1 · Scoping & Auditplan
Wir legen Umfang, Kriterien und Ziele fest: welche Systeme, welche Norm (ISO/IEC 42001, 27001 oder Ihre eigenen Vorgaben), welche Rolle und vereinbaren den Auditplan.
Methodik · ISO 19011
Wie ich auditiere
Ein gutes Audit sucht keine Fehler, es liefert ein strukturiertes, faktengestütztes Bild, ob Ihr System wirklich funktioniert. Meine Methodik folgt ISO 19011 und ist hier offen dokumentiert, damit Sie (und Ihr Einkauf) genau sehen, wie ich arbeite und die Wahl eines unabhängigen Auditors begründen können.
Die fünf Phasen
2 · Vorbereitung
Ich sichte Ihre Dokumente vorab und erstelle einen risikobasierten Stichprobenplan, damit die Zeit vor Ort dorthin geht, wo das Risiko liegt, nicht dorthin, wo es bequem ist.
3 · Vor Ort / Remote
Eröffnungsgespräch, Betriebsbegehung (in der Fertigung: Wareneingang → Produktion → QS → Versand), Interviews und Nachweissammlung. Dokumentenprüfung und Interviews laufen verlässlich remote; physische Prozesse werden vor Ort gesehen.
4 · Bewertung & Feststellungen
Schlüsse ziehe ich nur aus Nachweisen, auf einer risikobasierten Stichprobe. Jede Feststellung wird nach Schweregrad eingeordnet (siehe unten), faktengestützt, nie aus dem Bauch.
5 · Bericht & Follow-up
Ein klarer, nachvollziehbarer Auditbericht mit Feststellungen und empfohlenen Maßnahmen, danach die Prüfung, ob die Korrekturmaßnahmen wirklich gewirkt haben. Erst das Follow-up macht aus einem Audit ein Ergebnis.
Wie Feststellungen eingeordnet werden
Jede Feststellung wird nach Schweregrad bewertet und auf Nachweise gestützt, transparent und nachvollziehbar.
| Schweregrad | Was es bedeutet | Beispiel & Folge |
|---|---|---|
| Hauptabweichung | Eine Anforderung ist systematisch nicht erfüllt oder ein ganzes Element fehlt. | Beispiel: Es gibt gar keine dokumentierte KI-Risikobeurteilung. Blockiert die Zertifizierung, bis behoben. |
| Nebenabweichung | Eine Anforderung ist im Einzelfall nicht erfüllt; das System funktioniert grundsätzlich. | Beispiel: Die KI-Politik ist freigegeben, aber zwei Wochen über der jährlichen Review-Frist. Korrekturmaßnahme mit Frist. |
| Verbesserungspotenzial | Konform, aber es geht besser. | Beispiel: Schulungsnachweise liegen vor, ließen sich aber zentraler ablegen. Eine Empfehlung, keine Pflicht. |
Die Prinzipien, nach denen ich auditiere
ISO 19011 nennt die Prinzipien, die jeden Auditor leiten. Sie sind keine Deko, sie sind der Grund, warum man einem Auditergebnis vertrauen kann.
- Integrität & faire Darstellung
- Berufliche Sorgfalt
- Vertraulichkeit
- Unabhängigkeit & Unparteilichkeit
- Faktengestützter Ansatz
- Risikobasierter Ansatz
Warum Stichprobe? Ein Audit kann nie alles prüfen. Es arbeitet mit einer risikobasierten Stichprobe, das ist anerkannte Methodik (ISO 19011), keine Abkürzung. Ich setze die Stichprobe dort, wo das Risiko für Menschen, Sicherheit oder Compliance am größten ist.
Diese Gründlichkeit für Ihr Audit?
Ob Lieferantenaudit, internes Audit oder Zertifizierungsreife, Umfang und Methodik legen wir vorab schriftlich fest.