2 KiB
2 KiB
Internes Audit
Dokumenttyp: Verfahren (Pflicht ISO 9001/27001 Kap. 9.2)
1. Zweck
Das interne Audit prüft regelmässig, ob das IMS den Normanforderungen (ISO 9001, ISO 27001) und den eigenen Vorgaben entspricht und wirksam umgesetzt ist.
2. Unabhängigkeit
Auditoren dürfen ihre eigene Arbeit nicht prüfen. Aufgrund der Teamgrösse wird das interne Audit an eine externe, unabhängige Person/Stelle vergeben. Die Auswahl wird dokumentiert.
3. Auditprogramm
| Element | Vorgabe |
|---|---|
| Turnus | Mindestens 1x jährlich, gesamtes IMS über max. 1 Zyklus |
| Umfang | Kap. 4-10 beider Normen + Annex-A-Controls (risikoorientiert priorisiert) |
| Erstes Audit | 2026 Q3 (Voraussetzung für Audit-Reife) |
| Kriterien | Normtext, IMS-Dokumente, SoA, gesetzliche/vertragliche Anforderungen |
4. Ablauf
flowchart LR
plan["Auditplan (Umfang, Termin, Kriterien)"] --> exec["Durchführung (Interviews, Nachweise, Stichproben)"]
exec --> report["Auditbericht (Feststellungen, Abweichungen)"]
report --> capa["Korrekturmassnahmen ins Massnahmenregister"]
capa --> followup["Nachverfolgung & Wirksamkeitsprüfung"]
5. Feststellungsklassen
| Klasse | Bedeutung | Folge |
|---|---|---|
| Hauptabweichung (major) | Norm-/Systemanforderung nicht erfüllt | sofortige Korrekturmassnahme |
| Nebenabweichung (minor) | punktuelle Schwäche | terminierte Korrekturmassnahme |
| Hinweis / Verbesserungspotenzial | Empfehlung | KVP-Prüfung |
6. Nachweise / Records
Auditplan, Auditbericht und Massnahmen werden als Records abgelegt; Abweichungen werden im Massnahmenregister (Quelle: Audit) geführt. Ergebnisse sind Input für das Management-Review.