO 22000 ISO 50001 ISO/IEC 17021 ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002
siehe siehe siehe siehe siehe siehe siehe siehe siehe siehe siehe
DIN ISO 2859-4 DIN EN ISO 9000 DIN EN ISO 9001 DIN EN ISO 14001 DIN EN ISO 14050 DIN EN ISO 22000 DIN EN ISO 50001 DIN EN ISO/IEC 17021 DIN ISO/IEC 27000 DIN ISO/IEC 27001 DIN ISO/IEC 27002
Änderungen Gegenüber DIN EN ISO 19011:2002-12 wurden folgende Änderungen vorgenommen: a)
der Anwendungsbereich wurde vom vom Auditieren von Qualitäts- und Umweltmanagementsystemen auf das Auditieren jeglicher Managementsysteme erweitert;
b)
die Beziehung zwischen zwischen ISO 19011 und ISO/IEC 17021 wurde geklärt;
c)
Remote-Auditmethoden (Methoden, die nicht nicht die physische Anwesenheit des Auditors vor Ort erfordern) sowie das Risikokonzept wurden eingeführt;
d)
Vertraulichkeit wurde als neues Prinzip hinzugefügt;
2
DIN EN ISO 19011:2011-12
e)
Abschnitte 5, 6 und 7 wurden neu organisiert;
f)
zusätzliche Informationen wurden in einem neuen Anhang B aufgenommen; dies hat hat dazu geführt, dass die Hilfe-Boxen entfernt wurden;
g)
Ermittlung der Kompetenz sowie sowie der Bewertungsprozess wurden gestärkt;
h)
anschauliche Beispiele für disziplin-spezifisches Wissen und Fertigkeiten wurden wurden in einem neuen Anhang A dargestellt;
i)
es wurden weitere Informationen (www.iso.org/19011auditing);
j)
Bilder wurden überarbeitet;
k)
Literaturhinweise wurden überarbeitet.
auf
einer
öffentlichen
ISO-Webseite
veröffentlicht:
Frühere Ausgaben
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
DIN EN ISO 14010: 1996-11 DIN EN ISO 14011: 1996-11 DIN EN ISO 14012: 1996-11 DIN ISO 10011-1: 1992-06 DIN ISO 10011-2: 1992-06 DIN ISO 10011-3: 1992-06 DIN EN ISO 19011: 2002-12
3
DIN EN ISO 19011:2011-12
Nationaler Anhang NA (informativ) Literaturhinweise
DIN EN ISO 9000, Qualitätsmanagementsysteme — Grundlagen und Begriffe DIN EN ISO 9001, Qualitätsmanagementsysteme — Anforderungen DIN EN ISO 14001, Umweltmanagementsysteme — Anforderungen mit Anleitung zur Anwendung DIN EN ISO 14050, Umweltmanagement — Begriffe DIN EN ISO/IEC 17021, Konformitätsbewertung — Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren DIN EN ISO 22000, Managementsysteme für die Lebensmittelsicherheit — Anforderungen an Organisationen in der Lebensmittelkette DIN EN ISO 50001, Energiemanagementsysteme 50001, Energiemanagementsysteme — Anforderungen mit Anleitung zur Anwendung 9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
DIN ISO 2859-4, 2859-4, Annahmestichprobenprüfung anhand der Anzahl fehlerhafter Einheiten oder Fehler (Attributprüfung) — Teil 4: Verfahren zur Beurteilung deklarierter Qualitätslagen DIN ISO/IEC 27000, 27000, Informationstechnik — IT-Sicherheitsverfahren Managementsysteme — Überblick und Terminologie
—
Informationssicherheits-
DIN ISO/IEC 27001, Informationstechnik Managementsysteme — Anforderungen
—
IT-Sicherheitsverfahren
—
Informationssicherheits-
DIN ISO/IEC 27002, 27002, Informationstechnik Informationssicherheits-Management
—
IT-Sicherheitsverfahren
—
4
Leitfaden
für
das
EUROPÄISCHE NORM
EN ISO 19011
EUROPEAN STANDARD NORME EUROPÉENNE
November 2011
ICS 03.120.10
Ersatz für EN ISO 19011:2002 Supersedes EN ISO 19011:2002
Deutsche Fassung / English Version
Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2011) Guidelines for auditing management systems (ISO 19011:2011)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Lignes directrices pour l’audit des systèmes de management (ISO 19011:2011)
Diese Europäische Norm wurde vom CEN am 5. November 2011 angenommen.
This European Standard 5. November 2011.
was
approved
by
CEN
on
Die CEN-Mitglieder sind gehalten, die CEN/CENELEC-Geschäftsordnung zu erfüllen, in der die Bedingungen festgelegt sind, unter denen dieser Europäischen Norm ohne jede Änderung der Status einer nationalen Norm zu geben ist. Auf dem letzten Stand befindliche Listen dieser nationalen Normen mit ihren bibliographischen Angaben sind beim Management-Zentrum des CEN-CENELEC oder bei jedem CEN-Mitglied auf Anfrage erhältlich.
CEN members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national standards may be obtained on application to the CEN-CENELEC Management Centre or to any CEN member.
Diese Europäische Norm besteht in drei offiziellen Fassungen (Deutsch, Englisch, Französisch). Eine Fassung in einer anderen Sprache, die von einem CEN-Mitglied in eigener Verantwortung durch Übersetzung in seine Landessprache gemacht und dem Management-Zentrum mitgeteilt worden ist, hat den gleichen Status wie die offiziellen Fassungen.
This European Standard exists in three official versions (English, French, German). A version in any other language made by translation under the responsibility of a CEN member into its own language and notified to the CEN-CENELEC Management Centre has the same status as the official versions.
CEN-Mitglieder sind die nationalen Normungsinstitute von Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Norwegen, Österreich, Polen, Portugal, Rumänien, Schweden, der Schweiz, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, Ungarn, dem Vereinigten Königreich und Zypern.
CEN members are the national standards bodies of Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland and United Kingdom.
EUROPÄISCHES KOMITEE FÜR NORMUNG EUROPEAN COMMITTEE FOR STANDARDIZATION COMITÉ EUROPÉEN DE NORMALISATION
Management-Zentrum: Avenue Marnix 17, B-1000 Brüssel Management Centre: Avenue Marnix 17, B-1000 Brussels
© 2011 CEN
Alle Rechte der Verwertung, gleich in welcher Form und in welchem Verfahren, sind weltweit den nationalen Mitgliedern von CEN vorbehalten. All rights of exploitation in any form and by any means reserved worldwide for CEN national Members.
Ref. Nr./Ref. No. EN ISO 19011:2011 D/E
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Inhalt
Contents Seite
Vorwort .................................................................. 3
Foreword ................................................................ 3
Einleitung ............................................................... 4
Introduction ........................................................... 4
1
Anwendungsbereich .................................. 7
1
Scope ........................................................... 7
2
Normative Verweisungen ........................... 7
2
Normative references ................................. 7
3
Begriffe ........................................................ 7
3
Terms and definitions ................................ 7
4
Auditprinzipien .......................................... 11
4
Principles of auditing ............................... 11
5
Leiten und Lenken eines Auditprogramms ....................................... 13 Allgemeines ............................................... 13 Festlegen der Auditprogrammziele ........ 17 Festlegen des Auditprogramms .............. 18 Umsetzen des Auditprogramms ............. 22 Überwachen des Auditprogramms ......... 28 Bewerten und Verbessern des Auditprogramms ....................................... 28
5 5.1 5.2
Managing an audit programme ............... 13 General ....................................................... 13 Establishing the audit programme objectives .................................................. 17 Establishing the audit programme.......... 18 Implementing the audit programme ....... 22 Monitoring the audit programme ............ 28 Reviewing and improving the audit programme ................................................ 28
Durchführung eines Audits ..................... 29 Allgemeines ............................................... 29 Veranlassen des Audits ........................... 32 Vorbereiten der Audittätigkeiten ............. 33 Durchführen der Audittätigkeiten ........... 37 Erstellen und Verteilen des Auditberichts ............................................. 45 Abschließen des Audits ........................... 47 Durchführen von Auditfolgemaßnahmen47
6 6.1 6.2 6.3 6.4 6.5
Kompetenz und Bewertung von Auditoren ................................................... 48 Allgemeines ............................................... 48 Ermitteln der Kompetenz des Auditors, um die Erfordernisse des Auditprogramms zu erfüllen .................... 49 Festlegen der Bewertungskriterien für Auditoren ................................................... 56 Auswählen der geeigneten Bewertungsmethode für Auditoren ........ 56 Durchführen der Auditor-Bewertung ...... 58 Erhalten und Verbessern der Kompetenz des Auditors ......................... 58
7 7.1 7.2
5.1 5.2 5.3 5.4 5.5 5.6
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Page
6 6.1 6.2 6.3 6.4 6.5 6.6 6.7 7 7.1 7.2 7.3 7.4 7.5 7.6
5.3 5.4 5.5 5.6
6.6 6.7
7.3 7.4 7.5 7.6
Performing an audit .................................. 29 General ....................................................... 29 Initiating the audit ..................................... 32 Preparing audit activities ......................... 33 Conducting the audit activities ............... 37 Preparing and distributing the audit report .......................................................... 45 Completing the audit ................................ 47 Conducting audit follow-up ..................... 47 Competence and evaluation of auditors 48 General ....................................................... 48 Determining auditor competence to fulfil the needs of the audit programme . 49 Establishing the auditor evaluation criteria ........................................................ 56 Selecting the appropriate auditor evaluation method .................................... 56 Conducting auditor evaluation ................ 58 Maintaining and improving auditor competence ............................................... 58
Anhang A (informativ) Anleitung sowie anschauliche Beispiele für disziplinspezifisches Wissen und Fertigkeiten von Auditoren ........................................... 59
Annex A (informative) Guidance and illustrative examples of disciplinespecific knowledge and skills of auditors ...................................................... 59
Anhang B (informativ) Zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits .......................... 69
Annex B (informative) Additional guidance for auditors for planning and conducting audits ......................................................... 69
Literaturhinweise ................................................ 81
Bibliography ........................................................ 81
2
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Vorwort
Foreword
Dieses Dokument (EN ISO 19011:2011) wurde vom Technischen Komitee ISO/TC 176 „Quality management and quality assurance“ in Zusammenarbeit mit CCMC erarbeitet.
This document (EN ISO 19011:2011) has been prepared by Technical Committee ISO/TC 176 “Quality management and quality assurance” in collaboration with CCMC.
Diese Europäische Norm muss den Status einer nationalen Norm erhalten, entweder durch Veröffentlichung eines identischen Textes oder durch Anerkennung bis Mai 2012, und etwaige entgegenstehende nationale Normen müssen bis Mai 2012 zurückgezogen werden.
This European Standard shall be given the status of a national standard, either by publication of an identical text or by endorsement, at the latest by May 2012, and conflicting national standards shall be withdrawn at the latest by May 2012.
Es wird auf die Möglichkeit hingewiesen, dass einige Texte dieses Dokuments Patentrechte berühren können. CEN [und/oder CENELEC] sind nicht dafür verantwortlich, einige oder alle diesbezüglichen Patentrechte zu identifizieren.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. CEN [and/or CENELEC] shall not be held responsible for identifying any or all such patent rights.
Dieses Dokument ersetzt EN ISO 19011:2002.
This document supersedes EN ISO 19011:2002.
Entsprechend der CEN/CENELEC-Geschäftsordnung sind die nationalen Normungsinstitute der folgenden Länder gehalten, diese Europäische Norm zu übernehmen: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Norwegen, Österreich, Polen, Portugal, Rumänien, Schweden, Schweiz, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn, Vereinigtes Königreich und Zypern.
According to the CEN/CENELEC Internal Regulations, the national standards organizations of the following countries are bound to implement this European Standard: Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland and the United Kingdom.
Anerkennungsnotiz
Endorsement notice
Der Text von ISO 19011:2011 wurde vom CEN als EN ISO 19011:2011 ohne irgendeine Abänderung genehmigt.
The text of ISO 19011:2011 has been approved by CEN as a EN ISO 19011:2011 without any modification.
3
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Einleitung
Introduction
Seit der ersten Ausgabe dieser Internationalen Norm im Jahre 2002 sind eine Reihe von Managementsystem-Normen veröffentlicht worden. Daher ist es notwendig, das Auditieren von Managementsystemen in einem breiteren Umfang zu berücksichtigen, und es müssen Anleitungen bereitgestellt werden, die allgemeinerer Natur sind.
Since the first edition of this International Standard was published in 2002, a number of new management system standards have been published. As a result, there is now a need to consider a broader scope of management system auditing, as well as providing guidance that is more generic.
2006 hat ISO/CASCO (committee for conformity assessment) ISO/IEC 17021 erarbeitet, die Anforderungen für eine Drittparteien-Zertifizierung von Managementsystemen festlegt und die teilweise auf den Anleitungen, die in der ersten Ausgabe dieser Internationalen Norm enthalten waren, basierte.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets out requirements for third party certification of management systems and which was based in part on the guidelines contained in the first edition of this International Standard.
Die zweite Ausgabe der ISO/IEC 17021 aus dem Jahr 2011 wurde erweitert, um die in dieser Internationalen Norm angebotenen Anleitungen in Anforderungen an Audits bei ManagementsystemZertifizierungen umzuwandeln. In diesem Zusammenhang ist mit der zweiten Ausgabe dieser Internationalen Norm beabsichtigt, allen Nutzern, einschließlich kleinen und mittleren Organisationen, Anleitung zu geben und sich insbesondere darauf zu konzentrieren, was allgemein als internes Audit (first party Audit) bezeichnet wird sowie Audits, die durch den Kunden bei deren Lieferanten durchgeführt werden (Audit durch eine second party). Jene, die in die Audits bei der Zertifizierung von Managementsystemen einbezogen sind und die den Anforderungen in ISO/IEC 17021:2011 folgen, könnten auch Anleitungen in dieser Internationalen Norm nützlich finden.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered in this International Standard into requirements for management system certification audits. It is in this context that this second edition of this International Standard provides guidance for all users, including small and medium-sized organizations, and concentrates on what are commonly termed “internal audits” (first party) and “audits conducted by customers on their suppliers” (second party). While those involved in management system certification audits follow the requirements of ISO/IEC 17021:2011, they might also find the guidance in this International Standard useful.
Die Beziehung zwischen dieser zweiten Ausgabe dieser Internationalen Norm und ISO/IEC 17021:2011 ist in Tabelle 1 dargestellt.
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is shown in Table 1.
4
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Tabelle 1 — Anwendungsbereich dieser Internationalen Norm sowie deren Beziehung zur ISO/IEC 17021:2011
Internes Auditieren Manchmal als first party Audit bezeichnet
Externes Auditieren Auditieren durch Lieferantenaudit unabhängigen Dritten (third party Audit) Manchmal als second party Audit bezeichnet
Für rechtliche, gesetzliche und ähnliche Zwecke Für Zertifizierungen (siehe auch die Anforderungen in ISO/IEC 17021:2011)
Table 1 — Scope of this International Standard and its relationship with ISO/IEC 17021:2011 Internal auditing
Sometimes called first party audit
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
External auditing Supplier auditing Third party auditing Sometimes called second party audit
For legal, regulatory and similar purposes For certification (see also the requirements in ISO/IEC 17021:2011)
Diese Internationale Norm enthält keine Anforderungen, sondern gibt Anleitungen zum Leiten und Lenken eines Auditprogramms, zum Planen und Durchführen eines Audits des Managementsystems sowie zur Kompetenz und Bewertung eines Auditors sowie eines Auditteams.
This International Standard does not state requirements, but provides guidance on the management of an audit programme, on the planning and conducting of an audit of the management system, as well as on the competence and evaluation of an auditor and an audit team.
Organisationen können mehr als ein formales Managementsystem betreiben. Zur Vereinfachung der Lesbarkeit dieser Internationalen Norm wird bei „Managementsystem“ die Singular-Form bevorzugt. Der Leser kann allerdings die Umsetzung der Anleitungen auf seine spezielle Situation anpassen. Dies bezieht sich auch auf die Anwendung der Termini „Person“ und „Personen“, „Auditor“ und „Auditoren“.
Organizations can operate more than one formal management system. To simplify the readability of this International Standard, the singular form of “management system” is preferred, but the reader can adapt the implementation of the guidance to their own particular situation. This also applies to the use of “person” and “persons”, “auditor” and “auditors”.
Diese Internationale Norm beabsichtigt, einen breiten Nutzerkreis anzusprechen, einschließlich Auditoren, Organisationen, die Managementsysteme einführen, sowie Organisationen, die aus vertraglichen oder rechtlichen Gründen Audits von Managementsystemen durchführen müssen. Nutzer dieser Internationalen Norm können hingegen diese Anleitung bei der Erarbeitung ihrer auditbezogenen Anforderungen verwenden.
This International Standard is intended to apply to a broad range of potential users, including auditors, organizations implementing management systems, and organizations needing to conduct audits of management systems for contractual or regulatory reasons. Users of this International Standard can, however, apply this guidance in developing their own audit-related requirements.
Die Anleitungen in dieser Internationalen Norm können auch zum Zwecke der Selbsterklärung verwendet werden. Und sie können ebenfalls für Organisationen nützlich sein, die in die Auditorschulung oder in die Personenzertifizierung einbezogen sind.
The guidance in this International Standard can also be used for the purpose of self-declaration, and can be useful to organizations involved in auditor training or personnel certification.
Es ist beabsichtigt, die Anleitungen in dieser Internationalen Norm flexibel zu gestalten. Wie an ver-
The guidance in this International Standard is intended to be flexible. As indicated at various points
5
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
schiedenen Stellen im Text angegeben, kann die Nutzung dieser Anleitung variieren entsprechend der Größe und dem Reifegrad des Managementsystems einer Organisation und der Art und der Komplexität der zu auditierenden Organisation sowie in Bezug auf die Ziele und den Umfang der durchzuführenden Audits.
in the text, the use of this guidance can differ depending on the size and level of maturity of an organization’s management system and on the nature and complexity of the organization to be audited, as well as on the objectives and scope of the audits to be conducted.
Diese Internationale Norm stellt das Konzept von Risiken bei der Auditierung von Managementsystemen vor. Der gewählte Ansatz bezieht sich sowohl auf das Risiko des Auditprozesses, seine Ziele nicht zu erreichen, sowie auf die Möglichkeit der Beeinflussung des Audits durch die Tätigkeiten und Prozesse der zu auditierenden Organisation. Sie gibt keine spezielle Anleitung zum Risikomanagementprozess der Organisation, erkennt aber an, dass Organisationen bei Audits auf Fragen der Bedeutung für das Managementsystem eingehen können.
This International Standard introduces the concept of risk to management systems auditing. The approach adopted relates both to the risk of the audit process not achieving its objectives and to the potential of the audit to interfere with the auditee’s activities and processes. It does not provide specific guidance on the organization’s risk management process, but recognizes that organizations can focus audit effort on matters of significance to the management system.
Diese Internationale Norm verfolgt den Ansatz, dass, wenn zwei oder mehrere Managementsysteme verschiedener Disziplinen zusammen auditiert werden, dies als kombiniertes Audit bezeichnet wird. Dort, wo diese Systeme in ein einziges Managementsystem integriert sind, sind die Auditprinzipien und -prozesse dieselben wie bei einem kombinierten Audit.
This International Standard adopts the approach that when two or more management systems of different disciplines are audited together, this is termed a “combined audit”. Where these systems are integrated into a single management system, the principles and processes of auditing are the same as for a combined audit.
Abschnitt 3 enthält die wichtigsten Begriffe, die in diesem Dokument verwendet werden. Es wurden alle Anstrengungen unternommen, um sicherzustellen, dass diese Definitionen nicht im Widerspruch stehen mit jenen, die in anderen Normen verwendet werden.
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been taken to ensure that these definitions do not conflict with definitions used in other standards.
Abschnitt 4 beschreibt die Prinzipien, auf denen ein Audit basiert. Diese Prinzipien helfen dem Nutzer, die große Bedeutung des Auditierens zu würdigen; und sie sind erforderlich, um die Anleitungen in den Abschnitten 5 bis 7 zu verstehen.
Clause 4 describes the principles on which auditing is based. These principles help the user to understand the essential nature of auditing and they are important in understanding the guidance set out in Clauses 5 to 7.
Abschnitt 5 gibt Anleitung für das Erstellen und das Leiten und Lenken eines Auditprogramms, einschließlich Festlegen der Auditprogrammziele sowie das Koordinieren von Audittätigkeiten.
Clause 5 provides guidance on establishing and managing an audit programme, establishing the audit programme objectives, and coordinating auditing activities.
Abschnitt 6 gibt Anleitung zum Planen und Durchführen eines Audits eines Managementsystems.
Clause 6 provides guidance on planning and conducting an audit of a management system.
Abschnitt 7 gibt Anleitung zur Kompetenz und Bewertung von Auditoren für Managementsysteme sowie von Auditteams.
Clause 7 provides guidance relating to the competence and evaluation of management system auditors and audit teams.
Anhang A veranschaulicht die Anwendung der in Abschnitt 7 gegebenen Anleitung auf verschiedene Disziplinen.
Annex A illustrates the application of the guidance in Clause 7 to different disciplines.
Anhang B gibt zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits.
Annex B provides additional guidance for auditors on planning and conducting audits.
6
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
1
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Anwendungsbereich
1
Scope
Diese Internationale Norm gibt Anleitung zum Auditieren von Managementsystemen, einschließlich zu den Auditprinzipien, zur Leitung und Lenkung eines Auditprogramms und zur Durchführung von Audits von Managementsystemen sowie zur Bewertung der Kompetenz derer, die in den Auditprozess einschließlich in die Leitung und Lenkung der Auditprogramme einbezogen sind — Auditoren und Auditteams.
This International Standard provides guidance on auditing management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process, including the person managing the audit programme, auditors and audit teams.
Sie ist anwendbar auf alle Organisationen, die interne oder externe Audits von Managementsystemen durchführen oder für das Management eines Auditprogramms verantwortlich sind.
It is applicable to all organizations that need to conduct internal or external audits of management systems or manage an audit programme.
Die Anwendung dieser Internationalen Norm auf andere Arten von Audits ist möglich, vorausgesetzt, besondere Aufmerksamkeit wird der speziellen Kompetenz, die erforderlich ist, beigemessen.
The application of this International Standard to other types of audits is possible, provided that special consideration is given to the specific competence needed.
2
2
Normative Verweisungen
Normative references
Es werden keine normativen Verweisungen zitiert. Dieser Abschnitt ist enthalten, um identisch mit der Nummerierung bei anderen ISO-Normen für Managementsysteme zu bleiben.
No normative references are cited. This clause is included in order to retain clause numbering identical with other ISO management system standards.
3
3
Begriffe
Terms and definitions
Für die Anwendung dieses Dokuments gelten die folgenden Begriffe.
For the purposes of this document, the following terms and definitions apply.
3.1 Audit systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen (3.3) und zu deren objektiver Auswertung, um zu ermitteln, inwieweit die Auditkriterien (3.2) erfüllt sind
3.1 audit systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it objectively to determine the extent to which the audit criteria (3.2) are fulfilled
ANMERKUNG 1 Interne Audits, manchmal auch first party Audits genannt, werden von oder im Namen der Organisation selbst zur Managementbewertung und für andere interne Zwecke (z. B. um das beabsichtigte Funktionieren des Managementsystems zu bestätigen oder um Informationen zur Verbesserung des Managementsystems zu erhalten) durchgeführt. Interne Audits können die Grundlage für die eigene Konformitätserklärung (Selbsterklärung) der Organisation bilden. In vielen Fällen, insbesondere bei kleinen und mittleren Organisationen, lässt sich die in der Definition angesprochene Unabhängigkeit dadurch nachweisen, dass keine Verantwortung für die zu auditierenden Aktivitäten besteht oder keine Vorurteile oder Interessenkonflikte vorliegen.
NOTE 1 Internal audits, sometimes called first party audits, are conducted by the organization itself, or on its behalf, for management review and other internal purposes (e.g. to confirm the effectiveness of the management system or to obtain information for the improvement of the management system). Internal audits can form the basis for an organization’s selfdeclaration of conformity. In many cases, particularly in small organizations, independence can be demonstrated by the freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.
ANMERKUNG 2 Externe Audits schließen second oder third party Audits ein. Second party Audits werden
NOTE 2 External audits include second and third party audits. Second party audits are conducted by parties
7
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
von Parteien, die ein Interesse an der Organisation haben, wie z. B. Kunden, oder von anderen Personen im Namen dieser Parteien durchgeführt. Third party Audits werden von unabhängigen auditierenden Organisationen durchgeführt, wie z. B. Behörden, oder von denjenigen, die registrieren oder zertifizieren.
having an interest in the organization, such as customers, or by other persons on their behalf. Third party audits are conducted by independent auditing organizations, such as regulators or those providing certification.
ANMERKUNG 3 Wenn zwei oder mehrere Managementsysteme unterschiedlicher Disziplinen (z. B. Qualität, Umwelt, Arbeitsschutz und Arbeitssicherheit) zusammen auditiert werden, wird dies als kombiniertes Audit bezeichnet.
NOTE 3 When two or more management systems of different disciplines (e.g. quality, environmental, occupational health and safety) are audited together, this is termed a combined audit.
ANMERKUNG 4 Wenn zwei oder mehrere auditierende Organisationen zusammenarbeiten, um eine einzelne Organisation (3.7) zu auditieren, wird dies als gemeinschaftliches Audit bezeichnet.
NOTE 4 When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed a joint audit.
ANMERKUNG 5 finition 3.9.1.
NOTE 5 3.9.1.
In Anlehnung an ISO 9000:2005, De-
Adapted
from
ISO 9000:2005,
definition
3.2 Auditkriterien Verfahren, Vorgehensweisen oder Anforderungen, die als Bezugsgrundlage (Referenz) verwendet werden, anhand derer ein Vergleich mit dem Auditnachweis (3.3.) erfolgt
3.2 audit criteria set of policies, procedures or requirements used as a reference against which audit evidence (3.3) is compared
ANMERKUNG 1 finition 3.9.3.
NOTE 1 3.9.3.
In Anlehnung an ISO 9000:2005, De-
Adapted
from
ISO 9000:2005,
definition
ANMERKUNG 2 Wenn die Auditkriterien rechtliche (einschließlich gesetzliche und behördliche) Anforderungen darstellen, werden in einer Auditfeststellung (3.4) oft die Begriffe „konform“ oder „nicht konform“ verwendet.
NOTE 2 If the audit criteria are legal (including statutory or regulatory) requirements, the terms “compliant” or “noncompliant” are often used in an audit finding (3.4).
3.3 Auditnachweis Aufzeichnungen, Tatsachenfeststellungen oder andere Informationen, die für die Auditkriterien (3.2) zutreffen und verifizierbar sind
3.3 audit evidence records, statements of fact or other information which are relevant to the audit criteria (3.2) and verifiable
ANMERKUNG quantitativ sein.
NOTE tive.
Auditnachweise können qualitativ oder
Audit evidence can be qualitative or quantita-
[ISO 9000:2005, Definition 3.9.4]
[ISO 9000:2005, definition 3.9.4]
3.4 Auditfeststellungen Ergebnisse aus der Bewertung der gesammelten Auditnachweise (3.3) im Hinblick auf Auditkriterien (3.2)
3.4 audit findings results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
ANMERKUNG 1 Auditfeststellungen zeigen Konformität oder Nichtkonformität auf.
NOTE 1 formity.
ANMERKUNG 2 Auditfeststellungen können dazu führen, dass Verbesserungsmöglichkeiten aufgezeigt oder bewährte Praktiken aufgezeichnet werden.
NOTE 2 Audit findings can lead to the identification of opportunities for improvement or recording good practices.
ANMERKUNG 3 Wenn die Auditkriterien aus rechtlichen oder anderen Anforderungen ausgewählt werden, wird die Auditfeststellung als Übereinstimmung oder Nichtübereinstimmung bezeichnet.
NOTE 3 If the audit criteria are selected from legal or other requirements, the audit finding is termed compliance or non-compliance.
8
Audit findings indicate conformity or noncon-
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
ANMERKUNG 4 finition 3.9.5.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
In Anlehnung an ISO 9000:2005, De-
NOTE 4 3.9.5.
Adapted
from
ISO 9000:2005,
definition
3.5 Auditschlussfolgerungen Ergebnis eines Audits (3.1) nach Berücksichtigung der Auditziele und aller Auditfeststellungen (3.4)
3.5 audit conclusion outcome of an audit (3.1), after consideration of the audit objectives and all audit findings (3.4)
ANMERKUNG nition 3.9.6.
NOTE 3.9.6.
In Anlehnung an ISO 9000:2005, Defi-
Adapted
from
ISO 9000:2005,
definition
3.6 Auditauftraggeber Organisation oder Person, die ein Audit (3.1) anfordert
3.6 audit client organization or person requesting an audit (3.1)
ANMERKUNG 1 Im Falle eines internen Audits kann der Auftraggeber auch die zu auditierende Organisation (3.7) oder die Person sein, die das Auditprogramm leitet und lenkt. Anfragen nach externen Audits können von Behörden, Vertragspartnern oder potentiellen Auftraggebern kommen.
NOTE 1 In the case of internal audit, the audit client can also be the auditee (3.7) or the person managing the audit programme. Requests for external audit can come from sources such as regulators, contracting parties or potential clients.
ANMERKUNG 2 finition 3.9.7.
NOTE 2 3.9.7.
In Anlehnung an ISO 9000:2005, De-
Adapted
from
ISO 9000:2005,
definition
3.7 auditierte Organisation Organisation, die auditiert wird
3.7 auditee organization being audited
[ISO 9000:2005, Definition 3.9.8]
[ISO 9000:2005, definition 3.9.8]
3.8 Auditor Person, die ein Audit (3.1) durchführt
3.8 auditor person who conducts an audit (3.1)
3.9 Auditteam ein oder mehrere Auditoren (3.8), die ein Audit (3.1) durchführen, nötigenfalls unterstützt durch Fachexperten (3.10)
3.9 audit team one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
ANMERKUNG 1 Ein Auditor des Auditteams wird als Leiter des Auditteams benannt.
NOTE 1 One auditor of the audit team is appointed as the audit team leader.
ANMERKUNG 2 Zum Auditteam können auch sich in Ausbildung befindliche Auditoren gehören.
NOTE 2 training.
[ISO 9000:2005, Definition 3.9.10]
[ISO 9000:2005, definition 3.9.10]
3.10 FachexperteN1) Person, die dem Auditteam (3.9) spezifisches Wissen oder Fachkenntnisse zur Verfügung stellt
3.10 technical expert person who provides specific knowledge or expertise to the audit team (3.9)
ANMERKUNG 1 Spezifisches Wissen oder Fachkenntnisse beziehen sich auf die zu auditierende Organi-
NOTE 1 Specific knowledge or expertise is that which relates to the organization, the process or activity to be
N1)
The audit team may include auditors-in-
Nationale Fußnote: In DIN EN ISO 9000:2005, 3.9.11, wird „technical expert“ mit „Sachkundiger“ übersetzt. In dieser Norm wird per Beschluss des zuständigen deutschen Normungsgremiums „Fachexperte“ als deutsche Bezeichnung verwendet.
9
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
sation, den Prozess oder die zu auditierende Tätigkeit, oder die Sprache oder die Kultur.
audited, or language or culture.
ANMERKUNG 2 Ein Fachexperte handelt nicht als Auditor (3.8) im Auditteam.
NOTE 2 A technical expert does not act as an auditor (3.8) in the audit team.
[ISO 9000:2005, Definition 3.9.11]
[ISO 9000:2005, definition 3.9.11]
3.11 Beobachter Person, die das Auditteam (3.9) begleitet, aber nicht auditiert
3.11 observer person who accompanies the audit team (3.9) but does not audit
ANMERKUNG 1 Ein Beobachter ist nicht Teil des Auditteams (3.9) und hat keinen Einfluss auf die Durchführung des Audits (3.1).
NOTE 1 An observer is not a part of the audit team (3.9) and does not influence or interfere with the conduct of the audit (3.1).
ANMERKUNG 2 Ein Beobachter kann ein Vertreter der zu auditierenden Organisation (3.7) sein, ein Vertreter einer Behörde oder einer anderen interessierten Partei, die bei dem Audit (3.1) Beobachtungen vor Ort vornimmt.
NOTE 2 An observer can be from the auditee (3.7), a regulator or other interested party who witnesses the audit (3.1).
3.12 Betreuer Person, die von der zu auditierenden Organisation (3.7) benannt wird, um das Auditteam (3.9) zu unterstützen
3.12 guide person appointed by the auditee (3.7) to assist the audit team (3.9)
3.13 Auditprogramm Festlegungen für einen Satz von einem oder mehreren Audits (3.1), die für einen bestimmten Zeitraum geplant und auf einen spezifischen Zweck ausgerichtet sind
3.13 audit programme arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards a specific purpose
ANMERKUNG nition 3.9.2.
NOTE 3.9.2.
In Anlehnung an ISO 9000:2005, Defi-
Adapted
from
ISO 9000:2005,
definition
3.14 Auditumfang Ausmaß und Grenzen eines Audits (3.1)
3.14 audit scope extent and boundaries of an audit (3.1)
ANMERKUNG Der Auditumfang schließt im Allgemeinen eine Beschreibung der physischen Standorte, der Organisationseinheiten, der Tätigkeiten und Prozesse sowie des betrachteten Zeitraums ein.
NOTE The audit scope generally includes a description of the physical locations, organizational units, activities and processes, as well as the time period covered.
[ISO 9000:2005, Definition 3.9.13]
[ISO 9000:2005, definition 3.9.13]
3.15 Auditplan Beschreibung der Tätigkeiten und Festlegungen für ein Audit (3.1)
3.15 audit plan description of the activities and arrangements for an audit (3.1)
[ISO 9000:2005, Definition 3.9.12]
[ISO 9000:2005, definition 3.9.12]
3.16 Risiko Auswirkung der Unsicherheit auf Ziele
3.16 risk effect of uncertainty on objectives
ANMERKUNG Definition 1.1.
NOTE tion 1.1.
10
In Anlehnung an ISO Guide 73:2009,
Adapted from ISO Guide 73:2009, defini-
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
3.17 Kompetenz Befähigung, Wissen und Fertigkeiten anzuwenden, um beabsichtigte Ergebnisse zu erzielen
3.17 competence ability to apply knowledge and skills to achieve intended results
ANMERKUNG Befähigung impliziert den entsprechenden Einsatz persönlichen Verhaltens während des Auditprozesses.
NOTE Ability implies the appropriate application of personal behaviour during the audit process.
3.18 Konformität Erfüllung einer Anforderung
3.18 conformity fulfilment of a requirement
[ISO 9000:2005, Definition 3.6.1]
[ISO 9000:2005, definition 3.6.1]
3.19 Nichtkonformität N2) Nicht-Erfüllung einer Anforderung
3.19 nonconformity non-fulfilment of a requirement
[ISO 9000:2005, Definition 3.6.2]
[ISO 9000:2005, definition 3.6.2]
3.20 Managementsystem System zur Festlegung von Politik und Zielen sowie zum Erreichen dieser Ziele
3.20 management system system to establish policy and objectives and to achieve those objectives
ANMERKUNG Ein Managementsystem einer Organisation kann verschiedene Managementsysteme einschließen, wie z. B. ein Qualitätsmanagementsystem, ein Finanzmanagementsystem oder ein Umweltmanagementsystem.
NOTE A management system of an organization can include different management systems, such as a quality management system, a financial management system or an environmental management system.
[ISO 9000:2005, Definition 3.2.2]
[ISO 9000:2005, definition 3.2.2]
4
4
Auditprinzipien
Das Auditieren stützt sich auf eine Reihe von Prinzipien. Diese Prinzipien sollten dazu dienen, das Audit zu einem wirksamen und zuverlässigen Werkzeug zur Unterstützung von Managementpolitik und -lenkung zu machen, indem Informationen bereitgestellt werden, auf deren Grundlage eine Organisation handeln kann, um ihre Leistung zu verbessern. Die Einhaltung dieser Prinzipien ist eine Voraussetzung, um Auditschlussfolgerungen zu liefern, die relevant und ausreichend sind und die die Auditoren befähigen, unabhängig voneinander zu ähnlichen Schlussfolgerungen unter ähnlichen Umständen zu gelangen.
N2)
Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make the audit an effective and reliable tool in support of management policies and controls, by providing information on which an organization can act in order to improve its performance. Adherence to these principles is a prerequisite for providing audit conclusions that are relevant and sufficient and for enabling auditors, working independently from one another, to reach similar conclusions in similar circumstances.
Nationale Fußnote: In DIN EN ISO 9000:2005, 3.6.2 wird „nonconformity“ mit „Fehler“ übersetzt. In dieser Norm wird per Beschluss des zuständigen deutschen Normungsgremiums „Nichtkonformität“ als deutsche Bezeichnung verwendet.
11
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Die Anleitungen in den Abschnitten 5 bis 7 basieren auf den folgenden sechs Prinzipien:
The guidance given in Clauses 5 to 7 is based on the six principles outlined below.
a) Integrität: die Grundlage des Berufsbildes
a)
Auditoren sowie die Person, die das Auditprogramm leitet und lenkt, sollten:
Auditors and the person managing an audit programme should:
ihre Arbeit mit Ehrlichkeit, Sorgfalt und
perform their work with honesty, diligence,
alle anwendbaren rechtlichen Anforderun-
observe and comply with any applicable
ihre Kompetenz während ihrer Arbeit
demonstrate their competence while per-
ihre Arbeit unparteilich ausführen, d. h.
perform their work in an impartial manner,
sensibel gegenüber jeglichen Einflüssen
be sensitive to any influences that may be
Verantwortung ausführen;
and responsibility;
gen beachten und einhalten;
legal requirements;
nachweisen;
forming their work;
sachlich und in ihren Handlungen frei von Voreingenommenheit bleiben;
i.e. remain fair and unbiased in all their dealings;
sein, die während der Durchführung eines Audits ausgeübt werden können.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
b) Sachliche Darstellung: die Pflicht, wahrheitsgemäß und genau zu berichten
exerted on their judgement while carrying out an audit.
b)
Auditfeststellungen, Auditschlussfolgerungen und Auditberichte sollten die Audittätigkeiten wahrheitsgemäß und genau widerspiegeln. Über wesentliche Hindernisse, die während des Audits auftreten, und über nicht bereinigte, auseinandergehende Auffassungen zwischen dem Auditteam und der auditierten Organisation sollte berichtet werden. Die Kommunikation sollte wahrheitsgetreu, genau, objektiv, zeitgerecht, klar und vollständig sein. c) Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt und Urteilsvermögen beim Auditieren
d) Vertraulichkeit: Sicherheit von Informationen Auditoren sollten bei der Verwendung und dem Schutz von Informationen, die sie im Verlaufe ihrer Aufgaben erworben haben, umsichtig sein. Auditinformationen sollten nicht unangemessen zur persönlichen Bereicherung des Auditors oder der Organisation, die das Audit
Fair presentation: the obligation to report truthfully and accurately Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the audit activities. Significant obstacles encountered during the audit and unresolved diverging opinions between the audit team and the auditee should be reported. The communication should be truthful, accurate, objective, timely, clear and complete.
c)
Auditoren sollten Sorgfalt walten lassen in Bezug auf die Bedeutung der Aufgabe, die sie ausführen, und das Vertrauen, welches die Organisation, die das Audit anfordert, sowie andere interessierte Kreise in sie setzen. Ein wichtiger Faktor bei der Ausführung der Arbeit mit angemessener beruflicher Sorgfalt ist die Fähigkeit, in allen Auditsituationen begründete Urteile fällen zu können.
12
Integrity: the foundation of professionalism
Due professional care: the application of diligence and judgement in auditing Auditors should exercise due care in accordance with the importance of the task they perform and the confidence placed in them by the audit client and other interested parties. An important factor in carrying out their work with due professional care is having the ability to make reasoned judgements in all audit situations.
d)
Confidentiality: security of information Auditors should exercise discretion in the use and protection of information acquired in the course of their duties. Audit information should not be used inappropriately for personal gain by the auditor or the audit client, or in a manner detrimental to the legitimate interests of the
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
anfordert, oder in einer Weise verwendet werden, die nachteilig für die berechtigten Interessen der zu auditierenden Organisation ist. Dieses Konzept schließt den ordnungsgemäßen Umgang mit sensiblen, vertraulichen Informationen ein. e) Unabhängigkeit: die Grundlage für die Unparteilichkeit des Audits sowie für die Objektivität der Auditschlussfolgerungen
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
f)
auditee. This concept includes the proper handling of sensitive or confidential information.
e)
Wo immer möglich, sollten Auditoren unabhängig von der Tätigkeit sein, die auditiert wird, und sie sollten in allen Fällen frei von Voreingenommenheit und Interessenkonflikten handeln. Bei internen Audits sollten Auditoren unabhängig von den Leitern der zu auditierenden Funktionsbereiche sein. Die Auditoren sollten während des gesamten Auditprozesses Objektivität wahren, um sicherzustellen, dass sich die Auditfeststellungen und -schlussfolgerungen nur auf die Auditnachweise stützen.
Auditors should be independent of the activity being audited wherever practicable, and should in all cases act in a manner that is free from bias and conflict of interest. For internal audits, auditors should be independent from the operating managers of the function being audited. Auditors should maintain objectivity throughout the audit process to ensure that the audit findings and conclusions are based only on the audit evidence.
Bei kleineren Organisationen kann es sein, dass die internen Auditoren nicht komplett unabhängig von der Tätigkeit sind, die auditiert wird; es sollten aber alle Anstrengungen unternommen werden, um Voreingenommenheit zu beseitigen und Objektivität zu fördern.
For small organizations, it may not be possible for internal auditors to be fully independent of the activity being audited, but every effort should be made to remove bias and encourage objectivity.
Vorgehensweise, die auf Nachweisen beruht: die rationelle Methode, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen
f)
Auditnachweise sollten verifizierbar sein. Üblicherweise beruhen sie auf Stichproben aus den verfügbaren Informationen, da ein Audit während eines festgelegten Zeitraums und mit begrenzten Ressourcen durchgeführt wird. Die Stichprobennahme sollte angemessen erfolgen, da dies eng mit dem Vertrauen verbunden ist, das in die Auditschlussfolgerungen gesetzt werden kann.
5
Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Leiten und Lenken eines Auditprogramms
Evidence-based approach: the rational method for reaching reliable and reproducible audit conclusions in a systematic audit process
Audit evidence should be verifiable. It will in general be based on samples of the information available, since an audit is conducted during a finite period of time and with finite resources. An appropriate use of sampling should be applied, since this is closely related to the confidence that can be placed in the audit conclusions.
5
Managing an audit programme
5.1 Allgemeines
5.1 General
Eine Organisation, die Audits durchführen muss, sollte ein Auditprogramm erstellen, das zur Ermittlung der Wirksamkeit des Managementsystems der zu auditierenden Organisation beiträgt. Das Auditprogramm kann Audits einschließen, die eine oder mehrere Managementsystem-Normen berücksichtigt und die entweder getrennt oder in Kombination durchgeführt werden.
An organization needing to conduct audits should establish an audit programme that contributes to the determination of the effectiveness of the auditee’s management system. The audit programme can include audits considering one or more management system standards, conducted either separately or in combination.
13
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Die oberste Leitung sollte sicherstellen, dass die Auditprogrammziele bestimmt werden und dass eine oder mehrere Personen beauftragt werden, das Auditprogramm zu leiten und lenken. Der Umfang eines Auditprogramms sollte auf der Größe und der Art der Organisation, die auditiert wird, sowie auf der Art, Funktionalität, Komplexität und dem Reifegrad des zu auditierenden Managementsystems basieren. Vorrang sollte der Zuordnung der Auditprogrammressourcen gegeben werden, um diejenigen Dinge zu auditieren, die innerhalb des Managementsystems von Bedeutung sind. Diese können die Schlüsselmerkmale von Produktqualität oder Gefahren einschließen, die mit Gesundheit und Sicherheit bzw. signifikanten Umweltaspekten und deren Kontrolle verbunden sind.
The top management should ensure that the audit programme objectives are established and assign one or more competent persons to manage the audit programme. The extent of an audit programme should be based on the size and nature of the organization being audited, as well as on the nature, functionality, complexity and the level of maturity of the management system to be audited. Priority should be given to allocating the audit programme resources to audit those matters of significance within the management system. These may include the key characteristics of product quality or hazards related to health and safety, or significant environmental aspects and their control.
ANMERKUNG Dieses Konzept ist allgemein als risikobasiertes Auditieren bekannt. Diese Internationale Norm gibt keine weitere Anleitung zum risikobasierten Auditieren.
NOTE This concept is commonly known as riskbased auditing. This International Standard does not give further guidance on risk-based auditing.
Das Auditprogramm sollte Informationen und Ressourcen einschließen, die erforderlich sind, um die Audits innerhalb des festgelegten Zeitrahmens wirksam und effizient zu organisieren und durchzuführen. Es kann auch einschließen:
The audit programme should include information and resources necessary to organize and conduct its audits effectively and efficiently within the specified time frames and can also include the following:
Ziele für das Auditprogramm sowie für die ein-
objectives for the audit programme and
Umfang/Anzahl/Arten/Dauer/Standorte/Zeitplan
extent/number/types/duration/locations/schedule
Verfahren für Auditprogramme;
audit programme procedures;
Auditkriterien;
audit criteria;
Auditmethoden;
audit methods;
Auswahl des Auditteams;
selection of audit teams;
erforderliche Ressourcen, einschließlich Reise-
necessary resources, including travel and
Prozesse zum Umgang mit Vertraulichkeit, In-
processes
Die Umsetzung des Auditprogramms sollte überwacht und gemessen werden, um sicherzustellen, dass seine Ziele erreicht worden sind. Das Auditprogramm sollte überprüft werden, um mögliche Verbesserungen zu identifizieren.
The implementation of the audit programme should be monitored and measured to ensure its objectives have been achieved. The audit programme should be reviewed in order to identify possible improvements.
Bild 1 veranschaulicht den Prozessablauf für das Leiten und Lenken eines Auditprogramms.
Figure 1 illustrates the process flow for the management of an audit programme.
zelnen Audits; der Audits;
zeit und Unterkünfte;
formationssicherheit, Arbeitsschutz sowie wietere ähnliche Aspekte.
14
individual audits; of the audits;
accommodation;
for handling confidentiality, information security, health and safety, and other similar matters.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
ANMERKUNG 1 Dieses Bild veranschaulicht außerdem den Zyklus Planen-Durchführen-Prüfen-Handeln in dieser Internationalen Norm. ANMERKUNG 2 Die Nummerierung bezieht sich auf die entsprechenden Abschnitte bzw. Unterabschnitte in dieser Internationalen Norm.
Bild 1 — Ablauf für das Leiten und Lenken eines Auditprogramms
15
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
NOTE 1
This figure illustrates the application of the Plan-Do-Check-Act cycle in this International Standard.
NOTE 2
Clause/subclause numbering refers to the relevant clauses/subclauses of this International Standard.
Figure 1 — Process flow for the management of an audit programme
16
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
5.2 Festlegen der Auditprogrammziele
5.2 Establishing the audit programme objectives
Die oberste Leitung sollte sicherstellen, dass die Auditprogrammziele erstellt werden, um das Planen und Durchführen der Audits zu lenken; sie sollte ferner sicherstellen, dass das Auditprogramm wirksam umgesetzt wird. Die Auditprogrammziele sollten im Einklang mit der Politik und den Zielen des Managementsystems stehen und diese unterstützen.
The top management should ensure that the audit programme objectives are established to direct the planning and conduct of audits and should ensure the audit programme is implemented effectively. Audit programme objectives should be consistent with and support management system policy and objectives.
Diese Ziele können auf der Berücksichtigung folgender Aspekte basieren:
These objectives can be based on consideration of the following:
a)
Managementprioritäten;
a)
management priorities;
b)
kommerzielle und andere geschäftliche Intentionen;
b)
commercial and other business intentions;
c)
Merkmale von Prozessen, Produkten und Pro jekten sowie Änderungen an diesen;
c)
characteristics of processes, products and pro jects, and any changes to them;
d)
Managementsystem-Anforderungen;
d)
management system requirements;
e)
rechtliche und vertragliche Anforderungen sowie weitere Anforderungen, zu denen die Organisation verpflichtet ist;
e)
legal and contractual requirements and other requirements to which the organization is committed;
f)
Erfordernis der Lieferantenbeurteilung;
f)
need for supplier evaluation;
g)
Erfordernisse und Erwartungen interessierter Parteien, einschließlich der Kunden;
g)
needs and expectations of interested parties, including customers;
h)
Leistungsgrad der zu auditierenden Organisation, wie dieser sich beim Auftreten von Fehlern bzw. bei Zwischenfällen/Störfällen oder Kundenbeschwerden widerspiegelt;
h)
auditee’s level of performance, as reflected in the occurrence of failures or incidents or customer complaints;
i)
Risiken für die zu auditierende Organisation;
i)
risks to the auditee;
j)
Ergebnisse aus vorangegangenen Audits;
j)
results of previous audits;
k)
Reifegrad des Managementsystems, das auditiert wird.
k)
level of maturity of the management system being audited.
Beispiele von Auditprogrammzielen schließen Folgendes ein:
Examples of audit programme objectives include the following:
zur Verbesserung eines Managementsystems
to contribute to the improvement of a man-
externe Anforderungen,
z. B. Zertifizierung nach einer Managementsystem-Norm, zu erfüllen;
to fulfil external requirements, e.g. certification
die Erfüllung vertraglicher Anforderungen zu
to verify conformity with contractual require-
und dessen Leistungsfähigkeit beizutragen;
verifizieren;
agement system and its performance; to a management system standard;
ments;
17
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Vertrauen in die Fähigkeit eines Lieferanten zu
to obtain and maintain confidence in the capa-
die Wirksamkeit des Managementsystems zu
to determine the effectiveness of the manage-
die Verträglichkeit und Ausrichtung dieser Ziele
to evaluate the compatibility and alignment of
5.3 Festlegen des Auditprogramms
5.3 Establishing the audit programme
5.3.1
5.3.1 Roles and responsibilities of the person managing the audit programme
erlangen und zu erhalten; bestimmen;
mit der Politik des Managementsystems und der gesamten Unternehmensziele zu bewerten.
Rollen und Verantwortlichkeiten der Person, die das Auditprogramm leitet und lenkt
ment system;
the management system objectives with the management system policy and the overall organizational objectives.
Die Person, die das Auditprogramm leitet und lenkt, sollte:
The person managing the audit programme should:
den Umfang des Auditprogramms festlegen;
establish the extent of the audit programme;
die Risikien für das Auditprogramm ermitteln
identify and evaluate the risks for the audit
Verantwortlichkeiten für das Audit festlegen;
establish audit responsibilities;
Verfahren für die Auditprogramme festlegen;
establish procedures for audit programmes;
erforderliche Ressourcen ermitteln;
determine necessary resources;
die Umsetzung des Auditprogramms sicher-
ensure the implementation of the audit pro-
sicherstellen, dass angemessene Aufzeich-
ensure that appropriate audit programme rec-
das Auditprogramm überwachen, bewerten
monitor, review and improve the audit pro-
Die Person, die ein Auditprogramm leitet und lenkt, sollte die oberste Leitung über deren Inhalte informieren und, wenn erforderlich, um dessen Genehmigung bitten.
The person managing an audit programme should inform the top management of the contents of the audit programme and, where necessary, request its approval.
5.3.2
5.3.2 Competence of the person managing the audit programme
und bewerten;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
bility of a supplier;
stellen, einschließlich der Festlegung der Auditziele, des Umfangs und der Kriterien einzelner Audits, der Ermittlung von Auditmethoden sowie der Auswahl des Auditteams und der Bewertung der Auditoren;
nungen zum Auditprogramm gelenkt, geleitet und aufrecht erhalten werden; und verbessern.
Kompetenz der Person, die das Auditprogramm leitet und lenkt
Die Person, die das Auditprogramm leitet und lenkt, sollte die erforderliche Kompetenz besitzen, um das Programm sowie die mit diesem verbundene Risiken wirksam und effizient zu lenken sowie auch Wissen und Kenntnisse in den folgenden Bereichen aufweisen:
18
programme;
gramme, including the establishment of audit objectives, scope and criteria of the individual audits, determining audit methods and selecting the audit team and evaluating auditors;
ords are managed and maintained;
gramme.
The person managing the audit programme should have the necessary competence to manage the programme and its associated risks effectively and efficiently, as well as knowledge and skills in the following areas:
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Auditprinzipien, -verfahren und -methoden;
audit principles, procedures and methods;
Managementsystem-Normen
management system standards and reference
und
Bezugs-
dokumente;
Tätigkeiten, Produkte und Prozesse der zu
activities, products and processes of the audi-
anwendbare rechtliche und andere Anforde-
applicable legal and other requirements rele-
wo zutreffend, Kunden und Lieferanten der zu
customers, suppliers and other interested par-
Die Person, die das Auditprogramm leitet und lenkt, sollte ständig in Tätigkeiten zur beruflichen Entwicklung eingebunden sein, um das entsprechende erforderliche Wissen und die Fertigkeiten zur Leitung und Lenkung des Auditprogramms aufrecht zu erhalten.
The person managing the audit programme should engage in appropriate continual professional development activities to maintain the necessary knowledge and skills to manage the audit programme.
5.3.3
5.3.3 Establishing the extent of the audit programme
auditierenden Organisation;
rungen in Bezug auf die Tätigkeiten und Produkte der zu auditierenden Organisation;
auditierenden Organisation sowie andere interessierte Parteien.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
documents;
Festlegen des Umfangs des Auditprogramms
tee;
vant to the activities and products of the auditee; ties of the auditee, where applicable.
Die Person, die das Auditprogramm leitet und lenkt, sollte den Umfang des Auditprogramms festlegen, der variieren kann in Abhängigkeit von der Größe und Art der zu auditierenden Organisation sowie auch von der Art, Funktionalität, Komplexität und dem Reifegrad des zu auditierenden Managementsystems sowie von Fragen, die für das Managementsystem der zu auditierenden Organisation von Bedeutung sind.
The person managing the audit programme should determine the extent of the audit programme, which can vary depending on the size and nature of the auditee, as well as on the nature, functionality, complexity and the level of maturity of, and matters of significance to, the management system to be audited.
ANMERKUNG In bestimmten Fällen, in Abhängigkeit von der Struktur der zu auditierenden Organisation bzw. deren Tätigkeiten, kann das Auditprogramm nur aus einem einzelnen Audit bestehen (z. B. eine kleine Projekttätigkeit).
NOTE In certain cases, depending on the auditee’s structure or its activities, the audit programme might only consist of a single audit (e.g. a small project activity).
Andere Faktoren, die den Umfang eines Auditprogramms beeinflussen, schließen ein:
Other factors impacting the extent of an audit programme include the following:
Ziel, Umfang und Dauer eines jeden Audits
the objective, scope and duration of each audit
Anzahl, Bedeutung, Komplexität, Gleichartig-
the number, importance, complexity, similarity
solche Faktoren, die die Wirksamkeit des
those factors influencing the effectiveness of
anwendbare Auditkriterien, wie geplante Ab-
applicable audit criteria, such as planned ar-
sowie die Anzahl der Audits, die durchzuführen sind, einschließlich Auditnachfolgetätigkeiten, wenn zutreffend; keit sowie die Standorte der zu auditierenden Tätigkeiten; Managementsystems beeinflussen;
sprachen bezüglich der relevanten Managementnormen, der rechtlichen und vertraglichen
and the number of audits to be conducted, including audit follow up, if applicable;
and locations of the activities to be audited;
the management system;
rangements for the relevant management standards, legal and contractual requirements
19
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Anforderungen sowie weiterer Anforderungen, gegenüber denen die Organisation verpflichtet ist;
and other requirements to which the organization is committed;
Schlussfolgerungen aus früheren internen bzw.
conclusions of previous internal or external au-
Ergebnisse aus einer früheren Auditprogramm-
results of a previous audit programme review;
Sprache, kulturelle und soziale Belange;
language, cultural and social issues;
die Anliegen interessierter Parteien, wie z. B.
the concerns of interested parties, such as cus-
bedeutsame Änderungen bei der zu auditie-
significant changes to the auditee or its opera-
Verfügbarkeit von Informations- und Kommuni-
availability of information and communication
das Auftreten interner und externer Ereignisse,
the occurrence of internal and external events,
5.3.4
5.3.4 Identifying and evaluating audit programme risks
externen Audits; bewertung;
Kundenbeschwerden oder rechtlicher Anforderungen;
Nichteinhaltung
renden Organisation oder ihrer Tätigkeiten;
kationstechnologien zur Unterstützung der Audittätigkeiten, insbesondere die Verwendung von Remote-Auditmethoden N3) (siehe Abschnitt B.1);
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
wie z. B. Produktausfall, Sicherheitslecks bei Informationen, Vorfälle im Arbeits- und Gesundheitsschutz, Straftaten oder Umweltschadensfälle.
Ermitteln und Bewerten von Auditprogrammrisiken
dits;
tomer complaints or non-compliance with legal requirements; tions;
technologies to support audit activities, in particular the use of remote audit methods (see Clause B.1);
such as product failures, information security leaks, health and safety incidents, criminal acts or environmental incidents.
Im Zusammenhang mit dem Festlegen, Umsetzen, Überwachen, Bewerten und Verbessern eines Auditprogramms gibt es viele verschiedene Risiken, die Auswirkungen auf das Erreichen der Auditprogrammziele haben können. Die Person, die das Programm leitet und lenkt, sollte diese Risiken bei der Entwicklung eines Auditprogramms berücksichtigen. Diese Risiken können im Zusammenhang stehen mit:
There are many different risks associated with establishing, implementing, monitoring, reviewing and improving an audit programme that may affect the achievement of its objectives. The person managing the programme should consider these risks in its development. These risks may be associated with the following:
der Planung, z. B. Versäumnisse beim Festle-
planning, e.g. failure to set relevant audit ob-
den Ressourcen, z. B. nicht genügend Zeit zur
resources, e.g. allowing insufficient time for
der Auswahl des Auditteams, z. B. das Team
selection of the audit team, e.g. the team does
gen der entsprechenden Auditziele und bei der Ermittlung des Umfangs des Auditprogramms; Entwicklung des Auditprogramms bzw. zur Durchführung des Audits einräumen;
verfügt nicht über die kollektive Qualifikation, das Audit wirksam durchzuführen;
N3)
20
jectives and determine the extent of the audit programme; developing the audit programme or conducting an audit;
not have the collective competence to conduct audits effectively;
Nationale Fußnote: Methoden, die nicht die physische Anwesenheit des Auditors vor Ort erfordern.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
der Umsetzung, z. B. ineffektive Kommunika-
implementation, e.g. ineffective communication
den Aufzeichnungen und ihren Kontrollen, z. B.
controls, e.g. failure to ade records and their controls,
der Überwachung, Bewertung und Verbesse-
monitoring, reviewing and improving the audit
5.3.5 Festlegen von Verfahren für das Auditprogramm
5.3.5 Establishing procedures for the audit programme
Die Person, die das Auditprogramm leitet und lenkt, sollte ein oder mehrere Auditprogrammverfahren festlegen, die Folgendes, soweit anwendbar, berücksichtigen:
The person managing the audit programme should establish one or more procedures, addressing the following, as applicable:
Planen und Terminieren von Audits unter Be-
planning and scheduling audits considering
Sicherstellen der Informationssicherheit und
ensuring information security and confidentiali-
Sicherstellen der Kompetenz der Auditoren
assuring the competence of auditors and audit
sowie Zu Auswählen geeigneter Auditteams sowie
teams and and assign selecting appropriate audit teams
Durchführen von Audits, einschließlich der
conducting audits, including the use of appro-
Durchführen von Auditfolgemaßnahmen, so-
conducting audit follow-up, if applicable;
Berichterstattung an die oberste Leitung über
reporting to the top management on the overall
Führen von Aufzeichnungen zum Auditpro-
maintaining audit programme records;
Überwachen und Bewerten der Leistungsfä-
monitoring and reviewing the performance and
5.3.6 Ermitteln der Auditprogrammressourcen
5.3.6 Identifying audit programme resources
Bei der Festlegung von Ressourcen für das Auditprogramm sollte die Person, die das Auditprogramm leitet und lenkt, Folgendes berücksichtigen:
When identifying resources for the audit programme, the person managing the audit programme should consider:
die erforderlichen finanziellen Ressourcen, um
the financial resources necessary to develop,
tion des Auditprogramms;
Versäumnisse in Bezug auf einen angemessenen Schutz der Auditaufzeichnungen zum Zwecke des Nachweises der Wirksamkeit des Auditprogramms; rung des Auditprogramms, z. B. ineffektives Überwachen der Auditprogrammergebnisse.
achtung von Programmrisiken;
Vertraulichkeit;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
und des Auditteamleiters;
weisung ihrer Rollen und Verantwortlichkeiten;
Verwendung geeigneter Stichprobenverfahren;
weit zutreffend;
die erreichten gramms;
Ergebnisse
des
Auditpro-
gramm;
higkeit und der Risiken sowie Verbesserung der Wirksamkeit des Auditprogramms.
die Audittätigkeiten zu entwickeln, zu verwirklichen, zu leiten und lenken und zu verbessern;
of the audit programme;
quately protect audit records to demonstrate audit programme effectiveness;
programme, e.g. ineffective monitoring of audit programme outcomes.
audit programme risks; ty;
team leaders;
ing their roles and responsibilities; priate sampling methods;
achievements of the audit programme;
risks, and improving the effectiveness of the audit programme.
implement, manage and improve audit activities;
21
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Auditmethoden;
audit methods;
die Verfügbarkeit von von Auditoren und Fachex-
the availability of auditors and technical experts
den Umfang des Auditprogramms und Audit-
the extent extent of the audit audit programme and audit
Reisezeit und -kosten, Unterbringung und
travelling time and cost, accommodation and
die Verfügbarkeit von Informations- und und Kom-
the availability of information and communica-
5.4 Umsetzen des Auditprogramms
5.4 Implementing the audit programme
5.4.1 Allgemeines
5.4.1 General
Die Person, die das Auditprogramm leitet und lenkt, sollte es umsetzen durch:
The person managing the audit programme should implement the audit programme by means of the following:
Kommunikation der entsprechenden Teile des
communicating the pertinent pertinent parts of the the audit
Ziele, des Umfangs und und der Kri Festlegen der Ziele,
defining objectives, scope and criteria for each
Koordinieren und Ablaufplanung von Audits
coordinating and scheduling audits and other
Sicherstellen der Auswahl des Auditteams mit
ensuring the the selection selection of audit teams with with the
Bereitstellen der erforderlichen Ressourcen für
providing necessary resources to the audit
Sicherstellen der Durchführung von Audits ge-
ensuring the conduct of audits in accordance
Sicherstellen, dass die Audittätigkeiten aufge-
ensuring that audit activities are recorded and
5.4.2 Festlegen der Ziele, des Umfang und der Kriterien für ein einzelnes, bestimmtes Audit
5.4.2 Defining the objectives, scope and criteria for an individual audit
Jedes Audit sollte sich auf dokumentierte Auditziele, den Auditumfang sowie die Auditkriterien stützen. Diese sollten durch die Person, die das Auditprogramm leitet und lenkt, festgelegt werden und im Einklang mit den allgemeinen Auditprogrammzielen stehen.
Each individual audit should be based on documented audit objectives, scope and criteria. These should be defined by the person managing the audit programme and be consistent with the overall audit programme objectives.
perten mit einer für die Auditprogrammziele angemessenen Kompetenz;
programmrisiken;
sonstige Erfordernisse für das Auditieren; munikationstechnologien.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Auditprogramms an die betroffenen Parteien und periodische Information derselben über deren Fortschritt; terien für jedes einzelne Audit;
und anderer Tätigkeiten im Zusammenhang mit dem Auditprogramm; der erforderlichen Kompetenz;
das Auditteam;
mäß dem Auditprogramm und innerhalb des vereinbarten Zeitrahmens;
zeichnet und die Aufzeichnungen verwaltet und gepflegt werden.
22
having competence appropriate to the particular audit programme objectives;
programme risks;
other auditing needs; tion technologies.
programme to relevant parties and informing them periodically of its progress;
individual audit;
activities relevant to the audit programme;
necessary competence; teams;
with the audit programme and within the agreed time frame; records are properly managed and maintained.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Die Auditziele legen fest, was durch dieses Audit zu erreichen ist. Sie können Folgendes einschließen:
The audit objectives define what is to be accomplished by the individual audit and may include the following:
Bestimmung des Grades der der Konformität des
determination of the extent of of conformity of the
Bestimmung des Grades der der Konformität von
determination of the extent of of conformity of ac-
Bewertung der Fähigkeit des Managementsys-
evaluation of the capability of the management
Bewertung der Wirksamkeit des Management-
evaluation of the effectiveness of the manage-
Erkennen von Bereichen für die mögliche Ver-
identification of areas for potential improve-
Der Auditumfang sollte dem Auditprogramm sowie den Auditzielen entsprechen. Er umfasst solche Faktoren wie zu auditierende physische Standorte, Organisationseinheiten, Tätigkeiten und Prozesse sowie die Dauer, die für das Audit benötigt wird.
The audit scope should be consistent with the audit programme and audit objectives. It includes such factors as physical locations, organizational units, activities and processes to be audited, as well as the time period covered by the audit.
Die Auditkriterien werden als Referenz dafür verwendet, nach welcher die Konformität ermittelt wird. Sie können zutreffende Regelungen, Verfahren, Normen, rechtliche Anforderungen, Managementsystem-Anforderungen, vertragliche Anforderungen, Verhaltenskodizes für die Branche bzw. andere geplante Vereinbarungen einschließen.
The audit criteria are used as a reference against which conformity is determined and may include applicable policies, procedures, standards, legal requirements, management system requirements, contractual requirements, sector codes of conduct or other planned arrangements.
Wenn Veränderungen an den Auditzielen, dem Umfang oder den Kriterien vorgenommen werden, sollte das Auditprogramm, wenn erforderlich, entsprechend modifiziert werden.
In the event of any changes to the audit objectives, scope or criteria, the audit programme should be modified if necessary.
Wenn zwei oder mehrere Managementsysteme mit verschiedenen Disziplinen zusammen auditiert werden (ein kombiniertes Audit), ist es wichtig, dass die Auditziele, der Umfang sowie die Kriterien mit den Zielen des zutreffenden Auditprogramms im Einklang stehen.
When two or more management systems of different disciplines are audited together (a combined audit), it is important that the audit objectives, scope and criteria are consistent with the objectives of the relevant audit programmes.
5.4.3
5.4.3 Selecting the audit methods
zu auditierenden Managementsystems oder Teile desselben mit den Auditkriterien;
Tätigkeiten, Prozessen und Produkten mit den Anforderungen und Verfahren des Managementsystems; tems, die Übereinstimmung mit rechtlichen und vertraglichen Anforderungen sicherzustellen sowie mit weiteren Anforderungen, zu denen sich die Organisation verpflichtet hat;
systems bei der Erfüllung seiner spezifischen Ziele; besserung des Managementsystems.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Auswählen der Auditmethoden
Um das Audit wirksam durchzuführen, sollte die Person, die das Auditprogramm leitet und lenkt, die Methoden für das Audit auswählen und festlegen in Abhängigkeit von den festgelegten Auditzielen, dem Umfang und den Auditkriterien.
management system to be audited, or parts of it, with audit criteria;
tivities, processes and products with the requirements and procedures of the management system;
system to ensure compliance with legal and contractual requirements and other requirements to which the organization is committed;
ment system in meeting its specified objectives; ment of the management system.
The person managing the audit programme should select and determine the methods for effectively conducting an audit, depending on the defined audit objectives, scope and criteria.
23
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
ANMERKUNG Eine Anleitung zur Festlegung der Auditmethoden findet sich in Anhang B.
NOTE Guidance on how to determine audit methods is given in Annex B.
Wenn zwei oder mehrere auditierende Organisationen ein gemeinschaftliches Audit derselben Organisation durchführen, so sollten sich die Personen, die die unterschiedlichen Auditprogramme leiten und lenken, über die Auditmethode einigen sowie Auswirkungen auf Auditressourcen und die Planung des Audits berücksichtigen. Wenn eine zu auditierende Organisation zwei oder mehrere Managementsysteme unterschiedlicher Disziplinen betreibt, können kombinierte Audits in das Auditprogramm aufgenommen werden.
Where two or more auditing organizations conduct a joint audit of the same auditee, the persons managing the different audit programmes should agree on the audit method and consider implications for resourcing and planning the audit. If an auditee operates two or more management systems of different disciplines, combined audits may be included in the audit programme.
5.4.4 Auswählen der Auditteammitglieder
5.4.4 Selecting the audit team members
Die Person, die das Auditprogramm leitet und lenkt, sollte die Mitglieder des Auditteams benennen, einschließlich den Auditteamleiter sowie Fachexperten, die für das spezifische Audit benötigt werden.
The person managing the audit programme should appoint the members of the audit team, including the team leader and any technical experts needed for the specific audit.
Ein Auditteam sollte ausgewählt werden, wobei die für das Erreichen der Ziele der einzelnen, bestimmten Audits erforderliche Kompetenz innerhalb des festgelegten Bereichs berücksichtigt wird. Wenn es nur einen Auditor gibt, sollte dieser alle zutreffenden Verpflichtungen eines Auditteamleiters erfüllen.
An audit team should be selected, taking into account the competence needed to achieve the objectives of the individual audit within the defined scope. If there is only one auditor, the auditor should perform all applicable duties of an audit team leader.
ANMERKUNG Abschnitt 7 enthält Anleitung zur Festlegung der Kompetenz, die für die Auditteammitglieder erforderlich ist, und beschreibt die Prozesse zur Bewertung von Auditoren.
NOTE Clause 7 contains guidance on determining the competence required for the audit team members and describes the processes for evaluating auditors.
Wenn über die Größe und Zusammensetzung des Auditteams für das spezifische Audit entschieden wird, sollten folgende Punkte in Erwägung gezogen werden:
In deciding the size and composition of the audit team for the specific audit, consideration should be given to the following:
a)
die Gesamtkompetenz des Auditteams, die benötigt wird, um die Auditziele unter Berücksichtigung des Auditumfangs und der Kriterien zu erreichen;
a)
the overall competence of the audit team needed to achieve audit objectives, taking into account audit scope and criteria;
b)
die Komplexität des Audits und und ob es sich bei dem Audit um ein kombiniertes oder ein gemeinschaftliches Audit handelt;
b)
complexity of the audit and if the audit is a combined or joint audit;
c)
die Auditmethoden, die gewählt wurden;
c)
the audit methods that have been selected;
d)
rechtliche und vertragliche Anforderungen sowie andere Anforderungen, gegenüber denen die Organisation verpflichtet ist;
d)
legal and contractual requirements and other requirements to which the organization is committed;
e)
die Notwendigkeit, die Unabhängigkeit der Auditteammitglieder von den zu auditierenden Tätigkeiten sicherzustellen sowie jegliche Interessenkonflikte zu vermeiden [siehe Prinzip e) in Abschnitt 4];
e)
the need to ensure the the independence independence of the audit team members from the activities to be audited and to avoid any conflict of interest [see principle e) in Clause 4];
24
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
f)
die Fähigkeit der Auditteammitglieder, effektiv mit den Vertretern der zu auditierenden Organisation zu interagieren und zusammenzuarbeiten;
f)
the ability of the audit team members to interact effectively with the representatives of the auditee and to work together;
g)
die Sprache während des Audits sowie die sozialen und kulturellen Merkmale der zu auditierenden Organisation. Diese Themen können entweder mittels Sachkenntnis des Auditors selbst oder durch Unterstützung technischer Experten behandelt werden.
g)
the language of the audit, and the auditee’s social and cultural characteristics. These issues may be addressed either by the auditor’s own skills or through the support of a technical expert.
Um die Gesamtkompetenz des Auditteams zu gewährleisten, sollten folgende Schritte durchgeführt werden:
To assure the overall competence of the audit team, the following steps should be performed:
Ermittlung des Wissens und der Fertigkeiten,
identification of the knowledge and skills need-
Auswahl der Auditteammitglieder, sodass alle
selection of the audit team members so that all
Wenn die erforderliche Gesamtkompetenz durch die Auditoren in dem Auditteam nicht erfasst wird, so sollten Fachexperten mit zusätzlicher Kompetenz in das Team mit einbezogen werden. Fachexperten sollten unter der Leitung eines Auditors agieren, aber nicht selbst als Auditoren tätig sein.
If all the necessary competence is not covered by the auditors in the audit team, technical experts with additional competence should be included in the team. Technical experts should operate under the direction of an auditor, but should not act as auditors.
Auditoren in Ausbildung können in das Auditteam mit einbezogen werden, sollten aber unter der Regie und Anleitung eines Auditors teilnehmen.
Auditors-in-training may be included in the audit team, but should participate under the direction and guidance of an auditor.
Es kann erforderlich sein, während des Audits die Größe und Zusammensetzung des Auditteams anzupassen, d. h. wenn ein Interessenkonflikt oder Kompetenzprobleme entstehen. Wenn eine solche Situation entsteht, sollte sie, bevor Änderungen vorgenommen werden, mit den entsprechenden Parteien besprochen werden (z. B. dem Auditteamleiter, der Person, die das Auditprogramm leitet und lenkt, dem Auditauftraggeber oder der zu auditierenden Organisation).
Adjustments to the size and composition of the audit team may be necessary during the audit, i.e. if a conflict of interest or competence issue arises. If such a situation arises, it should be discussed with the appropriate parties (e.g. audit team leader, the person managing the audit programme, audit client or auditee) before any adjustments are made.
5.4.5
5.4.5 Assigning responsibility for an individual audit to the audit team leader
die zur Erreichung der Auditziele benötigt werden;
erforderlichen Kenntnisse und Fertigkeiten im Auditteam vorhanden sind.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Zuweisen von Verantwortlichkeit an den Auditteamleiter für ein einzelnes, bestimmtes Audit
ed to achieve the objectives of the audit;
of the necessary knowledge and skills are present in the audit team.
Die Person, die das Auditprogramm leitet und lenkt, sollte dem Auditteamleiter die Verantwortung für die Durchführung des einzelnen, bestimmten Audits zuweisen.
The person managing the audit programme should assign the responsibility for conducting the individual audit to an audit team leader.
Die Zuweisung sollte rechtzeitig vor dem geplanten Auditzeitpunkt erfolgen, damit eine wirksame Planung des Audits sichergestellt wird.
The assignment should be made in sufficient time before the scheduled date of the audit, in order to ensure the effective planning of the audit.
25
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Um eine wirksame Durchführung der einzelnen, bestimmten Audits sicherzustellen, sollten dem Auditteamleiter die folgenden Informationen übermittelt werden:
To ensure effective conduct of the individual audits, the following information should be provided to the audit team leader:
a)
a)
audit objectives;
b) Auditkriterien einschließlich aller Referenzdokumente;
b)
audit criteria and any reference documents;
c)
Auditumfang, einschließlich Ermittlung der zu auditierenden Organisations- und Funktionseinheiten und -prozesse;
c)
audit scope, including identification of the organizational and functional units and processes to be audited;
d)
Auditmethoden und -verfahren;
d)
audit methods and procedures;
e)
Zusammensetzung des Auditteams;
e)
composition of the audit team;
f)
Kontaktdaten der zu auditierenden Organisation, die Standorte, Zeitpunkt und Dauer der Audittätigkeiten, die durchzuführen sind;
f)
contact details of the auditee, the locations, dates and duration of the audit activities to be conducted;
g)
Bereitstellung der entsprechenden Ressourcen zur Durchführung des Audits;
g)
allocation of appropriate resources to conduct the audit;
h)
Informationen, die zur Bewertung und Behandlung ermittelter Risiken in Bezug auf die Erreichung der Auditziele benötigt werden.
h)
information needed for evaluating and addressing identified risks to the achievement of the audit objectives.
Auditziele;
Die Informationen bezüglich der Zuweisung sollten, soweit zutreffend, auch Folgendes mit erfassen:
The assignment information should also cover the following, as appropriate:
die Arbeits- und Berichtssprache des Audits,
working and reporting language of the audit
die vom Auditprogramm geforderten Inhalte
audit report contents and distribution required
Angelegenheiten in Bezug auf Vertraulichkeit
matters related to confidentiality and infor-
jegliche Gesundheits- und Sicherheitsanforde-
any health and safety requirements for the au-
jegliche Anforderungen bezüglich Sicherheit
any security and authorization requirements;
jegliche Folgemaßnahmen, z. B. aus einem
any follow-up actions, e.g. from a previous au-
Koordinierung mit anderen Audittätigkeiten bei
coordination with other audit activities, in the
Wenn ein gemeinschaftliches Audit durchgeführt wird, ist es wichtig, vor Auditbeginn zwischen den Organisationen Einigung über die spezifischen Verantwortlichkeiten jeder Partei zu erzielen, insbesondere im Hinblick auf die Befugnis des Teamleiters, der für das Audit benannt ist.
Where a joint audit is conducted, it is important to reach agreement among the organizations conducting the audits, before the audit commences, on the specific responsibilities of each party, particularly with regard to the authority of the team leader appointed for the audit.
wo diese von der Sprache des Auditors oder der zu auditierenden Organisation bzw. von beiden abweicht; des Auditberichts sowie die Verteilung;
und Informationssicherheit, soweit durch das Auditprogramm gefordert; rungen für die Auditoren; und Bevollmächtigung;
früheren Audit, falls zutreffend;
einem gemeinschaftlichen Audit.
26
where this is different from the language of the auditor or the auditee, or both;
by the audit programme;
mation security, if required by the audit programme; ditors;
dit, if applicable;
case of a joint audit.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
5.4.6
Leiten und Lenken der Auditprogrammergebnisse
Die Person, die das Auditprogramm leitet und lenkt, sollte sicherstellen, dass die folgenden Tätigkeiten durchgeführt werden:
The person managing the audit programme should ensure that the following activities are performed:
Bewertung und Freigabe der Auditberichte,
review and approval of audit reports, including
Bewertung der Ursachenanalyse und der Wirk-
review of root cause analysis and the effec-
Verteilung der Auditberichte an die oberste Lei-
distribution of audit reports to the top manage-
Ermittlung der Notwendigkeit nachfolgender
determination of the necessity for any follow-up
5.4.7
5.4.7 Managing and maintaining audit programme records
einschließlich der Bewertung der Eignung und Angemessenheit der Auditfeststellungen; samkeit von Korrekturmaßnahmen und vorbeugenden Maßnahmen; tung sowie an weitere relevante Parteien;
Audittätigkeiten.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
5.4.6 Managing the audit programme outcome
Verwalten von Aufzeichnungen zu Auditprogrammen
evaluating the suitability and adequacy of audit findings; tiveness of corrective actions and preventive actions; ment and other relevant parties; audit.
Um die Umsetzung des Auditprogramms nachzuweisen, sollte die Person, die das Auditprogramm leitet und lenkt, sicherstellen, dass Auditaufzeichnungen erzeugt, gelenkt und erhalten werden. Prozesse sollten festgelegt werden, um sicherzustellen, dass alle vertraulichkeitsbezogenen Erfordernisse, die mit den Aufzeichnungen zusammenhängen, angesprochen werden.
The person managing the audit programme should ensure that audit records are created, managed and maintained to demonstrate the implementation of the audit programme. Processes should be established to ensure that any confidentiality needs associated with the audit records are addressed.
Die Aufzeichnungen sollten Folgendes umfassen:
Records should include the following:
a)
a)
Aufzeichnungen, die sich auf das Auditprogramm beziehen, wie z. B.: dokumentierte
Auditprogrammziele und
records related to the audit programme, such as: documented audit programme objectives
Umfang;
and extent;
jene Dinge, die auf die Risiken, die mit
those addressing audit programme risks;
Bewertungen der Wirksamkeit des Audit-
reviews of the audit programme effective-
dem Auditprogramm zusammenhängen, eingehen; programms;
b) Aufzeichnungen in Bezug auf jedes einzelne Audit, wie z. B.:
ness;
b)
records related to each individual audit, such as:
Auditpläne und Auditberichte;
audit plans and audit reports;
Berichte zu Nichtkonformitäten;
nonconformity reports;
Berichte zu Korrektur- und Vorbeugungs-
corrective and preventive action reports;
Berichte zu Auditfolgemaßnahmen, soweit
audit follow-up reports, if applicable;
maßnahmen; zutreffend;
27
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
c) Aufzeichnungen, die sich auf das Auditpersonal beziehen und solche Themen abdecken, wie z. B.:
c)
Kompetenz und Leistungsbewertung der
competence and performance evaluation
Auswahl des Auditteams und der Team-
selection
Aufrechterhaltung und Verbesserung der
maintenance
Mitglieder des Auditteams;
of the audit team members;
mitglieder;
of audit teams and team
members;
Kompetenz.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
records related to audit personnel covering topics such as:
and
improvement
of
competence.
Die Form und der Detaillierungsgrad der Aufzeichnungen sollten aufzeigen, dass die Auditprogrammziele erreicht worden sind.
The form and level of detail of the records should demonstrate that the objectives of the audit programme have been achieved.
5.5 Überwachen des Auditprogramms
5.5 Monitoring the audit programme
Die Person, die das Auditprogramm leitet und lenkt, sollte dessen Umsetzung überwachen, indem Folgendes berücksichtigt wird:
The person managing the audit programme should monitor its implementation considering the need to:
a)
dass die Konformität mit den Auditprogrammen, Zeitplänen und Auditzielen bewertet wird;
a)
evaluate conformity with audit programmes, schedules and audit objectives;
b)
dass die Leistungsfähigkeit der Mitglieder des Auditteams bewertet wird;
b)
evaluate the performance of the audit team members;
c)
dass die Eignung der Auditteams, den Auditplan umzusetzen, bewertet wird;
c)
evaluate the ability of the audit teams to implement the audit plan;
d)
dass das Feedback von der obersten Leitung, den auditierten Organisationen, den Auditoren sowie weiterer interessierter Parteien bewertet wird.
d)
evaluate feedback from top management, auditees, auditors and other interested parties.
Einige Faktoren können eine Änderung des Auditprogramms erforderlich machen, wie z. B.:
Some factors may determine the need to modify the audit programme, such as the following:
Auditfeststellungen;
audit findings;
nachgewiesener Grad der Wirksamkeit des
demonstrated level of management system ef-
Veränderungen am Managementsystem des
changes to the client’s or the auditee’s man-
Änderungen an der Norm, den rechtlichen und
changes to standards, legal and contractual
Wechsel des Lieferanten.
change of supplier.
5.6 Bewerten und Verbessern des Auditprogramms
5.6 Reviewing and improving the audit programme
Die Person, die das Auditprogramm leitet und lenkt, sollte das Auditprogramm bewerten, um einzu-
The person managing the audit programme should review the audit programme to assess whether its
Managementsystems;
Auftraggebers bzw. der auditierten Organisation;
vertraglichen Anforderungen sowie weiteren Anforderungen, denen gegenüber die Organisation verpflichtet ist;
28
fectiveness;
agement system;
requirements and other requirements to which the organization is committed;
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
schätzen, ob dessen Ziele erreicht worden sind. Lehren, die aus der Bewertung des Auditprogramms gezogen wurden, sollten als Eingaben für einen kontinuierlichen Verbesserungsprozess genutzt werden.
objectives have been achieved. Lessons learned from the audit programme review should be used as inputs for the continual improvement process for the programme.
Bei der Bewertung des Auditprogramms sollte Folgendes berücksichtigt werden:
The audit programme review should consider the following:
a)
Ergebnisse und Tendenzen aus der Überwachung des Auditprogramms;
a)
results and trends from audit programme monitoring;
b)
Konformität mit den Verfahren des Auditprogramms;
b)
conformity with audit programme procedures;
c)
sich abzeichnende Erfordernisse und Erwartungen interessierter Parteien;
c)
evolving needs and expectations of interested parties;
d)
Auditprogrammaufzeichnungen;
d)
audit programme records;
e)
alternative oder neue Auditmethoden;
e)
alternative or new auditing methods;
f)
Wirksamkeit der Maßnahmen, um auf die Risiken, die mit dem Auditprogramm zusammenhängen, einzugehen;
f)
effectiveness of the measures to address the risks associated with the audit programme;
g)
Fragen zur Vertraulichkeit und Informationssicherheit in Bezug auf das Auditprogramm.
g)
confidentiality and information security issues relating to the audit programme.
Die Person, die das Auditprogramm leitet und lenkt, sollte die Gesamtumsetzung des Auditprogramms bewerten, Verbesserungsbereiche ermitteln und das Programm, wenn nötig, anpassen. Sie sollte ferner:
The person managing the audit programme should review the overall implementation of the audit programme, identify areas of improvement, amend the programme if necessary, and should also:
die kontinuierliche berufliche Entwicklung der
review the continual professional development
der obersten Leitung die Ergebnisse aus der
report the results of the audit programme re-
6
6
Auditoren nach den Abschnitten 7.4, 7.5 und 7.6 bewerten; Bewertung des Auditprogramms mitteilen.
Durchführung eines Audits
of auditors, in accordance with 7.4, 7.5 and 7.6; view to the top management.
Performing an audit
6.1 Allgemeines
6.1 General
Dieser Abschnitt enthält Anleitungen zur Vorbereitung und Durchführung von Audittätigkeiten als Teil eines Auditprogramms. Bild 2 gibt einen Überblick typischer Audittätigkeiten. Der Umfang, in dem die Bestimmungen dieses Abschnitts gelten, hängt von den Zielen und dem Umfang des spezifischen Audits ab.
This clause contains guidance on preparing and conducting audit activities as part of an audit programme. Figure 2 provides an overview of typical audit activities. The extent to which the provisions of this clause are applicable depends on the objectives and scope of the specific audit.
29
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
ANMERKUNG
Die Nummerierung bezieht sich auf die entsprechenden Unterabschnitte in dieser Internationalen Norm.
Bild 2 — Typische Audittätigkeiten
30
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
NOTE
Subclause numbering refers to the relevant subclauses of this International Standard.
Figure 2 — Typical audit activities
31
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
6.2 Veranlassen des Audits
6.2 Initiating the audit
6.2.1
6.2.1 General
Allgemeines
Wenn ein Audit veranlasst wird, bleibt die Verantwortlichkeit zur Durchführung des Audits solange beim zugeordneten Auditteamleiter (siehe 5.4.5), bis das Audit abgeschlossen ist (siehe 6.6).
When an audit is initiated, the responsibility for conducting the audit remains with the assigned audit team leader (see 5.4.5) until the audit is completed (see 6.6).
Um ein Audit zu veranlassen, sollten die Schritte in Bild 2 berücksichtigt werden; jedoch kann die Abfolge in Abhängigkeit von der zu auditierenden Organisation, den Prozessen und den spezifischen Umständen des Audits differieren.
To initiate an audit, the steps in Figure 2 should be considered; however, the sequence can differ depending on the auditee, processes and specific circumstances of the audit.
6.2.2
6.2.2 Establishing initial contact with the auditee
Herstellen des Erstkontakts mit der zu auditierenden Organisation
Der erste Kontakt mit der zu auditierenden Organisation hinsichtlich der Durchführung des Audits kann informell oder formell sein und sollte vom Auditteamleiter hergestellt werden. Zweck des ersten Kontakts ist es:
The initial contact with the auditee for the performance of the audit can be informal or formal and should be made by the audit team leader. The purposes of the initial contact are the following:
Kommunikation mit den Vertretern der zu audi-
establish communications with the auditee’s
die Befugnis für die Durchführung des Audits
confirm the authority to conduct the audit;
Informationen über die Auditziele, den Audit-
provide information on the audit objectives,
Zugang zu relevanten Dokumenten und Auf-
request access to relevant documents and
zutreffende rechtliche und vertragliche Anfor-
determine applicable legal and contractual re-
Vereinbarungen mit der zu auditierenden Or-
confirm the agreement with the auditee regard-
Vorkehrungen für das Audit zu treffen ein-
make arrangements for the audit including
standortspezifische Anforderungen bezüglich
determine any location-specific requirements
die Anwesenheit von Beobachtern und die
agree on the attendance of observers and the
tierenden Organisation herzustellen; zu bestätigen;
umfang, die Auditmethoden sowie die Zusammensetzung des Auditteams einschließlich der Fachexperten zu geben; zeichnungen für Planungszwecke zu erbitten;
derungen sowie weitere Anforderungen zu ermitteln, die für die Tätigkeiten und Produkte der zu auditierenden Organisation relevant sind; ganisation hinsichtlich des Umfangs der Offenlegung sowie der Behandlung vertraulicher Informationen zu bestätigen; schließlich Planung der Termine;
Zugang, Sicherheit, Arbeitsschutz sowie weitere Anforderungen zu ermitteln;
Notwendigkeit von Betreuern für das Auditteam abzustimmen;
32
representatives;
scope, methods and audit team composition, including technical experts;
records for planning purposes;
quirements and other requirements relevant to the activities and products of the auditee;
ing the extent of the disclosure and the treatment of confidential information;
scheduling the dates;
for access, security, health and safety or other;
need for guides for the audit team;
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
alle Bereiche zu ermitteln, die für die zu audi-
determine any areas of interest or concern to
6.2.3
6.2.3 Determining the feasibility of the audit
tierende Organisation in Bezug auf das spezifische Audit von Interesse oder kritisch sind.
Feststellen der Durchführbarkeit des Audits
Die Durchführbarkeit des Audits sollte ermittelt werden, um angemessenes Vertrauen, dass die Auditziele erreicht werden können, zu erzeugen.
The feasibility of the audit should be determined to provide reasonable confidence that the audit objectives can be achieved.
Die Durchführbarkeit sollte festgestellt werden unter Berücksichtigung solcher Faktoren wie:
The determination of feasibility should take into consideration such factors as the availability of the following:
die Verfügbarkeit ausreichender und ange-
sufficient and appropriate information for plan-
angemessene Zusammenarbeit seitens der zu
adequate cooperation from the auditee;
angemessene Zeit und ausreichende Ressour-
adequate time and resources for conducting
Wenn das Audit nicht durchführbar ist, sollte dem Auditauftraggeber in Absprache mit der zu auditierenden Organisation eine Alternative vorgeschlagen werden.
Where the audit is not feasible, an alternative should be proposed to the audit client, in agreement with the auditee.
6.3 Vorbereiten der Audittätigkeiten
6.3 Preparing audit activities
6.3.1
6.3.1 Performing document review in preparation for the audit
messener Informationen für das Planen und Durchführen des Audits; auditierenden Organisation; und
cen für das Durchführen des Audits.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
the auditee in relation to the specific audit.
Durchführen der Dokumentenprüfung in Vorbereitung auf das Audit
ning and conducting the audit;
the audit.
Die betreffende Dokumentation des Managementsystems der zu auditierenden Organisation sollte geprüft werden, um:
The relevant management system documentation of the auditee should be reviewed in order to:
Informationen zur Vorbereitung der Audittätig-
gather information to prepare audit activities
einen Überblick zum Umfang der Systemdo-
establish an overview of the extent of the sys-
ANMERKUNG Eine Anleitung zur Durchführung einer Dokumentenprüfung findet sich in Abschnitt B.2.
NOTE Guidance on how to perform a document review is provided in Clause B.2.
Die Dokumentation sollte, soweit anwendbar, die Dokumente und Aufzeichnungen des Managementsystems sowie Berichte aus früheren Audits umfassen. Die Dokumentenprüfung sollte die Größe, Art und Komplexität des Managementsystems der zu auditierenden Organisation sowie Auditziele und Auditumfang berücksichtigen.
The documentation should include, as applicable, management system documents and records, as well as previous audit reports. The document review should take into account the size, nature and complexity of the auditee’s management system and organization, and the audit objectives and scope.
keiten und der zutreffenden Arbeitsdokumente zu sammeln (siehe 6.3.4), z. B. über Prozesse, Funktionen; kumentation zu erstellen, um mögliche Lücken zu erkennen.
and applicable work documents (see 6.3.4), e.g. on processes, functions;
tem documentation to detect possible gaps.
33
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
6.3.2
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Vorbereiten des Auditplans
6.3.2 Preparing the audit plan
Der Auditteamleiter sollte einen Audit6.3.2.1 plan erstellen, der sich auf die Informationen stützt, die im Auditprogramm sowie in der Dokumentation enthalten sind, die durch die zu auditierende Organisation bereitgestellt wurden. Der Auditplan sollte die Auswirkungen der Audittätigkeiten auf die Prozesse der zu auditierenden Organisation berücksichtigen sowie Grundlage für die Übereinkunft zwischen dem Auditauftraggeber, dem Auditteam und der zu auditierenden Organisation über die Durchführung des Audits bilden. Der Plan sollte die effiziente Ablaufplanung und Koordinierung der Audittätigkeiten erleichtern, um die Ziele wirksam zu erreichen.
The audit team leader should prepare an 6.3.2.1 audit plan based on the information contained in the audit programme and in the documentation provided by the auditee. The audit plan should consider the effect of the audit activities on the auditee’s processes and provide the basis for the agreement among the audit client, audit team and the auditee regarding the conduct of the audit. The plan should facilitate the efficient scheduling and coordination of the audit activities in order to achieve the objectives effectively.
Die Menge an Einzelheiten, die der Auditplan liefert, sollte den Umfang und die Komplexität des Audits widerspiegeln sowie auch die Auswirkung der Unsicherheit auf das Erreichen der Auditziele N4). Bei der Erstellung des Auditplans sollte sich der Auditteamleiter folgender Dinge bewusst sein:
The amount of detail provided in the audit plan should reflect the scope and complexity of the audit, as well as the effect of uncertainty on achieving the audit objectives. In preparing the audit plan, the audit team leader should be aware of the following:
der
the
entsprechenden (siehe Abschnitt B.3);
Stichprobenverfahren
appropriate (see Clause B.3);
sampling
techniques
der Zusammensetzung des Auditteams sowie
the composition of the audit team and its col-
der Risiken für die Organisation, die durch das
the risks to the organization created by the au-
Zum Beispiel können durch die Anwesenheit von Auditteammitgliedern Risiken für die Organisation entstehen, durch welche Gesundheit und Sicherheit, Umwelt und Qualität beeinflusst werden und die eine Gefährdung für die Produkte, Dienstleistungen, das Personal oder die Infrastruktur (z. B. Kontamination von Einrichtungen in Reinräumen) der zu auditierenden Organisation darstellen.
For example, risks to the organization may result from the presence of the audit team members influencing health and safety, environment and quality, and their presence presenting threats to the auditee’s products, services, personnel or infrastructure (e.g. contamination in clean room facilities).
Bei kombinierten Audits sollte besonderes Hauptaugenmerk auf die Wechselwirkungen zwischen den operativen Prozessen und den konkurrierenden Zielen der verschiedenen Managementsysteme gelegt werden.
For combined audits, particular attention should be given to the interactions between operational processes and the competing objectives and priorities of the different management systems.
Umfang und Inhalt des Auditplans kön6.3.2.2 nen variieren, zum Beispiel zwischen Erstaudit und Folgeaudits und auch zwischen internen und externen Audits. Der Auditplan sollte flexibel genug sein, um Änderungen, die bei fortschreitenden Audittätigkeiten erforderlich werden können, zu gestatten.
The scale and content of the audit plan 6.3.2.2 may differ, for example, between initial and subsequent audits, as well as between internal and external audits. The audit plan should be sufficiently flexible to permit changes which can become necessary as the audit activities progress.
deren gebündelter Kompetenz;
Audit erzeugt werden.
lective competence; dit.
N4) Nationale Fußnote: Gemeint sind hier die damit verbundenen Risiken.
34
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Der Auditplan sollte Folgendes umfassen oder sich darauf beziehen:
The audit plan should cover or reference the following:
a)
die Auditziele;
a)
the audit objectives;
b)
den Auditumfang, einschließlich der Ermittlung der Organisations- und Funktionseinheiten, sowie auch der zu auditierenden Prozesse;
b)
the audit scope, including identification of the organizational and functional units, as well as processes to be audited;
c)
die Auditkriterien sowie jegliche Referenzdokumente;
c)
the audit criteria and any reference documents;
d)
die Standorte, Termine, zu erwartende Auditzeiten sowie Dauer der durchzuführenden Audittätigkeiten, einschließlich Besprechungen mit der obersten Leitung der zu auditierenden Organisation;
d)
the locations, dates, expected time and duration of audit activities to be conducted, including meetings with the auditee’s management;
e)
die verwendeten Auditmethoden einschließlich des Umfangs, innerhalb dessen die Auditstichproben erforderlich sind, um hinreichende Auditnachweise zu erzielen, sowie die Gestaltung des Probenahmeplans, soweit zutreffend;
e)
the audit methods to be used, including the extent to which audit sampling is needed to obtain sufficient audit evidence and the design of the sampling plan, if applicable;
f)
die Rollen und Verantwortlichkeiten der Auditteammitglieder sowie von Betreuern und Beobachtern;
f)
the roles and responsibilities of the audit team members, as well as guides and observers;
g)
die Verteilung entsprechender Ressourcen für kritische Auditbereiche.
g)
the allocation of appropriate resources to critical areas of the audit.
Der Auditplan kann, soweit zutreffend, auch Folgendes abdecken:
The audit plan may also cover the following, as appropriate:
die Benennung des Vertreters der zu auditier-
identification of the auditee’s representative for
die Arbeits- und Berichtssprache des Audits,
the working and reporting language of the audit
die Themen des Auditberichts;
the audit report topics;
Regelungen, die die Logistik und Kommunika-
logistics and communications arrangements,
alle besonderen Maßnahmen, die zu treffen
any specific measures to be taken to address
Angelegenheiten, die sich auf die Vertraulich-
matters related to confidentiality and infor-
alle Auditfolgemaßnahmen aus einem voran-
any follow-up actions from a previous audit;
alle Auditfolgemaßnahmen in Bezug auf das
any follow-up activities to the planned audit;
enden Organisation für das Audit;
wenn diese sich von der Sprache des Auditors bzw. der zu auditierenden Organisation oder von beiden unterscheidet;
tion betreffen, einschließlich spezifische Regelungen für die zu auditierenden Standorte;
sind, um die Auswirkungen der Unsicherheit auf das Erreichen der Auditziele anzusprechen; keit und Informationssicherheit beziehen; gegangenen Audit; geplante Audit;
the audit;
where this is different from the language of the auditor or the auditee or both;
including specific arrangements for the locations to be audited;
the effect of uncertainty on achieving the audit objectives;
mation security;
35
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
bei einem gemeinschaftlichen Audit Koordinie-
coordination with other audit activities, in case
Der Auditplan kann vom Auditauftraggeber geprüft und angenommen werden; und er sollte der zu auditierenden Organisation vorgestellt werden. Alle Einwände seitens der zu auditierenden Organisation in Bezug auf den Auditplan sollten zwischen dem Auditteamleiter, der zu auditierenden Organisation und dem Auditauftraggeber geklärt werden.
The audit plan may be reviewed and accepted by the audit client, and should be presented to the auditee. Any objections by the auditee to the audit plan should be resolved between the audit team leader, the auditee and the audit client.
6.3.3
6.3.3 Assigning work to the audit team
rung mit anderen Audittätigkeiten.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Zuweisen von Arbeit an das Auditteam
of a joint audit.
Der Auditteamleiter sollte in Absprache mit dem Auditteam jedem Teammitglied Verantwortung für das Auditieren spezifischer Prozesse, Tätigkeiten, Funktionen oder Standorte zuweisen. Solche Zuweisungen sollten die Unabhängigkeit und Kompetenz der Auditoren und den wirksamen Gebrauch von Ressourcen sowie die unterschiedlichen Rollen und Verantwortlichkeiten der Auditoren, Auditoren in Ausbildung und Fachexperten berücksichtigen.
The audit team leader, in consultation with the audit team, should assign to each team member responsibility for auditing specific processes, activities, functions or locations. Such assignments should take into account the independence and competence of auditors and the effective use of resources, as well as different roles and responsibilities of auditors, auditors-in-training and technical experts.
Unterweisungen des Auditteams sollten, soweit erforderlich, durch den Auditteamleiter vorgenommen werden, um Aufgabenzuteilungen zuzuweisen und mögliche Änderungen zu entscheiden. Um die Auditziele zu erreichen, können bei fortschreitendem Audit Änderungen an den Aufgabenzuteilungen vorgenommen werden.
Audit team briefings should be held, as appropriate, by the audit team leader in order to allocate work assignments and decide possible changes. Changes to the work assignments can be made as the audit progresses in order to ensure the achievement of the audit objectives.
6.3.4
6.3.4 Preparing work documents
Erstellen von Arbeitsdokumenten
Die Mitglieder des Auditteams sollten die Informationen sammeln und prüfen, die für ihre Auditaufträge relevant sind; sie sollten ferner im erforderlichen Umfang Arbeitsdokumente als Referenz und zum Aufzeichnen der Auditnachweise erstellen. Solche Arbeitsdokumente können einschließen:
The audit team members should collect and review the information relevant to their audit assignments and prepare work documents, as necessary, for reference and for recording audit evidence. Such work documents may include the following:
Checklisten;
checklists;
Auditprobenahmepläne;
audit sampling plans;
Formblätter zur Aufzeichnung von Informatio-
forms for recording information, such as sup-
Durch den Gebrauch von Checklisten und Formblättern sollte der Umfang von Audittätigkeiten nicht eingeschränkt werden; diese können sich aufgrund der Informationen, die während des Audits gesammelt werden, ändern.
The use of checklists and forms should not restrict the extent of audit activities, which can change as a result of information collected during the audit.
ANMERKUNG Eine Anleitung zur Erstellung von Arbeitsdokumenten findet sich in Abschnitt B.4.
NOTE Guidance on preparing work documents is given in Clause B.4.
Arbeitsdokumente, einschließlich Aufzeichnungen, die aus ihrem Gebrauch herrühren, sollten zumindest solange aufbewahrt werden, bis das Audit ab-
Work documents, including records resulting from their use, should be retained at least until audit completion, or as specified in the audit plan. Reten-
nen, wie Nachweise, Auditfeststellungen und Sitzungsprotokolle.
36
porting evidence, audit findings and records of meetings.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
geschlossen ist bzw. wie im Auditplan angegeben. Die Aufbewahrung von Dokumenten nach Abschluss des Audits wird in 6.6 beschrieben. Diejenigen Dokumente, die vertrauliche oder unternehmenseigene Informationen enthalten, sollten von den Auditteammitgliedern jederzeit entsprechend gesichert werden.
tion of documents after audit completion is described in 6.6. Those documents involving confidential or proprietary information should be suitably safeguarded at all times by the audit team members.
6.4 Durchführen der Audittätigkeiten
6.4 Conducting the audit activities
6.4.1
6.4.1 General
Allgemeines
Audittätigkeiten werden üblicherweise, wie in Bild 2 angegeben, in einer festgelegten Reihenfolge durchgeführt. Um den Umständen des spezifischen Audits zu entsprechen, kann diese Reihenfolge verändert werden.
Audit activities are normally conducted in a defined sequence as indicated in Figure 2. This sequence may be varied to suit the circumstances of specific audits.
6.4.2
6.4.2 Conducting the opening meeting
Durchführen der Eröffnungsbesprechung
Der Zweck der Eröffnungsbesprechung ist:
The purpose of the opening meeting is to:
a)
die Zustimmung aller Parteien (z. B. der zu auditierenden Organisation, des Auditteams) zum Auditplan zu bestätigen;
a)
confirm the agreement of all parties (e.g. auditee, audit team) to the audit plan;
b)
das Auditteam vorzustellen;
b)
introduce the audit team;
c)
sicherzustellen, dass alle geplanten Audittätigkeiten durchgeführt werden können.
c)
ensure that all planned audit activities can be performed.
Eine Eröffnungsbesprechung sollte mit der obersten Leitung der zu auditierenden Organisation und ggf. mit den Verantwortlichen für die zu auditierenden Funktionen und Prozesse geführt werden. Während der Besprechung sollte die Möglichkeit eingeräumt werden Fragen zu stellen.
An opening meeting should be held with the auditee’s management and, where appropriate, those responsible for the functions or processes to be audited. During the meeting, an opportunity to ask questions should be provided.
Der Detaillierungsgrad sollte der Vertrautheit der zu auditierenden Organisation mit dem Auditprozess entsprechen. In vielen Fällen, z. B. bei internen Audits in einer kleinen Organisation, kann die Eröffnungsbesprechung einfach aus einer Kommunikation darüber bestehen, dass ein Audit durchgeführt sowie die Art des Audits erklärt wird.
The degree of detail should be consistent with the familiarity of the auditee with the audit process. In many instances, e.g. internal audits in a small organization, the opening meeting may simply consist of communicating that an audit is being conducted and explaining the nature of the audit.
Bei anderen Auditsituationen kann die Besprechung formal sein und Aufzeichnungen zur Anwesenheit sollten aufbewahrt werden. Den Vorsitz bei der Besprechung sollte der Auditteamleiter haben. Die folgenden Elemente sollten ggf. berücksichtigt werden:
For other audit situations, the meeting may be formal and records of attendance should be kept. The meeting should be chaired by the audit team leader, and the following items should be considered, as appropriate:
Vorstellung der Teilnehmer, einschließlich der
introduction of the participants, including ob-
Beobachter und Betreuer, sowie eine Kurzdarstellung ihrer Rollen;
servers and guides, and an outline of their roles;
37
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Bestätigung der Auditziele, des Auditumfangs
confirmation of the audit objectives, scope and
Bestätigung des Auditplans und weiterer rele-
confirmation of the audit plan and other rele-
Darstellung der Methoden, die zur Durchfüh-
presentation of the methods to be used to con-
Vorstellung der Methoden zur Bewältigung der
introduction of the methods to manage risks to
Bestätigung der offiziellen Kommunikationska-
confirmation of formal communication channels
Bestätigung der Sprache, die während des
confirmation of the language to be used during
Bestätigung, dass die zu auditierende Organi-
confirmation that, during the audit, the auditee
Bestätigung, dass die vom Auditteam benötig-
confirmation that the resources and facilities
Bestätigung von Angelegenheiten, die sich auf
confirmation of matters relating to confidentiali-
Bestätigung zutreffender Arbeitsschutz-, Not-
confirmation of relevant health and safety,
Informationen zu Methoden der Berichterstat-
information on the method of reporting audit
Informationen über Bedingungen, die zum Ab-
information about conditions under which the
Informationen über das Schlussgespräch;
information about the closing meeting;
Informationen darüber, wie mit möglichen
information about how to deal with possible
und der Auditkriterien;
vanter Vereinbarungen mit der zu auditierenden Organisation, wie z. B. Datum und Uhrzeit für die Abschlussbesprechung, alle Zwischenbesprechungen zwischen dem Auditteam und der obersten Leitung der zu auditierenden Organisation und alle späteren Änderungen; rung des Audits verwendet werden, einschließlich Hinweise an die zu auditierende Organisation, dass sich die Auditnachweise auf eine Stichprobe aus den verfügbaren Informationen stützen werden; Risiken für die Organisation, die aus der Anwesenheit der Auditteammitglieder entstehen können; näle zwischen dem Auditteam und der zu auditierenden Organisation;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Audits zu verwenden ist;
sation während des Audits über den Auditfortgang informiert wird;
ten Ressourcen und Einrichtungen verfügbar sind; Vertraulichkeit und Informationssicherheit beziehen; fall- und Sicherheitsverfahren für das Auditteam; tung von Auditfeststellungen einschließlich, sofern vorhanden, einer Klassifizierung; bruch des Audits führen können;
Feststellungen während des Audits umzugehen ist;
38
criteria;
vant arrangements with the auditee, such as the date and time for the closing meeting, any interim meetings between the audit team and the auditee’s management, and any late changes;
duct the audit, including advising the auditee that the audit evidence will be based on a sample of the information available;
the organization which may result from the presence of the audit team members;
between the audit team and the auditee;
the audit;
will be kept informed of audit progress;
needed by the audit team are available;
ty and information security;
emergency and security procedures for the audit team; findings including grading, if any;
audit may be terminated;
findings during the audit;
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Informationen über alle Feedback-Mechanis-
information about any system for feedback
6.4.3
6.4.3 Performing document review while conducting the audit
men von der zu auditierenden Organisation über Feststellungen oder Schlussfolgerungen bezüglich des Audits, einschließlich Beschwerden oder Einsprüche.
Prüfen von Dokumenten während der Durchführung des Audits
Die betreffende Dokumentation der zu auditierenden Organisation sollte geprüft werden, um:
The auditee’s relevant documentation should be reviewed to:
die Konformität des Systems, soweit dokumen-
determine the conformity of the system, as far
Informationen zur Unterstützung der Audittätig-
gather information to support the audit activi-
ANMERKUNG Eine Anleitung zur Durchführung einer Dokumentenprüfung findet sich in Abschnitt B.2.
NOTE Guidance on how to perform a document review is provided in Clause B.2.
Die Überprüfung kann mit den anderen Audittätigkeiten verbunden werden und während des gesamten Audits fortgesetzt werden, sofern sich dies nicht nachteilig auf die Wirksamkeit der Auditdurchführung auswirkt.
The review may be combined with the other audit activities and may continue throughout the audit, providing this is not detrimental to the effectiveness of the conduct of the audit.
Wenn ausreichende Dokumentation innerhalb des im Auditplan angegebenen Zeitraums nicht zur Verfügung gestellt werden kann, sollte der Auditteamleiter die Person, die das Auditprogramm leitet und lenkt, sowie die zu auditierende Organisation darüber in Kenntnis setzen. In Abhängigkeit von den Auditzielen und dem Auditumfang sollte entschieden werden, ob das Audit weitergeführt oder ausgesetzt werden sollte, bis die Bedenken bezüglich der Dokumentation geklärt wurden.
If adequate documentation cannot be provided within the time frame given in the audit plan, the audit team leader should inform both the person managing the audit programme and the auditee. Depending on the audit objectives and scope, a decision should be made as to whether the audit should be continued or suspended until documentation concerns are resolved.
6.4.4
6.4.4 Communicating during the audit
tiert, mit den Auditkriterien zu ermitteln; keiten zu sammeln.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
from the auditee on the findings or conclusions of the audit, including complaints or appeals.
Kommunikation während des Audits
as documented, with audit criteria; ties.
Während des Audits kann es erforderlich sein, formelle Regelungen für die Kommunikation innerhalb des Auditteams sowie mit der zu auditierenden Organisation, dem Auditauftraggeber sowie eventuell mit externen Stellen (z. B. Behörden) zu treffen, insbesondere dort wo die zwingende Meldung von Nichtkonformitäten durch gesetzliche Anforderungen gefordert wird.
During the audit, it may be necessary to make formal arrangements for communication within the audit team, as well as with the auditee, the audit client and potentially with external bodies (e.g. regulators), especially where legal requirements require the mandatory reporting of non-compliances.
Das Auditteam sollte in regelmäßigen Abständen Rücksprache halten, um Informationen auszutauschen, den Fortgang des Audits zu bewerten und, falls notwendig, die Aufgaben unter den Mitgliedern des Auditteams neu zu verteilen.
The audit team should confer periodically to exchange information, assess audit progress, and reassign work between the audit team members, as needed.
Während des Audits sollte der Auditteamleiter in regelmäßigen Abständen der auditierten Organisation und ggf. dem Auditauftraggeber den Fortgang des Audits sowie etwaige Probleme mitteilen. Nachweise, die beim Audit gesammelt
During the audit, the audit team leader should periodically communicate the progress of the audit and any concerns to the auditee and audit client, as appropriate. Evidence collected during the audit that suggests an immediate and significant risk to the
39
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
werden und die auf ein unmittelbares und signifikantes Risiko für die zu auditierende Organisation hinweisen, sollten der auditierten Organisation und ggf. dem Auditauftraggeber unverzüglich mitgeteilt werden. Jegliche Bedenken zu Fragen, die außerhalb des Auditumfangs liegen, sollten vermerkt und dem Auditteamleiter zur eventuellen Weiterleitung an den Auditauftraggeber und die zu auditierende Organisation mitgeteilt werden.
auditee should be reported without delay to the auditee and, as appropriate, to the audit client. Any concern about an issue outside the audit scope should be noted and reported to the audit team leader, for possible communication to the audit client and auditee.
Falls die verfügbaren Auditnachweise darauf hinweisen, dass die Auditziele nicht erreichbar sind, sollte der Auditteamleiter dem Auditauftraggeber und der zu auditierenden Organisation die Gründe dafür mittteilen, um angemessene Maßnahmen festzulegen. Solche Maßnahmen können eine erneute Bestätigung oder Modifizierung des Auditplans, Änderungen an den Auditzielen oder dem Auditumfang oder die Beendigung des Audits einschließen.
Where the available audit evidence indicates that the audit objectives are unattainable, the audit team leader should report the reasons to the audit client and the auditee to determine appropriate action. Such action may include reconfirmation or modification of the audit plan, changes to the audit objectives or audit scope, or termination of the audit.
Alle notwendigen Änderungen am Auditplan, die sich bei fortschreitenden Audittätigkeiten abzeichnen, sollten ggf. durch die Person, die das Auditprogramm leitet und lenkt, sowie durch die zu auditierende Organisation geprüft und von diesen genehmigt werden.
Any need for changes to the audit plan which may become apparent as auditing activities progress should be reviewed and approved, as appropriate, by both the person managing the audit programme and the auditee.
6.4.5
6.4.5 Assigning roles and responsibilities of guides and observers
Zuweisen von Rollen und Verantwortlichkeiten von Betreuern und Beobachtern
Betreuer und Beobachter (z. B. Behörden oder andere interessierte Kreise) können das Auditteam begleiten. Sie sollten die Auditdurchführung weder beeinflussen noch behindern. Wenn dies nicht gewährleistet werden kann, sollte der Auditteamleiter das Recht haben, Beobachtern die Teilnahme an bestimmten Audittätigkeiten zu verweigern.
Guides and observers (e.g. regulator or other interested parties) may accompany the audit team. They should not influence or interfere with the conduct of the audit. If this cannot be assured, the audit team leader should have the right to deny observers from taking part in certain audit activities.
Für Beobachter sollten alle Verpflichtungen, die sich auf Arbeitssicherheit, Sicherheit und Vertraulichkeit beziehen, zwischen dem Auditauftraggeber sowie der zu auditierenden Organisation geregelt werden.
For observers, any obligations in relation to health and safety, security and confidentiality should be managed between the audit client and the auditee.
Betreuer, die von der zu auditierenden Organisation benannt werden, sollten das Auditteam unterstützen und im Auftrag des Auditteamleiters handeln.
Guides, appointed by the auditee, should assist the audit team and act on the request of the audit team leader.
Ihre Verantwortlichkeiten sollten Folgendes einschließen:
Their responsibilities should include the following:
a)
Unterstützung der Auditoren bei der Festlegung von Personen für Befragungen sowie Bestätigung der Zeitpläne;
a)
assisting the auditors in identifying individuals to participate in interviews and confirming timings;
b)
Zugang schaffen zu bestimmten Standorten der zu auditierenden Organisation;
b)
arranging access to specific locations of the auditee;
40
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
c)
sicherstellen, dass Regeln bezüglich Schutzund Sicherheitsverfahren am Standort den Mitgliedern des Auditteams und den Beobachtern bekannt sind und von diesen eingehalten werden.
ensuring that rules concerning location safety and security procedures are known and respected by the audit team members and observers.
Die Rolle des Betreuers kann folgende Tätigkeiten einschließen:
The role of the guide may also include the following:
Vor-Ort-Beobachtungen beim Audit im Auftrag
witnessing the audit on behalf of the auditee;
Beitragen zur Klärung von Fragen bzw. Unter-
providing clarification or assisting in collecting
6.4.6
6.4.6 Collecting and verifying information
der zu auditierenden Organisation;
stützung leisten beim Sammeln von Informationen.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
c)
Sammeln und Verifizieren von Informationen
information.
Im Verlaufe des Audits sollten Informationen, die für die Auditziele, den Auditumfang sowie die Auditkriterien relevant sind, einschließlich Informationen, die sich auf Schnittstellen zwischen Funktionsbereichen, Tätigkeiten und Prozessen beziehen, durch angemessene Stichproben gesammelt und verifiziert werden. Nur Informationen, die verifizierbar sind, sollten als Auditnachweise akzeptiert werden. Auditnachweise, die zu Auditfeststellungen führen, sollten aufgezeichnet werden. Wenn das Auditteam während der Sammlung von Nachweisen neue oder veränderte Umstände oder Risiken wahrnimmt, sollten diese entsprechend durch das Team behandelt werden.
During the audit, information relevant to the audit objectives, scope and criteria, including information relating to interfaces between functions, activities and processes, should be collected by means of appropriate sampling and should be verified. Only information that is verifiable should be accepted as audit evidence. Audit evidence leading to audit findings should be recorded. If, during the collection of evidence, the audit team becomes aware of any new or changed circumstances or risks, these should be addressed by the team accordingly.
ANMERKUNG 1 Eine Anleitung zur Stichprobennahme findet sich in Abschnitt B.3.
NOTE 1
Bild 3 gibt eine Übersicht über den Prozess von der Sammlung von Informationen bis zum Erreichen der Auditschlussfolgerungen.
Figure 3 provides an overview of the process, from collecting information to reaching audit conclusions.
Guidance on sampling is given in Clause B.3.
41
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Bild 3 — Übersicht über den Prozess des Sammelns und des Überprüfens von Informationen Methoden zum schließen ein:
Sammeln
von
Informationen
Figure 3 — Overview of the process of collecting and verifying information
Methods of collecting information include the following:
Befragungen;
interviews;
Beobachtungen;
observations;
Überprüfung von Dokumenten einschließlich
review of documents, including records.
ANMERKUNG 2 Eine Anleitung zu Informationsquellen findet sich in Abschnitt B.5.
NOTE 2 Guidance on sources of information is given in Clause B.5.
ANMERKUNG 3 Eine Anleitung zur Begehung des Standortes der zu auditierenden Organisation findet sich in Abschnitt B.6.
NOTE 3 Guidance on visiting the auditee’s location is given in Clause B.6.
ANMERKUNG 4 Eine Anleitung dazu, wie Befragungen durchgeführt werden, findet sich in Abschnitt B.7.
NOTE 4 Guidance on how to conduct interviews is given in Clause B.7.
6.4.7
6.4.7 Generating audit findings
Aufzeichnungen.
Erarbeiten von Auditfeststellungen
Um Auditfeststellungen zu erarbeiten, sollten die Auditnachweise anhand der Auditkriterien bewertet werden. Auditfeststellungen können entweder auf Konformität oder Nichtkonformität mit den Auditkriterien hinweisen. Soweit durch den Auditplan festgelegt, sollten einzelne Auditfeststellungen
42
Audit evidence should be evaluated against the audit criteria in order to determine audit findings. Audit findings can indicate conformity or nonconformity with audit criteria. When specified by the audit plan, individual audit findings should include conformity and good practices along with
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Konformität und bewährte Praktiken zusammen mit Nachweisen, Verbesserungsmöglichkeiten sowie Empfehlungen an die zu auditierende Organisation einschließen.
their supporting evidence, opportunities for improvement, and any recommendations to the auditee.
Nichtkonformitäten sowie deren unterstützende Auditnachweise sollten aufgezeichnet werden. Nichtkonformitäten können klassifiziert werden. Sie sollten gemeinsam mit der auditierten Organisation bewertet werden, um die Bestätigung dafür zu erhalten, dass die Auditnachweise korrekt sind und dass die Nichtkonformitäten verstanden werden. Es sollten alle Anstrengungen unternommen werden, um auseinandergehende Auffassungen zu den Auditnachweisen oder Auditfeststellungen auszuräumen; nicht beigelegte Fragen sollten aufgezeichnet werden.
Nonconformities and their supporting audit evidence should be recorded. Nonconformities may be graded. They should be reviewed with the auditee in order to obtain acknowledgement that the audit evidence is accurate, and that the nonconformities are understood. Every attempt should be made to resolve any diverging opinions concerning the audit evidence or findings, and unresolved points should be recorded.
Bei Bedarf sollte das Auditteam zusammenkommen, um die Auditfeststellungen in geeigneten Stufen während des Audits zu überprüfen.
The audit team should meet as needed to review the audit findings at appropriate stages during the audit.
ANMERKUNG Zusätzliche Anleitung zur Ermittlung und Bewertung von Auditfeststellungen finden sich in Abschnitt B.8.
NOTE Additional guidance on the identification and evaluation of audit findings is given in Clause B.8.
6.4.8
6.4.8 Preparing audit conclusions
Erarbeiten von Auditschlussfolgerungen
Das Auditteam sollte sich vor der Abschlussbesprechung beraten, um:
The audit team should confer prior to the closing meeting in order to:
a)
die Auditfeststellungen sowie alle weiteren geeigneten Informationen, die während des Audits gesammelt wurden, anhand der Auditziele zu bewerten;
a)
review the audit findings, and any other appropriate information collected during the audit, against the audit objectives;
b)
Einigkeit über die Auditschlussfolgerungen zu erzielen unter Berücksichtigung der mit dem Auditprozess verbundenen Unsicherheit;
b)
agree on the audit conclusions, taking into account the uncertainty inherent in the audit process;
c)
Empfehlungen zu erarbeiten, falls dies im Auditplan festgelegt ist;
c)
prepare recommendations, if specified by the audit plan;
d)
Auditfolgemaßnahmen, soweit zutreffend, zu erörtern.
d)
discuss audit follow-up, as applicable.
Auditschlussfolgerungen können sich z. B. mit solchen Fragen befassen wie:
Audit conclusions can address issues such as the following:
dem Grad der Konformität mit den Auditkrite-
the extent of conformity with the audit criteria
der wirksamen Umsetzung, Aufrechterhaltung
the effective implementation, maintenance and
rien sowie der Stärke des Managementsystems, einschließlich der Wirksamkeit des Managementsystems in Bezug auf die Erfüllung der festgelegten Ziele; und Verbesserung des Managementsystems;
and robustness of the management system, including the effectiveness of the management system in meeting the stated objectives;
improvement of the management system;
43
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
der Fähigkeit des Managementbewertungs-
the capability of the management review pro-
dem Erreichen der Auditziele, dem Geltungs-
achievement of audit objectives, coverage of
den grundlegenden Ursachen für die Feststel-
root causes of findings, if included in the audit
ähnlichen Feststellungen, die in verschiedenen
similar findings made in different areas that
Falls im Auditplan vorgesehen, können Auditschlussfolgerungen zu Empfehlungen für Verbesserungen oder zu künftigen Audittätigkeiten führen.
If specified by the audit plan, audit conclusions can lead to recommendations for improvement, or future auditing activities.
6.4.9
6.4.9 Conducting the closing meeting
prozesses, die dauerhafte Eignung, Angemessenheit, Wirksamkeit und Verbesserung des Managementsystems sicherzustellen;
bereich des Auditumfangs sowie der Erfüllung der Auditkriterien; lungen, falls im Auditplan enthalten;
auditierten Bereichen gemacht wurden, zur Ermittlung von Tendenzen.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Durchführen der Abschlussbesprechung
cess to ensure the continuing suitability, adequacy, effectiveness and improvement of the management system; audit scope, and fulfilment of audit criteria;
plan;
were audited for the purpose of identifying trends.
Um die Auditfeststellungen und -schlussfolgerungen darzulegen, sollte eine Abschlussbesprechung unterstützt durch den Auditteamleiter durchgeführt werden. Die Teilnehmer an der Abschlussbesprechung sollten die oberste Leitung der auditierten Organisation einschließen sowie ggf. diejenigen, die für die Funktionen bzw. Prozesse, die auditiert wurden, verantwortlich sind. Sie können ebenfalls den Auditauftraggeber sowie weitere Parteien einschließen. Ggf. sollte der Auditteamleiter die auditierte Organisation zu verschiedensten Situationen beraten, die während des Audits auftraten und die das Vertrauen, welches in die Auditschlussfolgerungen gesetzt werden kann, verringern könnten. Falls im Managementsystem festgelegt oder mit dem Auditauftraggeber vereinbart, sollten sich die Teilnehmer auf den Zeitrahmen für einen Maßnahmeplan einigen, um die entsprechenden Auditfeststellungen zu behandeln.
A closing meeting, facilitated by the audit team leader, should be held to present the audit findings and conclusions. Participants in the closing meeting should include the management of the auditee and, where appropriate, those responsible for the functions or processes which have been audited, and may also include the audit client and other parties. If applicable, the audit team leader should advise the auditee of situations encountered during the audit that may decrease the confidence that can be placed in the audit conclusions. If defined in the management system or by agreement with the audit client, the participants should agree on the time frame for an action plan to address audit findings.
Inwieweit ins Detail gegangen wird, sollte im Einklang damit stehen, inwieweit die auditierte Organisation mit dem Auditprozess vertraut ist. Bei einigen Auditsituationen kann die Besprechung einen formalen Charakter haben; es sollte ein Protokoll sowie Aufzeichnungen zur Anwesenheit geführt werden. In anderen Fällen, z. B. bei internen Audits, kann die Abschlussbesprechung weniger formal sein und lediglich darin bestehen, dass die Auditfeststellungen und Auditschlussfolgerungen mitgeteilt werden.
The degree of detail should be consistent with the familiarity of the auditee with the audit process. For some audit situations, the meeting may be formal and minutes, including records of attendance, should be kept. In other instances, e.g. internal audits, the closing meeting is less formal and may consist solely of communicating the audit findings and audit conclusions.
Sofern zutreffend, sollten der auditierten Organisation in der Abschlussbesprechung die folgenden Punkte erklärt werden:
As appropriate, the following should be explained to the auditee in the closing meeting:
Hinweise, dass sich die gesammelten Audit-
advising that the audit evidence collected was
nachweise auf eine Stichprobe aus den Informationen, die verfügbar waren, stützten;
44
based on a sample of the information available;
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
das Berichtsverfahren;
the method of reporting;
das Verfahren zur Behandlung von Auditfest-
the process of handling of audit findings and
Darstellung
der Auditfeststellungen und -schlussfolgerungen derart, dass sie verstanden und von der obersten Leitung der auditierten Organisation akzeptiert werden;
presentation of the audit findings and conclu-
alle damit verbundenen nachfolgenden Audit-
any related post-audit activities (e.g. implemen-
Alle auseinandergehenden Meinungen bezüglich der Auditfeststellungen bzw. -schlussfolgerungen zwischen dem Auditteam und der auditierten Organisation sollten diskutiert und, wenn möglich, geklärt werden. Falls keine Klärung zustande kommt, sollte dies aufgezeichnet werden.
Any diverging opinions regarding the audit findings or conclusions between the audit team and the auditee should be discussed and, if possible, resolved. If not resolved, this should be recorded.
Falls durch die Auditziele festgelegt, können Empfehlungen für Verbesserungen vorgelegt werden. Es sollte hervorgehoben werden, dass Empfehlungen nicht verbindlich sind.
If specified by the audit objectives, recommendations for improvements may be presented. It should be emphasized that recommendations are not binding.
6.5 Erstellen und Verteilen des Auditberichts
6.5 Preparing and distributing the audit report
6.5.1
6.5.1 Preparing the audit report
stellungen sowie mögliche Konsequenzen;
tätigkeiten (z. B. Umsetzung von Korrekturmaßnahmen, Verfahren für Auditbeschwerden, Einspruchsverfahren).
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Erstellen des Auditberichts
possible consequences;
sions in such a manner that they are understood and acknowledged by the auditee’s management; tation of corrective actions, audit complaint handling, appeal process).
Der Auditteamleiter sollte über die Ergebnisse des Audits nach den Festlegungen im Auditprogramm berichten.
The audit team leader should report the audit results in accordance with the audit programme procedures.
Der Auditbericht sollte eine vollständige, genaue, kurzgefasste und klare Aufzeichnung des Audits liefern. Er sollte Folgendes umfassen bzw. darauf verweisen:
The audit report should provide a complete, accurate, concise and clear record of the audit, and should include or refer to the following:
a)
die Auditziele;
a)
the audit objectives;
b)
den Auditumfang, insbesondere die Nennung der Organisations- und Funktionseinheiten bzw. der auditierten Prozesse;
b)
the audit scope, particularly identification of the organizational and functional units or processes audited;
c)
die Nennung des Auditauftraggebers;
c)
identification of the audit client;
d)
die Nennung des Auditteams sowie der Teilnehmer am Audit der auditierten Organisation;
d)
identification of audit team and auditee’s participants in the audit;
e)
die Termine und Orte, an denen die Audittätigkeiten durchgeführt wurden;
e)
the dates and locations where the audit activities were conducted;
f)
die Auditkriterien;
f)
the audit criteria;
g)
die Auditfeststellungen Nachweise;
g)
the audit findings and related evidence;
sowie
zugehörige
45
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
h)
die Auditschlussfolgerungen;
h)
the audit conclusions;
i)
eine Angabe darüber, in welchem Umfang die Auditkriterien erfüllt wurden.
i)
a statement on the degree to which the audit criteria have been fulfilled.
Der Auditbericht kann ebenfalls Folgendes umfassen oder ggf. darauf verweisen:
The audit report can also include or refer to the following, as appropriate:
den Auditplan einschließlich des Zeitplans;
the audit plan including time schedule;
eine Zusammenfassung des Auditprozesses,
a summary of the audit process, including any
eine Bestätigung, dass die Auditziele innerhalb
confirmation that the audit objectives have
all jene Bereiche, die vom Auditumfang nicht
any areas within the audit scope not covered;
eine Zusammenfassung, die die Auditschluss-
a summary covering the audit conclusions and
alle nicht beigelegten Meinungsverschieden-
any unresolved diverging opinions between the
Verbesserungsmöglichkeiten, falls im Auditplan
opportunities for improvement, if specified in
identifizierte bewährte Praktiken;
good practices identified;
vereinbarte Pläne für Nachfolgemaßnahmen,
agreed follow-up action plans, if any;
eine Aussage zum vertraulichen Charakter der
a statement of the confidential nature of the
alle Folgen für das Auditprogramm bzw. für
any implications for the audit programme or
die Verteilerliste für den Auditbericht.
the distribution list for the audit report.
ANMERKUNG Der Auditbericht kann vor der Abschlussbesprechung erstellt werden.
NOTE The audit report can be developed before the closing meeting.
6.5.2
6.5.2 Distributing the audit report
einschließlich aufgetretener Hindernisse, die die Zuverlässigkeit der Auditschlussfolgerungen verringern können; des Auditumfangs in Übereinstimmung mit dem Auditplan erreicht wurden; erfasst wurden;
folgerungen umfasst sowie die wesentlichen Auditfeststellungen, die diese belegen;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
heiten zwischen dem Auditteam und der auditierten Organisation; angegeben;
falls zutreffend; Inhalte;
nachfolgende Audits;
Verteilen des Auditberichts
obstacles encountered that may decrease the reliability of the audit conclusions;
been achieved within the audit scope in accordance with the audit plan;
the main audit findings that support them;
audit team and the auditee;
the audit plan;
contents;
subsequent audits;
Der Auditbericht sollte innerhalb eines vereinbarten Zeitraums herausgegeben werden. Wenn dies verschoben wird, sollten die Gründe dafür der auditierten Organisation sowie der Person, die das Auditprogramm leitet und lenkt, mitgeteilt werden.
The audit report should be issued within an agreed period of time. If it is delayed, the reasons should be communicated to the auditee and the person managing the audit programme.
Der Auditbericht sollte entsprechend den Festlegungen im Auditprogramm datiert, geprüft und genehmigt werden.
The audit report should be dated, reviewed and approved, as appropriate, in accordance with audit programme procedures.
46
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Der Auditbericht sollte dann entsprechend den Festlegungen in den Auditverfahren bzw. im Auditplan an die Empfänger verteilt werden.
The audit report should then be distributed to the recipients as defined in the audit procedures or audit plan.
6.6 Abschließen des Audits
6.6 Completing the audit
Das Audit ist beendet, wenn alle geplanten Audittätigkeiten durchgeführt wurden oder wie ansonsten mit dem Auditauftraggeber vereinbart (z. B. könnte eine unerwartete Situation eintreten, die ein planmäßiges Beenden des Audits verhindert).
The audit is completed when all planned audit activities have been carried out, or as otherwise agreed with the audit client (e.g. there might be an unexpected situation that prevents the audit being completed according to the plan).
Dokumente, die das Audit betreffen, sollten nach einer Vereinbarung zwischen den beteiligten Parteien und in Übereinstimmung mit den Festlegungen im Auditprogramm sowie den geltenden Anforderungen aufbewahrt oder vernichtet werden.
Documents pertaining to the audit should be retained or destroyed by agreement between the participating parties and in accordance with audit programme procedures and applicable requirements.
Sofern dies nicht gesetzlich gefordert ist, sollten das Auditteam und die Person, die das Audit leitet und lenkt, weder den Inhalt der Dokumente noch irgendwelche anderen Informationen, die während des Audits erhalten wurden, bzw. auch nicht den Auditbericht, ohne die ausdrückliche Genehmigung des Auditauftraggebers und, wo zutreffend, der Genehmigung der auditierten Organisation gegenüber einer anderen Partei offenlegen. Dort, wo die Offenlegung der Inhalte eines Auditdokuments gefordert wird, sollten der Auditauftraggeber und die auditierte Organisation sobald wie möglich informiert werden.
Unless required by law, the audit team and the person managing the audit programme should not disclose the contents of documents, any other information obtained during the audit, or the audit report, to any other party without the explicit approval of the audit client and, where appropriate, the approval of the auditee. If disclosure of the contents of an audit document is required, the audit client and auditee should be informed as soon as possible.
Lehren aus dem Audit sollten in den kontinuierlichen Verbesserungsprozess des Managementsystems der Organisation, die auditiert wurde, einfließen.
Lessons learned from the audit should be entered into the continual improvement process of the management system of the audited organizations.
6.7 Durchführen von Auditfolgemaßnahmen
6.7 Conducting audit follow-up
Die Schlussfolgerungen aus dem Audit können in Abhängigkeit der Auditziele die Notwendigkeit von Korrekturen, oder von Korrektur-, Vorbeugungsoder Verbesserungsmaßnahmen aufzeigen. Solche Maßnahmen werden gewöhnlich von der auditierten Organisation entschieden und innerhalb eines vereinbarten Zeitrahmens durchgeführt. Die auditierte Organisation sollte die Person, die das Auditprogramm leitet und lenkt, sowie das Auditteam über den Stand dieser Maßnahmen informieren.
The conclusions of the audit can, depending on the audit objectives, indicate the need for corrections, or for corrective, preventive or improvement actions. Such actions are usually decided and undertaken by the auditee within an agreed timeframe. As appropriate, the auditee should keep the person managing the audit programme and the audit team informed of the status of these actions.
Der Abschluss dieser Maßnahmen sowie deren Wirksamkeit sollten überprüft werden. Diese Überprüfung kann Bestandteil eines nachfolgenden Audits sein.
The completion and effectiveness of these actions should be verified. This verification may be part of a subsequent audit.
47
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
7
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Kompetenz und Bewertung von Auditoren
7
Competence and evaluation of auditors
7.1 Allgemeines
7.1 General
Vertrauen in den Auditprozess sowie in die Fähigkeit, dessen Ziele zu erreichen, hängt von der Kompetenz derjenigen Personen ab, die in die Planung und Durchführung der Audits einbezogen sind, einschließlich Auditoren und Auditteamleiter. Die Kompetenz sollte durch einen Prozess bewertet werden, welcher persönliches Verhalten und die Fähigkeit berücksichtigt, Wissen und Fertigkeiten anzuwenden, die während der Ausbildung, durch Arbeitserfahrungen, Auditorschulungen und Auditerfahrungen erlangt wurden. Dieser Prozess sollte die Erfordernisse des Auditprogramms sowie dessen Ziele berücksichtigen. Einige der in 7.2.3 beschriebenen Kenntnisse und Fertigkeiten gelten gleichermaßen für Auditoren jeglicher Managementsystemdisziplinen. Andere sind für individuelle Managementsystemdisziplinen spezifisch. Nicht jeder Auditor im Auditteam muss über dieselbe Kompetenz verfügen. Jedoch muss die Gesamtkompetenz des Auditteams ausreichend sein, um die Auditziele zu erreichen.
Confidence in the audit process and the ability to achieve its objectives depends on the competence of those individuals who are involved in planning and conducting audits, including auditors and audit team leaders. Competence should be evaluated through a process that considers personal behaviour and the ability to apply the knowledge and skills gained through education, work experience, auditor training and audit experience. This process should take into consideration the needs of the audit programme and its objectives. Some of the knowledge and skills described in 7.2.3 are common to auditors of any management system discipline; others are specific to individual management system disciplines. It is not necessary for each auditor in the audit team to have the same competence; however, the overall competence of the audit team needs to be sufficient to achieve the audit ob jectives.
Die Bewertung der Kompetenz des Auditors sollte nach dem Auditprogramm einschließlich der Programmverfahren geplant, umgesetzt und dokumentiert werden, um ein Ergebnis zu liefern, das objektiv, folgerichtig, angemessen und zuverlässig ist. Der Bewertungsprozess sollte die folgenden vier wesentlichen Schritte einschließen:
The evaluation of auditor competence should be planned, implemented and documented in accordance with the audit programme, including its procedures to provide an outcome that is objective, consistent, fair and reliable. The evaluation process should include four main steps, as follows:
a)
Ermittlung der Kompetenz des Auditpersonals, um die Erfordernisse des Auditprogramms zu erfüllen;
a)
determine the competence of audit personnel to fulfil the needs of the audit programme;
b)
Festlegung der Bewertungskriterien,
b)
establish the evaluation criteria;
c)
Auswahl der entsprechenden Bewertungsmethoden;
c)
select the appropriate evaluation method;
d)
Durchführung der Bewertung.
d)
conduct the evaluation.
Das Ergebnis des Bewertungsprozesses sollte die Grundlage bilden für:
The outcome of the evaluation process should provide a basis for the following:
die in 5.4.4 beschriebene Auswahl der Audit-
selection of audit team members as described
die Bedarfsermittlung bezüglich verbesserter
determining the need for improved competence
die laufende Leistungsbeurteilung von Audito-
ongoing performance evaluation of auditors.
teammitglieder;
Kompetenz (z. B. zusätzliche Schulung); ren.
48
in 5.4.4;
(e.g. additional training);
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Auditoren sollten ihre Kompetenz durch ständige fachliche Entwicklung sowie regelmäßige Teilnahme an Audits (siehe 7.6) entwickeln, erhalten und verbessern.
Auditors should develop, maintain and improve their competence through continual professional development and regular participation in audits (see 7.6).
Ein Verfahren für die Bewertung der Auditoren und des Auditteamleiters ist in 7.4. und 7.5 beschrieben.
A process for evaluating auditors and audit team leaders is described in 7.4 and 7.5.
Auditoren und Auditteamleiter sollten nach den in 7.2.2 und 7.2.3 festgelegten Kriterien bewertet werden.
Auditors and audit team leaders should be evaluated against the criteria set out in 7.2.2 and 7.2.3.
Die benötigte Kompetenz der Person, die das Auditprogramm leitet und lenkt, ist in 5.3.2 beschrieben.
The competence required of the person managing the audit programme is described in 5.3.2.
7.2 Ermitteln der Kompetenz des Auditors, um die Erfordernisse des Auditprogramms zu erfüllen
7.2 Determining auditor competence to fulfil the needs of the audit programme
7.2.1
7.2.1 General
Allgemeines
Wenn über angemessenes Wissen und Fertigkeiten entschieden wird, die vom Auditor benötigt werden, sollte Folgendes berücksichtigt werden:
In deciding the appropriate knowledge and skills required of the auditor, the following should be considered:
die Größe, Art und Komplexität der Organisa-
the size, nature and complexity of the organi-
die Disziplinen des Managementsystems, die
the management system disciplines to be au-
die Ziele und der Umfang des Auditpro-
the objectives and extent of the audit pro-
sonstige Anforderungen, wie z. B. solche, die
other requirements, such as those imposed by
die Rolle des Auditprozesses im Management-
the role of the audit process in the manage-
die Komplexität des zu auditierenden Manage-
the complexity of the management system to
die Unsicherheit beim Erreichen von Audit-
the uncertainty in achieving audit objectives.
Diese Informationen sollten mit denen in 7.2.3.2, 7.2.3.3 und 7.2.3.4 aufgeführten abgeglichen werden.
This information should be matched against that listed in 7.2.3.2, 7.2.3.3 and 7.2.3.4.
7.2.2
7.2.2 Personal behaviour
tion, die zu auditieren ist; zu auditieren sind; gramms;
ggf. durch externe Stellen erhoben werden; system der zu auditierenden Organisation; mentsystems; zielen.
Persönliches Verhalten
Auditoren sollten über die erforderlichen Eigenschaften verfügen, die es ihnen ermöglichen, gemäß den Auditprinzipien zu handeln, wie sie in Abschnitt 4 beschrieben sind. Auditoren sollten während der Durchführung der Audittätigkeiten professionelles Verhalten zeigen, darunter sollten sie:
zation to be audited; dited;
gramme;
external bodies, where appropriate; ment system of the auditee; be audited;
Auditors should possess the necessary qualities to enable them to act in accordance with the principles of auditing as described in Clause 4. Auditors should exhibit professional behaviour during the performance of audit activities, including being:
49
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
dem Berufsethos entsprechen, d. h. fair, wahr-
ethical, i.e. fair, truthful, sincere, honest and
aufgeschlossen sein, d. h. bereit sein, alterna-
open-minded, i.e. willing to consider alternative
diplomatisch sein, d. h. taktvoll im Umgang mit
diplomatic, i.e. tactful in dealing with people;
aufmerksam sein, d. h. aktiv die physische
observant, i.e. actively observing physical sur-
aufnahmefähig sein, d. h. sich der Situationen
perceptive, i.e. aware of and able to under-
flexibel sein, d. h. sich leicht an verschiedene
versatile, i.e. able to readily adapt to different
hartnäckig sein, d. h. ausdauernd und auf das
tenacious, i.e. persistent and focused on
entscheidungsfähig
sein, d. h. rechtzeitig Schlussfolgerungen basierend auf logischem Denken und auf der Grundlage von Analysen ziehen können;
decisive, i.e. able to reach timely conclusions
selbstsicher sein, d. h. selbständig handeln
self-reliant, i.e. able to act and function inde-
standhaft handeln, d. h. verantwortungsvoll
acting with fortitude, i.e, able to act responsibly
offen für Verbesserungen sein, d. h. bereit
open to improvement, i.e. willing to learn from
kulturell sensibel sein, d. h. die Kultur der zu
culturally sensitive, i.e. observant and respect-
teamfähig sein, d. h. effektiv mit anderen inter-
collaborative, i.e. effectively interacting with
7.2.3
7.2.3 Knowledge and skills
heitsliebend, aufrichtig, ehrlich und diskret sein; tive Ideen oder Standpunkte zu erwägen; Menschen;
Umgebung und die Tätigkeiten beobachten; bewusst sein und diese verstehen; Situationen anpassen;
Erreichen von Zielen fokussiert sein;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
und während effektiver Interaktion mit anderen agieren können;
und ethisch handeln können, selbst wenn dieses Handeln nicht immer populär ist und manchmal sogar zu Uneinigkeit oder Konfrontation führen mag;
sein, aus Situationen zu lernen, nach besseren Auditergebnissen zu streben;
auditierenden Organisation achten und respektieren; agieren, einschließlich mit den Auditteammitgliedern und dem Personal der zu auditierenden Organisation.
7.2.3.1
Wissen und Fertigkeiten Allgemeines
Auditoren sollten über Wissen und Fertigkeiten verfügen, die erforderlich sind, um die beabsichtigten Ziele der Audits, die sie durchführen sollen, zu erreichen. Alle Auditoren sollten über allgemeines Wissen und Fertigkeiten verfügen; und es sollte ferner erwartet werden, dass sie disziplin- und
50
discreet;
ideas or points of view;
roundings and activities; stand situations; situations;
achieving objectives;
based on logical reasoning and analysis;
pendently whilst interacting effectively with others;
and ethically, even though these actions may not always be popular and may sometimes result in disagreement or confrontation;
situations, and striving for better audit results;
ful to the culture of the auditee;
others, including audit team members and the auditee’s personnel.
7.2.3.1
General
Auditors should possess the knowledge and skills necessary to achieve the intended results of the audits they are expected to perform. All auditors should possess generic knowledge and skills and should also be expected to possess some discipline and sector-specific knowledge and skills. Audit team
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
branchenspezifisches Wissen und Fertigkeiten besitzen. Auditteamleiter sollten zusätzliches Wissen und Fertigkeiten haben, die erforderlich sind, um das Auditteam zu führen.
leaders should have the additional knowledge and skills necessary to provide leadership to the audit team.
7.2.3.2
7.2.3.2
Allgemeines Wissen und Fertigkeiten von Auditoren für Managementsysteme
Auditoren sollten Wissen und Fertigkeiten auf den unten hervorgehobenen Gebieten haben. a)
Auditprinzipien, -verfahren und -methoden: Wissen und Fertigkeiten auf diesem Gebiet befähigen den Auditor, diejenigen Prinzipien, Verfahren und Methoden anzuwenden, die für verschiedene Audits angemessen sind, und stellen sicher, dass die Audits konsequent und systematisch durchgeführt werden. Ein Auditor sollte zu Folgendem in der Lage sein:
Auditors should have knowledge and skills in the areas outlined below. a)
Audit principles, procedures and methods: knowledge and skills in this area enable the auditor to apply the appropriate principles, procedures and methods to different audits, and to ensure that audits are conducted in a consistent and systematic manner. An auditor should be able to do the following:
die Auditprinzipien, -verfahren und -metho-
apply audit principles, procedures, and
die Arbeit effektiv zu planen und zu orga-
plan and organize the work effectively;
das Audit innerhalb des vereinbarten Zeit-
conduct the audit within the agreed time
Prioritäten zu setzen und sich auf Fragen
prioritize and focus on matters of signifi-
Informationen über effektive Befragung,
collect information through effective inter-
die Expertenmeinung zu verstehen und zu
understand and consider the experts’ opin-
die Angemessenheit und die Folgen des
understand the appropriateness and con-
die Relevanz sowie Genauigkeit der ge-
verify the relevance and accuracy of col-
die Hinlänglichkeit und Angemessenheit
confirm the sufficiency and appropriate-
solche Faktoren, die die Zuverlässigkeit
assess those factors that may affect the
Arbeitsdokumente zu verwenden, um Au-
use work documents to record audit activi-
den anzuwenden; nisieren;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Generic knowledge and skills of management system auditors
plans durchzuführen;
von Bedeutung zu konzentrieren;
effektives Zuhören, Beobachten sowie Überprüfen von Dokumenten, Aufzeichnungen und Daten zu sammeln; berücksichtigen;
Einsatzes von Stichprobenverfahren beim Auditieren zu verstehen; sammelten Informationen zu überprüfen;
der Auditnachweise zu bestätigen, um Auditfeststellungen und Schlussfolgerungen zu belegen; der Auditfeststellungen und Auditschlussfolgerungen beeinträchtigen können, zu beurteilen; dittätigkeiten aufzuzeichnen;
methods;
schedule; cance;
viewing, listening, observing and reviewing documents, records and data;
ions;
sequences of using sampling techniques for auditing; lected information;
ness of audit evidence to support audit findings and conclusions;
reliability of the audit findings and conclusions;
ties;
51
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Auditfeststellungen zu dokumentieren und
document audit findings and prepare ap-
die Vertraulichkeit und Sicherheit von In-
maintain the confidentiality and security of
effektiv zu kommunizieren, mündlich und
communicate effectively, orally and in writ-
die Arten von mit dem Auditieren verbun-
understand the types of risks associated
entsprechende Auditberichte zu erstellen;
propriate audit reports;
formationen, Daten, Dokumenten und Aufzeichnungen zu erhalten;
information, data, documents and records;
schriftlich (entweder persönlich oder durch den Einsatz von Dolmetschern und Übersetzern);
ing (either personally, or through the use of interpreters and translators);
denen Risiken zu verstehen.
b) Managementsystemdokumente sowie Referenzdokumente: Wissen und Fertigkeiten auf diesem Gebiet versetzen den Auditor in die Lage, den Auditumfang zu verstehen sowie die Auditkriterien anzuwenden und sollten Folgendes abdecken:
with auditing.
b)
Managementsystem-Normen bzw. andere
management system standards or other
die Anwendung von Managementsystem-
the application of management system
Wechselwirkung zwischen den Kompo-
interaction between the components of the
das Erkennen der Hierarchie von Refe-
recognizing the hierarchy of reference
die Anwendung der Referenzdokumente
application of the reference documents to
Dokumente, die als Auditkriterien genutzt werden;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
documents used as audit criteria;
Normen durch die zu auditierende Organisation sowie ggf. durch andere Organisationen;
standards by the auditee and other organizations, as appropriate;
nenten des Managementsystems;
management system;
renzdokumenten;
documents;
auf verschiedene Auditsituationen.
c) Organisatorischer Kontext: Wissen und Fertigkeiten auf diesem Gebiet befähigen den Auditor, die Struktur und die Geschäfts- und Managementpraktiken der zu auditierenden Organisation zu verstehen und sollten Folgendes abdecken:
different audit situations.
c)
Organizational context: knowledge and skills in this area enable the auditor to comprehend the auditee’s structure, business and management practices, and should cover the following:
Organisationsformen,
Unternehmensführung, Größe, Struktur, Funktionen und Beziehungen;
organizational types, governance, size,
allgemeine Geschäfts- und Management-
general business and management con-
kulturelle und soziale Aspekte der zu audi-
cultural and social aspects of the auditee.
konzepte, Prozesse und die damit verbundene Terminologie; einschließlich Planung, Budgetierung und Verwaltung von Personal; tierenden Organisation.
52
Management system and reference documents: knowledge and skills in this area enable the auditor to comprehend the audit scope and apply audit criteria, and should cover the following:
structure, functions and relationships;
cepts, processes and related terminology, including planning, budgeting and management of personnel;
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
d)
Zutreffende gesetzliche und vertragliche Anforderungen sowie weitere Anforderungen, die auf die zu auditierende Organisation anzuwenden sind: Wissen und Fertigkeiten auf diesem Gebiet befähigen den Auditor, innerhalb der Organisation zu arbeiten sowie sich deren rechtlicher und vertraglicher Anforderungen bewusst zu sein. Das für die Rechtsbereiche bzw. Tätigkeiten und Produkte der zu auditierenden Organisation spezifische Wissen und die Fertigkeiten sollten Folgendes abdecken:
Applicable legal and contractual requirements and other requirements that apply to the auditee: knowledge and skills in this area enable the auditor to be aware of, and work within, the organization’s legal and contractual requirements. Knowledge and skills specific to the jurisdiction or to the auditee’s activities and products should cover the following:
Gesetze und Verordnungen sowie dafür
laws and regulations and their governing
grundlegende Rechtsterminologie;
basic legal terminology;
Vertragswesen und Haftungsfragen.
contracting and liability.
zuständige Behörden;
7.2.3.3
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
d)
Disziplin- und branchenspezifisches Wissen und Fertigkeiten von Auditoren für Managementsysteme
agencies;
7.2.3.3
Discipline and sector-specific knowledge and skills of management system auditors
Auditoren sollten über disziplin- und branchenspezifisches Wissen und Fertigkeiten verfügen, die für das Auditieren der bestimmten Art von Managementsystem sowie Branche geeignet sind.
Auditors should have the discipline and sectorspecific knowledge and skills that are appropriate for auditing the particular type of management system and sector.
Es muss nicht jeder Auditor im Auditteam über dieselbe Kompetenz verfügen; allerdings muss die Gesamtkompetenz des Auditteams ausreichen, um die Auditziele zu erreichen.
It is not necessary for each auditor in the audit team to have the same competence; however, the overall competence of the audit team needs to be sufficient to achieve the audit objectives.
Das disziplin- und branchenspezifische Wissen und die Fertigkeiten von Auditoren schließen Folgendes mit ein:
The discipline and sector-specific knowledge and skills of auditors include the following:
disziplin-spezifische
Managementsystem-Anforderungen und -Grundsätze sowie deren Anwendung;
discipline-specific management system re-
rechtliche Anforderungen bezüglich der Diszip-
legal requirements relevant to the discipline
Anforderungen der interessierten Parteien be-
requirements of interested parties relevant to
Grundlagen der Disziplin sowie der Anwen-
fundamentals of the discipline and the applica-
lin und der Branche, um den Auditor zu befähigen, sich der Anforderungen, die für die Rechtsbereiche spezifisch sind, sowie der Verpflichtungen, Tätigkeiten und Produkte der zu auditierenden Organisation bewusst zu sein; züglich der spezifischen Disziplin;
dung der geschäftsspezifischen und fachlichen disziplin-spezifischen Verfahren, Techniken, Prozesse und Praktiken, die ausreichend sind, um den Auditor zu befähigen, das Managementsystem zu prüfen sowie entsprechende Auditfeststellungen und -schlussfolgerungen zu erarbeiten;
quirements and principles, and their application;
and sector, such that the auditor is aware of the requirements specific to the jurisdiction and the auditee’s obligations, activities and products;
the specific discipline;
tion of business and technical disciplinespecific methods, techniques, processes and practices, sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions;
53
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Disziplin-spezifisches Wissen in Bezug auf die
discipline-specific knowledge related to the
Grundlagen des Risikomanagements, Verfah-
risk management principles, methods and
ANMERKUNG Eine Anleitung sowie anschauliche Beispiele für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren finden sich in Anhang A.
NOTE Guidance and illustrative examples of discipline-specific knowledge and skills of auditors are provided in Annex A.
7.2.3.4
7.2.3.4
betreffende Branche, die Art der Tätigkeiten bzw. den Arbeitsplatz, die auditiert werden, die ausreichend sind, um den Auditor zu befähigen, die Tätigkeiten, Prozesse und Produkte (Waren und Dienstleistungen) der zu auditierenden Organisation zu bewerten; ren und Techniken in Bezug auf die Disziplin und die Branche, um den Auditor zu befähigen, die Risiken, die mit dem Auditprogramm verbunden sind, zu bewerten und zu kontrollieren.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Allgemeines Wissen und Fertigkeiten eines Auditteamleiters
particular sector, nature of operations or workplace being audited, sufficient for the auditor to evaluate the auditee’s activities, processes, and products (goods and services);
techniques relevant to the discipline and sector, such that the auditor can evaluate and control the risks associated with the audit programme.
Generic knowledge and skills of an audit team leader
Auditteamleiter sollten zusätzliches Wissen und Fertigkeiten haben, um das Auditteam zu leiten und lenken sowie zu führen, um eine effiziente und wirksame Durchführung des Audits zu erleichtern. Ein Auditteamleiter sollte das notwendige Wissen und Fertigkeiten besitzen, um:
Audit team leaders should have additional knowledge and skills to manage and provide leadership to the audit team, in order to facilitate the efficient and effective conduct of the audit. An audit team leader should have the knowledge and skills necessary to do the following:
a)
die Stärken und Schwächen der einzelnen Auditteammitglieder auszugleichen;
a)
balance the strengths and weaknesses of the individual audit team members;
b)
eine harmonische Zusammenarbeit zwischen den Auditteammitgliedern zu entwickeln;
b)
develop a harmonious working relationship among the audit team members;
c)
den Auditprozess zu leiten und lenken, einschließlich:
c)
manage the audit process, including:
Planung des Audits sowie wirksame Nut-
planning the audit and making effective
Handhabung der Unsicherheit beim Errei-
managing the uncertainty of achieving au-
Schutz der Gesundheit und Sicherheit der
protecting the health and safety of the au-
Organisation und Leitung der Auditteam-
organizing and directing the audit team
Anleitung und Führung von Auditoren in
providing direction and guidance to audi-
Vermeidung und Beilegung von Konflikten,
preventing and resolving conflicts, as nec-
zung der Ressourcen während des Audits; chen der Auditziele;
Auditteammitglieder während des Audits, einschließlich Sicherstellung der Einhaltung der Arbeitsschutz- und Sicherheitsanforderungen durch die Auditoren; mitglieder;
Ausbildung;
falls notwendig;
54
use of resources during the audit; dit objectives;
dit team members during the audit, including ensuring compliance of the auditors with the relevant health, safety and security requirements; members;
tors-in-training; essary;
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
d) die Auditteammitglieder im Kommunikationsaustausch mit der Person, die das Auditprogramm leitet und lenkt, mit dem Auditauftraggeber sowie mit der zu auditierenden Organisation zu vertreten;
d)
represent the audit team in communications with the person managing the audit programme, audit client and auditee;
e) das Auditteam zu leiten, um zu den Auditschlussfolgerungen zu gelangen; und
e)
lead the audit team to reach the audit conclusions;
f)
f)
prepare and complete the audit report.
den Auditbericht zu erstellen und abzuschließen.
7.2.3.5
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Wissen und Fertigkeiten für das Auditieren von Managementsystemen, die mehrere Disziplinen umfassen
7.2.3.5
Knowledge and skills for auditing management systems addressing multiple disciplines
Auditoren, die als Auditteammitglieder bei der Auditierung von Managementsystemen, die mehrere Disziplinen umfassen, teilnehmen wollen, sollten über die erforderliche Kompetenz verfügen, wenigstens eine der Managementsystem-Disziplinen auditieren sowie die Interaktion und Synergie zwischen den verschiedenen Managementsystemen verstehen zu können.
Auditors who intend to participate as an audit team member in auditing management systems addressing multiple disciplines should have the competence necessary to audit at least one of the management system disciplines and an understanding of the interaction and synergy between the different management systems.
Auditteamleiter, die Audits von Managementsystemen, die mehrere Disziplinen umfassen, durchführen, sollten die Anforderungen jeder einzelnen Managementsystem-Norm verstehen und sich der Grenzen ihres Wissens und ihrer Fertigkeiten in Bezug auf jede Disziplin bewusst sein.
Audit team leaders conducting audits of management systems addressing multiple disciplines should understand the requirements of each of the management system standards and recognize the limits of their knowledge and skills in each of the disciplines.
7.2.4
7.2.4 Achieving auditor competence
Erreichen der Auditor-Kompetenz
Wissen und Fertigkeiten für Auditoren können unter Verwendung einer Kombination aus den folgenden Elementen erworben werden:
Auditor knowledge and skills can be acquired using a combination of the following:
formelle Ausbildung bzw. Schulung und Erfah-
formal education/training and experience that
Schulungsprogramme, die allgemeines Wissen
training programmes that cover generic auditor
Erfahrung in einer relevanten fachlichen, Füh-
experience in a relevant technical, managerial
Auditerfahrung erworben unter der Aufsicht
audit experience acquired under the supervi-
rung, die zur Entwicklung von Wissen und Fertigkeiten in der Managementsystem-Disziplin und der Branche, die der Auditor auditieren will, beitragen; und Fertigkeiten für Auditoren abdecken;
rungs- oder beruflichen Position, die Urteilsvermögen, Entscheidungsfindung, Problemlösung und Kommunikation mit Personal in leitender Stellung, Fachleuten, Kollegen, Kunden und anderen interessierten Parteien einschließt; eines Auditors in derselben Disziplin.
contribute to the development of knowledge and skills in the management system discipline and sector the auditor intends to audit;
knowledge and skills;
or professional position involving the exercise of judgement, decision making, problem solving and communication with managers, professionals, peers, customers and other interested parties;
sion of an auditor in the same discipline.
55
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
7.2.5
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Auditteamleiter
7.2.5 Audit team leaders
Ein Auditteamleiter sollte zusätzliche Auditerfahrung erworben haben, um das in 7.2.3 beschriebene Wissen und die Fertigkeiten zu entwickeln. Diese zusätzliche Erfahrung sollte unter der Führung und Anleitung eines anderen Auditteamleiters erworben worden sein.
An audit team leader should have acquired additional audit experience to develop the knowledge and skills described in 7.2.3. This additional experience should have been gained by working under the direction and guidance of a different audit team leader.
7.3 Festlegen der Bewertungskriterien für Auditoren
7.3 Establishing the auditor evaluation criteria
Die Kriterien sollten qualitativ (wie z. B. nachgewiesenes persönliches Verhalten, Wissen oder die Leistungsfähigkeit in Bezug auf die Fertigkeiten, in der Ausbildung oder am Arbeitspatz) sowie quantitativ (wie die Jahre an Berufserfahrung und Ausbildung, die Anzahl der durchgeführten Audits, die Stunden an Auditschulungen) sein.
The criteria should be qualitative (such as having demonstrated personal behaviour, knowledge or the performance of the skills, in training or in the workplace) and quantitative (such as the years of work experience and education, number of audits conducted, hours of audit training).
7.4 Auswählen der geeigneten Bewertungsmethode für Auditoren
7.4 Selecting the appropriate auditor evaluation method
Die Bewertung sollte unter Verwendung von zwei oder mehreren aus Tabelle 2 ausgewählten Methoden erfolgen. Bei der Verwendung von Tabelle 2 sollte Folgendes beachtet werden:
The evaluation should be conducted using two or more of the methods selected from those in Table 2. In using Table 2, the following should be noted:
die beschriebenen Methoden stellen eine
the methods outlined represent a range of op-
die verschiedenen beschriebenen Methoden
the various methods outlined may differ in their
die Methoden sollten kombiniert angewandt
a combination of methods should be used to
Reihe von Optionen dar und mögen nicht für alle Situationen zutreffen;
mögen sich in ihrer Zuverlässigkeit unterscheiden;
werden, um ein Ergebnis sicherzustellen, dass objektiv, folgerichtig, angemessen und verlässlich ist.
56
tions and may not apply in all situations;
reliability;
ensure an outcome that is objective, consistent, fair and reliable.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Tabelle 2 — Mögliche Bewertungsmethoden Bewertungsmethode
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Ziele
Beispiele
Prüfen von Aufzeichnungen
Um das Wissen und Können des Auditors Analyse von Aufzeichnungen zur Ausbildung, zu prüfen Schulung, Beschäftigung, professionelle Kompetenznachweise und Auditerfahrung
Feedback
Um Informationen darüber bereitzustellen, wie die Leistung des Auditors wahrgenommen wird
Umfragen, Fragebögen, persönliche Referenzen, Zeugnisse, Beschwerden, Leistungsbewertung, Begutachtung durch Kollegen (Peer Review)
Befragung
Um die persönlichen Verhaltens- und Kommunikationsfähigkeiten zu bewerten, um Informationen zu prüfen und um Wissen zu testen sowie um zusätzliche Informationen zu erwerben
Persönliche Befragungen
Beobachtung
Um das persönliche Verhalten zu bewerten sowie die Fähigkeit, sich Wissen und Fertigkeiten anzueignen
Rollenspiele, Audits unter Aufsicht, Leistungsfähigkeit am Arbeitsplatz
Prüfung
Um persönliches Verhalten sowie Wissen Mündliche und schriftliche Prüfungen, psychound Fertigkeiten und deren Anwendung zu metrische Tests bewerten
Bewertung nach dem Audit
Um Informationen über die Leistung des Auditors während der Audittätigkeiten bereitzustellen, um Stärken und Schwächen zu identifizieren
Bewertung des Auditberichts, Befragungen des Auditteamleiters, des Auditteams und ggf. Feedback von der auditierten Organisation.
Table 2 — Possible evaluation methods Evaluation method
Objectives
Examples
Review of records
To verify the background of the auditor
Analysis of records of education, training, employment, professional credentials and audit experience
Feedback
To provide information about how the performance of the auditor is perceived
Surveys, questionnaires, personal references, testimonials, complaints, performance evaluation, peer review
Interview
To evaluate personal behaviour and communication skills, to verify information and test knowledge and to acquire additional information
Personal interviews
Observation
To evaluate personal behaviour and the ability to apply knowledge and skills
Role playing, witnessed audits, on-the-job performance
Testing
To evaluate personal behaviour and knowledge and skills and their application
Oral and written exams, psychometric testing
Post-audit review
To provide information on the auditor performance during the audit activities, identify strengths and weaknesses
Review of the audit report, interviews with the audit team leader, the audit team and, if appropriate, feedback from the auditee.
57
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
7.5 Durchführen der Auditor-Bewertung
7.5 Conducting auditor evaluation
Die über die Person erhobenen Informationen sollten mit den in 7.2.3 festgelegten Kriterien verglichen werden. Wenn eine Person, von der eine Teilnahme am Auditprogramm erwartet wird, nicht die Kriterien erfüllt, so sollten zusätzliche Schulungen, Arbeiten bzw. Auditerfahrungen erfolgen, und es sollte eine anschließende wiederholte Bewertung durchgeführt werden.
The information collected about the person should be compared against the criteria set in 7.2.3. When a person expected to participate in the audit programme does not fulfil the criteria, then additional training, work or audit experience should be undertaken and a subsequent re-evaluation should be performed.
7.6 Erhalten und Verbessern der Kompetenz des Auditors
7.6 Maintaining and improving auditor competence
Auditoren sowie Auditteamleiter sollten ihre Kompetenz ständig verbessern. Auditoren sollten ihre Kompetenz zum Auditieren durch regelmäßige Teilnahme an Managementsystem-Audits sowie ständige berufliche Weiterbildung aufrechterhalten. Kontinuierliche berufliche Entwicklung bedingt die Erhaltung und Verbesserung der Kompetenz. Dies kann erreicht werden durch zusätzliche Berufserfahrung, Schulung, Selbststudium, individuelle Förderung, Teilnahme an Sitzungen, Seminaren und Konferenzen oder anderen relevanten Tätigkeiten.
Auditors and audit team leaders should continually improve their competence. Auditors should maintain their auditing competence through regular participation in management system audits and continual professional development. Continual professional development involves the maintenance and improvement of competence. This may be achieved through means such as additional work experience, training, private study, coaching, attendance at meetings, seminars and conferences or other relevant activities.
Die Person, die das Auditprogramm leitet und lenkt, sollte geeignete Mechanismen zur kontinuierlichen Bewertung der Leistungsfähigkeit der Auditoren und der Auditteamleiter festlegen.
The person managing the audit programme should establish suitable mechanisms for the continual evaluation of the performance of the auditors, and audit team leaders.
Die Tätigkeiten zur kontinuierlichen beruflichen Entwicklung sollten Folgendes berücksichtigen:
The continual professional development activities should take into account the following:
Änderungen an den Erfordernissen der Einzel-
changes in the needs of the individual and the
die Praxis des Auditierens;
the practice of auditing;
zutreffende Normen und andere Anforderun-
relevant standards and other requirements.
nen sowie der Organisation, die für die Durchführung des Audits verantwortlich ist;
gen.
58
organization responsible for the conduct of the audit;
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Anhang A (informativ)
Annex A (informative)
Anleitung sowie anschauliche Beispiele für disziplinspezifisches Wissen und Fertigkeiten von Auditoren
Guidance and illustrative examples of discipline-specific knowledge and skills of auditors
A.1 Allgemeines
A.1 General
Dieser Anhang gibt allgemeine Beispiele für disziplin-spezifisches Wissen und Fertigkeiten für Auditoren für Managementsysteme wieder, die als Anleitung zur Unterstützung der Person gedacht sind, die das Auditprogramm leitet und lenkt, um Auditoren auszuwählen oder zu bewerten.
This annex provides generic examples of disciplinespecific knowledge and skills for auditors of management systems, which are intended as guidance to assist the person managing the audit programme to select or evaluate auditors.
Weitere Beispiele für disziplin-spezifisches Wissen und Fertigkeiten für Auditoren können auch für Managementsysteme erarbeitet werden. Um Vergleichbarkeit sicherzustellen wird empfohlen, dass, wenn möglich, solche Beispiele derselben allgemeinen Struktur folgen.
Other examples of discipline-specific knowledge and skills for auditors may also be developed for management systems. It is suggested that, where possible, such examples follow the same general structure in order to ensure comparability.
A.2 Anschauliches Beispiel für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren — Transportsicherheitsmanagement
A.2 Illustrative example of disciplinespecific knowledge and skills of auditors in transportation safety management
Wissen und Fertigkeiten in Bezug auf Transportsicherheitsmanagement sowie die Anwendung von Transportsicherheitsmanagementverfahren, -techniken, -prozessen und -praktiken sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem zu prüfen sowie geeignete Auditfeststellungen und -schlussfolgerungen zu generieren.
Knowledge and skills related to transportation safety management and the application of transportation safety management methods, techniques, processes and practices should be sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions.
Beispielliste:
Examples are as follows:
Sicherheitsmanagement-relevante Terminolo-
safety management terminology;
Verständnis des Sicherheitssystem-Ansatzes;
understanding safe system approach;
Risikobewertung und -minderung;
risk assessment and mitigation;
Analyse der menschlichen Faktoren in Bezug
analysis of human factors related to transporta-
menschliches Verhalten und Interaktion;
human behaviour and interaction;
Interaktion von Menschen, Maschinen, Pro-
interaction of humans, machines, processes
gie;
auf Transportsicherheitsmanagement;
zessen und der Arbeitswelt;
tion safety management;
and the work environment;
59
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
potentielle Gefahren und andere Faktoren, die
potential hazards and other workplace factors
Methoden und Praktiken zur Untersuchung von
methods and practices for incident investiga-
Bewertung von betrieblichen Störfällen und Un-
evaluation of operational incidents and acci-
Entwicklung proaktiver und reaktiver Leis-
developing proactive and reactive performance
ANMERKUNG Für weitere Informationen siehe die zukünftige ISO 39001 zum Straßenverkehrssicherheitsmanagement, entwickelt durch ISO/PC 241.
NOTE For additional information, see the future ISO 39001 developed by ISO/PC 241 on road-traffic safety management systems.
A.3 Anschauliches Beispiel für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren im Umweltmanagement
A.3 Illustrative example of disciplinespecific knowledge and skills of auditors in environmental management
Wissen und Fertigkeiten in Bezug auf die Disziplin sowie die Anwendung von disziplin-spezifischen Verfahren, Techniken, Prozessen und Praktiken sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem zu prüfen und angemessene Auditfeststellungen und -schlussfolgerungen zu generieren.
Knowledge and skills related to the discipline and the application of discipline-specific methods, techniques, processes and practices should be sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions.
Beispielliste:
Examples are as follows:
umweltrelevante Terminologie;
environmental terminology;
Umweltkennzahlen und -statistiken;
environmental metrics and statistics;
Messtechnik sowie Überwachungstechniken;
measurement science and monitoring tech-
Zusammenhänge zwischen Ökosystemen und
interaction of ecosystems and biodiversity;
Umweltmedien (z. B. Luft, Wasser, Boden,
environmental media (e.g. air, water, land, fau-
Techniken zur Risikobeurteilung (z. B. Bewer-
techniques for determining risk (e.g. environ-
Ökobilanz;
life cycle assessment;
Umweltleistungsbewertung;
environmental performance evaluation;
Schadstoffminderung und -vermeidung (z. B.
pollution prevention and control (e.g. best
die Sicherheit am Arbeitsplatz beeinträchtigen;
Vorfällen und Überwachung der Sicherheitsleistung; fällen;
tungsgrößen und -indikatoren.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
biologischer Vielfalt; Fauna, Flora);
tung von Umweltaspekten/-auswirkungen, einschließlich Methoden zur Beurteilung deren Bedeutung);
beste verfügbare Techniken für Schadstoffminderung oder Energieeffizienz);
60
affecting safety;
tions and monitoring safety performance;
dents;
measures and metrics.
niques;
na, flora);
mental aspects/impacts evaluation, including methods for evaluating significance);
available techniques for pollution control or energy efficiency);
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Ressourcenschonung, Abfallreduzierung, Wie-
source reduction, waste minimization, reuse,
Umgang mit gefährlichen Stoffen;
use of hazardous substances;
Berücksichtigung und Management von Treib-
greenhouse gas emissions accounting and
Management natürlicher Ressourcen (z. B.
management of natural resources (e.g. fossil
Umweltdesign;
environmental design;
Umweltberichterstattung und Offenlegung;
environmental reporting and disclosure;
Produktverantwortung;
product stewardship;
Erneuerbare und kohlenstoffarme Technolo-
renewable and low carbon technologies.
ANMERKUNG Für zusätzliche Informationen zum Umweltmanagement siehe verwandte Normen, entwickelt durch ISO/TC 207.
NOTE For additional information, see related standards developed by ISO/TC 207 on environmental management.
A.4 Anschauliches Beispiel für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren im Qualitätsmanagement
A.4 Illustrative example of disciplinespecific knowledge and skills of auditors in quality management
Wissen und Fertigkeiten in Bezug auf die Disziplin sowie die Anwendung von disziplin-spezifischen Verfahren, Techniken, Prozessen und Praktiken sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem zu prüfen sowie angemessene Auditfeststellungen und -schlussfolgerungen zu generieren.
Knowledge and skills related to the discipline and the application of discipline-specific methods, techniques, processes and practices should be sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions.
Beispielliste:
Examples are as follows:
Terminologie bezogen auf Qualität, Manage-
terminology relating to quality, management,
Kundenorientierung, kundenbezogene Prozes-
customer focus, customer-related processes,
Führung — Rolle der obersten Leitung, Len-
leadership – role of top management, manag-
derverwendung, Recycling sowie Aufbereitungs- und Recycling-Praktiken und -Prozesse;
hausgasemissionen;
fossile Brennstoffe, Wasser, Flora und Fauna, Boden);
gien.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
ment, Organisation, Prozesse und Produkte, Eigenschaften, Konformität, Dokumentation, Prüfung, Audit und Messverfahren;
se, Überwachung und Messung der Kundenzufriedenheit, Behandlung von Beschwerden, Verhaltenskodex, Konfliktlösung; kung des nachhaltigen Erfolgs einer Organisation — der Qualitätsmanagement-Ansatz, Realisierung finanzieller und wirtschaftlicher Vorteile durch Lenkung von Qualität, Qualitätsmanagementsystemen sowie ExzellenzModellen;
recycling and treatment practices and processes;
management;
fuels, water, flora and fauna, land);
organization, process and product, characteristics, conformity, documentation, audit and measurement processes; monitoring and measuring of customer satisfaction, complaints handling, code of conduct, dispute resolution;
ing for the sustained success of an organization – the quality management approach, realizing financial and economic benefits through management of quality, quality management systems and excellence models;
61
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Einbeziehung von Menschen, menschliche
involvement of people, human factors, compe-
Prozess-Ansatz, Prozess-Analyse, Fähigkeits-
process approach, process analysis, capability
System-Ansatz zum Management (Begründung
system approach to management (rationale of
kontinuierliche Verbesserung, Innovation und
continual improvement, innovation and learn-
sachbezogener Ansatz zur Entscheidungsfin-
factual approach to decision making, risk as-
Merkmale von Prozessen und Produkten ein-
characteristics of processes and products, in-
Lieferantenbeziehungen
zum gegenseitigen Nutzen, Qualitätsmanagementsystem-Anforderungen und Anforderungen an Produkte, insbesondere Anforderungen an Qualitätsmanagementsysteme in verschiedenen Branchen.
mutually beneficial supplier relationships, quali-
ANMERKUNG Für zusätzliche Informationen zum Qualitätsmanagement siehe verwandte Normen, entwickelt durch ISO/TC 176.
NOTE For additional information, see related standards developed by ISO/TC 176 on quality management.
A.5 Anschauliches Beispiel für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren im Aufzeichnungsmanagement
A.5 Illustrative example of disciplinespecific knowledge and skills of auditors in records management
Wissen und Fertigkeiten in Bezug auf die Disziplin sowie die Anwendung von disziplin-spezifischen Verfahren, Techniken, Prozessen und Praktiken sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem zu prüfen sowie angemessene Auditfeststellungen und -schlussfolgerungen zu generieren.
Knowledge and skills related to the discipline and the application of discipline-specific methods, techniques, processes and practices should be sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions.
Einflussfaktoren, Kompetenz, Schulung und Bewusstsein; und Steuerungstechniken, Methoden zur Risikobehandlung;
für Qualitätsmanagementsysteme, Schwerpunkte von Qualitätsmanagementsystemen, Qualitätsmanagementsystem-Dokumentation), Arten und Wert, Projekte, Qualitätspläne, Konfigurationsmanagement; Lernen;
dung, Risikobewertungsmethoden (Risikoerkennung, -analyse und -bewertung), Qualitätsmanagement-Bewertung (Audit, Überprüfung und Selbstbewertung), Mess- und Überwachungstechniken, Anforderungen an Messprozesse und Messeinrichtungen, Ursachenanalyse, statistische Methoden;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
schließlich Dienstleistungen;
62
tence, training and awareness;
and control techniques, risk treatment methods;
quality management systems, quality management systems and other management system focuses, quality management system documentation), types and value, projects, quality plans, configuration management; ing;
sessment techniques (risk identification, analysis and evaluation), evaluation of quality management (audit, review and self-assessment), measurement and monitoring techniques, requirements for measurement processes and measuring equipment, root cause analysis, statistical techniques; cluding services;
ty management system requirements and requirements for products, particular requirements for quality management in different sectors.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Beispielliste:
Examples are as follows:
Aufzeichnungen, Aufzeichnungs-Management-
records, records management processes, and
Entwicklung von Leistungsgrößen und -indika-
developing performance measures and met-
Untersuchung und Bewertung von Aufzeich-
investigation and evaluation of records practic-
Probenanalyse von Aufzeichnungen, die in
sample analysis of records created in business
Risikobewertung (d. h. Bewertung der Risiken
risk assessment (e.g. assessment of risks
die Leistungsfähigkeit und Angemessenheit
the performance and adequacy of records pro-
Beurteilung der Angemessenheit und Leis-
assessment of the adequacy and performance
Bewertung des unterschiedlichen Kompetenz-
evaluation of the different levels of competence
Bedeutung von Inhalt, Kontext, Struktur, Dar-
significance of the content, context, structure,
Verfahren zur Entwicklung aufzeichnungsspe-
methods for developing records-specific in-
Technologien, die zur Erstellung, Erfassung,
technologies used for creation, capture, con-
Kennzeichnung und Bedeutung der Genehmi-
identification and significance of the authoriza-
ANMERKUNG Für zusätzliche Informationen zum Aufzeichnungsmanagement siehe verwandte Normen, entwickelt durch ISO/TC 46/SC 11.
NOTE For additional information, see related standards developed by ISO/TC 46/SC 11 on records management.
prozesse sowie Managementsysteme für aufzeichnungsbezogene Terminologie; toren;
nungsverfahren durch Befragung, Beobachtung und Validierung; Geschäftsprozessen erzeugt wurden. Schlüsselmerkmale von Aufzeichnungen, Aufzeichnungssystemen, Aufzeichnungsprozessen und Lenkungen von Aufzeichnungen; durch Fehler bei der Erzeugung, Aufrechterhaltung und Lenkung entsprechender Aufzeichnungen zu Geschäftsprozessen der Organisation);
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
von Aufzeichnungsprozessen zur Erzeugung, Erfassung und Lenkung von Aufzeichnungen;
tungsfähigkeit von Aufzeichnungssystemen (einschließlich Geschäftssysteme zur Erzeugung und Lenkung von Aufzeichnungen), die Eignung verwendeter technologischer Werkzeuge sowie Einrichtungen und Ausrüstungen; niveaus im Aufzeichnungsmanagement, die in der gesamten Organisation gefordert sind sowie die Bewertung dieser Kompetenz;
stellung und Lenkung von Informationen (Metadaten), die zur Festlegung und Handhabung von Aufzeichnungen und Aufzeichnungssystemen gefordert werden; zifischer Instrumente;
Umwandlung und Migration sowie langzeitigen Aufbewahrung elektronischer/digitaler Aufzeichnungen verwendet werden; gungsdokumentation zesse.
für
Aufzeichnungspro-
management systems for records terminology;
rics;
es through interviewing, observation and validation; processes. Key characteristics of records, records systems, records processes and controls;
through failure to create, maintain and control adequate records of the organization’s business processes);
cesses to create, capture and control records;
of records systems (including business systems to create and control records), the suitability of technological tools used, and facilities and equipment established;
in records management required across an organization and the assessment of that competence;
representation and control information (metadata) required to define and manage records and records systems;
struments;
version and migration, and long-term preservation of electronic/digital records;
tion documentation for records processes.
63
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
A.6 Anschauliches Beispiel für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren im RSPC-ManagementN5)
A.6 Illustrative example of disciplinespecific knowledge and skills of auditors in resilience, security, preparedness and continuity management
Wissen und Fertigkeiten in Bezug auf die Disziplin und die Anwendung disziplin-spezifischer Verfahren, Techniken, Prozesse und Praktiken sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem zu prüfen und angemessene Auditfeststellungen und -schlussfolgerungen zu generien.
Knowledge and skills related to the discipline and the application of discipline-specific methods, techniques, processes and practices should be sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions.
Beispielliste:
Examples are as follows:
Prozesse, Wissenschaft und Technologie, die
processes, science and technology underlying
Verfahren
zur Informationsgewinnung und -überwachung;
methods for intelligence gathering and monitor-
Bewältigung von Risiken unvorhersehbarer
managing the risks of disruptive events (antici-
Risikobewertung
(Anlagenidentifikation und -bewertung sowie Risikoerkennung, -analyse, -bewertung) und Folgenanalyse (im Zusammenhang mit menschlichen, materiellen und immateriellen Vermögenswerten sowie der Umwelt);
risk assessment (asset identification and valua-
Risiko-Behandlung (adaptive, proaktive und
risk treatment (adaptive, proactive and reactive
Methoden und Praktiken zur Integrität und
methods and practices for information integrity
Methoden zur Personalsicherheit sowie zum
methods for personnel security and protection
Methoden und Praktiken zum Vermögens-
methods and practices for asset protection and
Methoden und Praktiken zum Präventions-,
methods and practices for prevention, deter-
Methoden und Praktiken zur Minderung von
methods and practices for incident mitigation,
RSPC-Management zugrundeliegen;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Ereignisse (Vorhersehen, Vermeidung, Prävention, Schutz, Milderung, Reaktion auf ein unvorhersehbares Ereignis sowie Wiederherstellung);
reaktive Maßnahmen);
Sensibilität von Informationen; Personenschutz;
schutz und zur materiellen (physischen) Sicherheit;
Abschreckungs- und Sicherheitsmanagement;
Störfällen, Response-und Krisenmanagement;
resilience, security, preparedness, response, continuity and recovery management; ing;
pate, avoid, prevent, protect, mitigate, respond to and recover from a disruptive event);
tion; and risk identification, analysis, evaluation) and impact analysis (related to human, physical and intangible assets, as well as the environment);
measures);
and sensitivity; of persons;
physical security;
rence, and security management;
response, and crisis management;
N5) Nationale Fußnote: Management zu Widerstandsfähigkeit, Sicherheitsfragen, Planung und Vorbereitung zur Aufrechterhaltung der Einsatzfähigkeit (en: resilience, security, preparedness, continuity).
64
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Methoden und Praktiken für Kontinuitäts-, Not-
methods and practices for continuity, emer-
Methoden und Praktiken zur Leistungsüber-
methods and practices for monitoring, measur-
ANMERKUNG Für zusätzliche Informationen zum RSPC-Management siehe verwandte Normen, entwickelt von ISO/TC 8, ISO/TC 223 und ISO/TC 247.
NOTE For additional information, see related standards developed by ISO/TC 8, ISO/TC 223 and ISO/TC 247 on resilience, security, preparedness and continuity management.
A.7 Anschauliches Beispiel für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren im Informationssicherheitsmanagement
A.7 Illustrative example of disciplinespecific knowledge and skills of auditors in information security management
Wissen und Fertigkeiten in Bezug auf die Disziplin sowie die Anwendung disziplin-spezifischer Verfahren, Techniken, Prozesse und Praktiken sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem zu prüfen sowie angemessene Auditfeststellungen und -schlussfolgerungen zu generieren.
Knowledge and skills related to the discipline and the application of discipline-specific methods, techniques, processes and practices should be sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions.
Beispielliste:
Examples are as follows:
Leitlinien aus anderen Normen wie
guidelines from standards such as
Identifizierung und Bewertung von Anforderun-
identification and evaluation of customer and
die Gesetze und Vorschriften, die sich mit
the laws and regulations dealing with infor-
Prozesse, Wissenschaft und Technologie, die
processes, science and technology underlying
Risikobewertung (Ermittlung, Analyse und Be-
risk assessment (identification, analysis and
fall- und Recovery-Management;
wachung, -messung und -berichterstattung (einschließlich Übungs- und Testmethoden).
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 und ISO/IEC 27005; gen von Kunden und interessierten Parteien;
Informationssicherheit befassen (z. B. geistiges Eigentum; Inhalt, Schutz und Erhaltung organisatorischer Aufzeichnungen; Datenschutz und Geheimhaltung; Regelung kryptographischer Kontrollen; Terrorismusbekämpfung; e-Commerce; elektronische und digitale Signaturen; Arbeitsplatzüberwachung; Ergonomie am Arbeitsplatz; Telekommunikationsüberwachung und Überwachung von Daten (z. B. E-Mail), Computermissbrauch, Sammlung elektronischer Beweismittel, Penetrationstests usw.;
dem Informationssicherheits-Management unterliegen; wertung) sowie Technologietrends, Bedrohungen und Schwachstellen;
gency, and recovery management;
ing, and reporting of performance (including exercise and testing methodologies).
ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 and ISO/IEC 27005; interested parties requirements;
mation security (e.g. intellectual property; content, protection and retention of organizational records; data protection and privacy; regulation of cryptographic controls; anti-terrorism; electronic commerce; electronic and digital signatures; workplace surveillance; workplace ergonomics; telecommunications interception and monitoring of data (e.g. e-mail), computer abuse, electronic evidence collection, penetration testing, etc.;
information security management;
evaluation) and trends in technology, threats and vulnerabilities;
65
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Informationssicherheits- und Risikomanage-
information security risk management;
Methoden und Praktiken für die Lenkung der
methods and practices for information security
Methoden und Praktiken für die Integrität und
methods and practices for information integrity
Methoden und Praktiken für die Messung und
methods and practices for measuring and
Methoden und Praktiken für die Messung,
methods and practices for measuring, monitor-
ANMERKUNG Für zusätzliche Informationen zum Informationssicherheitsmanagement siehe verwandte Normen, entwickelt durch ISO/IEC JTC 1/SC 27.
NOTE For additional information, see related standards developed by ISO/IEC JTC 1/SC 27 on information security management.
A.8 Anschauliches Beispiel für disziplin-spezifisches Wissen und Fertigkeiten von Auditoren im Arbeitssicherheits- und Gesundheitsschutzmanagement
A.8 Illustrative example of disciplinespecific knowledge and skills of auditors in occupational health and safety management
A.8.1 Allgemeines Wissen und Fertigkeiten
A.8.1 General knowledge and skills
Wissen und Fertigkeiten in Bezug auf die Disziplin sowie die Anwendung disziplin-spezifischer Verfahren, Techniken, Prozesse und Praktiken sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem zu prüfen sowie angemessene Auditfeststellungen und -schlussfolgerungen zu generieren.
Knowledge and skills related to the discipline and the application of discipline-specific methods, techniques, processes and practices should be sufficient to enable the auditor to examine the management system and generate appropriate audit findings and conclusions.
Beispielliste:
Examples are as follows:
Gefahrenermittlung, einschließlich dieser und
hazard identification, including those and other
Risikobewertung, Festlegung von Kontrollen
risk assessment, determining controls, and risk
ment;
Informationssicherheit (elektronisch und physisch); Sensibilität von Informationen;
Bewertung der Wirksamkeit des Informationssicherheitsmanagementsystems und damit verbundene Kontrollen; Überwachung und Aufzeichnung der Leistung (einschließlich Prüfung, Audits und Bewertungen).
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
anderer Faktoren, die die menschliche Leistungsfähigkeit am Arbeitsplatz beeinträchtigen (wie z. B. physikalische, chemische und biologische Faktoren als auch Geschlecht, Alter, Behinderung oder andere physiologische, psychologische oder gesundheitsrelevante Faktoren); sowie Risikokommunikation [die Festlegung von Kontrollen sollte auf der „Kontrollhierarchie“ basieren (siehe OHSAS 18001:2007, 4.3.1)];
66
controls (electronic and physical);
and sensitivity;
evaluating effectiveness of the information security management system and associated controls;
ing and recording of performance (including testing, audits and reviews).
factors affecting human performance in the workplace (such as physical, chemical and biological factors, as well as gender, age, handicap or other physiological, psychological or health factors);
communication [the determining of controls should be based on the “hierarchy of controls” (see OHSAS 18001:2007, 4.3.1)];
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
die
Bewertung der gesundheitlichen und menschlichen Faktoren (einschließlich physiologischer und psychologischer Faktoren) sowie die Grundsätze zu deren Beurteilung;
the evaluation of health and human factors (in-
Methoden zur Expositionsüberwachung und
method for exposure monitoring and assess-
menschliches Verhalten, Mensch zu Mensch-
human behaviour, person-to-person interac-
die Bewertung der verschiedenen Formen und
the evaluation of the different types and levels
Methoden zur Förderung der Beteiligung und
methods to encourage employee participation
Methoden, um das Wohlbefinden und die
methods to encourage employee wellness or
die Entwicklung, Verwendung und Auswertung
the development, use and evaluation of proac-
die Grundsätze und Praktiken für die Ermitt-
the principles and practices for identifying po-
Verfahren zur Untersuchung und Bewertung
methods for incident (including accident and
die Ermittlung und Verwendung gesundheits-
the determination and use of health-related in-
Bewertung von Risiken in Bezug auf Arbeitssicherheits- und Gesundheitsschutz (einschließlich solcher Risiken, die aus den oben erwähnten menschlichen Faktoren herrühren oder die sich auf Arbeitshygiene beziehen) sowie verwandte Strategien zur Beseitigung oder Minimierung dieser Risiken; Interaktionen und Interaktion des Menschen mit Maschinen, Prozessen und der Arbeitsumgebung (einschließlich Arbeitsplatz, ergonomische und sichere Konstruktionsprinzipien, Informations- und Kommunikationstechnologien);
Stufen in Bezug auf Kompetenz bezüglich Arbeits- und Gesundheitsschutz, die in einer Organisation erforderlich sind, sowie die Bewertung dieser Kompetenzen;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
des Engagements der Mitarbeiter;
Selbstverantwortung der Mitarbeiter zu fördern (in Bezug auf Rauchen, Drogen, Alkohol, gewichtsbezogene Probleme, Bewegung, Stress, aggressives Verhalten usw.), sowohl während der Arbeitszeit als auch in ihrem Privatleben; proaktiver und reaktiver Leistungsgrößen und -indikatoren;
lung potentieller Notfallsituationen und für die Notfallplanung, Prävention, Bewältigung und Wiederherstellung; von Störfällen (einschließlich Unfälle sowie arbeitsbezogene Krankheiten);
bezogener Angaben (einschließlich arbeitsbedingter Exposition sowie Daten über Krankheitsüberwachung) – allerdings unter besonderer Berücksichtigung der Vertraulichkeit in Bezug auf bestimmte Aspekte derartiger Informationen;
cluding physiological and psychological factors) and the principles for assessing them;
ment of occupational health and safety risks (including those arising out of the human factors mentioned above or relating to occupational hygiene) and related strategies for eliminating or minimizing such exposures;
tions and the interaction of humans to machines, processes and the work environment (including workplace, ergonomic and safe design principles, information and communication technologies); of occupational health and safety competence required across an organization and the assessment of that competence;
and involvement;
well-being and self-responsibility (in relation to smoking, drugs, alcohol, weight-related issues, exercise, stress, aggressive behaviour, etc.), both during working hours and in their private lives; tive and reactive performance measures and metrics;
tential emergency situations and for emergency planning, prevention, response and recovery; work-related illnesses) investigation and evaluation;
formation (including work-related exposure and illness monitoring data) – but giving special consideration to the confidentiality over particular aspects of such information;
67
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Verständnis medizinischer Informationen (ein-
understanding of medical information (including
„Arbeitsplatz-Grenz-Werte“;
systems of “occupational exposure limit” val-
Methoden zur Überwachung und Berichterstat-
methods for monitoring and reporting on occu-
Verständnis rechtlicher und sonstiger Anforde-
understanding legal and other requirements
A.8.2 Wissen und Fertigkeiten in Bezug auf die Branche, die auditiert wird
A.8.2 Knowledge and skills related to the sector being audited
Wissen und Fertigkeiten in Bezug auf die Branche, die auditiert wird, sollten ausreichend sein, um den Auditor zu befähigen, das Managementsystem im Kontext der Branche zu prüfen sowie angemessene Auditfeststellungen und -schlussfolgerungen zu generieren.
Knowledge and skills related to the sector being audited should be sufficient to enable the auditor to examine the management system within the context of the sector and generate appropriate audit findings and conclusions.
Beispielliste:
Examples are as follows:
Prozesse, Anlagen, Rohstoffe, Gefahrstoffe,
processes, equipment, raw materials, hazard-
typische Gefahren und Risiken für die Branche,
typical hazards and risks, including health and
ANMERKUNG Für zusätzliche Informationen zum Arbeitssicherheits- und Gesundheitsschutzmanagement siehe verwandte Normen, entwickelt von der OHSAS pro ject group.
NOTE For additional information see related standards developed by the OHSAS project group on occupational health and safety management.
schließlich medizinischer Terminologie, das hinreichend ist, um Daten zu verstehen, die sich auf die Prävention von Verletzungen und Krankheiten beziehen);
tung der Leistungsfähigkeit von Arbeits- und Gesundheitsschutz;
rungen in Bezug auf Arbeitssicherheits- und Gesundheitsschutz, das hinreichend ist, um den Auditor zu befähigen, das Managementsystem zum Arbeitssicherheits- und Gesundheitsschutz zu bewerten.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Prozessabläufe, Instandhaltung, Logistik, Arbeitsablauforganisation, Arbeitsmethoden, Schichtplanung, Unternehmenskultur, Führung, Verhalten und andere Fragen, die für die Tätigkeiten oder Branche spezifisch sind; einschließlich Gesundheits- und menschlicher Faktoren.
68
medical terminology sufficient to understand data related to the prevention of injury and illhealth);
ues;
pational health and safety performance;
relevant to occupational health and safety sufficient to enable the auditor to evaluate the occupational health and safety management system.
ous substances, process cycles, maintenance, logistics, work flow organization, working practices, shift-scheduling, organizational culture, leadership, behaviour, and other issues specific to the operation or sector;
human factors, for the sector.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Anhang B (informativ)
Annex B (informative)
Zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits
Additional guidance for auditors for planning and conducting audits
B.1 Anwenden von Auditmethoden
B.1 Applying audit methods
Ein Audit kann unter Verwendung einer Reihe von Auditmethoden durchgeführt werden. Eine Erläuterung allgemein verwendeter Auditmethoden findet sich in diesem Anhang. Die Auditmethoden, die für ein Audit gewählt werden, hängen von den festgelegten Auditzielen, dem Auditumfang und den Auditkriterien sowie auch der Auditdauer und dem Standort ab. Weiterhin sollten ebenfalls die verfügbare Auditorkompetenz sowie Unsicherheiten, die sich aus der Anwendung der Auditmethoden ergeben können, berücksichtigt werden. Effizienz und Wirksamkeit des Auditprozesses und dessen Ergebnis lassen sich durch die Anwendung vielfältiger Auditmethoden sowie deren Kombination optimieren.
An audit can be performed using a range of audit methods. An explanation of commonly used audit methods can be found in this annex. The audit methods chosen for an audit depend on the defined audit objectives, scope and criteria, as well as duration and location. Available auditor competence and any uncertainty arising from the application of audit methods should also be considered. Applying a variety and combination of different audit methods can optimize the efficiency and effectiveness of the audit process and its outcome.
Die Durchführung eines Audits schließt die Interaktion zwischen den Personen mit dem Managementsystem, das auditiert wird, sowie der Technologie, die zur Durchführung des Audits verwendet wird, mit ein. Tabelle B.1 liefert Beispiele an Auditmethoden, die zur Erreichung der Auditziele entweder einzeln oder in Kombination verwendet werden können. Wenn in ein Audit ein Auditteam bestehend aus mehreren Mitgliedern involviert ist, können sowohl Vor-Ort- als auch Remote-Methoden gleichzeitig verwendet werden.
Performance of an audit involves an interaction among individuals with the management system being audited and the technology used to conduct the audit. Table B.1 provides examples of audit methods that can be used, singly or in combination, in order to achieve the audit objectives. If an audit involves the use of an audit team with multiple members, both on-site and remote methods may be used simultaneously.
ANMERKUNG Zusätzliche Informationen zu Vor-OrtBegehungen finden sich in Anhang B.6.
NOTE Additional information about on-site visits is given in Clause B.6.
69
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Tabelle B.1 — Anwendbare Auditmethoden Umfang der Einbeziehung zwischen dem Auditor und der zu auditierenden Organisation Menschliche Interaktion
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Keine menschliche Interaktion
Standort des Auditors
Vor-Ort
Befragungen durchführen.
Remote
Über interaktive Kommunikationsmittel:
Checklisten und Befragungen Fragebögen ausdurchführen; füllen unter Beteiligung der zu auditierenden Organisation. Dokumentenprü- Checklisten fung durchführen und Frageunter Beteiligung bögen ausfülder zu auditielen; renden Organisation. Stichproben Dokumentennahme. prüfung durchführen unter Beteiligung der zu auditierenden Organisation. Durchführen der DokumentenprüDokumentenprü- fung durchführen fung (z. B. Auf(z. B. Aufzeichzeichnungen, nungen, DatenDatenanalyse). analyse). Beobachtung der Beobachtung der durchgeführten geleisteten Arbeit Arbeit. durch Überwachung bedeutet, Standortbegesoziale und hung durchführechtliche Anforren. derungen zu beChecklisten aus- rücksichtigen. füllen. Stichprobennahme (z. B. Produkte).
Daten analysieren.
Vor-Ort-Audittätigkeiten werden am Standort der zu auditierenden Organisation durchgeführt. Remote Audittätigkeiten werden, ungeachtet der Entfernung, an jedem beliebigen Standort, außer an dem der zu auditierenden Organisation, durchgeführt. Interaktive Audittätigkeiten schließen die Interaktion zwischen dem Personal der zu auditierenden Organisation und dem Auditteam ein. Nicht-interaktive Audittätigkeiten schließen keine menschliche Interaktion zwischen den Personen, die die zu auditierende Organisation vertreten, ein, sondern die Interaktion zwischen der Ausrüstung, den Einrichtungen und der Dokumentation
70
Table B.1 — Applicable audit methods Extent of involvement between the auditor and the auditee Human interaction
Location of the auditor
On-site
Remote
Conducting interviews.
Via interactive communication means:
Completing checklists and questionnaires with auditee participation.
conducting
Conducting document review with auditee participation.
completing
Sampling.
conducting
interviews;
checklists and questionnaires;
document review with auditee participation.
No human interaction
Conducting document review (e.g. records,data analysis). Observation of work performed. Conducting onsite visit. Completing checklists. Sampling (e.g. products).
Conducting document review (e.g. records, data analysis). Observing work performed via surveillance means, considering social and legal requirements.
Analysing data.
On-site audit activities are performed at the location of the auditee. Remote audit activities are performed at any place other than the location of the auditee, regardless of the distance. Interactive audit activities involve interaction between the auditee’s personnel and the audit team. Noninteractive audit activities involve no human interaction with persons representing the auditee but do involve interaction with equipment, facilities and documentation.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
In der Planungsphase bleibt die Verantwortung für die wirksame Anwendung von Auditmethoden auf ein bestimmtes Audit entweder bei der Person, die das Auditprogramm leitet und lenkt, oder bei dem Auditteamleiter. Der Audittteamleiter trägt die Verantwortung zur Durchführung der Audittätigkeiten.
The responsibility of the effective application of audit methods for any given audit in the planning stage remains with either the person managing the audit programme or the audit team leader. The audit team leader has this responsibility for conducting the audit activities.
Die Durchführbarkeit von Remote-Audittätigkeiten kann vom Vertrauensniveau zwischen dem Auditor und dem Personal der zu auditierenden Organisation abhängen.
The feasibility of remote audit activities can depend on the level of confidence between auditor and auditee’s personnel.
Um eine zufriedenstellende Erzielung der Auditprogrammziele zu gewährleisten, sollte auf der Ebene des Auditprogramms sichergestellt werden, dass der Einsatz von Remote-Auditmethoden sowie Vor-Ort-Auditmethoden angemessen und ausgewogen erfolgt.
On the level of the audit programme, it should be ensured that the use of remote and on-site application of audit methods is suitable and balanced, in order to ensure satisfactory achievement of audit programme objectives.
B.2 Durchführen von Dokumentenprüfungen
B.2 Conducting document review
Die Auditoren sollten berücksichtigen, ob:
The auditors should consider if:
die Informationen, die in den Dokumenten be-
the information in the documents provided is:
reitgestellt werden:
vollständig sind (alle erwarteten Inhalte
complete (all expected content is con-
richtig sind (der Inhalt entspricht anderen
correct (the content conforms to other reli-
konsistent sind (das Dokument ist in sich
consistent (the document is consistent in
aktuell sind (der Inhalt ist aktuell);
current (the content is up to date);
sind in dem Dokument enthalten);
zuverlässigen Quellen, wie z. B. Normen und Vorschriften);
sowie mit weiterführenden Dokumenten stimmig);
tained in the document);
able sources such as standards and regulations); itself and with related documents);
die Dokumente, die überprüft werden, den Au-
the documents being reviewed cover the audit
in Abhängigkeit von den Auditmethoden, der
the use of information and communication
ANMERKUNG Die Dokumentenüberprüfung kann einen Hinweis auf die Wirksamkeit der Dokumentenlenkung innerhalb des Managementsystems der zu auditierenden Organisation sein.
NOTE Document review can give an indication of the effectiveness of document control within the auditee’s management system.
ditumfang abdecken und ausreichend Informationen zur Unterstützung der Auditziele bereitstellen können; Einsatz von Informations- und Kommunikationstechnologien eine effiziente Durchführung des Audits fördert. Aufgrund der geltenden Vorschriften über den Schutz von Daten (insbesondere in Bezug auf Informationen, die außerhalb des Auditumfangs liegen, aber auch in dem Dokument enthalten sind) ist besondere Sorgfalt bei der Informationssicherheit erforderlich.
scope and provide sufficient information to support the audit objectives;
technologies, depending on the audit methods, promotes efficient conduct of the audit: specific care is needed for information security due to applicable regulations on protection of data (in particular for information which lies outside the audit scope, but which is also contained in the document).
71
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
B.3 Stichprobennahme
B.3 Sampling
B.3.1 Allgemeines
B.3.1 General
Stichprobennahme bei Audits findet dann statt, wenn es weder praktikabel noch kostengünstig ist, alle verfügbaren Informationen während eines Audits zu prüfen. Z. B. sind Aufzeichnungen zu zahlreich oder geographisch zu weit gestreut, um eine Prüfung jedes einzelnen Elements der Grundgesamtheit zu rechtfertigen. Stichprobennahme beim Audit aus einer großen Grundgesamtheit ist der Prozess der Auswahl von weniger als 100 % der Einheiten innerhalb der insgesamt zur Verfügung stehenden Datenmenge (Grundgesamtheit), um Erkenntnisse über einige Merkmale dieser Grundgesamtheit zu erhalten und zu bewerten, um eine Schlussfolgerung hinsichtlich der Grundgesamtheit ziehen zu können.
Audit sampling takes place when it is not practical or cost effective to examine all available information during an audit, e.g. records are too numerous or too dispersed geographically to justify the examination of every item in the population. Audit sampling of a large population is the process of selecting less than 100 % of the items within the total available data set (population) to obtain and evaluate evidence about some characteristic of that population, in order to form a conclusion concerning the population.
Das Ziel der Probenahme beim Audit ist es, dem Auditor Informationen bereitzustellen, dass dieser Vertrauen darin haben kann, dass die Auditziele erreicht werden können oder erreicht werden.
The objective of audit sampling is to provide information for the auditor to have confidence that the audit objectives can or will be achieved.
Das Risiko, das mit der Stichprobennahme verbunden ist, besteht darin, dass die Proben nicht repräsentativ für die Grundgesamtheit, aus der sie gewählt wurden, sein mögen. Und somit mag die Schlussfolgerung des Auditors verfälscht sein und sich von der unterscheiden, die gezogen worden wäre, wenn die gesamte Grundgesamtheit geprüft worden wäre. In Abhängigkeit von der Variabilität innerhalb der Grundgesamtheit, aus der Proben zu entnehmen sind, sowie der gewählten Methode mag es andere Risiken.
The risk associated with sampling is that the samples may be not representative of the population from which they are selected, and thus the auditor’s conclusion may be biased and be different to that which would be reached if the whole population was examined. There may be other risks depending on the variability within the population to be sampled and the method chosen.
Die Stichprobennahme beim Audit umfasst typischerweise folgende Schritte:
Audit sampling typically involves the following steps:
festlegen der Ziele des Stichprobennahme-
establishing the objectives of the sampling
Auswählen des Umfangs sowie der Zusam-
selecting the extent and composition of the
Auswählen einer Methode zur Stichproben-
selecting a sampling method;
Bestimmen der Größe der zu entnehmenden
determining the sample size to be taken;
Durchführen der Probenahmetätigkeit;
conducting the sampling activity;
Zusammenstellen, Bewerten, Berichten und
compiling, evaluating, reporting and document-
Plans;
mensetzung der Grundgesamtheit, aus der Proben zu entnehmen sind; nahme;
Stichprobe;
Dokumentieren der Ergebnisse.
72
plan;
population to be sampled;
ing results.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
Bei der Stichprobennahme sollte die Qualität der verfügbaren Daten berücksichtigt werden, da unzureichende und ungenaue Daten bei den Probenahmen kein brauchbares Ergebnis liefern. Die Auswahl einer geeigneten Probe sollte sich sowohl auf das Probenahmeverfahren als auch auf die Art der geforderten Daten stützen, z. B. um ein bestimmtes Verhaltensmuster abzuleiten oder Schlüsse über eine Grundgesamtheit zu ziehen.
When sampling, consideration should be given to the quality of the available data, as sampling insufficient and inaccurate data will not provide a useful result. The selection of an appropriate sample should be based on both the sampling method and the type of data required, e.g. to infer a particular behaviour pattern or draw inferences across a population.
Die Berichterstattung über ausgewählte Stichproben könnte die Probengröße, das Auswahlverfahren und Schätzungen berücksichtigen, die auf der Stichprobe und dem Vertrauensniveau basieren.
Reporting on the sample selected could take into account the sample size, selection method and estimates made based on the sample and the confidence level.
Bei Audits kann entweder die wertende Stichprobennahme (siehe B.5.2) oder die statistische Stichprobennahme (siehe B.5.3) angewandt werden.
Audits can use either judgement-based sampling (see B.5.2) or statistical sampling (see B.5.3).
B.3.2 Entscheidungsbasierte Stichprobennahme
B.3.2 Judgement-based sampling
Entscheidungsbasierte Stichprobennahme stützt sich auf Wissen, Fertigkeiten und Erfahrungen des Auditteams (siehe Abschnitt 7).
Judgement-based sampling relies on the knowledge, skills and experience of the audit team (see Clause 7).
Bei der entscheidungsbasierten Stichprobennahme kann Folgendes berücksichtigt werden:
For judgement-based sampling, the following can be considered:
frühere Auditerfahrungen im Rahmen des
previous audit experience within the audit
Komplexität der Anforderungen (einschließlich
complexity of requirements (including legal
Komplexität und Wechselwirkung der Prozesse
complexity and interaction of the organization’s
Grad der Veränderung in Bezug auf die Tech-
degree of change in technology, human factor
zuvor ermittelte Schlüsselbereiche für Risikos
previously identified key risk areas and areas
Ergebnisse aus der Überwachung von Mana-
output
Ein Nachteil der entscheidungsbasierten Stichprobennahme ist, dass es keine statistische Schätzung über die Wirkung der Unsicherheit in Bezug auf die Feststellungen im Audit und auf die erreichten Schlussfolgerungen geben kann.
A drawback to judgement-based sampling is that there can be no statistical estimate of the effect of uncertainty in the findings of the audit and the conclusions reached.
Auditumfangs;
rechtlicher Anforderungen), um die Ziele des Audits zu erreichen;
der Organisation sowie der Elemente des Managementsystems;
nologie, den menschlichen Faktor oder das Managementsystem; sowie verbesserungswürdige Bereiche; gementsystemen.
scope;
requirements) to achieve the objectives of the audit; processes and management system elements;
or management system;
of improvement; from
monitoring
of
management
systems.
73
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
B.3.3 Statistische Stichprobennahme
B.3.3 Statistical sampling
Wenn die Entscheidung getroffen wird, statistische Methoden zur Stichprobennahme zu verwenden, dann sollte sich der Probenahmeplan auf die Auditziele stützen und darauf, was über die Merkmale der Grundgesamtheit, aus der die Stichproben zu entnehmen sind, bekannt ist.
If the decision is made to use statistical sampling, the sampling plan should be based on the audit ob jectives and what is known about the characteristics of overall population from which the samples are to be taken.
Statistische Verfahren zur Stichprobennahme
Statistical sampling design uses a sample se-
Der Plan zur Stichprobennahme sollte berück-
The sampling plan should take into account
Die wichtigsten Elemente, die einen Einfluss
The key elements that will affect the audit
verwenden ein Probe-Auswahlverfahren, das auf der Wahrscheinlichkeitstheorie beruht. Stichprobennahme, basierend auf Eigenschaften, wird verwendet, wenn es nur zwei mögliche Ergebnisse für jede Probe gibt (z. B. richtig/falsch oder bestanden/nicht bestanden). Stichprobennahme, basierend auf Variablen, wird verwendet, wenn die Ergebnisse aus der Stichprobe in einem kontinuierlichen Bereich auftreten.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
sichtigen, ob sich die Ergebnisse, die geprüft werden, wahrscheinlich auf Eigenschaften oder auf Variablen stützen. Zum Beispiel könnte zur Bewertung der Konformität ausgefüllter Formblätter mit den in einem Verfahren festgelegten Anforderungen ein Ansatz verwendet werden, der sich auf Eigenschaften stützt. Bei der Prüfung des Auftretens von Störungen bei der Lebensmittelsicherheit oder der Anzahl der Sicherheitsverstöße würde ein Ansatz, basierend auf Variablen, besser geeignet sein.
auf den Plan zur Stichprobennahme beim Audit haben, sind:
whether the outcomes being examined are likely to be attribute-based or variable-based. For example, when evaluating conformance of completed forms to the requirements set out in a procedure, an attribute-based approach could be used. When examining the occurrence of food safety incidents or the number of security breaches, a variable-based approach would likely be more appropriate.
sampling plan are:
die Größe der Organisation;
the size of the organization;
die Anzahl der qualifizierten Auditoren;
the number of competent auditors;
die Häufigkeit der jährlichen Audits;
the frequency of audits during the year;
der Zeitpunkt des einzelnen Audits;
the time of individual audit;
extern gefordertes Vertrauensniveau.
any externally required confidence level.
Bei der Entwicklung eines Plans zur statisti-
schen Stichprobennahme ist der Grad des Probenahmerisikos, das der Auditor bereit ist zu akzeptieren, ein wichtiger Gesichtspunkt. Dies wird häufig als annehmbares Vertrauensniveau bezeichnet. Zum Beispiel entspricht ein Probenahmerisiko von 5 % einem annehmbaren Vertrauensniveau (statistischer Sicherheit) von 95 %. Ein Probenahmerisiko von 5 %
74
lection process based on probability theory. Attribute-based sampling is used when there are only two possible sample outcomes for each sample (e.g. correct/incorrect or pass/fail). Variable-based sampling is used when the sample outcomes occur in a continuous range.
When a statistical sampling plan is developed,
the level of sampling risk that the auditor is willing to accept is an important consideration. This is often referred to as the acceptable confidence level. For example, a sampling risk of 5 % corresponds to an acceptable confidence level of 95 %. A sampling risk of 5 % means the auditor is willing to accept the risk that 5 out of 100 (or 1 in 20) of the
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
bedeutet, dass der Auditor bereit ist, das Risiko, dass 5 von 100 (oder 1 in 20) der geprüften Proben nicht die tatsächlichen Werte widerspiegelt, die sich ergeben würden, wenn die Grundgesamtheit geprüft worden wäre.
samples examined will not reflect the actual values that would be seen if the entire population was examined.
Wenn die statistische Stichprobennahme ver-
When statistical sampling is used, auditors
B.4 Erstellung von Arbeitsunterlagen
B.4 Preparing work documents
Bei der Erstellung der Arbeitsunterlagen sollte das Auditteam für jede Unterlage die folgenden Fragen berücksichtigen:
When preparing work documents, the audit team should consider the questions below for each document.
a)
Welche Auditaufzeichnung wird durch Verwendung dieser Arbeitsunterlage erzeugt?
a)
Which audit record will be created by using this work document?
b)
Welche Audittätigkeit ist durch diese bestimmte Arbeitsunterlage betroffen?
b)
Which audit activity is linked to this particular work document?
c)
Wer wird der Nutzer dieser Arbeitsunterlage sein?
c)
Who will be the user of this work document?
d)
Welche Informationen werden benötigt, um diese Arbeitsunterlage zu erstellen?
d)
What information is needed to prepare this work document?
wendet wird, sollten die Auditoren die durchgeführten Arbeiten entsprechend dokumentieren. Dies sollte einschließen: eine Beschreibung der Grundgesamtheit, die dazu bestimmt war, als Stichprobe entnommen zu werden, die Probenahmekriterien, die für die Bewertung verwendet wurden (z. B. was eine annehmbare Stichprobe ist), die statistischen Parameter und Methoden, die verwendet wurden, die Anzahl der bewerteten Stichproben sowie die erzielten Ergebnisse.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
should appropriately document the work performed. This should include a description of the population that was intended to be sampled, the sampling criteria used for the evaluation (e.g. what is an acceptable sample), the statistical parameters and methods that were utilized, the number of samples evaluated and the results obtained.
Bei kombinierten Audits sollten die Arbeitsunterlagen erarbeitet werden, um doppelte Audittätigkeit zu vermeiden durch:
For combined audits, work documents should be developed to avoid duplication of audit activities by:
Bündelung ähnlicher Anforderungen aus unter-
clustering of similar requirements from different
Koordinierung des Inhalts aus dazugehörigen
coordinating the content of related checklists
Die Arbeitsunterlagen sollten angemessen sein, um alle Elemente eines Managementsystems innerhalb des Auditumfangs anzusprechen, und sie können in allen Medien bereitgestellt werden.
The work documents should be adequate to address all those elements of the management system within the audit scope and may be provided in any media.
schiedlichen Kriterien;
Checklisten und Fragebögen.
criteria;
and questionnaires.
75
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
B.5 Auswählen von Informationsquellen
B.5 Selecting sources of information
Die ausgewählten Informationsquellen können entsprechend dem Umfang und der Komplexität des Audits variieren und Folgendes einschließen:
The sources of information selected may vary according to the scope and complexity of the audit and may include the following:
Befragungen von Beschäftigten und anderen
interviews with employees and other persons;
Beobachtungen von Tätigkeiten sowie der Ar-
observations of activities and the surrounding
Dokumente, wie z. B. Regelungen, Zielsetzun-
documents, such as policies, objectives, plans,
Aufzeichnungen, wie z. B. Prüfaufzeichnungen,
records, such as inspection records, minutes of
Zusammenfassungen von Daten, Analysen
data summaries, analyses and performance
Informationen über Pläne zur Stichproben-
information on the auditee’s sampling plans
Berichte aus anderen Quellen, z. B. Kunden-
reports from other sources, e.g. customer
Datenbanken und Webseiten;
databases and websites;
Simulationen und Modelle.
simulation and modelling.
B.6 Anleitung zur Begehung des Standortes der zu auditierenden Organisation
B.6 Guidance on visiting the auditee’s location
Um Beeinträchtigungen zwischen den Audittätigkeiten und den Arbeitsprozessen der zu auditierenden Organisation gering zu halten und um die Gesundheit und Sicherheit des Auditteams während einer Begehung zu gewährleisten, sollten folgende Punkte beachtet werden:
To minimize interference between audit activities and the auditee’s work processes and to ensure the health and safety of the audit team during a visit, the following should be considered:
a)
a)
Personen;
beitsumgebung und der Arbeitsbedingungen;
gen, Pläne, Verfahren, Normen, Anweisungen, Lizenzen und Genehmigungen, Spezifikationen, Zeichnungen, Verträge und Aufträge; Besprechungsprotokolle, Auditberichte, Aufzeichnungen von Überwachungsprogrammen und die Ergebnisse aus Messungen; und Leistungsindikatoren;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
nahme bei der zu auditierenden Organisation sowie über Verfahren zur Kontrolle der Stichprobennahme und der Messprozesse;
Feedback, externe Umfragen und Messungen, sonstige zutreffende Informationen von außenstehenden Parteien sowie Lieferantenbewertungen;
Planen der Begehung:
procedures, standards, instructions, licenses and permits, specifications, drawings, contracts and orders;
meetings, audit reports, records of monitoring programme and the results of measurements;
indicators;
and on the procedures for the control of sampling and measurement processes;
feedback, external surveys and measurements, other relevant information from external parties and supplier ratings;
planning the visit:
Genehmigung und Zugang zu jenen Teilen
ensure permission and access to those
den Auditoren ausreichende Informationen
provide adequate information (e.g. brief-
des Standortes der zu auditierenden Organisation sicherstellen, die entsprechend dem Auditumfang zu begehen sind;
(z. B. Einweisungen) für die Standortbe-
76
work environment and conditions;
parts of the auditee’s location, to be visited in accordance with the audit scope;
ing) to auditors on security, health (e.g.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
gehung zur Verfügung stellen über Schutz, Gesundheit (z. B. Quarantäne), Arbeitsschutz und sicherheitsrelevante Fragen sowie zu kulturellen Standards, einschließlich geforderte Impfungen und empfohlene Aufklärungen, falls zutreffend;
quarantine), occupational health and safety matters and cultural norms for the visit including requested and recommended vaccination and clearances, if applicable;
der zu auditierenden Organisation bestäti-
confirm with the auditee that any required
gen, dass, falls zutreffend, dem Auditteam jegliche geforderte persönliche Schutzausrüstung (PSA) zur Verfügung gestellt wird;
personal protective equipment (PPE) will be available for the audit team, if applicable;
außer
bei außerplanmäßigen Adhoc Audits, sicherstellen, dass das Personal, bei dem die Begehung durchgeführt wird, über Auditziele und -umfang informiert wird;
b) Vor-Ort-Tätigkeiten:
unnötige Störungen der betrieblichen Prozesse vermeiden;
sicherstellen, dass das Auditteam die PSA richtig verwendet;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
except for unscheduled ad hoc audits, ensure that personnel being visited will be informed about the audit objectives and scope; b)
on-site activities:
avoid any unnecessary disturbance of the operational processes;
ensure that the audit team is using PPE properly;
sicherstellen, dass über Notfallmaßnahmen
ensure emergency procedures are com-
informiert wird (z. B. Notausgänge, Sammelplätze);
municated (e.g. emergency exits, assembly points);
Kommunikation zeitlich planen, um Stö-
schedule communication to minimize dis-
rungen gering zu halten;
ruption;
die Größe des Auditteams und die Anzahl
adapt size of the audit team and the num-
der Betreuer und Beobachter entsprechend dem Auditumfang anpassen, um Störungen der betrieblichen Abläufe soweit wie möglich zu vermeiden;
ber of guides and observers in accordance with the audit scope, in order to avoid interference with the operational processes as far as practicable;
Ausrüstungen nicht berühren oder mani-
do not touch or manipulate any equipment,
pulieren, soweit nicht ausdrücklich gestattet, selbst dann nicht, wenn die Kompetenz oder Genehmigung dafür vorhanden sind;
unless explicitly permitted, even when competent or licensed;
wenn während der Vor-Ort-Begehung ein
if an incident occurs during the on-site visit,
Störfall auftritt, sollte der Auditteamleiter die Situation zusammen mit der zu auditierenden Organisation und, falls erforderlich, mit dem Auditauftraggeber überprüfen und Einigung darüber erzielen, ob das Audit unterbrochen, verschoben oder fortgesetzt werden sollte;
the audit team leader should review the situation with the auditee and, if necessary, with the audit client and reach agreement on whether the audit should be interrupted, rescheduled or continued;
wenn Fotos oder Videos gemacht werden,
if taking photographs or video material, ask
ist das Management im Voraus um Genehmigung zu bitten und Sicherheits- und Vertraulichkeitsfragen sind zu berücksichtigen; es ist ferner zu vermeiden, dass einzelne Personen ohne deren Erlaubnis fotografiert werden;
for authorization from management in advance and consider security and confidentiality matters and avoid taking photographs of individual persons without their permission;
77
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
wenn von Dokumenten jeglicher Art Ko-
if taking copies of documents of any kind,
pien angefertigt werden, ist im Voraus um Genehmigung zu bitten und Vertraulichkeits- sowie Sicherheitsfragen sind zu berücksichtigen;
ask for permission in advance and consider confidentiality and security matters;
wenn Notizen gemacht werden, ist es zu
when taking notes, avoid collecting per-
vermeiden, persönliche Informationen zu sammeln, es sei denn, dies wird durch die Auditziele oder die Auditkriterien gefordert.
sonal information unless required by the audit objectives or audit criteria.
B.7 Durchführen von Befragungen
B.7 Conducting interviews
Befragungen sind eines der wichtigen Mittel, um Informationen zu sammeln; sie sollten so durchgeführt werden, dass sie der Situation sowie der befragten Person angepasst sind, entweder von Angesicht zu Angesicht oder mit Hilfe von Kommunikationsmitteln. Allerdings sollte der Auditor folgende Punkte berücksichtigen:
Interviews are one of the important means of collecting information and should be carried out in a manner adapted to the situation and the person interviewed, either face to face or via other means of communication. However, the auditor should consider the following:
Befragungen sollten mit Personen aus ent-
interviews should be held with persons from
sprechenden Ebenen und Funktionsbereichen, die Tätigkeiten oder Aufgaben innerhalb des Auditumfangs ausführen, durchgeführt werden;
appropriate levels and functions performing activities or tasks within the audit scope;
Befragungen sollten in der Regel während der
interviews should normally be conducted dur-
normalen Arbeitszeit und, soweit möglich, an dem üblichen Arbeitsplatz der Person erfolgen, die befragt wird;
ing normal working hours and, where practical, at the normal workplace of the person being interviewed;
es sollte versucht werden, der Person, die be-
attempt to put the person being interviewed at
fragt wird, vor und während der Befragung die Befangenheit zu nehmen;
der Grund für die Befragung sowie für alle Notizen, die gemacht werden, sollte erläutert werden;
Befragungen können eingeleitet werden, indem die Personen gebeten werden, ihre Arbeit zu beschreiben;
die Art der Frage sollte sorgfältig ausgewählt werden (z. B. offene Fragen, geschlossene Fragen, Suggestivfragen);
ease prior to and during the interview;
the reason for the interview and any note taking should be explained;
interviews may be initiated by asking the persons to describe their work;
careful selection of the type of question used (e.g. open, closed, leading questions);
die Ergebnisse aus der Befragung sollten zu-
the results from the interview should be sum-
sammengefasst und mit der befragten Person geprüft werden;
marized and reviewed with the interviewed person;
den befragten Personen sollte für ihre Teil-
the interviewed persons should be thanked for
nahme und Zusammenarbeit gedankt werden.
78
their participation and cooperation.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
B.8 Auditfeststellungen
B.8 Audit findings
B.8.1 Ermitteln von Auditfeststellungen
B.8.1 Determining audit findings
Bei der Ermittlung von Auditfeststellungen sollten folgende Punkte berücksichtigt werden:
When determining audit findings, the following should be considered:
Folgemaßnahmen aus früheren Auditaufzeich-
follow-up of previous audit records and conclu-
Anforderungen des Auditauftraggebers;
requirements of audit client;
Feststellungen, die über die übliche Praxis hi-
findings exceeding normal practice, or oppor-
Stichprobengröße;
sample size;
(falls zutreffend) Kategorisierung der Auditfest-
categorization (if any) of the audit findings;
B.8.2 Aufzeichnen von Konformitäten
B.8.2 Recording conformities
Bei Aufzeichnungen von Konformitäten sollten folgende Punkte berücksichtigt werden:
For records of conformity, the following should be considered:
Identifizierung der Anforderungen bzw. Audit-
identification of the audit criteria against which
Auditnachweis, um die Konformität zu unter-
audit evidence to support conformity;
Konformitätserklärung, falls zutreffend.
declaration of conformity, if applicable.
B.8.3 Aufzeichnen von Nichtkonformitäten
B.8.3 Recording nonconformities
Bei Aufzeichnungen von Nichtkonformitäten sollten folgende Punkte berücksichtigt werden:
For records of nonconformity, the following should be considered:
Beschreibung von oder Verweis auf Auditkrite-
description of or reference to audit criteria;
Erklärung zur Nichtkonformität;
nonconformity declaration;
Auditnachweis;
audit evidence;
dazugehörige Auditfeststellungen, falls zutref-
related audit findings, if applicable.
B.8.4 Umgang mit Feststellungen, die sich auf mehrere Kriterien beziehen
B.8.4 Dealing with findings related to multiple criteria
Während eines Audits ist es möglich, Feststellungen, die sich auf mehrere Kriterien beziehen, zu identifizieren. Wenn ein Auditor eine Feststellung identifiziert, die an ein Kriterium in einem kombinierten Audit geknüpft ist, so sollte der Auditor die möglichen Auswirkungen auf die entsprechenden oder ähnlichen Kriterien der anderen Managementsysteme berücksichtigen.
During an audit, it is possible to identify findings related to multiple criteria. Where an auditor identifies a finding linked to one criterion on a combined audit, the auditor should consider the possible impact on the corresponding or similar criteria of the other management systems.
nungen und -schlussfolgerungen;
nausgehen, oder Verbesserungsmöglichkeiten;
stellungen;
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
kriterien, nach denen Konformität nachgewiesen wird; mauern;
rien;
fend.
sions;
tunities for improvement;
conformity is shown;
79
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
In Abhängigkeit von den Vereinbarungen mit dem Auditauftraggeber, kann der Auditor:
Depending on the arrangements with the audit client, the auditor may raise either:
entweder getrennte Feststellungen für jedes
separate findings for each criterion; or
eine einzige Feststellung, unter Zusammenfas-
a single finding, combining the references to
In Abhängigkeit von den Vereinbarungen mit dem Auditauftraggeber, kann der Auditor die zu auditierende Organisation darüber anleiten, wie auf diese Feststellungen zu reagieren ist.
Depending on the arrangements with the audit client, the auditor may guide the auditee on how to respond to those findings.
Kriterium; oder
sung der Verweise auf mehrere Kriterien, erheben.
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
80
multiple criteria.
DIN EN ISO 19011:2011-12 EN ISO 19011:2011 (D/E)
Literaturhinweise
[1]
ISO 2859-4, Sampling procedures for inspec-
Bibliography
[1]
tion by attributes — Part 4: Procedures for assessment of declared quality levels
tion by attributes — Part 4: Procedures for assessment of declared quality levels
[2]
ISO 9000:2005, Quality management sys-
[2]
ISO 9001, Quality management systems —
[3]
ISO 14001, Environmental management sys-
[4]
ISO 14050, Environmental management —
[5]
ISO 14050, Environmental management — Vocabulary
Vocabulary
9 3 : 5 1 3 2 1 1 1 1 0 2 1 0 0 1 5 1 6 4 5 5 . r N f L 9 1 9 8 3 8 1 . r N d K n o v g n u r e i z i f i t r e Z r u z t f a h c s l l e s e G e h c s t u e D H b m G S Q D h t u e B d a o l n w o D n e m r o N
ISO 14001, Environmental management systems — Requirements with guidance for use
tems — Requirements with guidance for use
[5]
ISO 9001, Quality management systems — Requirements
Requirements
[4]
ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
tems — Fundamentals and vocabulary
[3]
ISO 2859-4, Sampling procedures for inspec-
[6]
ISO/IEC 17021:2011,
Conformity assessment — Requirements for bodies providing audit and certification of management systems
[6]
ISO/IEC 17021:2011,
[7]
ISO/IEC 20000-1, Information technology —
[7]
ISO/IEC 20000-1, Information technology — Service management — Part 1: Service management system requirements
Service management — Part 1: Service management system requirements
[8]
ISO 22000, Food safety management sys-
[8]
ISO/IEC 27000, Information technology —
[9]
ISO/IEC 27001, Information technology —
[10]
ISO/IEC 27002, Information technology —
[11]
ISO/IEC 27003, Information technology —
[12]
ISO/IEC 27004, Information technology —
[13]
ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement
[14]
ISO/IEC 27005, Information technology —
Security techniques — Information security management — Measurement
[14]
ISO/IEC 27005, Information technology — Security techniques — Information security risk management
ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance
Security techniques — Information security management system implementation guidance
[13]
ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security management
Security techniques — Code of practice for information security management
[12]
ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements
Security techniques — Information security management systems — Requirements
[11]
ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
Security techniques — Information security management systems — Overview and vocabulary
[10]
ISO 22000, Food safety management systems — Requirements for any organization in the food chain
tems — Requirements for any organization in the food chain
[9]
Conformity assessment — Requirements for bodies providing audit and certification of management systems
Security techniques — Information security risk management
81
