Sie sind auf Seite 1von 99

DEUTSCHE

NORM Oktober 2018

DIN EN ISO 19011


D
ICS 03.100.70; 03.120.20 Ersatz für
DIN EN ISO 19011:2011-12 und
DIN EN ISO 19011
Berichtigung 1:2013-05

Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2018);


Deutsche und Englische Fassung EN ISO 19011:2018
Guidelines for auditing management systems (ISO 19011:2018);
German and English version EN ISO 19011:2018
Lignes directrices pour l’audit des systèmes de management (ISO 19011:2018);
Version allemande et anglaise EN ISO 19011:2018


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Gesamtumfang 99 Seiten

DIN-Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ)


DIN-Normenausschuss Grundlagen des Umweltschutzes (NAGUS)
DIN-Normenausschuss Informationstechnik und Anwendungen (NIA)
DIN-Normenausschuss Lebensmittel und landwirtschaftliche Produkte (NAL)

© DIN Deutsches Institut für Normung e. V. · Jede Art der Vervielfältigung, auch auszugsweise, Preisgruppe 31
nur mit Genehmigung des DIN Deutsches Institut für Normung e. V., Berlin, gestattet.
Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 Berlin
www.din.de
www.beuth.de
!%w#|"
2840089
DIN EN ISO 19011:2018-10

Nationales Vorwort
Dieses Dokument (EN ISO 19011:2018) wurde vom Projektkomitee ISO/PC 302 „Guidelines for auditing
management systems“ in Zusammenarbeit mit CCMC erarbeitet.

Das zuständige deutsche Normungsgremium ist der NA 147-00-07 GA „Gemeinschaftsarbeitsausschuss


NQSZ/NAGUS/NIA/NAL: Audits“ im DIN-Normenausschuss Qualitätsmanagement, Statistik und Zertifizie-
rungsgrundlagen (NQSZ).

Hinweis zur Übersetzung:

— „nonconformity“ kann im Deutschen auf verschiedene Weise übersetzt werden. Dabei ist
„Nichtkonformität“ als die bevorzugte Benennung zu verwenden, „Fehler“ als zulässige Benennung.

Für die in diesem Dokument zitierten internationalen Dokumente wird im Folgenden auf die entspre-
chenden deutschen Dokumente hingewiesen:

ISO 9000:2015 siehe DIN EN ISO 9000:2015-11


ISO 9001 siehe DIN EN ISO 9001
ISO/IEC 17021-1 siehe DIN EN ISO/IEC 17021-1

Änderungen

Gegenüber DIN EN ISO 19011:2011-12 und DIN EN ISO 19011 Berichtigung 1:2013-05, wurden folgende
Änderungen vorgenommen:

a) Ergänzung der Grundsätze von Audits um den risikobasierten Ansatz;

b) Erweiterung der Anleitung zur Verwaltung von Auditprogrammen, einschließlich der Risiken durch
Auditprogramme;

c) Erweiterung der Anleitung zur Durchführung eines Audits, insbesondere des Teils zur Auditplanung;

d) Erweiterung der Anforderungen an allgemeine Kompetenzen von Auditoren;


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

e) Anpassung der Terminologie, um den Prozess und nicht den Gegenstand (die „Sache“) wiederzugeben;

f) Überarbeitung der Anforderungen zu Auditplänen;

g) Streichung des vormaligen Anhangs A, der Kompetenzanforderungen für Audit-spezifische


Managementsystemdisziplinen enthielt, da es aufgrund der Vielzahl der einzelnen Management-
system-Normen nicht praxisgerecht wäre, Kompetenzanforderungen für alle Disziplinen aufzunehmen;

h) Erweiterung des vormaligen Anhangs B (neuer Anhang A) um eine Anleitung zum Audit von (neuen)
Konzepten, wie Organisationskontext, Führung und Verpflichtung, virtuellen Audits, Compliance und
Lieferkette;

i) Anpassung von Abschnitt 3 „Begriffe“ an DIN EN ISO 9000:2015-11 und Ergänzung von weiteren
Begriffen;

j) Norm redaktionell überarbeitet.

2
DIN EN ISO 19011:2018-10

Frühere Ausgaben

DIN ISO 10011-1: 1992-06


DIN ISO 10011-2: 1992-06
DIN ISO 10011-3: 1992-06
DIN EN ISO 14010: 1996-11
DIN EN ISO 14011: 1996-11
DIN EN ISO 14012: 1996-11
DIN EN ISO 19011: 2002-12, 2011-12
DIN EN ISO 19011 Berichtigung 1: 2013-05
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

3
DIN EN ISO 19011:2018-10

Nationaler Anhang NA
(informativ)

Literaturhinweise

DIN EN ISO 9000:2015-11, Qualitätsmanagementsysteme — Grundlagen und Begriffe (ISO 9000:2015);


Deutsche und Englische Fassung EN ISO 9000:2015

DIN EN ISO 9001, Qualitätsmanagementsysteme — Anforderungen

DIN EN ISO/IEC 17021-1, Konformitätsbewertung — Anforderungen an Stellen, die Managementsysteme


auditieren und zertifizieren — Teil 1: Anforderungen
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

4
EUROPÄISCHE NORM EN ISO 19011
EUROPEAN STANDARD
NORME EUROPÉENNE Juli/July 2018

ICS 03.100.70; 03.120.20 Ersatz für/Supersedes EN ISO 19011:2011

Deutsche und Englische Fassung / German and English version

Leitfaden zur Auditierung von Managementsystemen


(ISO 19011:2018)

Guidelines for auditing management systems Lignes directrices pour l’audit des systèmes de management
(ISO 19011:2018) (ISO 19011:2018)

Diese Europäische Norm wurde vom CEN am 18. Juni 2018 This European Standard was approved by CEN on 18 June 2018.
angenommen.
Die CEN-Mitglieder sind gehalten, die CEN/CENELEC- CEN members are bound to comply with the CEN/CENELEC Internal
Geschäftsordnung zu erfüllen, in der die Bedingungen festgelegt sind, Regulations which stipulate the conditions for giving this European
unter denen dieser Europäischen Norm ohne jede Änderung der Standard the status of a national standard without any alteration.
Status einer nationalen Norm zu geben ist. Auf dem letzten Stand Up-to-date lists and bibliographical references concerning such
befindliche Listen dieser nationalen Normen mit ihren national standards may be obtained on application to the CEN-
bibliographischen Angaben sind beim CEN-CENELEC-Management- CENELEC Management Centre or to any CEN member.
Zentrum oder bei jedem CEN-Mitglied auf Anfrage erhältlich.
Diese Europäische Norm besteht in drei offiziellen Fassungen This European Standard exists in three official versions (English,
(Deutsch, Englisch, Französisch). Eine Fassung in einer anderen French, German). A version in any other language made by
Sprache, die von einem CEN-Mitglied in eigener Verantwortung durch translation under the responsibility of a CEN member into its own
Übersetzung in seine Landessprache gemacht und dem Management- language and notified to the CEN-CENELEC Management Centre has
Zentrum mitgeteilt worden ist, hat den gleichen Status wie die the same status as the official versions.
offiziellen Fassungen.
CEN-Mitglieder sind die nationalen Normungsinstitute von Belgien, CEN members are the national standards bodies of Austria, Belgium,
Bulgarien, Dänemark, Deutschland, der ehemaligen jugoslawischen Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia,
Republik Mazedonien, Estland, Finnland, Frankreich, Griechenland, Finland, Former Yugoslav Republic of Macedonia, France, Germany,
Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania,
den Niederlanden, Norwegen, Österreich, Polen, Portugal, Rumänien, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal,
Schweden, der Schweiz, Serbien, der Slowakei, Slowenien, Spanien, der Romania, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland,
Tschechischen Republik, der Türkei, Ungarn, dem Vereinigten Turkey and United Kingdom.
Königreich und Zypern.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

CEN-CENELEC Management-Zentrum: Rue de la Science 23, B-1040 Brüssel


CEN-CENELEC Management Centre: Rue de la Science 23, B-1040 Brussels

© 2018 CEN Alle Rechte der Verwertung, gleich in welcher Form und in welchem Ref. Nr./Ref. No. EN ISO 19011:2018 D/E
Verfahren, sind weltweit den nationalen Mitgliedern
von CEN und den Mitgliedern von CENELEC vorbehalten.
All rights of exploitation in any form and by any means reserved
worldwide for CEN national Members and for CENELEC Members.
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Inhalt Contents
Seite Page

Europäisches Vorwort ................................................ 5 European foreword ..................................................... 5


Vorwort ............................................................................ 6 Foreword ......................................................................... 6
Einleitung ........................................................................ 8 Introduction ................................................................... 8
1 Anwendungsbereich ...................................11 1 Scope ................................................................ 11
2 Normative Verweisungen .........................11 2 Normative references ................................ 11
3 Begriffe ............................................................11 3 Terms and definitions ............................... 11
4 Auditprinzipien ............................................18 4 Principles of auditing ................................. 18
5 Steuerung eines Auditprogramms ........21 5 Managing an audit programme .............. 21
5.1 Allgemeines ...................................................21 5.1 General ............................................................ 21
5.2 Festlegen der Auditprogrammziele ......25 5.2 Establishing audit programme
5.3 Bestimmung und Beurteilung der objectives ....................................................... 25
Auditprogramm-Risiken und - 5.3 Determining and evaluating audit
Chancen ...........................................................26 programme risks and opportunities .... 26
5.4 Festlegen des Auditprogramms .............27 5.4 Establishing the audit programme ....... 27
5.4.1 Rollen und Verantwortlichkeiten der 5.4.1 Roles and responsibilities of the
Person(en), die das Auditprogramm individual(s) managing the audit
steuert (steuern)..........................................27 programme .................................................... 27
5.4.2 Kompetenz der Person(en), die das 5.4.2 Competence of individual(s)
Auditprogramm steuert (steuern) ........29 managing audit programme .................... 29
5.4.3 Festlegen des Ausmaßes des 5.4.3 Establishing extent of audit
Auditprogramms..........................................29 programme .................................................... 29
5.4.4 Bestimmen von 5.4.4 Determining audit programme
Auditprogrammressourcen .....................31 resources ........................................................ 31
5.5 Umsetzen des Auditprogramms .............32 5.5 Implementing audit programme ........... 32
5.5.1 Allgemeines ...................................................32 5.5.1 General ............................................................ 32
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

5.5.2 Festlegen der Ziele, des Umfangs und 5.5.2 Defining the objectives, scope and
der Kriterien für ein einzelnes Audit ...33 criteria for an individual audit ............... 33
5.5.3 Auswählen und Bestimmen der 5.5.3 Selecting and determining audit
Auditmethoden.............................................34 methods .......................................................... 34
5.5.4 Auswählen der Auditteammitglieder ...35 5.5.4 Selecting audit team members ............... 35
5.5.5 Zuweisen der Verantwortung für ein 5.5.5 Assigning responsibility for an
einzelnes Audit an den individual audit to the audit team
Auditteamleiter ............................................36 leader ............................................................... 36
5.5.6 Steuerung der Ergebnisse eines 5.5.6 Managing audit programme results ..... 38
Auditprogramms..........................................38 5.5.7 Managing and maintaining audit
5.5.7 Verwalten und Aufrechterhalten von programme records.................................... 39
Aufzeichnungen zu 5.6 Monitoring audit programme ................. 40
Auditprogrammen.......................................39 5.7 Reviewing and improving audit
5.6 Überwachen des Auditprogramms .......40 programme .................................................... 41
5.7 Überprüfen und Verbessern des
6 Conducting an audit.................................... 42
Auditprogramms..........................................41
6.1 General ............................................................ 42
6 Durchführen eines Audits.........................42 6.2 Initiating audit.............................................. 42
6.1 Allgemeines ...................................................42 6.2.1 General ............................................................ 42

2
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.2 Veranlassen des Audits ............................. 42 6.2.2 Establishing contact with auditee ......... 42
6.2.1 Allgemeines ................................................... 42 6.2.3 Determining feasibility of audit............. 43
6.2.2 Herstellen des Kontakts mit der 6.3 Preparing audit activities......................... 44
auditierten Organisation .......................... 42 6.3.1 Performing review of documented
6.2.3 Bestimmen der Durchführbarkeit information ................................................... 44
des Audits ....................................................... 43 6.3.2 Audit planning .............................................. 44
6.3 Vorbereiten der Audittätigkeiten.......... 44 6.3.3 Assigning work to audit team ................. 47
6.3.1 Durchführen der Überprüfung der 6.3.4 Preparing documented information
dokumentierten Information.................. 44 for audit .......................................................... 48
6.3.2 Planung des Audits...................................... 44 6.4 Conducting audit activities ...................... 48
6.3.3 Zuweisen von Arbeit an das 6.4.1 General ............................................................ 48
Auditteam ....................................................... 47 6.4.2 Assigning roles and responsibilities
6.3.4 Vorbereiten dokumentierter of guides and observers ............................ 49
Information für das Audit......................... 48 6.4.3 Conducting opening meeting .................. 50
6.4 Durchführen von Audittätigkeiten ....... 48 6.4.4 Communicating during audit .................. 52
6.4.1 Allgemeines ................................................... 48 6.4.5 Audit information availability and
6.4.2 Zuweisen von Rollen und access ............................................................... 53
Verantwortlichkeiten von Betreuern 6.4.6 Reviewing documented information
und Beobachtern ......................................... 49 while conducting audit .............................. 53
6.4.3 Durchführen der 6.4.7 Collecting and verifying information ... 54
Eröffnungsbesprechung ............................ 50 6.4.8 Generating audit findings ........................ 56
6.4.4 Kommunikation während des Audits .. 52 6.4.9 Determining audit conclusions .............. 56
6.4.5 Verfügbarkeit von und Zugriff auf 6.4.10 Conducting closing meeting .................... 57
Auditinformationen.................................... 53 6.5 Preparing and distributing audit
6.4.6 Überprüfen der dokumentierten report............................................................... 59
Information während der 6.5.1 Preparing audit report .............................. 59
Durchführung des Audits ......................... 53 6.5.2 Distributing audit report.......................... 61
6.4.7 Sammeln und Verifizieren von 6.6 Completing audit ......................................... 61
Informationen............................................... 54 6.7 Conducting audit follow-up ..................... 62
6.4.8 Erarbeiten von Auditfeststellungen ..... 56
7 Competence and evaluation of
6.4.9 Bestimmung der
auditors........................................................... 62
Auditschlussfolgerungen .......................... 56
7.1 General ............................................................ 62
6.4.10 Durchführen der
7.2 Determining auditor competence ......... 64
Abschlussbesprechung .............................. 57
7.2.1 General ............................................................ 64
6.5 Erstellen und Verteilen des
7.2.2 Personal behaviour .................................... 64
Auditberichts ................................................ 59
7.2.3 Knowledge and skills ................................. 65
6.5.1 Erstellen des Auditberichts ..................... 59
7.2.4 Achieving auditor competence............... 71
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

6.5.2 Verteilen des Auditberichts ..................... 61


7.2.5 Achieving audit team leader
6.6 Abschließen des Audits ............................. 61
competence ................................................... 71
6.7 Durchführen von
7.3 Establishing auditor evaluation
Auditfolgemaßnahmen ............................. 62
criteria............................................................. 71
7 Kompetenz und Beurteilung von 7.4 Selecting appropriate auditor
Auditoren ....................................................... 62 evaluation method ...................................... 72
7.1 Allgemeines ................................................... 62 7.5 Conducting auditor evaluation .............. 74
7.2 Bestimmen der Kompetenz von 7.6 Maintaining and improving auditor
Auditoren ....................................................... 64 competence ................................................... 74
7.2.1 Allgemeines ................................................... 64
Annex A (informative) Additional guidance
7.2.2 Persönliches Verhalten ............................. 64
for auditors planning and
7.2.3 Wissen und Fertigkeiten ........................... 65
conducting audits ........................................ 75
7.2.4 Erwerben der Auditor-Kompetenz ....... 71
7.2.5 Erwerben der Auditteamleiter- i„Ž‹‘‰”ƒ’Š› ......................................................ǤǤǤǤǤǤǤǤǤǤ 95
Kompetenz ..................................................... 71
7.3 Festlegen der Beurteilungskriterien
für Auditoren ................................................ 71
7.4 Auswählen der geeigneten

3
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Beurteilungsmethode für Auditoren ....72


7.5 Durchführen der Auditor-
Beurteilung ....................................................74
7.6 Aufrechterhalten und Verbessern
der Kompetenz des Auditors ...................74
Anhang A (informativ) Zusätzliche
Anleitung für Auditoren zum Planen
und Durchführen von Audits ...................75
Literaturhinweise .......................................................95

Bilder Figures
Bild 1 — Prozessablauf für die Steuerung Figure 1 — Process flow for the
eines Auditprogramms .............................................23 management of an audit programme ................. 24
Bild 2 — Übersicht eines typischen Figure 2 — Overview of a typical process of
Prozesses des Sammelns und Überprüfens collecting and verifying information................... 55
von Informationen .....................................................55

Tabellen Tables
Tabelle 1 —Verschiedene Arten von Audits ....... 9 Table 1 — Different types of audits ....................... 9
Tabelle 2 —Methoden zur Beurteilung von Table 2 — Auditor evaluation methods ............. 73
Auditoren.......................................................................73
Table A.1 — Audit methods .................................... 76
Tabelle A.1 — Auditmethoden ...............................76
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

4
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Europäisches Vorwort European foreword


Dieses Dokument (EN ISO 19011:2018) wurde vom This document (EN ISO 19011:2018) has been
Projektkomitee ISO/PC 302 „Guidelines for auditing prepared by Technical Committee ISO/PC 302
management systems“ in Zusammenarbeit mit “Guidelines for auditing management systems” in
CCMC erarbeitet. collaboration with CCMC.

Diese Europäische Norm muss den Status einer This European Standard shall be given the status of
nationalen Norm erhalten, entweder durch Ver- a national standard, either by publication of an
öffentlichung eines identischen Textes oder durch identical text or by endorsement, at the latest by
Anerkennung bis Januar 2019, und etwaige January 2019, and conflicting national standards
entgegenstehende nationale Normen müssen bis shall be withdrawn at the latest by January 2019.
Januar 2019 zurückgezogen werden.

Es wird auf die Möglichkeit hingewiesen, dass Attention is drawn to the possibility that some of
einige Elemente dieses Dokuments Patentrechte the elements of this document may be the subject of
berühren können. CEN ist nicht dafür verant- patent rights. CEN shall not be held responsible for
wortlich, einige oder alle diesbezüglichen Patent- identifying any or all such patent rights.
rechte zu identifizieren.

Dieses Dokument ersetzt EN ISO 19011:2011. This document supersedes EN ISO 19011:2011.

Dieses Dokument wurde im Rahmen eines Man- This document has been prepared under a mandate
dates erarbeitet, das die Europäische Kommission given to CEN by the European Commission and the
und die Europäische Freihandelszone CEN erteilt European Free Trade Association.
haben.

Entsprechend der CEN-CENELEC-Geschäftsordnung According to the CEN-CENELEC Internal Regula-


sind die nationalen Normungsinstitute der folgen- tions, the national standards organizations of the
den Länder gehalten, diese Europäische Norm zu following countries are bound to implement this
übernehmen: Belgien, Bulgarien, Dänemark, European Standard: Austria, Belgium, Bulgaria,
Deutschland, die ehemalige jugoslawische Republik Croatia, Cyprus, Czech Republic, Denmark, Estonia,
Mazedonien, Estland, Finnland, Frankreich, Finland, Former Yugoslav Republic of Macedonia,
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Griechenland, Irland, Island, Italien, Kroatien, France, Germany, Greece, Hungary, Iceland, Ireland,
Lettland, Litauen, Luxemburg, Malta, Niederlande, Italy, Latvia, Lithuania, Luxembourg, Malta,
Norwegen, Österreich, Polen, Portugal, Rumänien, Netherlands, Norway, Poland, Portugal, Romania,
Schweden, Schweiz, Serbien, Slowakei, Slowenien, Serbia, Slovakia, Slovenia, Spain, Sweden,
Spanien, Tschechische Republik, Türkei, Ungarn, Switzerland, Turkey and the United Kingdom.
Vereinigtes Königreich und Zypern.

Anerkennungsnotiz Endorsement notice

Der Text von ISO 19011:2018 wurde von CEN als The text of ISO 19011:2018 has been approved by
EN ISO 19011:2018 ohne irgendeine Abänderung CEN as EN ISO 19011:2018 without any modifica-
genehmigt. tion.

5
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Vorwort Foreword
ISO (die Internationale Organisation für Normung) ISO (the International Organization for Standardi-
ist eine weltweite Vereinigung nationaler Nor- zation) is a worldwide federation of national
mungsorganisationen (ISO-Mitgliedsorganisatio- standards bodies (ISO member bodies). The work
nen). Die Erstellung von Internationalen Normen of preparing International Standards is normally
wird üblicherweise von Technischen Komitees von carried out through ISO technical committees. Each
ISO durchgeführt. Jede Mitgliedsorganisation, die member body interested in a subject for which a
Interesse an einem Thema hat, für welches ein technical committee has been established has the
Technisches Komitee gegründet wurde, hat das right to be represented on that committee.
Recht, in diesem Komitee vertreten zu sein. International organizations, governmental and non-
Internationale staatliche und nichtstaatliche Orga- governmental, in liaison with ISO, also take part in
nisationen, die in engem Kontakt mit ISO stehen, the work. ISO collaborates closely with the
nehmen ebenfalls an der Arbeit teil. ISO arbeitet bei International Electrotechnical Commission (IEC) on
allen elektrotechnischen Themen eng mit der all matters of electrotechnical standardization.
Internationalen Elektrotechnischen Kommission
(IEC) zusammen.

Die Verfahren, die bei der Entwicklung dieses The procedures used to develop this document and
Dokuments angewendet wurden und die für die those intended for its further maintenance are
weitere Pflege vorgesehen sind, werden in den described in the ISO/IEC Directives, Part 1. In
ISO/IEC-Direktiven, Teil 1 beschrieben. Es sollten particular the different approval criteria needed for
insbesondere die unterschiedlichen Annahme- the different types of ISO documents should be
kriterien für die verschiedenen ISO-Dokumenten- noted. This document was drafted in accordance
arten beachtet werden. Dieses Dokument wurde in with the editorial rules of the ISO/IEC Directives,
Übereinstimmung mit den Gestaltungsregeln der Part 2 (see www.iso.org/directives).
ISO/IEC-Direktiven, Teil 2 erarbeitet (siehe
www.iso.org/directives).

Es wird auf die Möglichkeit hingewiesen, dass Attention is drawn to the possibility that some of
einige Elemente dieses Dokuments Patentrechte the elements of this document may be the subject of
berühren können. ISO ist nicht dafür verant- patent rights. ISO shall not be held responsible for
wortlich, einige oder alle diesbezüglichen Patent- identifying any or all such patent rights. Details of
rechte zu identifizieren. Details zu allen während any patent rights identified during the development
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

der Entwicklung des Dokuments identifizierten of the document will be in the Introduction and/or
Patentrechten finden sich in der Einleitung on the ISO list of patent declarations received (see
und/oder in der ISO-Liste der erhaltenen Patent- www.iso.org/patents).
erklärungen (siehe www.iso.org/patents).

Jeder in diesem Dokument verwendete Handels- Any trade name used in this document is
name dient nur zur Unterrichtung der Anwender information given for the convenience of users and
und bedeutet keine Anerkennung. does not constitute an endorsement.

Für eine Erläuterung des freiwilligen Charakters For an explanation on the voluntary nature of
von Normen, der Bedeutung ISO-spezifischer standards, the meaning of ISO specific terms and
Begriffe und Ausdrücke in Bezug auf expressions related to conformity assessment, as
Konformitätsbewertungen sowie Informationen well as information about ISO’s adherence to the
darüber, wie ISO die Grundsätze der World Trade Organization (WTO) principles in the
Welthandelsorganisation (WTO) hinsichtlich Technical Barriers to Trade (TBT) see the following
technischer Handelshemmnisse (TBT) URL: www.iso.org/iso/foreword.html.
berücksichtigt, siehe
www.iso.org/iso/foreword.html.

6
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Dieses Dokument wurde vom Projektkomitee This document was prepared by Project Committee
ISO/PC 302, Guidelines for auditing management ISO/PC 302, Guidelines for auditing management
systems erarbeitet. systems.

Diese dritte Ausgabe ersetzt die zweite Ausgabe This third edition cancels and replaces the second
(ISO 19011:2011), die technisch überarbeitet edition (ISO 19011:2011), which has been tech-
wurde. nically revised.

Die wesentlichen Änderungen im Vergleich zur The main differences compared to the second
Vorgängerausgabe sind folgende: edition are as follows:

— Ergänzung der Grundsätze von Audits um den — addition of the risk-based approach to the
risikobasierten Ansatz; principles of auditing;

— Erweiterung der Anleitung zur Verwaltung von — expansion of the guidance on managing an
Auditprogrammen, einschließlich der Risiken audit programme, including audit programme
durch Auditprogramme; risk;

— Erweiterung der Anleitung zur Durchführung — expansion of the guidance on conducting an


eines Audits, insbesondere des Teils zur audit, particularly the section on audit
Auditplanung; planning;

— Erweiterung der Anforderungen an allgemeine — expansion of the generic competence require-


Kompetenzen von Auditoren; ments for auditors;

— Anpassung der Terminologie, um den Prozess — adjustment of terminology to reflect the pro-
und nicht den Gegenstand (die „Sache“) wie- cess and not the object (“thing”);
derzugeben;

— Entfernen des Anhangs, der Kompetenzanfor- — removal of the annex containing competence
derungen für Audit-spezifische Management- requirements for auditing specific manage-
systemdisziplinen enthielt (da es aufgrund der ment system disciplines (due to the large
Vielzahl der einzelnen Managementsystem- number of individual management system
Normen nicht praxisgerecht wäre, Kom- standards, it would not be practical to include
petenzanforderungen für alle Disziplinen auf- competence requirements for all disciplines);
zunehmen);
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— Erweiterung von Anhang A um eine Anleitung — expansion of Annex A to provide guidance on


zum Audit von (neuen) Konzepten, wie Organi- auditing (new) concepts such as organization
sationskontext, Führung und Verpflichtung, context, leadership and commitment, virtual
virtuellen Audits, Compliance und Lieferkette. audits, compliance and supply chain.

7
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Einleitung Introduction
Seit der Herausgabe der zweiten Ausgabe dieses Since the second edition of this document was
Dokuments im Jahre 2011 sind eine Reihe neuer published in 2011, a number of new management
Managementsystem-Normen veröffentlicht wor- system standards have been published, many of
den, von welchen viele eine gemeinsame Struktur, which have a common structure, identical core
identische Kernanforderungen sowie gemeinsame requirements and common terms and core
Begriffe und Kerndefinitionen haben. Daher ist es definitions. As a result, there is a need to consider a
notwendig, das Auditieren von Managementsys- broader approach to management system auditing,
temen in einem breiteren Ansatz zu berücksich- as well as providing guidance that is more generic.
tigen, und es müssen Anleitungen bereitgestellt Audit results can provide input to the analysis
werden, die allgemeinerer Natur sind. Auditergeb- aspect of business planning, and can contribute to
nisse können Eingaben zu den analytischen the identification of improvement needs and
Aspekten der Unternehmensplanung liefern und activities.
zur Ermittlung von Erfordernissen und Aktivitäten
der Verbesserung beitragen.

Ein Audit kann anhand einer Reihe von Audit- An audit can be conducted against a range of audit
kriterien, getrennt oder kombiniert, durchgeführt criteria, separately or in combination, including but
werden, einschließlich, aber nicht beschränkt auf: not limited to:

— Anforderungen, die in einer oder mehreren — requirements defined in one or more manage-
Managementsystem-Norm(en) definiert sind; ment system standards;

— Politiken und Anforderungen, die von relevan- — policies and requirements specified by relevant
ten interessierten Parteien festgelegt wurden; interested parties;

— gesetzliche und behördliche Anforderungen; — statutory and regulatory requirements;

— einen oder mehrere Managementsystem-Pro- — one or more management system processes


zess(e), der/die von der Organisation oder defined by the organization or other parties;
anderen Parteien festgelegt wurde(n);
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— Managementsystemplan(pläne) in Bezug auf — management system plan(s) relating to the


die Bereitstellung spezifischer Leistungen provision of specific outputs of a management
eines Managementsystems (z. B. Qualitätsplan, system (e.g. quality plan, project plan).
Projektplan).

Dieses Dokument bietet eine Anleitung für alle This document provides guidance for all sizes and
Größen und Arten von Organisationen und Audits types of organizations and audits of varying scopes
unterschiedlicher Umfänge und Skalierungen, and scales, including those conducted by large audit
darunter solche, die von großen Auditteams von in teams, typically of larger organizations, and those
der Regel größeren Organisationen durchgeführt by single auditors, whether in large or small
werden und solche, die von einzelnen Auditoren in organizations. This guidance should be adapted as
großen und kleinen Organisationen durchgeführt appropriate to the scope, complexity and scale of
werden. Diese Anleitung sollte entsprechend des the audit programme.
Umfangs, der Komplexität und der Skalierung des
Auditprogramms angepasst werden.

8
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Dieses Dokument konzentriert sich auf interne This document concentrates on internal audits
Audits (Erstparteien-Audit) und Audits, die von (first party) and audits conducted by organizations
Organisationen bezüglich ihrer externen Anbieter on their external providers and other external
und anderer externer interessierter Parteien interested parties (second party). This document
(Zweitparteien-Audit) durchgeführt werden. Dieses can also be useful for external audits conducted for
Dokument kann auch für externe Audits nützlich purposes other than third party management
sein, die für andere Zwecke als die Zertifizierung system certification. ISO/IEC 17021-1 provides
von Managementsystemen requirements for auditing management systems for
von Drittanbietern durchgeführt werden. third party certification; this document can provide
ISO/IEC 17021-1 beschreibt die Anforderungen zur useful additional guidance (see Table 1).
Auditierung von Managementsystemen für die
Drittparteien-Zertifizierung. Dieses Dokument kann
nützliche zusätzliche Anleitungen liefern (siehe
Tabelle 1).

Tabelle 1 —Verschiedene Arten von Audits

Erstparteien-Audit Zweitparteien-Audit Drittparteien-Audit


Internes Audit Audit durch externen Anbieter Zertifizierungs- und/oder
Akkreditierungsaudit
Audit durch eine andere externe gesetzliches, behördliches und
interessierte Partei vergleichbares Audit

Table 1 — Different types of audits

1st party audit 2nd party audit 3rd party audit


Internal audit External provider audit Certification and/or accreditation
audit
Other external interested party Statutory, regulatory and similar
audit audit

Zur Vereinfachung der Lesbarkeit dieses Doku- To simplify the readability of this document, the
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

ments wird bei „Managementsystem“ die Singular- singular form of “management system” is preferred,
Form bevorzugt. Der Leser kann allerdings die but the reader can adapt the implementation of the
Umsetzung der Anleitungen auf seine Situation guidance to their own situation. This also applies to
anpassen. Dies bezieht sich auch auf die Anwen- the use of “individual” and “individuals”, “auditor”
dung der Termini „Person“ und „Personen“, and “auditors”.
„Auditor“ und „Auditoren“.

Dieses Dokument beabsichtigt, einen breiten This document is intended to apply to a broad
Nutzerkreis anzusprechen, einschließlich Audito- range of potential users, including auditors,
ren, Organisationen, die Managementsysteme organizations implementing management systems
verwirklichen, sowie Organisationen, die aus and organizations needing to conduct management
vertraglichen oder behördlichen Gründen Audits system audits for contractual or regulatory reasons.
von Managementsystemen durchführen müssen. Users of this document can, however, apply this
Nutzer dieses Dokuments können diese Anleitung guidance in developing their own audit-related
auch bei der Erarbeitung ihrer eigenen, requirements.
auditbezogenen Anforderungen verwenden.

9
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Die Anleitung in diesem Dokument kann auch zum The guidance in this document can also be used for
Zwecke der Selbsterklärung verwendet werden, the purpose of self-declaration and can be useful to
und sie kann ebenfalls für Organisationen nützlich organizations involved in auditor training or
sein, die in die Auditorenschulung oder in die personnel certification.
Zertifizierung von Personal einbezogen sind.

Es ist beabsichtigt, die Anleitung in diesem Doku- The guidance in this document is intended to be
ment flexibel zu gestalten. Wie an verschiedenen flexible. As indicated at various points in the text,
Stellen im Text angegeben, kann die Nutzung dieser the use of this guidance can differ depending on the
Anleitung entsprechend der Größe und dem size and level of maturity of an organization’s
Reifegrad des Managementsystems einer Organisa- management system. The nature and complexity of
tion variieren. Die Art und Komplexität der zu audi- the organization to be audited, as well as the
tierenden Organisation sowie die Ziele und der objectives and scope of the audits to be conducted,
Umfang der durchzuführenden Audits sollten should also be considered.
ebenfalls berücksichtigt werden.

Dieses Dokument verfolgt den Ansatz des kombi- This document adopts the combined audit
nierten Audits, wenn zwei oder mehrere Manage- approach when two or more management systems
mentsysteme verschiedener Disziplinen zusammen of different disciplines are audited together. Where
auditiert werden. Dort, wo diese Systeme in ein these systems are integrated into a single
einziges Managementsystem integriert sind, sind management system, the principles and processes
die Auditprinzipien und -prozesse dieselben wie of auditing are the same as for a combined audit
bei einem kombinierten Audit (bisweilen als (sometimes known as an integrated audit).
integriertes Audit bekannt).

Dieses Dokument bietet eine Anleitung zur Steue- This document provides guidance on the
rung eines Auditprogramms, zum Planen und management of an audit programme, on the
Durchführen von Managementsystem-Audits sowie planning and conducting of management system
zur Kompetenz und Beurteilung eines Auditors audits, as well as on the competence and evaluation
sowie eines Auditteams. of an auditor and an audit team.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

10
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

1 Anwendungsbereich 1 Scope
Dieses Dokument bietet eine Anleitung zum Audi- This document provides guidance on auditing
tieren von Managementsystemen, einschließlich management systems, including the principles of
der Auditprinzipien, der Steuerung eines Audit- auditing, managing an audit programme and
programms und der Durchführung von Audits von conducting management system audits, as well as
Managementsystemen, sowie zur Beurteilung der guidance on the evaluation of competence of
Kompetenz derer, die in den Auditprozess einbe- individuals involved in the audit process. These
zogen sind. Diese Tätigkeiten beziehen die Per- activities include the individual(s) managing the
son(en), die das Auditprogramm steuert (steuern), audit programme, auditors and audit teams.
Auditoren und Auditteams mit ein.

Es ist auf alle Organisationen, die interne oder It is applicable to all organizations that need to plan
externe Audits von Managementsystemen planen and conduct internal or external audits of manage-
und durchführen oder ein Auditprogramm steuern ment systems or manage an audit programme.
müssen, anwendbar.

Die Anwendung dieses Dokuments auf andere The application of this document to other types of
Arten von Audits ist möglich, vorausgesetzt, beson- audits is possible, provided that special considera-
dere Aufmerksamkeit wird der speziellen Kompe- tion is given to the specific competence needed.
tenz, die erforderlich ist, beigemessen.

2 Normative Verweisungen 2 Normative references


Es gibt keine normativen Verweisungen in diesem There are no normative references in this docu-
Dokument. ment.

3 Begriffe 3 Terms and definitions


Für die Anwendung dieses Dokuments gelten die For the purposes of this document, the following
folgenden Begriffe. terms and definitions apply.

ISO und IEC stellen terminologische Datenbanken ISO and IEC maintain terminological databases for
für die Verwendung in der Normung unter den use in standardization at the following addresses:
folgenden Adressen bereit:
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— ISO Online Browsing Platform: unter — ISO Online browsing platform: available at
https://www.iso.org/obp https://www.iso.org/obp
— IEC Electropedia: unter — IEC Electropedia: available at
http://www.electropedia.org/ http://www.electropedia.org/

3.1 3.1
Audit audit
systematischer, unabhängiger und dokumentierter systematic, independent and documented process
Prozess zum Erlangen von objektiven Nachweisen for obtaining objective evidence (3.8) and evaluating
(3.8) und zu deren objektiver Auswertung, um zu it objectively to determine the extent to which the
bestimmen, inwieweit Auditkriterien (3.7) erfüllt audit criteria (3.7) are fulfilled
sind

Anmerkung 1 zum Begriff: Interne Audits, manchmal Note 1 to entry: Internal audits, sometimes called
auch „Erstparteien-Audits“ genannt, werden von der first party audits, are conducted by, or on behalf of, the
Organisation selbst oder in ihrem Auftrag durchgeführt. organization itself.

11
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Anmerkung 2 zum Begriff: Externe Audits schließen Note 2 to entry: External audits include those
ein, was allgemein „Zweit-“ und „Drittparteien-Audits“ generally called second and third party audits. Second
genannt wird. Zweitparteien-Audits werden von Par- party audits are conducted by parties having an interest
teien, die ein Interesse an der Organisation haben, z. B. in the organization, such as customers, or by other
Kunden, oder von anderen Personen in deren Auftrag individuals on their behalf. Third party audits are
durchgeführt. Drittparteien-Audits werden von unab- conducted by independent auditing organizations, such
hängigen Organisationen durchgeführt, wie zum Beispiel as those providing certification/registration of
denjenigen, welche eine Registrierung oder conformity or governmental agencies.
Zertifizierung der Konformität bieten, oder durch
staatliche Behörden.

[QUELLE: ISO 9000:2015, 3.13.1, modifiziert — [SOURCE: ISO 9000:2015, 3.13.1, modified — Notes
Anmerkungen zum Begriff wurden modifiziert] to entry have been modified]

3.2 3.2
kombiniertes Audit combined audit
Audit (3.1), das in einer einzelnen auditierten audit (3.1) carried out together at a single auditee
Organisation (3.13) an zwei oder mehr Manage- (3.13) on two or more management systems (3.18)
mentsystemen (3.18) zusammen durchgeführt wird

Anmerkung 1 zum Begriff: Werden zwei oder mehr Note 1 to entry: When two or more discipline-specific
disziplinspezifische Managementsysteme in ein einzelnes management systems are integrated into a single
Managementsystem integriert, wird dieses als ein inte- management system this is known as an integrated
griertes Managementsystem bezeichnet. management system.

[QUELLE: ISO 9000:2015, 3.13.2, modifiziert] [SOURCE: ISO 9000:2015, 3.13.2, modified]

3.3 3.3
gemeinschaftliches Audit joint audit
Audit (3.1) durch zwei oder mehr Auditorganisa- audit (3.1) carried out at a single auditee (3.13) by
tionen an einer einzelnen auditierten Organisation two or more auditing organizations
(3.13)

[QUELLE: ISO 9000:2015, 3.13.3] [SOURCE: ISO 9000:2015, 3.13.3]

3.4 3.4
Auditprogramm audit programme
Festlegungen für einen Satz von einem oder meh- arrangements for a set of one or more audits (3.1)
reren Audits (3.1), die für einen spezifischen Zeit- planned for a specific time frame and directed
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

raum geplant werden und auf einen spezifischen towards a specific purpose
Zweck gerichtet sind

[QUELLE: ISO 9000:2015, 3.13.4, modifiziert —Text [SOURCE: ISO 9000:2015, 3.13.4, modified —
wurde der Definition hinzugefügt] wording has been added to the definition]

3.5 3.5
Auditumfang audit scope
Ausmaß und Grenzen eines Audits (3.1) extent and boundaries of an audit (3.1)

Anmerkung 1 zum Begriff: Der Auditumfang schließt Note 1 to entry: The audit scope generally includes a
üblicherweise eine Beschreibung der physischen und description of the physical and virtual-locations,
virtuellen Standorte, der Funktionen, der Organisations- functions, organizational units, activities and processes,
einheiten, der Tätigkeiten und Prozesse sowie des as well as the time period covered.
betrachteten Zeitraums ein.

12
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Anmerkung 2 zum Begriff: Ein virtueller Standort ist Note 2 to entry: A virtual location is where an
ein Standort, an dem eine Organisation Arbeiten organization performs work or provides a service using
durchführt oder einen Dienst mithilfe einer an on-line environment allowing individuals irrespective
Online-Umgebung leistet, die es Personen ermöglicht, of physical locations to execute processes.
unabhängig von physischen Standorten Prozesse
auszuführen.

[QUELLE: ISO 9000:2015, 3.13.5, modifiziert — An- [SOURCE: ISO 9000:2015, 3.13.5, modified —
merkung 1 zum Begriff wurde modifiziert, Anmer- Note 1 to entry has been modified, Note 2 to entry
kung 2 zum Begriff wurde hinzugefügt] has been added]

3.6 3.6
Auditplan audit plan
Beschreibung der Tätigkeiten und Vorkehrungen description of the activities and arrangements for
für ein Audit (3.1) an audit (3.1)

[QUELLE: ISO 9000:2015, 3.13.6] [SOURCE: ISO 9000:2015, 3.13.6]

3.7 3.7
Auditkriterien audit criteria
Satz von Anforderungen (3.23), die als Bezugs- set of requirements (3.23) used as a reference
grundlage (Referenz) verwendet werden, anhand against which objective evidence (3.8) is compared
derer ein Vergleich mit dem objektiven Nachweis
(3.8) erfolgt

Anmerkung 1 zum Begriff: Wenn die Auditkriterien Note 1 to entry: If the audit criteria are legal
rechtliche (einschließlich gesetzliche und behördliche) (including statutory or regulatory) requirements, the
Anforderungen darstellen, werden in einer Audit- words “compliance” or “non-compliance” are often used
feststellung (3.10) oft die Benennungen „compliance“ in an audit finding (3.10).
oder „non-compliance“ verwendet. N1)

Anmerkung 2 zum Begriff: Die Anforderungen können Note 2 to entry: Requirements may include policies,
Politiken, Verfahren, Arbeitsanweisungen, rechtliche An- procedures, work instructions, legal requirements,
forderungen, vertragliche Verpflichtungen usw. enthal- contractual obligations, etc.
ten.

[QUELLE: ISO 9000:2015, 3.13.7, modifiziert — die [SOURCE: ISO 9000:2015, 3.13.7, modified — the
Definition wurde geändert und die Anmerkungen 1 definition has been changed and Notes to entry 1
und 2 zum Begriff wurden hinzugefügt] and 2 have been added]
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

3.8 3.8
objektiver Nachweis objective evidence
Daten, welche die Existenz oder Wahrheit von data supporting the existence or verity of
etwas bestätigen something

Anmerkung 1 zum Begriff: Objektive Nachweise Note 1 to entry: Objective evidence can be obtained
können durch Beobachtung, Messung, Test oder mit through observation, measurement, test or by other
anderen Mitteln erbracht werden. means.

N1) Nationale Fußnote: Die Anmerkung 1 hat nur für den englischen Text Bedeutung.

13
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Anmerkung 2 zum Begriff: Objektive Nachweise zum Note 2 to entry: Objective evidence for the purpose of
Zwecke des Audits (3.1) bestehen üblicherweise aus the audit (3.1) generally consists of records, statements
Aufzeichnungen, Tatsachenfeststellungen oder anderen of fact, or other information which are relevant to the
Informationen, die für die Auditkriterien (3.7) zutreffen audit criteria (3.7) and verifiable.
und verifizierbar sind.

[QUELLE: ISO 9000:2015, 3.8.3] [SOURCE: ISO 9000:2015, 3.8.3]

3.9 3.9
Auditnachweis audit evidence
Aufzeichnungen, Tatsachenfeststellungen oder an- records, statements of fact or other information,
dere Informationen, die für die Auditkriterien (3.7) which are relevant to the audit criteria (3.7) and
zutreffen und verifizierbar sind verifiable

[QUELLE: ISO 9000:2015, 3.13.8] [SOURCE: ISO 9000:2015, 3.13.8]

3.10 3.10
Auditfeststellung audit findings
Ergebnisse der Beurteilung der zusammengestell- results of the evaluation of the collected audit
ten Auditnachweise (3.9) gegen Auditkriterien (3.7) evidence (3.9) against audit criteria (3.7)

Anmerkung 1 zum Begriff: Auditfeststellungen zeigen Note 1 to entry: Audit findings indicate conformity
Konformität (3.20) oder Nichtkonformität (3.21) auf. (3.20) or nonconformity (3.21).

Anmerkung 2 zum Begriff: Auditfeststellungen können Note 2 to entry: Audit findings can lead to the
dazu führen, dass Risiken identifiziert, Verbesserungs- identification of risks, opportunities for improvement or
möglichkeiten aufgezeigt oder bewährte Praktiken auf- recording good practices.
gezeichnet werden.

Anmerkung 3 zum Begriff: Wenn die Auditkriterien Note 3 to entry: In English if the audit criteria are
aus gesetzlichen oder behördlichen Anforderungen selected from statutory requirements or regulatory
ausgewählt werden, wird die Auditfeststellung im requirements, the audit finding is termed compliance or
Englischen als „compliance“ oder „non-compliance“ non-compliance.
bezeichnet.

[QUELLE: ISO 9000:2015, 3.13.9, modifiziert — [SOURCE: ISO 9000:2015, 3.13.9, modified — Notes
Anmerkungen 2 und 3 zum Begriff wurden modifi- to entry 2 and 3 have been modified]
ziert]

3.11 3.11
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Auditschlussfolgerungen audit conclusion


Ergebnis eines Audits (3.1) nach Berücksichtigung outcome of an audit (3.1), after consideration of the
der Auditziele und aller Auditfeststellungen (3.10) audit objectives and all audit findings (3.10)

[QUELLE: ISO 9000:2015, 3.13.10] [SOURCE: ISO 9000:2015, 3.13.10]

3.12 3.12
Auditauftraggeber audit client
Organisation oder Person, die ein Audit (3.1) organization or person requesting an audit (3.1)
anfordert

Anmerkung 1 zum Begriff: Im Falle eines internen Note 1 to entry: In the case of internal audit, the audit
Audits kann der Auftraggeber auch die auditierte Organi- client can also be the auditee (3.13) or the individual(s)
sation (3.13) oder die Person(en) sein, die das Audit- managing the audit programme. Requests for external
programm steuert (steuern). Anfragen nach externen audit can come from sources such as regulators,
Audits können von Quellen wie Behörden, Vertrags- contracting parties or potential or existing clients.
partnern oder potentiellen oder bestehenden
Auftraggebern kommen.

14
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

[QUELLE: ISO 9000:2015, 3.13.11 modifiziert — [SOURCE: ISO 9000:2015, 3.13.11, modified —
Anmerkung 1 zum Begriff wurde hinzugefügt] Note 1 to entry has been added]

3.13 3.13
auditierte Organisation auditee
die gesamte Organisation oder Teile davon, die organization as a whole or parts thereof being
auditiert wird/werden audited

[QUELLE: ISO 9000:2015, 3.13.12, modifiziert] [SOURCE: ISO 9000:2015, 3.13.12, modified]

3.14 3.14
Auditteam audit team
eine oder mehrere Personen, die ein Audit (3.1) one or more persons conducting an audit (3.1),
durchführen, nötigenfalls unterstützt durch Sach- supported if needed by technical experts (3.16)
kundige (3.16)

Anmerkung 1 zum Begriff: Ein Auditor (3.15) des Note 1 to entry: One auditor (3.15) of the audit team
Auditteams (3.14) wird als Leiter des Auditteams (3.14) is appointed as the audit team leader.
eingesetzt.

Anmerkung 2 zum Begriff: Zum Auditteam können Note 2 to entry: The audit team can include auditors-
auch in der Ausbildung befindliche Auditoren gehören. in-training.

[QUELLE: ISO 9000:2015, 3.13.14] [SOURCE: ISO 9000:2015, 3.13.14]

3.15 3.15
Auditor auditor
Person, die ein Audit (3.1) durchführt person who conducts an audit (3.1)

[QUELLE: ISO 9000:2015, 3.13.15] [SOURCE: ISO 9000:2015, 3.13.15]

3.16 3.16
Sachkundiger technical expert
<Audit> Person, die spezielles Wissen oder Fach- <audit> person who provides specific knowledge or
wissen dem Auditteam (3.14) zur Verfügung stellt expertise to the audit team (3.14)

Anmerkung 1 zum Begriff: Spezielles Wissen oder Note 1 to entry: Specific knowledge or expertise
Fachwissen beziehen sich auf die Organisation, die Tätig- relates to the organization, the activity, process, product,
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

keit, den Prozess, das Produkt, die Dienstleistung oder service, discipline to be audited, or language or culture.
die Disziplin, die zu auditieren ist, oder die Sprache oder
die Kultur.

Anmerkung 2 zum Begriff: Ein Sachkundiger für das Note 2 to entry: A technical expert to the audit team
Auditteam (3.14) handelt nicht als Auditor (3.15). (3.14) does not act as an auditor (3.15).

[QUELLE: ISO 9000:2015, 3.13.16, modifiziert — [SOURCE: ISO 9000:2015, 3.13.16, modified —
Anmerkungen 1 und 2 zum Begriff wurden modifi- Notes to entry 1 and 2 have been modified]
ziert]

3.17 3.17
Beobachter observer
Person, die das Auditteam (3.14) begleitet, aber individual who accompanies the audit team (3.14)
nicht als ein Auditor (3.15) handelt but does not act as an auditor (3.15)

[QUELLE: ISO 9000:2015, 3.13.17, modifiziert] [SOURCE: ISO 9000:2015, 3.13.17, modified]

15
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

3.18 3.18
Managementsystem management system
Satz zusammenhängender und sich gegenseitig set of interrelated or interacting elements of an
beeinflussender Elemente einer Organisation, um organization to establish policies and objectives,
Politiken, Ziele und Prozesse (3.24) zum Erreichen and processes (3.24) to achieve those objectives
dieser Ziele festzulegen

Anmerkung 1 zum Begriff: Ein Managementsystem Note 1 to entry: A management system can address a
kann eine oder mehrere Disziplinen behandeln z. B. single discipline or several disciplines, e.g. quality
Qualitätsmanagement, Finanzmanagement oder Umwelt- management, financial management or environmental
management. management.

Anmerkung 2 zum Begriff: Die Elemente des Manage- Note 2 to entry: The management system elements
mentsystems beinhalten die Struktur der Organisation, establish the organization’s structure, roles and
Rollen und Verantwortlichkeiten, Planung sowie Betrieb, responsibilities, planning, operation, policies, practices,
Politiken, Praktiken, Regeln, Überzeugungen, Ziele und rules, beliefs, objectives and processes to achieve those
Prozesse zum Erreichen dieser Ziele. objectives.

Anmerkung 3 zum Begriff: Der Anwendungsbereich Note 3 to entry: The scope of a management system
eines Managementsystems kann die ganze Organisation, can include the whole of the organization, specific and
bestimmte Funktionen der Organisation, bestimmte identified functions of the organization, specific and
Bereiche der Organisation oder eine oder mehrere identified sections of the organization, or one or more
Funktionsbereiche über eine Gruppe von Organisationen functions across a group of organizations.
hinweg umfassen.

[QUELLE: ISO 9000:2015, 3.5.3, modifiziert — [SOURCE: ISO 9000:2015, 3.5.3, modified — Note 4
Anmerkung 4 zum Begriff wurde gelöscht] to entry has been deleted]

3.19 3.19
Risiko risk
Auswirkung von Ungewissheit effect of uncertainty

Anmerkung 1 zum Begriff: Eine Auswirkung ist eine Note 1 to entry: An effect is a deviation from the
Abweichung vom Erwarteten — in positiver oder expected – positive or negative.
negativer Hinsicht.

Anmerkung 2 zum Begriff: Ungewissheit ist der Note 2 to entry: Uncertainty is the state, even partial,
Zustand des auch teilweisen Fehlens von Informationen of deficiency of information related to, understanding or
im Hinblick auf das Verständnis eines Ereignisses oder knowledge of, an event, its consequence and likelihood.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Wissen über ein Ereignis, seine Folgen und seine


Wahrscheinlichkeit.

Anmerkung 3 zum Begriff: Das Risiko wird häufig Note 3 to entry: Risk is often characterized by
durch Bezugnahme auf mögliche Ereignisse (wie nach reference to potential events (as defined in ISO Guide
ISO Guide 73:2009, 3.5.1.3, festgelegt) und Folgen (wie 73:2009, 3.5.1.3) and consequences (as defined in
nach ISO Guide 73:2009, 3.6.1.3, festgelegt) oder eine ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Kombination beider charakterisiert.

Anmerkung 4 zum Begriff: Risiko wird häufig mittels Note 4 to entry: Risk is often expressed in terms of a
der Folgen eines Ereignisses (einschließlich Verän- combination of the consequences of an event (including
derungen der Umstände) in Verbindung mit der „Wahr- changes in circumstances) and the associated likelihood
scheinlichkeit“ (wie nach ISO Guide 73:2009, 3.6.1.1, (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
festgelegt) seines Eintretens beschrieben.

[QUELLE: ISO 9000:2015, 3.7.9, modifiziert — An- [SOURCE: ISO 9000:2015, 3.7.9, modified — Notes
merkungen 5 und 6 zum Begriff wurden gelöscht] to entry 5 and 6 have been deleted]

16
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

3.20 3.20
Konformität conformity
Erfüllung einer Anforderung (3.23) fulfilment of a requirement (3.23)

[QUELLE: ISO 9000:2015, 3.6.11, modifiziert — [SOURCE: ISO 9000:2015, 3.6.11, modified —
Anmerkung 1 zum Begriff wurde gelöscht] Note 1 to entry has been deleted]

3.21 3.21
Nichtkonformität nonconformity
Fehler non-fulfilment of a requirement (3.23)
Nichterfüllung einer Anforderung (3.23)

[QUELLE: ISO 9000:2015, 3.6.9, modifiziert — [SOURCE: ISO 9000:2015, 3.6.9, modified — Note 1
Anmerkung 1 zum Begriff wurde gelöscht.] to entry has been deleted]

3.22 3.22
Kompetenz competence
Fähigkeit, Wissen und Fertigkeiten anzuwenden, ability to apply knowledge and skills to achieve
um beabsichtigte Ergebnisse zu erzielen intended results

[QUELLE: ISO 9000:2015, 3.10.4, modifiziert — [SOURCE: ISO 9000:2015, 3.10.4, modified — Notes
Anmerkungen zum Begriff gelöscht] to entry have been deleted]

3.23 3.23
Anforderung requirement
Erfordernis oder Erwartung, das oder die festge- need or expectation that is stated, generally implied
legt, üblicherweise vorausgesetzt oder verpflich- or obligatory
tend ist

Anmerkung 1 zum Begriff: „Üblicherweise vorausge- Note 1 to entry: “Generally implied” means that it is
setzt“ bedeutet, dass es für die Organisation und custom or common practice for the organization and
interessierte Parteien üblich oder allgemeine Praxis ist, interested parties that the need or expectation under
dass das entsprechende Erfordernis oder die entspre- consideration is implied.
chende Erwartung vorausgesetzt ist.

Anmerkung 2 zum Begriff: Eine festgelegte Anfor- Note 2 to entry: A specified requirement is one that is
derung ist eine, die beispielsweise in dokumentierter stated, for example in documented information.
Information enthalten ist.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

[QUELLE: ISO 9000:2015, 3.6.4, modifiziert — [SOURCE: ISO 9000:2015, 3.6.4, modified — Notes
Anmerkungen 3, 4, 5 und 6 zum Begriff wurden to entry 3, 4, 5 and 6 have been deleted]
gelöscht]

3.24 3.24
Prozess process
Satz zusammenhängender und sich gegenseitig be- set of interrelated or interacting activities that use
einflussender Tätigkeiten, der Eingaben zum Erzie- inputs to deliver an intended result
len eines vorgesehenen Ergebnisses verwendet

[QUELLE: ISO 9000:2015, 3.4.1, modifiziert — [SOURCE: ISO 9000:2015, 3.4.1, modified — Notes
Anmerkungen zum Begriff wurden gelöscht] to entry have been deleted]

17
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

3.25 3.25
Leistung performance
messbares Ergebnis measurable result

Anmerkung 1 zum Begriff: Leistung kann sich ent- Note 1 to entry: Performance can relate either to
weder auf quantitative oder qualitative Feststellungen quantitative or qualitative findings.
beziehen.

Anmerkung 2 zum Begriff: Leistung kann sich auf das Note 2 to entry: Performance can relate to the
Management von Tätigkeiten, Prozessen (3.24), Produk- management of activities, processes (3.24), products,
ten, Dienstleistungen, Systemen oder Organisationen services, systems or organizations.
beziehen.

[QUELLE: ISO 9000:2015, 3.7.8, modifiziert — [SOURCE: ISO 9000:2015, 3.7.8, modified — Note 3
Anmerkung 3 zum Begriff wurde gelöscht.] to entry has been deleted]

3.26 3.26
Wirksamkeit effectiveness
Ausmaß, in dem geplante Tätigkeiten verwirklicht extent to which planned activities are realized and
und geplante Ergebnisse erreicht werden planned results achieved

[QUELLE: ISO 9000:2015, 3.7.11, modifiziert — [SOURCE: ISO 9000:2015, 3.7.11, modified —
Anmerkung 1 zum Begriff wurde gelöscht] Note 1 to entry has been deleted]

4 Auditprinzipien 4 Principles of auditing


Das Auditieren stützt sich auf eine Reihe von Auditing is characterized by reliance on a number
Prinzipien. Diese Prinzipien sollten dazu dienen, of principles. These principles should help to make
das Audit zu einem wirksamen und zuverlässigen the audit an effective and reliable tool in support of
Werkzeug zur Unterstützung von Management- management policies and controls, by providing
politiken und -steuerungen zu machen, indem information on which an organization can act in
Informationen bereitgestellt werden, auf deren order to improve its performance. Adherence to
Grundlage eine Organisation handeln kann, um ihre these principles is a prerequisite for providing
Leistung zu verbessern. Die Einhaltung dieser Prin- audit conclusions that are relevant and sufficient,
zipien ist eine Voraussetzung, um Auditschluss- and for enabling auditors, working independently
folgerungen zu liefern, die relevant und aus- from one another, to reach similar conclusions in
reichend sind, und um unabhängig voneinander similar circumstances.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

arbeitende Auditoren zu befähigen, zu ähnlichen


Schlussfolgerungen unter ähnlichen Umständen zu
gelangen.

Die Anleitung in den Abschnitten 5 bis 7 basiert auf The guidance given in Clauses 5 to 7 is based on the
den folgenden sieben Prinzipien: seven principles outlined below.

a) Integrität: die Grundlage der Professionalität a) Integrity: the foundation of professionalism

Auditoren sowie die Person(en), die ein Audit- Auditors and the individual(s) managing an
programm steuert (steuern), sollte(n): audit programme should:

— ihre Arbeit moralisch vertretbar, mit Ehr- — perform their work ethically, with honesty
lichkeit und Verantwortung ausführen; and responsibility;

— nur Audittätigkeiten durchführen, bezüg- — only undertake audit activities if


lich derer sie Kompetenz besitzen; competent to do so;

18
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— ihre Arbeit unparteiisch ausführen, d. h. — perform their work in an impartial


sachlich und in ihren Handlungen frei von manner, i.e. remain fair and unbiased in all
Voreingenommenheit bleiben; their dealings;

— sensibel gegenüber jeglichen Einflüssen — be sensitive to any influences that may be


auf ihr Urteilsvermögen sein, die während exerted on their judgement while carrying
der Durchführung eines Audits ausgeübt out an audit.
werden können.

b) Sachliche Darstellung: die Pflicht, wahrheits- b) Fair presentation: the obligation to report
gemäß und genau zu berichten truthfully and accurately

Auditfeststellungen, Auditschlussfolgerungen Audit findings, audit conclusions and audit


und Auditberichte sollten die Audittätigkeiten reports should reflect truthfully and accurately
wahrheitsgemäß und genau widerspiegeln. the audit activities. Significant obstacles
Signifikante, während des Audits festgestellte encountered during the audit and unresolved
Hindernisse und ungelöste Meinungsverschie- diverging opinions between the audit team and
denheiten zwischen dem Auditteam und der the auditee should be reported. The
auditierten Organisation sollten berichtet communication should be truthful, accurate,
werden. Die Kommunikation sollte wahrheits- objective, timely, clear and complete.
getreu, genau, objektiv, zeitgerecht, klar und
vollständig sein.

c) Angemessene berufliche Sorgfalt: Anwendung c) Due professional care: the application of


von Sorgfalt und Urteilsvermögen beim Audi- diligence and judgement in auditing
tieren

Auditoren sollten entsprechend der Bedeutung Auditors should exercise due care in
der Aufgabe, die sie ausführen, und dem accordance with the importance of the task
Vertrauen, welches der Auditauftraggeber they perform and the confidence placed in
sowie andere interessierte Parteien in sie them by the audit client and other interested
setzen, Sorgfalt walten lassen. Ein wichtiger parties. An important factor in carrying out
Faktor bei der Ausführung ihrer Arbeit mit their work with due professional care is having
angemessener beruflicher Sorgfalt ist die the ability to make reasoned judgements in all
Fähigkeit, in allen Auditsituationen begründete audit situations.
Urteile zu fällen.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

d) Vertraulichkeit: Sicherheit von Informationen d) Confidentiality: security of information

Auditoren sollten bei der Verwendung und Auditors should exercise discretion in the use
dem Schutz von Informationen, die sie im and protection of information acquired in the
Verlaufe ihrer Aufgaben erworben haben, um- course of their duties. Audit information
sichtig sein. Auditinformationen sollten nicht should not be used inappropriately for
unangemessen zur persönlichen Bereicherung personal gain by the auditor or the audit client,
des Auditors oder des Auditauftraggebers oder or in a manner detrimental to the legitimate
in einer Weise verwendet werden, die nach- interests of the auditee. This concept includes
teilig für die berechtigten Interessen der audi- the proper handling of sensitive or confidential
tierten Organisation ist. Dieses Konzept information.
schließt den ordnungsgemäßen Umgang mit
sensiblen oder vertraulichen Informationen
ein.

e) Unabhängigkeit: die Grundlage für die Unpar- e) Independence: the basis for the impartiality of
teilichkeit des Audits sowie für die Objektivität the audit and objectivity of the audit
der Auditschlussfolgerungen conclusions

19
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Wo immer möglich, sollten Auditoren unab- Auditors should be independent of the activity
hängig von der Tätigkeit sein, die auditiert being audited wherever practicable, and
wird, und sie sollten in allen Fällen frei von should in all cases act in a manner that is free
Voreingenommenheit und Interessenkonflik- from bias and conflict of interest. For internal
ten handeln. Bei internen Audits sollten Audi- audits, auditors should be independent from
toren unabhängig von der auditierten Funktion the function being audited if practicable.
sein, sofern dies in der Praxis umsetzbar ist. Auditors should maintain objectivity through-
Die Auditoren sollten während des gesamten out the audit process to ensure that the audit
Auditprozesses Objektivität aufrechterhalten, findings and conclusions are based only on the
um sicherzustellen, dass sich die audit evidence.
Auditfeststellungen und -schlussfolgerungen
nur auf die Auditnachweise stützen.

Bei kleineren Organisationen kann es sein, dass For small organizations, it may not be possible
die internen Auditoren nicht komplett unab- for internal auditors to be fully independent of
hängig von der Tätigkeit sind, die auditiert the activity being audited, but every effort
wird; es sollten aber alle Anstrengungen unter- should be made to remove bias and encourage
nommen werden, um Voreingenommenheit zu objectivity.
beseitigen und Objektivität zu fördern.

f) Faktengestützter Ansatz: die rationale Me- f) Evidence-based approach: the rational method
thode, um zu zuverlässigen und nachvollzieh- for reaching reliable and reproducible audit
baren Auditschlussfolgerungen in einem sys- conclusions in a systematic audit process
tematischen Auditprozess zu gelangen

Auditnachweise sollten verifizierbar sein. Audit evidence should be verifiable. It should


Üblicherweise sollten sie auf Stichproben aus in general be based on samples of the
den verfügbaren Informationen beruhen, da information available, since an audit is
ein Audit während eines festgelegten Zeit- conducted during a finite period of time and
raums und mit begrenzten Ressourcen durch- with finite resources. An appropriate use of
geführt wird. Die Stichprobenahme sollte ange- sampling should be applied, since this is closely
messen erfolgen, da dies eng mit dem Ver- related to the confidence that can be placed in
trauen verbunden ist, das in die Auditschluss- the audit conclusions.
folgerungen gesetzt werden kann.

g) Risikobasierter Ansatz: ein Auditansatz, der g) Risk-based approach: an audit approach that
Risiken und Chancen berücksichtigt considers risks and opportunities
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Der risikobasierte Ansatz sollte die Planung, The risk-based approach should substantively
Durchführung und Berichterstattung von influence the planning, conducting and re-
Audits maßgeblich beeinflussen, um sicherzu- porting of audits in order to ensure that audits
stellen, dass die Audits auf die für den Audit- are focused on matters that are significant for
auftraggeber und für die Erreichung der Ziele the audit client, and for achieving the audit
des Auditprogramms relevanten Themen aus- programme objectives.
gerichtet sind.

20
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5 Steuerung eines Auditprogramms 5 Managing an audit programme


5.1 Allgemeines 5.1 General

Es sollte ein Auditprogramm erstellt werden, das An audit programme should be established which
Audits einschließen kann, die eine oder mehrere can include audits addressing one or more manage-
Managementsystem-Normen oder sonstige Anfor- ment system standards or other requirements,
derungen berücksichtigen und die entweder conducted either separately or in combination
getrennt oder kombiniert (kombiniertes Audit) (combined audit).
durchgeführt werden können.

Das Ausmaß eines Auditprogramms sollte auf der The extent of an audit programme should be based
Größe und der Art der auditierten Organisation on the size and nature of the auditee, as well as on
sowie auf der Art, Funktionalität, Komplexität, Art the nature, functionality, complexity, the type of
der Risiken und Chancen und dem Reifegrad des zu risks and opportunities, and the level of maturity of
auditierenden Managementsystems basieren. the management system(s) to be audited.

Die Funktionalität des Managementsystems kann The functionality of the management system can be
noch komplexer sein, wenn der Großteil der even more complex when most of the important
wichtigen Funktionen ausgegliedert und unter der functions are outsourced and managed under the
Leitung anderer Organisationen gesteuert wird. leadership of other organizations. Particular
Dabei muss besonders dort, wo wichtige Entschei- attention needs to be paid to where the most
dungen getroffen werden und in den Bereichen, die important decisions are made and what constitutes
die oberste Leitung des Managementsystems the top management of the management system.
darstellen, Aufmerksamkeit gewidmet werden.

Gibt es mehrere Orte/Standorte (z. B. in unter- In the case of multiple locations/sites (e.g. different
schiedlichen Ländern) oder werden wichtige countries), or where important functions are
Funktionen ausgegliedert und unter der Führung outsourced and managed under the leadership of
einer anderen Organisation gesteuert, sollte beson- another organization, particular attention should
ders auf die Gestaltung, Planung und Validierung be paid to the design, planning and validation of the
des Auditprogramms geachtet werden. audit programme.

Bei kleineren oder weniger komplexen Organisa- In the case of smaller or less complex organizations
tionen kann das Auditprogramm entsprechend the audit programme can be scaled appropriately.
skaliert werden.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Um den Kontext der auditierten Organisation zu In order to understand the context of the auditee,
verstehen, sollte das Auditprogramm Folgendes the audit programme should take into account the
bezüglich der auditierten Organisation berücksich- auditee’s:
tigen:

— die Ziele der Organisation; — organizational objectives;


— relevante externe und interne Themen; — relevant external and internal issues;
— die Erfordernisse und Erwartungen relevanter — the needs and expectations of relevant
interessierter Parteien; interested parties;
— Anforderungen an Informationssicherheit und — information security and confidentiality
Vertraulichkeit. requirements.

Die Planung interner Auditprogramme und in The planning of internal audit programmes and, in
einigen Fällen von Programmen zum Audit some cases programmes for auditing external
externer Anbieter kann so arrangiert werden, dass providers, can be arranged to contribute to other
sie zu anderen Zielen der Organisation beiträgt. objectives of the organization.

21
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) sicherstellen, dass die Integrität should ensure the integrity of the audit is
des Audits aufrechterhalten bleibt und kein maintained and that there is not undue influence
ungebührlicher Einfluss auf das Audit ausgeübt exerted over the audit.
wird.

Der Zuweisung von Ressourcen und Methoden Audit priority should be given to allocating
bezüglich Angelegenheiten in einem Management- resources and methods to matters in a manage-
system mit höherem inhärenten Risiko und nied- ment system with higher inherent risk and lower
rigerem Leistungsniveau sollte Auditpriorität gege- level of performance.
ben werden.

Die Steuerung des Auditprogramms sollte kompe- Competent individuals should be assigned to
tenten Personen übertragen werden. manage the audit programme.

Das Auditprogramm sollte Informationen einschlie- The audit programme should include information
ßen und Ressourcen identifizieren, sodass die and identify resources to enable the audits to be
Audits innerhalb des festgelegten Zeitrahmens conducted effectively and efficiently within the
wirksam und effizient durchgeführt werden kön- specified time frames. The information should
nen. Die Informationen sollten Folgendes umfassen: include:

a) Ziele für das Auditprogramm; a) objectives for the audit programme;


b) Risiken und Chancen in Verbindung mit dem b) risks and opportunities associated with the
Auditprogramm (siehe 5.3) und die Maßnah- audit programme (see 5.3) and the actions to
men zu ihrer Behandlung; address them;
c) Umfang (Ausmaß, Grenzen, Standorte) jedes c) scope (extent, boundaries, locations) of each
Audits innerhalb des Auditprogramms; audit within the audit programme;
d) Zeitplan (Anzahl/Dauer/Häufigkeit) der Au- d) schedule (number/duration/frequency) of the
dits; audits;
e) Auditarten, wie intern oder extern; e) audit types, such as internal or external;
f) Auditkriterien; f) audit criteria;
g) anzuwendende Auditmethoden; g) audit methods to be employed;
h) Auswahlkriterien für die Auditteammitglieder; h) criteria for selecting audit team members;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

i) relevante dokumentierte Information. i) relevant documented information.

Einige dieser Informationen sind möglicherweise Some of this information may not be available until
erst nach Abschluss einer detaillierteren Audit- more detailed audit planning is complete.
planung verfügbar.

Die Umsetzung des Auditprogramms sollte fort- The implementation of the audit programme
laufend überwacht und gemessen werden (siehe should be monitored and measured on an ongoing
5.6), um sicherzustellen, dass seine Ziele erreicht basis (see 5.6) to ensure its objectives have been
worden sind. Das Auditprogramm sollte überprüft achieved. The audit programme should be reviewed
werden, um eventuell erforderliche Änderungen in order to identify needs for changes and possible
und mögliche Verbesserungsmöglichkeiten zu opportunities for improvements (see 5.7).
ermitteln (siehe 5.7).

Bild 1 veranschaulicht den Prozessablauf für die Figure 1 illustrates the process flow for the
Steuerung eines Auditprogramms. management of an audit programme.

22
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

ANMERKUNG 1 Dieses Bild veranschaulicht den Zyklus Planen-Durchführen-Prüfen-Handeln in diesem Dokument.

ANMERKUNG 2 Die Nummerierung bezieht sich auf die entsprechenden Abschnitte bzw. Unterabschnitte in diesem
Dokument.

Bild 1 — Prozessablauf für die Steuerung eines Auditprogramms

23
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

NOTE 1 This Figure illustrates the application of the Plan-Do-Check-Act cycle in this document.

NOTE 2 Clause/subclause numbering refers to the relevant clauses/subclauses of this document.

Figure 1 — Process flow for the management of an audit programme

24
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.2 Festlegen der Auditprogrammziele 5.2 Establishing audit programme


objectives

Der Auditauftraggeber sollte sicherstellen, dass die The audit client should ensure that the audit
Auditprogrammziele erstellt werden, um das programme objectives are established to direct the
Planen und Durchführen der Audits zu lenken, und planning and conducting of audits and should
dass das Auditprogramm wirksam umgesetzt wird. ensure the audit programme is implemented
Die Auditprogrammziele sollten im Einklang mit effectively. Audit programme objectives should be
der strategischen Ausrichtung des Auditauftrag- consistent with the audit client’s strategic direction
gebers stehen sowie die Politik und Ziele des and support management system policy and
Managementsystems unterstützen. objectives.

Diese Ziele können auf der Berücksichtigung fol- These objectives can be based on consideration of
gender Aspekte basieren: the following:

a) Erfordernisse und Erwartungen relevanter a) needs and expectations of relevant interested


interessierter Parteien, sowohl extern als auch parties, both external and internal;
intern;

b) Merkmale von und Anforderungen an Pro- b) characteristics of and requirements for


zesse(n), Produkte(n), Dienstleistungen und processes, products, services and projects, and
Projekte(n) sowie Änderungen an diesen; any changes to them;

c) Managementsystem-Anforderungen; c) management system requirements;

d) Erfordernis der Beurteilung von externen An- d) need for evaluation of external providers;
bietern;

e) Leistungsgrad der auditierten Organisation e) auditee’s level of performance and level of


und Reifegrad des/der Managementsystems/ maturity of the management system(s), as
Managementsysteme, wie dieser sich durch reflected in relevant performance indicators
relevante Leistungsindikatoren (z. B. Schlüssel- (e.g. KPIs), the occurrence of nonconformities
leistungskennzahlen (KPIs)), das Auftreten von or incidents or complaints from interested
Nichtkonformitäten oder Vorfällen oder parties;
Beschwerden interessierter Parteien wider-
spiegelt;

f) identifizierte Risiken und Chancen für die audi- f) identified risks and opportunities to the
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

tierte Organisation; auditee;

g) Ergebnisse aus vorangegangenen Audits. g) results of previous audits.

Beispiele von Auditprogrammzielen können Fol- Examples of audit programme objectives can
gendes einschließen: include the following:

— Chancen zur Verbesserung eines Management- — identify opportunities for the improvement of
systems und dessen Leistungsfähigkeit zu a management system and its performance;
identifizieren;

— die Fähigkeit der auditierten Organisation zu — evaluate the capability of the auditee to
beurteilen, ihren Kontext zu bestimmen; determine its context;

— die Fähigkeit der auditierten Organisation zu — evaluate the capability of the auditee to
beurteilen, Risiken und Chancen zu bestimmen determine risks and opportunities and to
sowie wirksame Maßnahmen zu identifizieren identify and implement effective actions to
und durchzuführen, um sie zu behandeln; address them;

25
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— alle relevanten Anforderungen zu erfüllen, z. B. — conform to all relevant requirements, e.g.


gesetzliche und behördliche Anforderungen, statutory and regulatory requirements, com-
Compliance-Verpflichtungen, Anforderungen pliance commitments, requirements for certifi-
zur Zertifizierung nach einer Management- cation to a management system standard;
system-Norm;

— Vertrauen in die Fähigkeit eines externen An- — obtain and maintain confidence in the
bieters zu erlangen und aufrechtzuerhalten; capability of an external provider;

— Bestimmung der fortdauernden Eignung, Ange- — determine the continuing suitability, adequacy
messenheit und Wirksamkeit des Manage- and effectiveness of the auditee’s management
mentsystems der auditierten Organisation; system;

— die Kompatibilität und Abstimmung der Mana- — evaluate the compatibility and alignment of the
gementsystem-Ziele mit der strategischen management system objectives with the
Ausrichtung der Organisation zu beurteilen. strategic direction of the organization.

5.3 Bestimmung und Beurteilung der 5.3 Determining and evaluating audit
Auditprogramm-Risiken und -Chancen programme risks and opportunities

Mit dem Kontext einer auditierten Organisation There are risks and opportunities related to the
sind Risiken und Chancen verbunden, die in context of the auditee that can be associated with
Zusammenhang mit einem Auditprogramm stehen an audit programme and can affect the
und das Erreichen seiner Ziele beeinflussen achievement of its objectives. The individual(s)
können. Die Person(en), die das Auditprogramm managing the audit programme should identify and
steuert (steuern), sollte(n) die Risiken und present to the audit client the risks and
Chancen, die bei der Entwicklung des Auditpro- opportunities considered when developing the
gramms und der Ressourcenanforderungen berück- audit programme and resource requirements, so
sichtigt wurden, ermitteln und dem Auditauftrag- that they can be addressed appropriately.
geber vorlegen, damit diese angemessen behandelt
werden können.

Risiken können mit Folgendem in Verbindung There can be risks associated with the following:
stehen:

a) der Planung, z. B. das Versäumnis, relevante a) planning, e.g. failure to set relevant audit
Auditziele festzulegen und das Ausmaß, die objectives and determine the extent, number,
Anzahl, die Dauer, die Standorte und den duration, locations and schedule of the audits;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Zeitplan der Audits zu bestimmen;

b) den Ressourcen, z. B. nicht genügend Zeit, b) resources, e.g. allowing insufficient time,
Ausrüstung und/oder Schulung zur Entwick- equipment and/or training for developing the
lung des Auditprogramms bzw. zur Durchfüh- audit programme or conducting an audit;
rung des Audits einzuräumen;

c) der Auswahl des Auditteams, z. B. unzu- c) selection of the audit team, e.g. insufficient
reichende Gesamtkompetenz zur wirksamen overall competence to conduct audits effec-
Durchführung von Audits; tively;

d) der Kommunikation, z. B. unwirksame externe/ d) communication, e.g. ineffective external/inter-


interne Kommunikationsprozesse/-kanäle; nal communication processes/channels;

e) der Umsetzung, z. B. unwirksame Koordinie- e) implementation, e.g. ineffective coordination of


rung der Audits im Rahmen des Auditpro- the audits within the audit programme, or not
gramms oder fehlende Berücksichtigung von considering information security and
Informationssicherheit und Vertraulichkeit; confidentiality;

26
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

f) der Lenkung dokumentierter Information, z. B. f) control of documented information, e.g.


unwirksame Bestimmung der notwendigen ineffective determination of the necessary
dokumentierten Information, die von den documented information required by auditors
Auditoren und relevanten interessierten and relevant interested parties, failure to ade-
Parteien benötigt wird, Versäumnis, Audit- quately protect audit records to demonstrate
aufzeichnungen adäquat zu schützen, um die audit programme effectiveness;
Wirksamkeit des Auditprogramms nachzu-
weisen;

g) der Überwachung, Überprüfung und Verbesse- g) monitoring, reviewing and improving the audit
rung des Auditprogramms, z. B. unwirksame programme, e.g. ineffective monitoring of audit
Überwachung der Auditprogrammergebnisse; programme outcomes;

h) der Verfügbarkeit und Kooperation der h) availability and cooperation of auditee and
auditierten Organisation und der Verfügbarkeit availability of evidence to be sampled.
von Nachweisen, aus denen Stichproben zu
entnehmen sind.

Chancen für die Verbesserung des Auditprogramms Opportunities for improving the audit programme
können Folgendes umfassen: can include:

— die Möglichkeit, mehrere Audits anlässlich — allowing multiple audits to be conducted in a


eines Besuchs durchzuführen; single visit;

— die Minimierung der Dauer und der — minimizing time and distances travelling to
Entfernungen der Anreise zum Standort; site;

— die Anpassung des Kompetenzgrades des — matching the level of competence of the audit
Auditteams an den für die Erreichung der team to the level of competence needed to
Auditziele benötigten Kompetenzgrad; achieve the audit objectives;

— Abstimmung der Audittermine mit der Verfüg- — aligning audit dates with the availability of
barkeit der Schlüsselmitarbeiter der auditier- auditee’s key staff.
ten Organisation.

5.4 Festlegen des Auditprogramms 5.4 Establishing the audit programme

5.4.1 Rollen und Verantwortlichkeiten der 5.4.1 Roles and responsibilities of the
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Person(en), die das Auditprogramm individual(s) managing the audit


steuert (steuern) programme

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n): should:

a) das Ausmaß des Auditprogramms nach den a) establish the extent of the audit programme
betreffenden Zielen (siehe 5.2) und nach according to the relevant objectives (see 5.2)
bekannten Vorgaben festlegen; and any known constraints;

b) die externen und internen Themen sowie die b) determine the external and internal issues, and
Risiken und Chancen, die das Auditprogramm risks and opportunities that can affect the audit
beeinträchtigen können, bestimmen und Maß- programme, and implement actions to address
nahmen zu deren Berücksichtigung durch- them, integrating these actions in all relevant
führen, wobei diese Maßnahmen soweit auditing activities, as appropriate;
angemessen in alle relevanten Audittätigkeiten
integriert werden sollten;

27
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

c) die Auswahl der Auditteams und die Gesamt- c) ensuring the selection of audit teams and the
kompetenz für die Audittätigkeiten sicher- overall competence for the auditing activities
stellen, indem Rollen und Verantwortlichkeiten by assigning roles, responsibilities and
und die Kompetenzen zugewiesen sowie, authorities, and supporting leadership, as
soweit angemessen, die Führung unterstützt appropriate;
wird;

d) alle relevanten Prozesse festlegen, einschließ- d) establish all relevant processes including pro-
lich der Prozesse für: cesses for:

— die Koordinierung und Zeitplanung aller — the coordination and scheduling of all
Audits im Rahmen des Auditprogramms; audits within the audit programme;

— die Festlegung der Auditziele, des Umfangs — the establishment of audit objectives,
und der Kriterien der Audits, die Bestim- scope(s) and criteria of the audits, deter-
mung von Auditmethoden sowie die mining audit methods and selecting the
Auswahl des Auditteams; audit team;

— die Bewertung der Auditoren; — evaluating auditors;

— die Festlegung externer und interner Kom- — the establishment of external and internal
munikationsprozesse, soweit angemessen; communication processes, as appropriate;

— die Lösung von Streitigkeiten und den — the resolutions of disputes and handling of
Umgang mit Beschwerden; complaints;

— die Auditfolgemaßnahmen, soweit zutref- — audit follow-up if applicable;


fend;

— die Berichterstattung an den Auditauf- — reporting to the audit client and relevant
traggeber sowie an relevante interessierte interested parties, as appropriate.
Parteien, soweit angemessen.

e) alle notwendigen Ressourcen bestimmen und e) determine and ensure provision of all neces-
sicherstellen, dass diese bereitgestellt werden; sary resources;

f) sicherstellen, dass angemessene dokumen- f) ensure that appropriate documented infor-


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

tierte Information erstellt und aufrechterhal- mation is prepared and maintained, including
ten wird, einschließlich der Auditprogramm- audit programme records;
aufzeichnungen;

g) das Auditprogramm überwachen, überprüfen g) monitor, review and improve the audit pro-
und verbessern; gramme;

h) den Inhalt des Auditprogramms dem Auditauf- h) communicate the audit programme to the audit
traggeber und soweit angemessen den rele- client and, as appropriate, relevant interested
vanten interessierten Parteien mitteilen. parties.
Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) dessen Genehmigung durch den should request its approval by the audit client.
Auditauftraggeber anfordern.

28
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.4.2 Kompetenz der Person(en), die das 5.4.2 Competence of individual(s) managing
Auditprogramm steuert (steuern) audit programme

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) die notwendige Kompetenz should have the necessary competence to manage
besitzen, um das Programm sowie die mit diesem the programme and its associated risks and
verbundenen Risiken und Chancen sowie externen opportunities and external and internal issues
und internen Themen wirksam und effizient zu effectively and efficiently, including knowledge of:
steuern, einschließlich Kenntnissen von:

a) Auditprinzipien (siehe Abschnitt 4), -methoden a) audit principles (see Clause 4), methods and
und -prozessen (siehe A.1 und A.2); processes (see A.1 and A.2);

b) Managementsystem-Normen, sonstigen rele- b) management system standards, other relevant


vanten Normen und Referenzdokumenten/ standards and reference/guidance documents;
Anleitungen;

c) Informationen über die auditierte Organisation c) information regarding the auditee and its
und deren Kontext (z. B. externe/interne context (e.g. external/internal issues, relevant
Themen, relevante interessierte Parteien sowie interested parties and their needs and
deren Erfordernisse und Erwartungen, Ge- expectations, business activities, products,
schäftstätigkeiten, Produkte, Dienstleistungen services and processes of the auditee);
und Prozesse der auditierten Organisation);

d) geltenden gesetzlichen und behördlichen d) applicable statutory and regulatory require-


Anforderungen und anderen Anforderungen, ments and other requirements relevant to the
die für die Geschäftstätigkeit der zu auditierten business activities of the auditee.
Organisation relevant sind.

Soweit angemessen können Kenntnisse bezüglich As appropriate, knowledge of risk management,


Risikomanagement, Projekt- und Prozessmanage- project and process management, and information
ment sowie Informations- und Kommunikations- and communications technology (ICT) may be
technik (IKT) berücksichtigt werden. considered.

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) in Tätigkeiten zur angemes- should engage in appropriate continual develop-
senen ständigen fachlichen Entwicklung eingebun- ment activities to maintain the necessary compe-
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

den sein, um die notwendige Kompetenz zur tence to manage the audit programme.
Steuerung des Auditprogramms aufrecht zu
erhalten.

5.4.3 Festlegen des Ausmaßes des 5.4.3 Establishing extent of audit programme
Auditprogramms

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) das Ausmaß des Auditpro- should determine the extent of the audit
gramms bestimmen. Dies kann in Abhängigkeit von programme. This can vary depending on the
den Informationen in Bezug auf den Kontext der information provided by the auditee regarding its
auditierten Organisation variieren (siehe 5.3). context (see 5.3).

ANMERKUNG In bestimmten Fällen, in Abhängigkeit NOTE In certain cases, depending on the auditee's
von der Struktur der auditierten Organisation bzw. deren structure or its activities, the audit programme might
Tätigkeiten, kann das Auditprogramm nur aus einem only consist of a single audit (e.g. a small project or
einzelnen Audit bestehen (z. B. ein kleines Projekt oder organization).
eine kleine Organisation).

29
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Andere Faktoren, die das Ausmaß eines Audit- Other factors impacting the extent of an audit
programms beeinflussen, können Folgendes ein- programme can include the following:
schließen:

a) Ziel, Umfang und Dauer eines jeden Audits a) the objective, scope and duration of each audit
sowie die Anzahl der Audits, die durchzuführen and the number of audits to be conducted,
sind, die Berichterstattungsmethode und, reporting method and, if applicable, audit
soweit zutreffend, Auditfolgetätigkeiten; follow up;
b) Managementsystem-Normen oder andere b) the management system standards or other
anwendbare Kriterien; applicable criteria;
c) Anzahl, Bedeutung, Komplexität, Gleichartig- c) the number, importance, complexity, similarity
keit und Standorte der zu auditierenden and locations of the activities to be audited;
Tätigkeiten;
d) solche Faktoren, die die Wirksamkeit des d) those factors influencing the effectiveness of
Managementsystems beeinflussen; the management system;
e) anwendbare Auditkriterien, wie geplante Fest- e) applicable audit criteria, such as planned
legungen bezüglich der relevanten Manage- arrangements for the relevant management
mentsystem-Normen, der gesetzlichen und system standards, statutory and regulatory
behördlichen Anforderungen sowie weiterer requirements and other requirements to which
Anforderungen, gegenüber denen die Organi- the organization is committed;
sation verpflichtet ist;
f) Ergebnisse früherer interner oder externer f) results of previous internal or external audits
Audits und Managementbewertungen, falls and management reviews, if appropriate;
angemessen;
g) Ergebnisse aus einer vorhergehenden Über- g) results of a previous audit programme review;
prüfung des Auditprogramms;
h) Sprache, kulturelle und soziale Themen; h) language, cultural and social issues;
i) die Anliegen interessierter Parteien, wie z. B. i) the concerns of interested parties, such as
Kundenbeschwerden, Non-Compliance mit customer complaints, non-compliance with
gesetzlichen und behördlichen Anforderungen statutory and regulatory requirements and
sowie weiteren Anforderungen, gegenüber other requirements to which the organization
denen die Organisation verpflichtet ist, oder is committed, or supply chain issues;
Themen, die die Lieferkette betreffen;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

j) bedeutsame Änderungen des Kontextes der j) significant changes to the auditee’s context or
auditierten Organisation oder ihrer Tätigkeiten its operations and related risks and oppor-
und damit verbundene Risiken und Chancen; tunities;
k) Verfügbarkeit von Informations- und Kommu- k) availability of information and communication
nikationstechniken zur Unterstützung der technologies to support audit activities, in
Audittätigkeiten, insbesondere der Verwen- particular the use of remote audit methods
dung von Fernauditmethoden (siehe A.16); (see A.16);
l) das Auftreten interner und externer Ereignisse, l) the occurrence of internal and external events,
wie z. B. Nichtkonformität von Produkten oder such as nonconformities of products or service,
Dienstleistungen, Informationssicherheits- information security leaks, health and safety
lücken, Vorfälle im Arbeits- und Gesundheits- incidents, criminal acts or environmental
schutz, Straftaten oder Umweltschadensfälle; incidents;
m) Geschäftsrisiken und -chancen, einschließlich m) business risks and opportunities, including
Maßnahmen, mit ihnen umzugehen. actions to address them.

30
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.4.4 Bestimmen von 5.4.4 Determining audit programme resources


Auditprogrammressourcen

Beim Bestimmen von Ressourcen für das Audit- When determining resources for the audit
programm sollte(n) die Person(en), die das Audit- programme, the individual(s) managing the audit
programm steuert (steuern), Folgendes berück- programme should consider:
sichtigen:

a) die finanziellen und zeitlichen Ressourcen, die a) the financial and time resources necessary to
notwendig sind, um die Audittätigkeiten zu develop, implement, manage and improve
entwickeln, durchzuführen, zu steuern und zu audit activities;
verbessern;

b) die Auditmethoden (siehe A.1); b) audit methods (see A.1);

c) die Verfügbarkeit (einzeln und insgesamt) von c) the individual and overall availability of audi-
Auditoren und Sachkundigen mit einer für die tors and technical experts having competence
Auditprogrammziele angemessenen Kompe- appropriate to the particular audit programme
tenz; objectives;

d) das Ausmaß des Auditprogramms (siehe 5.4.3) d) the extent of the audit programme (see 5.4.3)
und der Auditprogramm-Risiken und -Chancen and audit programme risks and opportunities
(siehe 5.3); (see 5.3);

e) Reisezeit und -kosten, Unterbringung und e) travel time and cost, accommodation and other
sonstige Erfordernisse für das Auditieren; auditing needs;

f) der Einfluss unterschiedlicher Zeitzonen; f) the impact of different time zones;

g) die Verfügbarkeit von Informations- und g) the availability of information and commu-
Kommunikationstechnik (z. B. technische nication technologies (e.g. technical resources
Ressourcen, die für die Einrichtung eines Fern- required to set up a remote audit using
audits mithilfe von Technologien für die Zu- technologies that support remote collabora-
sammenarbeit aus der Ferne erforderlich tion);
sind);

h) die Verfügbarkeit jeglicher Werkzeuge, Tech- h) the availability of any tools, technology and
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

nologie und Geräte, die erforderlich sind; equipment required;

i) die Verfügbarkeit notwendiger dokumentierter i) the availability of necessary documented infor-


Information, wie im Rahmen der Erstellung des mation, as determined during the establish-
Auditprogramms bestimmt (siehe A.5); ment of the audit programme (see A.5);

j) die Anforderungen in Bezug auf die Anlage j) requirements related to the facility, including
einschließlich Sicherheitsüberprüfungen und any security clearances and equipment (e.g.
Schutzausrüstung (z. B. Sicherheitsermittlun- background checks, personal protective
gen, persönliche Schutzausrüstung, Fähigkeit, equipment, ability to wear clean room attire).
Reinraumkleidung zu tragen).

31
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.5 Umsetzen des Auditprogramms 5.5 Implementing audit programme

5.5.1 Allgemeines 5.5.1 General

Sobald das Auditprogramm erstellt wurde (siehe Once the audit programme has been established
5.4.3) und verbundene Ressourcen bestimmt (see 5.4.3) and related resources have been
wurden (siehe 5.4.4), ist es notwendig, dass die determined (see 5.4.4) it is necessary to implement
operative Planung und die Koordinierung aller the operational planning and the coordination of all
Tätigkeiten im Rahmen des Programms umgesetzt the activities within the programme.
wird.

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n): should:

a) die relevanten Teile des Auditprogramms, a) communicate the relevant parts of the audit
einschließlich der dazugehörigen Risiken und programme, including the risks and oppor-
Chancen, an die betroffenen interessierten tunities involved, to relevant interested parties
Parteien kommunizieren und sie periodisch and inform them periodically of its progress,
mithilfe eingeführter externer und interner using established external and internal com-
Kommunikationskanäle über dessen Fort- munication channels;
schritt informieren;

b) die Ziele, den Umfang und die Kriterien für b) define objectives, scope and criteria for each
jedes einzelne Audit festlegen; individual audit;

c) die Auditmethoden auswählen (siehe A.1); c) select audit methods (see A.1);

d) die Audits sowie andere Tätigkeiten im Zu- d) coordinate and schedule audits and other
sammenhang mit dem Auditprogramm koordi- activities relevant to the audit programme;
nieren und zeitlich planen;

e) sicherstellen, dass die Auditteams über die e) ensure the audit teams have the necessary
notwendige Kompetenz verfügen (siehe 5.5.4); competence (see 5.5.4);

f) den Auditteams die notwendigen individuellen f) provide necessary individual and overall
und allgemeinen Ressourcen bereitstellen resources to the audit teams (see 5.4.4);
(siehe 5.4.4);

g) sicherstellen, dass die Audits nach dem Audit- g) ensure the conduct of audits in accordance
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

programm durchgeführt werden und dabei alle with the audit programme, managing all
sich während der Umsetzung des Programms operational risks, opportunities and issues (i.e.
ergebenden operativen Risiken, Chancen und unexpected events), as they arise during the
Themen (d. h. unerwartete Ereignisse) steuern; deployment of the programme;

h) sicherstellen, dass relevante dokumentierte h) ensure relevant documented information


Information über die Audittätigkeiten ord- regarding the auditing activities is properly
nungsgemäß verwaltet und aufrechterhalten managed and maintained (see 5.5.7);
wird (siehe 5.5.7);

i) die operativen Steuerungen (siehe 5.6), die für i) define and implement the operational controls
die Überwachung des Auditprogramms (see 5.6) necessary for audit programme
notwendig sind, festlegen und umsetzen; monitoring;

j) das Auditprogramm überprüfen, um Chancen j) review the audit programme in order to


zu dessen Verbesserung zu ermitteln (siehe identify opportunities for its improvement (see
5.7). 5.7).

32
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.5.2 Festlegen der Ziele, des Umfangs und der 5.5.2 Defining the objectives, scope and
Kriterien für ein einzelnes Audit criteria for an individual audit

Jedes einzelne Audit sollte auf festgelegten Each individual audit should be based on defined
Auditzielen, einem festgelegten Auditumfang sowie audit objectives, scope and criteria. These should
festgelegten Auditkriterien basieren. Diese sollten be consistent with the overall audit programme
im Einklang mit den allgemeinen Auditprogramm- objectives.
zielen stehen.

Die Auditziele legen fest, was durch das einzelne The audit objectives define what is to be accom-
Audit zu erreichen ist, und können Folgendes plished by the individual audit and may include the
beinhalten: following:

a) Bestimmung des Konformitätsgrades des zu a) determination of the extent of conformity of


auditierenden Managementsystems oder Teile the management system to be audited, or parts
desselben mit den Auditkriterien; of it, with audit criteria;

b) Beurteilung der Fähigkeit des Managementsys- b) evaluation of the capability of the management
tems, die Organisation bei der Erfüllung gesetz- system to assist the organization in meeting
licher und behördlicher Anforderungen und relevant statutory and regulatory require-
anderer Anforderungen, denen gegenüber die ments and other requirements to which the
Organisation verpflichtet ist, zu unterstützen; organization is committed;

c) Beurteilung der Wirksamkeit des Manage- c) evaluation of the effectiveness of the manage-
mentsystems bei der Erzielung seiner ange- ment system in meeting its intended results;
strebten Ergebnisse;

d) Ermitteln von Chancen zur möglichen Verbes- d) identification of opportunities for potential
serung des Managementsystems; improvement of the management system;

e) Beurteilung der Eignung und Angemessenheit e) evaluation of the suitability and adequacy of
des Managementsystems in Bezug auf den the management system with respect to the
Kontext und die strategische Ausrichtung der context and strategic direction of the auditee;
auditierten Organisation;

f) Beurteilung der Fähigkeit des Management- f) evaluation of the capability of the management
systems, Ziele festzulegen und zu erreichen system to establish and achieve objectives and
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

und mit Risiken und Chancen in einem sich effectively address risks and opportunities, in a
wandelnden Kontext, einschließlich der Um- changing context, including the implementa-
setzung der damit verbundenen Maßnahmen, tion of the related actions.
wirksam umzugehen.

Der Auditumfang sollte dem Auditprogramm sowie The audit scope should be consistent with the audit
den Auditzielen entsprechen. Er umfasst solche programme and audit objectives. It includes such
Faktoren wie zu auditierende Standorte, Funk- factors as locations, functions, activities and
tionen, Tätigkeiten und Prozesse sowie die Dauer, processes to be audited, as well as the time period
über die sich das Audit erstreckt. covered by the audit.

Die Auditkriterien werden als Referenz verwendet, The audit criteria are used as a reference against
nach welcher die Konformität bestimmt wird. Sie which conformity is determined. These may include
können einen oder mehrere der folgenden Punkte one or more of the following: applicable policies,
umfassen: zutreffende Politiken, Prozesse, processes, procedures, performance criteria
Verfahren, Leistungskriterien, einschließlich Zielen, including objectives, statutory and regulatory
gesetzlicher und behördlicher Anforderungen, requirements, management system requirements,
Managementsystemanforderungen, Informationen information regarding the context and the risks and
bezüglich des Kontextes und der Risiken und opportunities as determined by the auditee

33
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Chancen, wie durch die zu auditierte Organisation (including relevant external/internal interested
bestimmt (einschließlich relevanter parties requirements), sector codes of conduct or
externer/interner Anforderungen interessierter other planned arrangements.
Parteien), Verhaltenskodizes für die Branche oder
anderer geplanter Vereinbarungen.

Wenn Veränderungen an den Auditzielen, dem In the event of any changes to the audit objectives,
Umfang oder den Kriterien vorgenommen werden, scope or criteria, the audit programme should be
sollte das Auditprogramm, wenn notwendig, modified if necessary and communicated to
entsprechend modifiziert und, falls angemessen zur interested parties, for approval if appropriate.
Genehmigung, den interessierten Parteien
mitgeteilt werden.

Wird mehr als eine Disziplin gleichzeitig auditiert, When more than one discipline is being audited at
ist es wichtig, dass Auditziele, -umfang sowie -kri- the same time it is important that the audit
terien mit den zutreffenden Auditprogrammen für objectives, scope and criteria are consistent with
die jeweilige Disziplin im Einklang stehen. Der the relevant audit programmes for each discipline.
Umfang einiger Disziplinen kann den der gesamten Some disciplines can have a scope that reflects the
Organisation widerspiegeln, andere können einen whole organization and others can have a scope
Umfang haben, der lediglich eine Teilmenge der that reflects a subset of the whole organization.
gesamten Organisation widerspiegelt.

5.5.3 Auswählen und Bestimmen der 5.5.3 Selecting and determining audit methods
Auditmethoden

Um das Audit wirksam und effizient durchzuführen, The individual(s) managing the audit programme
sollte(n) die Person(en), die das Auditprogramm should select and determine the methods for
steuert (steuern), die Methoden für das Audit in effectively and efficiently conducting an audit,
Abhängigkeit von den festgelegten Auditzielen, dem depending on the defined audit objectives, scope
festgelegten Auditumfang und den festgelegten and criteria.
Auditkriterien auswählen und bestimmen.

Audits können vor Ort, aus der Ferne oder in einer Audits can be performed on-site, remotely or as a
Kombination aus beidem durchgeführt werden. Der combination. The use of these methods should be
Einsatz dieser Methoden sollte angemessen ausge- suitably balanced, based on, among others,
wogen sein, unter anderem auf Grundlage der consideration of associated risks and opportunities.
Berücksichtigung der damit verbundenen Risiken
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

und Chancen.

Wenn zwei oder mehrere auditierende Organisatio- Where two or more auditing organizations conduct
nen ein gemeinschaftliches Audit derselben Organi- a joint audit of the same auditee, the individuals
sation durchführen, so sollten sich die Personen, managing the different audit programmes should
die die unterschiedlichen Auditprogramme steuern, agree on the audit methods and consider
über die Auditmethoden einigen sowie Auswir- implications for resourcing and planning the audit.
kungen auf die Auditressourcen und die Planung If an auditee operates two or more management
des Audits berücksichtigen. Wenn eine auditierte systems of different disciplines, combined audits
Organisation zwei oder mehrere Management- may be included in the audit programme.
systeme unterschiedlicher Disziplinen betreibt,
können kombinierte Audits in das Auditprogramm
aufgenommen werden.

34
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.5.4 Auswählen der Auditteammitglieder 5.5.4 Selecting audit team members

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) die Mitglieder des Auditteams, should appoint the members of the audit team,
einschließlich des Auditteamleiters, sowie Sach- including the team leader and any technical experts
kundige, die für das spezifische Audit benötigt needed for the specific audit.
werden, benennen.

Ein Auditteam sollte ausgewählt werden, wobei die An audit team should be selected, taking into
für das Erreichen der Ziele der einzelnen, bestimm- account the competence needed to achieve the
ten Audits erforderliche Kompetenz innerhalb des objectives of the individual audit within the defined
festgelegten Bereichs berücksichtigt wird. Wenn es scope. If there is only one auditor, the auditor
nur einen Auditor gibt, sollte dieser alle zutreffen- should perform all applicable duties of an audit
den Verpflichtungen eines Auditteamleiters wahr- team leader.
nehmen.

ANMERKUNG Abschnitt 7 enthält eine Anleitung zur NOTE Clause 7 contains guidance on determining
Bestimmung der Kompetenz, die für die Auditteam- the competence required for the audit team members
mitglieder erforderlich ist, und beschreibt die Prozesse and describes the processes for evaluating auditors.
zur Bewertung von Auditoren.

Um die Gesamtkompetenz des Auditteams sicher- To assure the overall competence of the audit team,
zustellen, sollten folgende Schritte durchgeführt the following steps should be performed:
werden:

— Ermittlung der Kompetenz, die zur Erreichung — identification of the competence needed to
der Auditziele benötigt wird; achieve the objectives of the audit;

— Auswahl der Auditteammitglieder, sodass die — selection of the audit team members so that
notwendige Kompetenz im Auditteam the necessary competence is present in the
vorhanden ist. audit team.

Wenn über die Größe und Zusammensetzung des In deciding the size and composition of the audit
Auditteams für das spezifische Audit entschieden team for the specific audit, consideration should be
wird, sollte Folgendes in Erwägung gezogen given to the following:
werden:

a) die Gesamtkompetenz des Auditteams, die a) the overall competence of the audit team
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

benötigt wird, um die Auditziele unter Berück- needed to achieve audit objectives, taking into
sichtigung des Auditumfangs und der -kriterien account audit scope and criteria;
zu erreichen;
b) die Komplexität des Audits; b) complexity of the audit;
c) ob es sich bei dem Audit um ein kombiniertes c) whether the audit is a combined or joint audit;
oder ein gemeinschaftliches Audit handelt;
d) die Auditmethoden, die gewählt wurden; d) the selected audit methods;
e) Sicherstellung der Objektivität und Unpartei- e) ensuring objectivity and impartiality to avoid
lichkeit, um Interessenkonflikte im Auditpro- any conflict of interest of the audit process;
zess zu vermeiden;
f) die Fähigkeit der Auditteammitglieder, wirk- f) the ability of the audit team members to work
sam mit den Vertretern der auditierten Orga- and interact effectively with the representa-
nisation und mit relevanten interessierten tives of the auditee and relevant interested
Parteien zu interagieren und zusammen- parties;
zuarbeiten;

35
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

g) die relevanten externen/internen Themen, wie g) the relevant external/internal issues, such as
die Sprache während des Audits sowie die the language of the audit, and the auditee’s
sozialen und kulturellen Merkmale der audi- social and cultural characteristics. These issues
tierten Organisation. Diese Themen können may be addressed either by the auditor's own
entweder mittels Sachkenntnis des Auditors skills or through the support of a technical
selbst oder durch Unterstützung durch einen expert, also considering the need for
Sachkundigen unter Berücksichtigung der interpreters;
Notwendigkeit von Dolmetschern behandelt
werden;

h) die Art und Komplexität der zu auditierenden h) type and complexity of the processes to be
Prozesse. audited.

Wo angemessen, sollte(n) die Person(en), die das Where appropriate, the individual(s) managing the
Auditprogramm steuert (steuern), sich mit dem audit programme should consult the team leader
Teamleiter bezüglich der Zusammensetzung des on the composition of the audit team.
Auditteams beraten.

Wenn die notwendige Kompetenz durch die If the necessary competence is not covered by the
Auditoren im Auditteam nicht abgedeckt wird, soll- auditors in the audit team, technical experts with
ten Sachkundige mit zusätzlicher Kompetenz zur additional competence should be made available to
Unterstützung des Teams zur Verfügung gestellt support the team.
werden.

Auditoren in Ausbildung können in das Auditteam Auditors-in-training may be included in the audit
mit einbezogen werden, sollten aber unter der team, but should participate under the direction
Führung und Anleitung eines Auditors teilnehmen. and guidance of an auditor.

Es kann notwendig sein, während des Audits die Changes to the composition of the audit team may
Zusammensetzung des Auditteams zu ändern, be necessary during the audit, e.g. if a conflict of
wenn z. B. ein Interessenkonflikt oder Kompetenz- interest or competence issue arises. If such a
probleme entstehen. Wenn eine solche Situation situation arises, it should be resolved with the
entsteht, sollte sie mit den entsprechenden Par- appropriate parties (e.g. audit team leader, the
teien (z. B. dem Auditteamleiter, der(den) Per- individual(s) managing the audit programme, audit
son(en), die das Auditprogramm steuert (steuern), client or auditee) before any changes are made.
dem Auditauftraggeber oder der auditierten Orga-
nisation) geklärt werden, bevor jegliche Änderung
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

vorgenommen wird.

5.5.5 Zuweisen der Verantwortung für ein 5.5.5 Assigning responsibility for an individual
einzelnes Audit an den Auditteamleiter audit to the audit team leader

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) einem Auditteamleiter die Ver- should assign the responsibility for conducting the
antwortung für die Durchführung des einzelnen individual audit to an audit team leader.
Audits zuweisen.

Die Zuweisung sollte rechtzeitig vor dem geplanten The assignment should be made in sufficient time
Auditzeitpunkt erfolgen, damit eine wirksame before the scheduled date of the audit, in order to
Planung des Audits sichergestellt wird. ensure the effective planning of the audit.

36
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Um eine wirksame Durchführung des einzelnen To ensure effective conduct of the individual audits,
Audits sicherzustellen, sollten dem Auditteamleiter the following information should be provided to the
die folgenden Informationen übermittelt werden: audit team leader:

a) Auditziele; a) audit objectives;

b) Auditkriterien, einschließlich aller relevanten b) audit criteria and any relevant documented
dokumentierten Information; information;

c) Auditumfang, einschließlich Kennzeichnung c) audit scope, including identification of the


der zu auditierenden Organisation und ihrer organization and its functions and processes to
Funktionen und Prozesse; be audited;

d) Auditprozesse und damit verbundene Metho- d) audit processes and associated methods;
den;

e) Zusammensetzung des Auditteams; e) composition of the audit team;

f) Kontaktdaten der auditierten Organisation, die f) contact details of the auditee, the locations,
Standorte, Zeitrahmen und Dauer der Audit- time frame and duration of the audit activities
tätigkeiten, die durchzuführen sind; to be conducted;

g) zur Durchführung des Audits notwendige g) resources necessary to conduct the audit;
Ressourcen;

h) Informationen, die zur Bewertung und Behand- h) information needed for evaluating and
lung ermittelter Risiken und Chancen in Bezug addressing identified risks and opportunities
auf die Erreichung der Auditziele benötigt to the achievement of the audit objectives;
werden;

i) Informationen, die den/die Auditteamleiter bei i) information which supports the audit team
seinen/ihren Interaktionen mit der auditierten leader(s) in their interactions with the auditee
Organisation für die Wirksamkeit des for the effectiveness of the audit programme.
Auditprogramms unterstützen.

Die Informationen bezüglich der Zuweisung sollten, The assignment information should also cover the
soweit zutreffend, auch Folgendes erfassen: following, as appropriate:
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— die Arbeits- und Berichtssprache des Audits, — working and reporting language of the audit
wenn diese von der Sprache des Auditors oder where this is different from the language of the
der auditierten Organisation bzw. von beiden auditor or the auditee, or both;
abweicht;

— die erforderlichen Ergebnisse des — audit reporting output as required and to


Auditberichts sowie an wen dieser zu verteilen whom it is to be distributed;
ist;

— Angelegenheiten in Bezug auf Vertraulichkeit — matters related to confidentiality and infor-


und Informationssicherheit, wie durch das mation security, as required by the audit
Auditprogramm gefordert; programme;

— sämtliche gesundheits-, sicherheits- und — any health, safety and environmental arrange-
umweltrelevanten Vorkehrungen für die ments for the auditors;
Auditoren;
— Anforderungen in Bezug auf Reisen oder — requirements for travel or access to remote

37
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Zugang zu fernen Standorten; sites;

— jegliche Anforderungen bezüglich Sicherheit — any security and authorization requirements;


und Bevollmächtigung;

— alle zu überprüfenden Maßnahmen, z. B. Folge- — any actions to be reviewed, e.g. follow-up


maßnahmen aus einem früheren Audit; actions from a previous audit;

— Koordinierung mit anderen Audittätigkeiten, — coordination with other audit activities, e.g.
z. B. wenn verschiedene Teams ähnliche oder when different teams are auditing similar or
zugehörige Prozesse an anderen Standorten related processes at different locations or in
auditieren oder im Falle eines gemeinschaft- the case of a joint audit.
lichen Audits.

Wenn ein gemeinschaftliches Audit durchgeführt Where a joint audit is conducted, it is important to
wird, ist es wichtig, vor Auditbeginn zwischen den reach agreement among the organizations
Organisationen, die die Audits durchführen, eine conducting the audits, before the audit commences,
Einigung bezüglich der spezifischen Verantwort- on the specific responsibilities of each party,
lichkeiten jeder Partei zu erzielen, insbesondere im particularly with regard to the authority of the
Hinblick auf die Befugnis des Teamleiters, der für team leader appointed for the audit.
das Audit benannt ist.

5.5.6 Steuerung der Ergebnisse eines 5.5.6 Managing audit programme results
Auditprogramms

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) sicherstellen, dass die folgenden should ensure that the following activities are
Tätigkeiten durchgeführt werden: performed:

a) Beurteilung der Erreichung der Ziele für jedes a) evaluation of the achievement of the objectives
Audit im Rahmen des Auditprogramms; for each audit within the audit programme;

b) Überprüfung und Freigabe der Auditberichte in b) review and approval of audit reports regarding
Bezug auf die Erfüllung des Auditumfangs und the fulfilment of the audit scope and objectives;
der Auditziele;

c) Überprüfung der Wirksamkeit der c) review of the effectiveness of actions taken to


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Maßnahmen, die ergriffen wurden, um die address audit findings;


Auditfeststellungen zu berücksichtigen;

d) Verteilung der Auditberichte an relevante d) distribution of audit reports to relevant


interessierte Parteien; interested parties;

e) Bestimmung der Notwendigkeit nachfolgender e) determination of the necessity for any follow-
Audittätigkeiten. up audit.

Die Person(en), die das Auditprogramm steuert The individual managing the audit programme
(steuern), sollte(n) Folgendes berücksichtigen, wo should consider, where appropriate:
zutreffend:

— anderen Bereichen der Organisation die Audit- — communicating audit results and best practices
ergebnisse und die besten Praktiken mitzu- to other areas of the organization, and
teilen sowie

— die Folgen für andere Prozesse. — the implications for other processes.

38
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.5.7 Verwalten und Aufrechterhalten von 5.5.7 Managing and maintaining audit
Aufzeichnungen zu Auditprogrammen programme records

Um die Umsetzung des Auditprogramms nach- The individual(s) managing the audit programme
zuweisen, sollte(n) die Person(en), die das Audit- should ensure that audit records are generated,
programm steuert (steuern), sicherstellen, dass managed and maintained to demonstrate the
Auditaufzeichnungen erzeugt, gelenkt und auf- implementation of the audit programme. Processes
rechterhalten werden. Prozesse sollten festgelegt should be established to ensure that any
werden, um sicherzustellen, dass alle informations- information security and confidentiality needs
sicherheits- und vertraulichkeitsbezogenen Erfor- associated with the audit records are addressed.
dernisse, die mit den Auditaufzeichnungen
zusammenhängen, behandelt werden.

Die Aufzeichnungen können Folgendes umfassen: Records can include the following:

a) Aufzeichnungen, die sich auf das Auditpro- a) Records related to the audit programme, such
gramm beziehen, wie z. B.: as:

— Zeitpläne von Audits; — schedule of audits;

— Auditprogrammziele und -ausmaß; — audit programme objectives and extent;

— solche, die die Risiken und Chancen des — those addressing audit programme risks
Auditprogramms sowie relevante externe and opportunities, and relevant external
und interne Themen behandeln; and internal issues;

— Überprüfungen der Wirksamkeit des — reviews of the audit programme effective-


Auditprogramms. ness.

b) Aufzeichnungen in Bezug auf jedes einzelne b) Records related to each audit, such as:
Audit, wie z. B.:

— Auditpläne und Auditberichte; — audit plans and audit reports;

— objektive Auditnachweise und -feststel- — objective audit evidence and findings;


lungen;

— Berichte zu Nichtkonformitäten; — nonconformity reports;


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— Berichte zu Korrekturen und Korrektur- — corrections and corrective action reports;


maßnahmen;

— Berichte zu Auditfolgemaßnahmen. — audit follow-up reports.

c) Aufzeichnungen, die sich auf das Auditteam c) Records related to the audit team covering
beziehen und Themen abdecken wie z. B.: topics such as:

— Kompetenz- und Leistungsbeurteilung der — competence and performance evaluation


Mitglieder des Auditteams; of the audit team members;

— Kriterien für die Auswahl der Auditteams — criteria for the selection of audit teams
und Teammitglieder sowie die Bildung and team members and formation of audit
von Auditteams; teams;

— Aufrechterhaltung und Verbesserung der — maintenance and improvement of compe-


Kompetenz. tence.

39
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Die Form und der Detaillierungsgrad der Aufzeich- The form and level of detail of the records should
nungen sollten aufzeigen, dass die Auditprogramm- demonstrate that the objectives of the audit
ziele erreicht worden sind. programme have been achieved.

5.6 Überwachen des Auditprogramms 5.6 Monitoring audit programme

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) die Beurteilung von Folgendem should ensure the evaluation of:
sicherstellen:

a) ob Zeitpläne eingehalten und die Ziele des a) whether schedules are being met and audit
Auditprogramms erreicht werden; programme objectives are being achieved;

b) der Leistung der Auditteammitglieder ein- b) the performance of the audit team members
schließlich des Auditteamleiters und der Sach- including the audit team leader and the
kundigen; technical experts;

c) der Eignung der Auditteams, den Auditplan c) the ability of the audit teams to implement the
umzusetzen; audit plan;

d) des Feedbacks von Auditauftraggebern, audi- d) feedback from audit clients, auditees, auditors,
tierten Organisationen, Auditoren, Sachkun- technical experts and other relevant parties;
digen sowie weiterer relevanter Parteien;

e) der Zulänglichkeit und Angemessenheit doku- e) sufficiency and adequacy of documented


mentierter Information im gesamten Audit- information in the whole audit process.
prozess.

Einige Faktoren können einen Änderungsbedarf Some factors can indicate the need to modify the
des Auditprogramms anzeigen. Diese können audit programme. These can include changes to:
Änderungen an folgenden Punkten umfassen:

— Auditfeststellungen; — audit findings;

— nachgewiesenen Wirksamkeits- und — demonstrated level of auditee’s management


Reifegraden des Managementsystems der system effectiveness and maturity;
auditierten Organisation;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— Wirksamkeit des Auditprogramms; — effectiveness of the audit programme;

— Auditumfang oder Umfang des Auditpro- — audit scope or audit programme scope;
gramms;

— Managementsystem der auditierten Organisa- — the auditee’s management system;


tion;

— Normen und anderen Anforderungen, gegen- — standards, and other requirements to which
über denen die Organisation verpflichtet ist; the organization is committed;

— externen Anbietern; — external providers;

— identifizierten Interessenkonflikten; — identified conflicts of interest;

— Anforderungen des Auditauftraggebers. — the audit client’s requirements.

40
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

5.7 Überprüfen und Verbessern des 5.7 Reviewing and improving audit
Auditprogramms programme

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), und der Auditauftraggeber sollte(n) das and the audit client should review the audit
Auditprogramm überprüfen, um einzuschätzen, ob programme to assess whether its objectives have
dessen Ziele erreicht worden sind. Lehren, die aus been achieved. Lessons learned from the audit
der Überprüfung des Auditprogramms gezogen programme review should be used as inputs for the
wurden, sollten als Eingaben für die Verbesserung improvement of the programme.
des Programms genutzt werden.

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) Folgendes sicherstellen: should ensure the following:

— Überprüfung der Gesamtdurchführung des — review of the overall implementation of the


Auditprogramms; audit programme;
— Identifikation von Bereichen für und Möglich- — identification of areas and opportunities for
keiten zu Verbesserungen; improvement;
— Vornehmen von Änderungen am Auditpro- — application of changes to the audit programme
gramm, falls notwendig; if necessary;
— Überprüfung der fortlaufenden fachlichen Ent- — review of the continual professional develop-
wicklung der Auditoren, in Übereinstimmung ment of auditors, in accordance with 7.6;
mit 7.6;
— Mitteilung der Ergebnisse des Auditpro- — reporting of the results of the audit programme
gramms und Überprüfung mit dem Auditauf- and review with the audit client and relevant
traggeber und relevanten interessierten interested parties, as appropriate.
Parteien, soweit angemessen.

Bei der Überprüfung des Auditprogramms sollte The audit programme review should consider the
Folgendes berücksichtigt werden: following:

a) Ergebnisse und Tendenzen aus der Über- a) results and trends from audit programme
wachung des Auditprogramms; monitoring;
b) Konformität mit den Prozessen des Auditpro- b) conformity with audit programme processes
gramms und mit relevanter dokumentierter and relevant documented information;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Information;
c) sich abzeichnende Erfordernisse und Erwar- c) evolving needs and expectations of relevant
tungen relevanter interessierter Parteien; interested parties;
d) Auditprogrammaufzeichnungen; d) audit programme records;
e) alternative oder neue Auditmethoden; e) alternative or new auditing methods;
f) alternative oder neue Methoden, um die f) alternative or new methods to evaluate
Auditoren zu beurteilen; auditors;
g) Wirksamkeit der Maßnahmen, um die Risiken g) effectiveness of the actions to address the risks
und Chancen zu behandeln sowie die internen and opportunities, and internal and external
und externen Themen, die mit dem issues associated with the audit programme;
Auditprogramm zusammenhängen;
h) Themen zur Vertraulichkeit und Informations- h) confidentiality and information security issues
sicherheit in Bezug auf das Auditprogramm. relating to the audit programme.

41
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6 Durchführen eines Audits 6 Conducting an audit


6.1 Allgemeines 6.1 General

Dieser Abschnitt enthält eine Anleitung zur This clause contains guidance on preparing and
Vorbereitung und Durchführung eines spezifischen conducting a specific audit as part of an audit
Audits als Teil eines Auditprogramms. Bild 2 gibt programme. Figure 2 provides an overview of the
einen Überblick über die in einem typischen Audit activities performed in a typical audit. The extent to
durchgeführten Tätigkeiten. Das Ausmaß, für das which the provisions of this clause are applicable
die Bestimmungen dieses Abschnitts gelten, hängt depends on the objectives and scope of the specific
von den Zielen und dem Umfang des spezifischen audit.
Audits ab.

6.2 Veranlassen des Audits 6.2 Initiating audit

6.2.1 Allgemeines 6.2.1 General

Die Verantwortlichkeit zur Durchführung des The responsibility for conducting the audit should
Audits sollte so lange beim zugeordneten Audit- remain with the assigned audit team leader (see
teamleiter (siehe 5.5.5) bleiben, bis das Audit 5.5.5) until the audit is completed (see 6.6).
abgeschlossen ist (siehe 6.6).

Um ein Audit zu veranlassen, sollten die Schritte in To initiate an audit, the steps in Figure 1 should be
Bild 1 berücksichtigt werden, jedoch kann die Ab- considered; however, the sequence can differ
folge in Abhängigkeit von der auditierten Organi- depending on the auditee, processes and specific
sation, den Prozessen und den spezifischen Um- circumstances of the audit.
ständen des Audits abweichen.

6.2.2 Herstellen des Kontakts mit der 6.2.2 Establishing contact with auditee
auditierten Organisation

Der Auditteamleiter sollte sicherstellen, dass mit The audit team leader should ensure that contact is
der auditierten Organisation Kontakt aufgenom- made with the auditee to:
men wird, um:

a) Kommunikationskanäle mit den Vertretern der a) confirm communication channels with the
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

auditierten Organisation zu bestätigen; auditee’s representatives;

b) die Befugnis zur Durchführung des Audits zu b) confirm the authority to conduct the audit;
bestätigen;

c) relevante Informationen über die Auditziele, c) provide relevant information on the audit
den Auditumfang, die Auditkriterien, die Audit- objectives, scope, criteria, methods and audit
methoden und die Zusammensetzung des team composition, including any technical
Auditteams einschließlich der Sachkundigen experts;
bereitzustellen;

d) Zugang zu relevanten Informationen für Plan- d) request access to relevant information for
ungszwecke, einschließlich Informationen über planning purposes including information on
die Risiken und Chancen, die die Organisation the risks and opportunities the organization
identifiziert hat und wie sie behandelt werden, has identified and how they are addressed;
anzufordern;

42
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

e) geltende gesetzliche und behördliche e) determine applicable statutory and regulatory


Anforderungen und weitere Anforderungen in requirements and other requirements relevant
Bezug auf die Tätigkeiten, Prozesse, Produkte to the activities, processes, products and
und Dienstleistungen der auditierten services of the auditee;
Organisation zu bestimmen;

f) die Vereinbarung mit der auditierten Organi- f) confirm the agreement with the auditee
sation hinsichtlich des Ausmaßes der Offen- regarding the extent of the disclosure and the
legung sowie der Handhabung vertraulicher treatment of confidential information;
Informationen zu bestätigen;

g) Vorkehrungen für das Audit, einschließlich der g) make arrangements for the audit including the
Zeitplanung, zu treffen; schedule;

h) jede standortspezifische Vorkehrung bezüglich h) determine any location-specific arrangements


Zugang, Gesundheit und Arbeitsschutz, Sicher- for access, health and safety, security,
heit, Vertraulichkeit sowie weitere Vorkeh- confidentiality or other;
rungen zu bestimmen;

i) sich bezüglich der Anwesenheit von Beob- i) agree on the attendance of observers and the
achtern und der Notwendigkeit von Betreuern need for guides or interpreters for the audit
oder Dolmetschern für das Auditteam zu team;
einigen;

j) alle Bereiche, die für die auditierte Organi- j) determine any areas of interest, concern or
sation in Bezug auf das spezifische Audit von risks to the auditee in relation to the specific
Interesse, bedenklich oder riskant sind, zu audit;
bestimmen;

k) Themen in Bezug auf die Zusammensetzung k) resolve issues regarding composition of the
des Auditteams mit der auditierten Organi- audit team with the auditee or audit client.
sation oder dem Auditauftraggeber zu klären.

6.2.3 Bestimmen der Durchführbarkeit des 6.2.3 Determining feasibility of audit


Audits

Die Durchführbarkeit des Audits sollte bestimmt The feasibility of the audit should be determined to
werden, um angemessenes Vertrauen zu erzeugen, provide reasonable confidence that the audit
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

dass die Auditziele erreicht werden können. objectives can be achieved.

Die Bestimmung der Durchführbarkeit sollte Fakto- The determination of feasibility should take into
ren wie die Verfügbarkeit folgender Punkte berück- consideration factors such as the availability of the
sichtigen: following:

a) ausreichende und angemessene Informationen a) sufficient and appropriate information for


für das Planen und Durchführen des Audits; planning and conducting the audit;

b) adäquate Kooperation seitens der auditierten b) adequate cooperation from the auditee;
Organisation;

c) adäquate Zeit und Ressourcen für das c) adequate time and resources for conducting
Durchführen des Audits. the audit.

ANMERKUNG Die Ressourcen umfassen den Zugang NOTE Resources include access to adequate and
zu adäquater und angemessener Informations- und appropriate information and communication technology.
Kommunikationstechnologie.

43
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Wenn das Audit nicht durchführbar ist, sollte dem Where the audit is not feasible, an alternative
Auditauftraggeber in Absprache mit der auditierten should be proposed to the audit client, in
Organisation eine Alternative vorgeschlagen wer- agreement with the auditee.
den.

6.3 Vorbereiten der Audittätigkeiten 6.3 Preparing audit activities

6.3.1 Durchführen der Überprüfung der 6.3.1 Performing review of documented


dokumentierten Information information

Die relevante dokumentierte Information des The relevant management system documented
Managementsystems der auditierten Organisation information of the auditee should be reviewed in
sollte überprüft werden, um: order to:

— Informationen zu sammeln, um die Tätigkeiten — gather information to understand the auditee’s


der auditierten Organisation zu verstehen und operations and to prepare audit activities and
die Audittätigkeiten sowie die zutreffenden applicable audit work documents (see 6.3.4),
Arbeitsdokumente für das Audit vorzubereiten e.g. on processes, functions;
(siehe 6.3.4), z. B. über Prozesse, Funktionen;

— einen Überblick zum Ausmaß der dokumen- — establish an overview of the extent of the
tierten Information zu erstellen, um mögliche documented information to determine possible
Konformität bezüglich der Auditkriterien zu conformity to the audit criteria and detect
bestimmen und mögliche Problembereiche zu possible areas of concern, such as deficiencies,
erkennen, wie etwa Mängel, Unterlassungen omissions or conflicts.
oder Konflikte.

Die dokumentierte Information sollte die Doku- The documented information should include, but
mente und Aufzeichnungen des Management- not be limited to: management system documents
systems sowie die Berichte aus früheren Audits and records, as well as previous audit reports. The
umfassen, aber nicht darauf beschränkt sein. Die review should take into account the context of the
Überprüfung sollte den Kontext der auditierten auditee’s organization, including its size, nature and
Organisation, einschließlich deren Größe, Art und complexity, and its related risks and opportunities.
Komplexität, und die damit verbundenen Risiken It should also take into account the audit scope,
und Chancen berücksichtigen. Sie sollte auch den criteria and objectives.
Auditumfang, die Auditkriterien und die Auditziele
berücksichtigen.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

ANMERKUNG Eine Anleitung zur Verifizierung der NOTE Guidance on how to verify information is
Informationen befindet sich in A.5. provided in A.5.

6.3.2 Planung des Audits 6.3.2 Audit planning

6.3.2.1 Risikobasierter Ansatz der Planung 6.3.2.1 Risk-based approach to planning

Der Auditteamleiter sollte einen risikobasierten The audit team leader should adopt a risk-based
Ansatz für die Planung des Audits auf der approach to planning the audit based on the
Grundlage der Informationen im Auditprogramm information in the audit programme and the
und der von der auditierten Organisation documented information provided by the auditee.
bereitgestellten dokumentierten Information
verfolgen.

Die Auditplanung sollte die Risiken der Audit- Audit planning should consider the risks of the
tätigkeiten bezüglich der Prozesse der auditierten audit activities on the auditee’s processes and
Organisation berücksichtigen und die Grundlage für provide the basis for the agreement among the

44
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

die Übereinkunft zwischen dem Auditauftraggeber, audit client, audit team and the auditee regarding
dem Auditteam und der auditierten Organisation the conduct of the audit. Planning should facilitate
bezüglich der Durchführung des Audits bilden. Die the efficient scheduling and coordination of the
Planung sollte die effiziente Zeitplanung und audit activities in order to achieve the objectives
Koordinierung der Audittätigkeiten erleichtern, um effectively.
die Ziele wirksam zu erreichen.

Die Menge der Einzelheiten im Auditplan sollte den The amount of detail provided in the audit plan
Umfang und die Komplexität des Audits wider- should reflect the scope and complexity of the
spiegeln sowie auch das Risiko, die Auditziele nicht audit, as well as the risk of not achieving the audit
zu erreichen. Bei der Planung des Audits sollte der objectives. In planning the audit, the audit team
Auditteamleiter folgende Dinge berücksichtigen: leader should consider the following:

a) die Zusammensetzung des Auditteams sowie a) the composition of the audit team and its
dessen Gesamtkompetenz; overall competence;

b) die entsprechenden Stichprobenverfahren b) the appropriate sampling techniques (see A.6);


(siehe A.6);

c) die Möglichkeiten zur Verbesserung der Wirk- c) opportunities to improve the effectiveness and
samkeit und Effizienz der Audittätigkeiten; efficiency of the audit activities;

d) die Risiken für die Erreichung der Auditziele, d) the risks to achieving the audit objectives
die durch eine nicht wirksame Auditplanung created by ineffective audit planning;
erzeugt werden;

e) die Risiken für die auditierte Organisation, die e) the risks to the auditee created by performing
durch die Durchführung des Audits erzeugt the audit.
werden.

Risiken für die auditierte Organisation können sich Risks to the auditee can result from the presence of
aus der Anwesenheit von Mitgliedern des Audit- the audit team members adversely influencing the
teams ergeben, die die Vorkehrungen der audi- auditee’s arrangements for health and safety,
tierten Organisation für Gesundheit und Arbeits- environment and quality, and its products, services,
schutz, Umwelt und Qualität sowie deren Produkte, personnel or infrastructure (e.g. contamination in
Dienstleistungen, Personal oder Infrastruktur nega- clean room facilities).
tiv beeinflussen (z. B. Kontamination in Rein-
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

räumen).

Bei kombinierten Audits sollte besonderes Augen- For combined audits, particular attention should be
merk auf die Wechselwirkungen zwischen given to the interactions between operational
operativen Prozessen und konkurrierenden Zielen processes and any competing objectives and
und Prioritäten der verschiedenen Manage- priorities of the different management systems.
mentsysteme gerichtet werden.

6.3.2.2 Details zur Auditplanung 6.3.2.2 Audit planning details

Skalierung und Inhalt der Auditplanung können The scale and content of the audit planning can
variieren, z. B. zwischen Erstaudit und Folgeaudits differ, for example, between initial and subsequent
und auch zwischen internen und externen Audits. audits, as well as between internal and external
Die Auditplanung sollte flexibel genug sein, um audits. Audit planning should be sufficiently flexible
Änderungen, die mit fortschreitenden Audittätig- to permit changes which can become necessary as
keiten notwendig werden können, zu gestatten. the audit activities progress.

45
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Die Auditplanung sollte Folgendes umfassen oder Audit planning should address or reference the
sich darauf beziehen: following:

a) die Auditziele; a) the audit objectives;

b) den Auditumfang, einschließlich der b) the audit scope, including identification of the
Identifizierung der Organisation und ihrer organization and its functions, as well as
Funktionen sowie der zu auditierenden processes to be audited;
Prozesse;

c) die Auditkriterien einschließlich aller c) the audit criteria and any reference docu-
referenzierten dokumentierten Information; mented information;

d) die Standorte (physische und virtuelle), Ter- d) the locations (physical and virtual), dates,
mine, erwarteten Auditzeiten sowie erwartete expected time and duration of audit activities
Dauer der durchzuführenden Audittätigkeiten, to be conducted, including meetings with the
einschließlich Besprechungen mit der Leitung auditee’s management;
der auditierten Organisation;

e) die Notwendigkeit für das Auditteam, sich mit e) the need for the audit team to familiarize
den Einrichtungen und Prozessen der auditier- themselves with auditee’s facilities and
ten Organisation vertraut zu machen (z. B. processes (e.g. by conducting a tour of physical
durch einen Rundgang durch den/die location(s), or reviewing information and
physischen Standort(e) oder Überprüfung von communication technology);
Informations- und Kommunikationstechnik);

f) die zu verwendenden Auditmethoden, ein- f) the audit methods to be used, including the
schließlich des Ausmaßes der Audit- extent to which audit sampling is needed to
stichproben, das erforderlich ist, um hin- obtain sufficient audit evidence;
reichende Auditnachweise zu erzielen;

g) die Rollen und Verantwortlichkeiten der Audit- g) the roles and responsibilities of the audit team
teammitglieder sowie von Betreuern und members, as well as guides and observers or
Beobachtern oder Dolmetschern; interpreters;

h) die Zuweisung entsprechender Ressourcen auf h) the allocation of appropriate resources based
der Grundlage der Berücksichtigung der upon consideration of the risks and
Risiken und Chancen im Zusammenhang mit opportunities related to the activities that are
den zu auditierenden Tätigkeiten. to be audited.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Die Auditplanung sollte Folgendes abdecken, Audit planning should take into account, as
soweit angemessen: appropriate:

— die Benennung des Vertreters/der Vertreter — identification of the auditee’s representative(s)


der auditierten Organisation für das Audit; for the audit;

— die Arbeits- und Berichtssprache des Audits, — the working and reporting language of the
wenn diese sich von der Sprache des Auditors audit where this is different from the language
bzw. der auditierten Organisation oder von of the auditor or the auditee or both;
beiden unterscheidet;

— die Themen des Auditberichts; — the audit report topics;

— Vereinbarungen, die die Logistik und Kommu- — logistics and communications arrangements,
nikation betreffen, einschließlich spezifischer including specific arrangements for the loca-
Vereinbarungen für die zu auditierenden tions to be audited;
Standorte;

46
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— alle besonderen Maßnahmen, die zu treffen — any specific actions to be taken to address risks
sind, um das Risiko bezüglich des Erreichens to achieving the audit objectives and
der Auditziele und der sich ergebenden Chan- opportunities arising;
cen zu behandeln;

— Angelegenheiten, die sich auf die Vertraulich- — matters related to confidentiality and informa-
keit und Informationssicherheit beziehen; tion security;

— alle Folgemaßnahmen aus einem vorange- — any follow-up actions from a previous audit or
gangenen Audit oder weiteren Quellen, z. B. other source(s) e.g. lessons learned, project
Lehren, die aus dem Audit gezogen wurden, reviews;
Projektbewertungen;

— alle Folgemaßnahmen in Bezug auf das ge- — any follow-up activities to the planned audit;
plante Audit;

— Koordinierung mit anderen Audittätigkeiten, — coordination with other audit activities, in case
im Falle eines gemeinschaftlichen Audits. of a joint audit.

Auditpläne sollten der auditierten Organisation Audit plans should be presented to the auditee. Any
vorgelegt werden. Alle Themen bezüglich des issues with the audit plans should be resolved
Ergebnisses der Auditpläne sollten zwischen dem between the audit team leader, the auditee and, if
Auditteamleiter, der auditierten Organisation und, necessary, the individual(s) managing the audit
falls notwendig, der (den) Person(en), die das programme.
Auditprogramm steuert (steuern), geklärt werden.

6.3.3 Zuweisen von Arbeit an das Auditteam 6.3.3 Assigning work to audit team

Der Auditteamleiter sollte in Absprache mit dem The audit team leader, in consultation with the
Auditteam jedem Teammitglied Verantwortung für audit team, should assign to each team member
das Auditieren spezifischer Prozesse, Tätigkeiten, responsibility for auditing specific processes,
Funktionen oder Standorte und, sofern angemes- activities, functions or locations and, as appropri-
sen, die Befugnis für das Treffen von Entschei- ate, authority for decision-making. Such assign-
dungen zuweisen. Solche Zuweisungen sollten die ments should take into account the impartiality and
Unparteilichkeit, Objektivität und Kompetenz der objectivity and competence of auditors and the
Auditoren und den wirksamen Gebrauch von effective use of resources, as well as different roles
Ressourcen sowie die unterschiedlichen Rollen und and responsibilities of auditors, auditors-in-
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Verantwortlichkeiten der Auditoren, Auditoren in training and technical experts.


Ausbildung und Sachkundigen berücksichtigen.

Besprechungen des Auditteams sollten, sofern Audit team meetings should be held, as appropri-
angemessen, vom Auditteamleiter abgehalten ate, by the audit team leader in order to allocate
werden, um Aufgaben zuzuteilen und über work assignments and decide possible changes.
mögliche Änderungen zu entscheiden. Um die Changes to the work assignments can be made as
Auditziele zu erreichen, können mit fortschreiten- the audit progresses in order to ensure the
dem Audit Änderungen an den Aufgabenzu- achievement of the audit objectives.
teilungen vorgenommen werden.

47
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.3.4 Vorbereiten dokumentierter 6.3.4 Preparing documented information for


Information für das Audit audit

Die Mitglieder des Auditteams sollten die Infor- The audit team members should collect and review
mationen sammeln und überprüfen, die für ihre the information relevant to their audit assignments
Auditaufträge relevant sind und unter Verwendung and prepare documented information for the audit,
angemessener Medien dokumentierte Information using any appropriate media. The documented
für das Audit vorbereiten. Die dokumentierte Infor- information for the audit can include but is not
mation für das Audit kann Folgendes beinhalten, ist limited to:
aber nicht darauf beschränkt:

a) physische oder digitale Checklisten; a) physical or digital checklists;

b) Details zur Auditstichprobenahme; b) audit sampling details;

c) audiovisuelle Informationen. c) audio visual information.

Durch den Gebrauch dieser Medien sollte das The use of these media should not restrict the
Ausmaß der Audittätigkeiten nicht eingeschränkt extent of audit activities, which can change as a
werden, welche sich aufgrund der Informationen, result of information collected during the audit.
die während des Audits gesammelt werden, ändern
können.

ANMERKUNG Eine Anleitung zur Erstellung von NOTE Guidance on preparing audit work
Arbeitsdokumenten für das Audit findet sich in A.13. documents is given in A.13.

Dokumentierte Information, die für das Audit Documented information prepared for, and
vorbereitet wird und aus dem Audit herrührt, sollte resulting from, the audit should be retained at least
zumindest so lange aufbewahrt werden, bis das until audit completion, or as specified in the audit
Audit abgeschlossen ist bzw. wie im Audit- programme. Retention of documented information
programm festgelegt. Die Aufbewahrung der after audit completion is described in 6.6.
dokumentierten Information nach Abschluss des Documented information created during the audit
Audits wird in 6.6 beschrieben. Dokumentierte process involving confidential or proprietary
Information, die während des Auditprozesses information should be suitably safeguarded at all
erzeugt wird und vertrauliche oder unter- times by the audit team members.
nehmenseigene Informationen enthält, sollte von
den Auditteammitgliedern jederzeit entsprechend
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

gesichert werden.

6.4 Durchführen von Audittätigkeiten 6.4 Conducting audit activities

6.4.1 Allgemeines 6.4.1 General

Audittätigkeiten werden üblicherweise, wie in Audit activities are normally conducted in a defined
Bild 1 angegeben, in einer festgelegten Reihenfolge sequence as indicated in Figure 1. This sequence
durchgeführt. Um den Umständen spezifischer may be varied to suit the circumstances of specific
Audits zu entsprechen, kann diese Reihenfolge audits.
verändert werden.

48
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.4.2 Zuweisen von Rollen und Verantwort- 6.4.2 Assigning roles and responsibilities of
lichkeiten von Betreuern und guides and observers
Beobachtern

Betreuer und Beobachter können das Auditteam Guides and observers may accompany the audit
mit Genehmigungen seitens des Auditteamleiters, team with approvals from the audit team leader,
des Auditauftraggebers und/oder, falls erforderlich, audit client and/or auditee, if required. They should
der auditierten Organisation begleiten. Sie sollten not influence or interfere with the conduct of the
die Auditdurchführung weder beeinflussen noch audit. If this cannot be assured, the audit team
behindern. Wenn dies nicht sichergestellt werden leader should have the right to deny observers
kann, sollte der Auditteamleiter das Recht haben, from being present during certain audit activities.
Beobachtern die Teilnahme an bestimmten Audit-
tätigkeiten zu verweigern.

Für Beobachter sollten alle Regelungen für Zugang, For observers, any arrangements for access, health
Gesundheit und Arbeitsschutz, Umweltschutz, and safety, environmental, security and confiden-
Sicherheit und Vertraulichkeit zwischen dem Audit- tiality should be managed between the audit client
auftraggeber und der auditierten Organisation and the auditee.
vereinbart werden.

Betreuer, die von der auditierten Organisation Guides, appointed by the auditee, should assist the
benannt werden, sollten das Auditteam unter- audit team and act on the request of the audit team
stützen und auf Anfrage des Auditteamleiters oder leader or the auditor to which they have been
des Auditors handeln, welchem sie zugewiesen assigned. Their responsibilities should include the
wurden. Ihre Verantwortlichkeiten sollten Folgen- following:
des einschließen:

a) Unterstützung der Auditoren bei der Auswahl a) assisting the auditors in identifying individuals
von Personen für die Teilnahme an Befra- to participate in interviews and confirming
gungen sowie Bestätigung der Zeitpläne und timings and locations;
Standorte;

b) Zugang zu bestimmten Standorten der audi- b) arranging access to specific locations of the
tierten Organisation schaffen; auditee;

c) Sicherstellung, dass die Regeln bezüglich c) ensuring that rules concerning location-
standortspezifischer Vereinbarungen für Zu- specific arrangements for access, health and
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

gang, Gesundheit und Arbeitsschutz, Umwelt- safety, environmental, security, confidentiality


schutz, Sicherheit, Vertraulichkeit und andere and other issues are known and respected by
Themen den Auditteammitgliedern und Beob- the audit team members and observers and
achtern bekannt sind und von diesen beachtet any risks are addressed;
werden sowie dass jegliche Risiken behandelt
werden;

d) Beobachtung des Audits im Auftrag der audi- d) witnessing the audit on behalf of the auditee,
tierten Organisation, wenn angemessen; when appropriate;

e) Beitragen zur Klärung von Fragen bzw. Unter- e) providing clarification or assisting in collecting
stützung beim Sammeln von Informationen information, when needed.
leisten, wenn erforderlich.

49
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.4.3 Durchführen der Eröffnungsbesprechung 6.4.3 Conducting opening meeting

Der Zweck der Eröffnungsbesprechung ist: The purpose of the opening meeting is to:

a) die Zustimmung aller Teilnehmer (z. B. der zu a) confirm the agreement of all participants (e.g.
auditierten Organisation, des Auditteams) zum auditee, audit team) to the audit plan;
Auditplan zu bestätigen;

b) das Auditteam und seine Rollen vorzustellen; b) introduce the audit team and their roles;

c) sicherzustellen, dass alle geplanten Audittätig- c) ensure that all planned audit activities can be
keiten durchgeführt werden können. performed.

Eine Eröffnungsbesprechung sollte mit der Leitung An opening meeting should be held with the
der auditierten Organisation und wo angemessen auditee’s management and, where appropriate,
mit den Verantwortlichen für die zu auditierenden those responsible for the functions or processes to
Funktionen und Prozesse geführt werden. Während be audited. During the meeting, an opportunity to
der Besprechung sollte die Möglichkeit eingeräumt ask questions should be provided.
werden, Fragen zu stellen.

Inwieweit ins Detail gegangen wird, sollte im The degree of detail should be consistent with the
Einklang damit stehen, inwieweit die auditierte familiarity of the auditee with the audit process. In
Organisation mit dem Auditprozess vertraut ist. In many instances, e.g. internal audits in a small
vielen Fällen, z. B. bei internen Audits in einer organization, the opening meeting may simply
kleinen Organisation, kann die Eröffnungsbespre- consist of communicating that an audit is being
chung einfach aus der Mitteilung, dass ein Audit conducted and explaining the nature of the audit.
durchgeführt wird, sowie einer Erklärung der Art
des Audits bestehen.

Bei anderen Auditsituationen kann die Bespre- For other audit situations, the meeting may be
chung formal sein, und Aufzeichnungen zur An- formal and records of attendance should be
wesenheit sollten aufbewahrt werden. Den Vorsitz retained. The meeting should be chaired by the
bei der Besprechung sollte der Auditteamleiter audit team leader.
haben.

Die Vorstellung von Folgendem sollte berück- Introduction of the following should be considered,
sichtigt werden, soweit angemessen: as appropriate:
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— anderer Teilnehmer, einschließlich der Beob- — other participants, including observers and
achter und Betreuer, Dolmetscher sowie einer guides, interpreters and an outline of their
Kurzdarstellung ihrer Rollen; roles;

— der Auditmethoden zur Steuerung der Risiken — the audit methods to manage risks to the
für die Organisation, die aus der Anwesenheit organization which may result from the
der Auditteammitglieder entstehen können. presence of the audit team members.

Die Bestätigung folgender Punkte sollte berück- Confirmation of the following items should be
sichtigt werden, soweit angemessen: considered, as appropriate:

— der Auditziele, des Auditumfangs und der — the audit objectives, scope and criteria;
Auditkriterien;

50
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— des Auditplans und weiterer relevanter Ver- — the audit plan and other relevant arrange-
einbarungen mit der auditierten Organisation, ments with the auditee, such as the date and
wie z. B. Datum und Uhrzeit für die Abschluss- time for the closing meeting, any interim
besprechung, alle Zwischenbesprechungen meetings between the audit team and the
zwischen dem Auditteam und der Leitung der auditee’s management, and any change(s)
auditierten Organisation und alle erforder- needed;
lichen Änderungen;

— der formalen Kommunikationskanäle zwischen — formal communication channels between the


dem Auditteam und der auditierten Organi- audit team and the auditee;
sation;

— der Sprache, die während des Audits zu ver- — the language to be used during the audit;
wenden ist;

— des Informierthaltens der auditierten Organi- — the auditee being kept informed of audit
sation während des Audits über den Auditfort- progress during the audit;
gang;

— der Verfügbarkeit der vom Auditteam be- — the availability of the resources and facilities
nötigten Ressourcen und Einrichtungen; needed by the audit team;

— der Angelegenheiten, die sich auf die Vertrau- — matters relating to confidentiality and informa-
lichkeit und Informationssicherheit beziehen; tion security;

— der relevanten Regelungen für Zugang, — relevant access, health and safety, security,
Gesundheit und Arbeitsschutz, Sicherheit und emergency and other arrangements for the
Notfälle sowie anderer Regelungen für das audit team;
Auditteam;

— der Aktivitäten vor Ort, die sich auf die — activities on site that can impact the conduct of
Durchführung des Audits auswirken können. the audit.

Die Bereitstellung von Informationen zu folgenden The presentation of information on the following
Punkten sollte berücksichtigt werden, soweit items should be considered, as appropriate:
angemessen:
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— Methode der Berichterstattung von Audit- — the method of reporting audit findings
feststellungen einschließlich, sofern vorhan- including criteria for grading, if any;
den, Kriterien für die Klassifizierung;

— Bedingungen, die zum Abbruch des Audits — conditions under which the audit may be
führen können; terminated;

— Umgang mit möglichen Feststellungen wäh- — how to deal with possible findings during the
rend des Audits; audit;

— jedes System für Feedback von der auditierten — any system for feedback from the auditee on
Organisation bezüglich Feststellungen oder the findings or conclusions of the audit,
Schlussfolgerungen des Audits, einschließlich including complaints or appeals.
Beschwerden oder Einsprüchen.

51
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.4.4 Kommunikation während des Audits 6.4.4 Communicating during audit

Während des Audits kann es notwendig sein, During the audit, it may be necessary to make
formelle Regelungen für die Kommunikation inner- formal arrangements for communication within the
halb des Auditteams sowie mit der auditierten audit team, as well as with the auditee, the audit
Organisation, dem Auditauftraggeber sowie even- client and potentially with external interested
tuell mit externen interessierten Parteien (z. B. parties (e.g. regulators), especially where statutory
Behörden) zu treffen, insbesondere dort, wo die and regulatory requirements require mandatory
zwingende Meldung von Nichtkonformitäten durch reporting of nonconformities.
gesetzliche und behördliche Anforderungen gefor-
dert wird.

Das Auditteam sollte in regelmäßigen Abständen The audit team should confer periodically to
Rücksprache halten, um Informationen auszu- exchange information, assess audit progress and
tauschen, den Fortgang des Audits zu bewerten reassign work between the audit team members, as
und, falls notwendig, Aufgaben unter den needed.
Mitgliedern des Auditteams neu zu verteilen.

Während des Audits sollte der Auditteamleiter in During the audit, the audit team leader should
regelmäßigen Abständen der auditierten Organisa- periodically communicate the progress, any
tion und, soweit angemessen, dem Auditauftrag- significant findings and any concerns to the auditee
geber den Fortgang des Audits, alle wesentlichen and audit client, as appropriate. Evidence collected
Feststellungen sowie etwaige Probleme mitteilen. during the audit that suggests an immediate and
Nachweise, die beim Audit gesammelt werden und significant risk should be reported without delay to
die auf ein unmittelbares und signifikantes Risiko the auditee and, as appropriate, to the audit client.
hinweisen, sollten der auditierten Organisation Any concern about an issue outside the audit scope
und, soweit angemessen, dem Auditauftraggeber should be noted and reported to the audit team
unverzüglich mitgeteilt werden. Jegliche Bedenken leader, for possible communication to the audit
zu Themen, die außerhalb des Auditumfangs liegen, client and auditee.
sollten vermerkt und dem Auditteamleiter zur
möglichen Weiterleitung an den Auditauftraggeber
und die auditierte Organisation mitgeteilt werden.

Wo die verfügbaren Auditnachweise darauf hin- Where the available audit evidence indicates that
weisen, dass die Auditziele nicht erreichbar sind, the audit objectives are unattainable, the audit
sollte der Auditteamleiter dem Auditauftraggeber team leader should report the reasons to the audit
und der auditierten Organisation die Gründe dafür client and the auditee to determine appropriate
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

mitteilen, um angemessene Maßnahmen zu bestim- action. Such action may include changes to audit
men. Solche Maßnahmen können Änderungen der planning, the audit objectives or audit scope, or
Auditplanung, der Auditziele oder des Auditum- termination of the audit.
fangs oder die Beendigung des Audits einschließen.

Alle notwendigen Änderungen am Auditplan, die Any need for changes to the audit plan which may
sich mit fortschreitenden Audittätigkeiten abzeich- become apparent as auditing activities progress
nen können, sollten, soweit angemessen, sowohl should be reviewed and accepted, as appropriate,
durch die Person(en), die das Auditprogramm by both the individual(s) managing the audit
steuert (steuern), als auch durch den Auditauftrag- programme and the audit client, and presented to
geber überprüft und akzeptiert und der auditierten the auditee.
Organisation vorgelegt werden.

52
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.4.5 Verfügbarkeit von und Zugriff auf 6.4.5 Audit information availability and access
Auditinformationen

Die Auditmethoden, die für ein Audit gewählt The audit methods chosen for an audit depend on
werden, hängen von den festgelegten Auditzielen, the defined audit objectives, scope and criteria, as
dem Auditumfang und den Auditkriterien sowie der well as duration and location. The location is where
Auditdauer und dem Standort ab. Der Standort ist the information needed for the specific audit
der Ort, an dem die für eine spezifische Audit- activity is available to the audit team. This may
tätigkeit notwendigen Informationen dem Audit- include physical and virtual locations.
team zur Verfügung stehen. Dies kann sich auf
physische und virtuelle Orte beziehen.

Wo, wann und wie auf die Auditinformationen Where, when and how to access audit information
zugegriffen wird, ist für das Audit entscheidend. is crucial to the audit. This is independent of where
Dies ist unabhängig davon, wo die Informationen the information is created, used and/or stored.
erstellt, verwendet und/oder gespeichert werden. Based on these issues, the audit methods need to be
Auf der Grundlage dieser Themen sind die Audit- determined (see Table A.1). The audit can use a
methoden zu bestimmen (siehe Tabelle A.1). Das mixture of methods. Also, audit circumstances may
Audit kann eine Mischung von Methoden verwen- mean that the methods need to change during the
den. Die Auditumstände können auch dazu führen, audit.
dass sich die Methoden während des Audits ändern
müssen.

6.4.6 Überprüfen der dokumentierten 6.4.6 Reviewing documented information


Information während der Durchführung while conducting audit
des Audits

Die relevante dokumentierte Information der The auditee’s relevant documented information
auditierten Organisation sollte überprüft werden, should be reviewed to:
um:
— die Konformität des Systems, soweit dokumen- — determine the conformity of the system, as far
tiert, mit den Auditkriterien zu bestimmen; as documented, with audit criteria;

— Informationen zur Unterstützung der Audit- — gather information to support the audit
tätigkeiten zu sammeln. activities.

ANMERKUNG Eine Anleitung zur Verifizierung der NOTE Guidance on how to verify information is
Informationen befindet sich in A.5. provided in A.5.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Die Überprüfung kann mit den anderen Audit- The review may be combined with the other audit
tätigkeiten verbunden und während des gesamten activities and may continue throughout the audit,
Audits fortgesetzt werden, sofern sich dies nicht providing this is not detrimental to the
nachteilig auf die Wirksamkeit der Auditdurch- effectiveness of the conduct of the audit.
führung auswirkt.

Falls innerhalb des im Auditplan angegebenen Zeit- If adequate documented information cannot be
raums keine adäquate dokumentierte Information provided within the time frame given in the audit
zur Verfügung gestellt werden kann, sollte der plan, the audit team leader should inform both the
Auditteamleiter sowohl die Person(en), die das individual(s) managing the audit programme and
Auditprogramm steuert (steuern), als auch die the auditee. Depending on the audit objectives and
auditierte Organisation darüber in Kenntnis setzen. scope, a decision should be made as to whether the
In Abhängigkeit von den Auditzielen und dem audit should be continued or suspended until
Auditumfang sollte entschieden werden, ob das documented information concerns are resolved.
Audit weitergeführt oder ausgesetzt werden sollte,
bis die Bedenken bezüglich der dokumentierten
Information geklärt wurden.

53
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.4.7 Sammeln und Verifizieren von 6.4.7 Collecting and verifying information
Informationen

Im Verlaufe des Audits sollten Informationen, die During the audit, information relevant to the audit
für die Auditziele, den Auditumfang sowie die objectives, scope and criteria, including information
Auditkriterien relevant sind, einschließlich Infor- relating to interfaces between functions, activities
mationen, die sich auf Schnittstellen zwischen and processes should be collected by means of
Funktionen, Tätigkeiten und Prozessen beziehen, appropriate sampling and should be verified, as far
durch angemessene Stichproben gesammelt und as practicable.
verifiziert werden, soweit dies praktisch möglich
ist.

ANMERKUNG 1 Zur Verifizierung von Informationen NOTE 1 For verifying information see A.5.
siehe A.5.

ANMERKUNG 2 Eine Anleitung zur Stichprobenahme NOTE 2 Guidance on sampling is given in A.6.
findet sich in A.6.

Nur Informationen, die einem bestimmten Grad der Only information that can be subject to some
Verifizierung unterzogen werden können, sollten degree of verification should be accepted as audit
als Auditnachweis akzeptiert werden. Wenn der evidence. Where the degree of verification is low
Grad der Verifizierung zu gering ist, sollte der the auditor should use their professional
Auditor den Grad der Verlässlichkeit, der ihnen als judgement to determine the degree of reliance that
Nachweis zugeschrieben werden kann, mithilfe can be placed on it as evidence. Audit evidence
seines fachmännischen Urteils bestimmen. leading to audit findings should be recorded. If,
Auditnachweise, die zu Auditfeststellungen führen, during the collection of objective evidence, the
sollten aufgezeichnet werden. Falls das Auditteam audit team becomes aware of any new or changed
während der Sammlung von objektiven circumstances, or risks or opportunities, these
Nachweisen neue oder veränderte Umstände, should be addressed by the team accordingly.
Risiken oder Chancen wahrnimmt, sollten diese
entsprechend durch das Team behandelt werden.

Bild 2 gibt eine Übersicht über einen typischen Figure 2 provides an overview of a typical process,
Prozess, von der Sammlung der Informationen bis from collecting information to reaching audit
zum Erreichen der Auditschlussfolgerungen. conclusions.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

54
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Bild 2 — Übersicht eines typischen Prozesses Figure 2 — Overview of a typical process of


des Sammelns und Überprüfens von collecting and verifying information
Informationen

Methoden zum Sammeln von Informationen Methods of collecting information include, but are
umfassen, sind aber nicht beschränkt auf: not limited to the following:

— Befragungen; — interviews;

— Beobachtungen; — observations;

— Überprüfung von dokumentierter Information. — review of documented information.


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

ANMERKUNG 3 Eine Anleitung zur Auswahl von Infor- NOTE 3 Guidance on selecting sources of information
mationsquellen und zur Beobachtung findet sich in A.14. and observation is given in A.14.

ANMERKUNG 4 Eine Anleitung zur Begehung des NOTE 4 Guidance on visiting the auditee’s location is
Standortes der auditierten Organisation findet sich in given in A.15.
A.15.

ANMERKUNG 5 Eine Anleitung zur Durchführung von NOTE 5 Guidance on conducting interviews is given
Befragungen findet sich in A.17. in A.17.

55
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

6.4.8 Erarbeiten von Auditfeststellungen 6.4.8 Generating audit findings

Um Auditfeststellungen zu bestimmen, sollten die Audit evidence should be evaluated against the
Auditnachweise anhand der Auditkriterien bewer- audit criteria in order to determine audit findings.
tet werden. Auditfeststellungen können entweder Audit findings can indicate conformity or
auf Konformität oder Nichtkonformität mit den nonconformity with audit criteria. When specified
Auditkriterien hinweisen. Soweit durch den Audit- by the audit plan, individual audit findings should
plan festgelegt, sollten einzelne Auditfeststellungen include conformity and good practices along with
Konformität und bewährte Praktiken zusammen their supporting evidence, opportunities for
mit Nachweisen, Verbesserungsmöglichkeiten improvement, and any recommendations to the
sowie Empfehlungen an die auditierte Organisation auditee.
enthalten.

Nichtkonformitäten und deren unterstützende Nonconformities and their supporting audit


Auditnachweise sollten aufgezeichnet werden. evidence should be recorded.

Nichtkonformitäten können je nach Kontext der Nonconformities can be graded depending on the
Organisation und deren Risiken klassifiziert wer- context of the organization and its risks. This
den. Diese Klassifizierung kann quantitativ (z. B. grading can be quantitative (e.g. 1 to 5) and
1 bis 5) und qualitativ (z. B. unbedeutend, bedeu- qualitative (e.g. minor, major). They should be
tend) sein. Sie sollten gemeinsam mit der audi- reviewed with the auditee in order to obtain
tierten Organisation überprüft werden, um die acknowledgement that the audit evidence is
Bestätigung dafür zu erhalten, dass die Audit- accurate and that the nonconformities are
nachweise genau sind und dass die Nichtkonfor- understood. Every attempt should be made to
mitäten verstanden werden. Es sollten alle Anstren- resolve any diverging opinions concerning the audit
gungen unternommen werden, um auseinander- evidence or findings. Unresolved issues should be
gehende Auffassungen zu den Auditnachweisen recorded in the audit report.
oder Auditfeststellungen auszuräumen. Nicht aus-
geräumte Punkte sollten im Auditbericht aufge-
zeichnet werden.

Bei Bedarf sollte das Auditteam zusammenkom- The audit team should meet as needed to review
men, um die Auditfeststellungen an geeigneten the audit findings at appropriate stages during the
Stufen während des Audits zu überprüfen. audit.

ANMERKUNG 1 Eine zusätzliche Anleitung zur Ermitt- NOTE 1 Additional guidance on the identification and
lung und Beurteilung von Auditfeststellungen findet sich evaluation of audit findings is given in A.18.
in A.18.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

ANMERKUNG 2 Konformität bzw. Nichtkonformität mit NOTE 2 Conformity or nonconformity with audit
Auditkriterien, die sich auf gesetzliche oder behördliche criteria related to statutory or regulatory requirements
Anforderungen oder weitere Anforderungen beziehen, or other requirements, is sometimes referred to as
wird manchmal als „compliance“ bzw. „non-compliance“ compliance or non-compliance.
bezeichnet. N2)

6.4.9 Bestimmung der Auditschlussfolgerungen 6.4.9 Determining audit conclusions

6.4.9.1 Vorbereitung für die 6.4.9.1 Preparation for closing meeting


Abschlussbesprechung

Das Auditteam sollte sich vor der Abschluss- The audit team should confer prior to the closing
besprechung beraten, um: meeting in order to:

N2) Nationale Fußnote: Die Anmerkung 2 hat nur für den englischen Text Bedeutung.

56
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

a) die Auditfeststellungen sowie alle weiteren ge- a) review the audit findings and any other
eigneten Informationen, die während des appropriate information collected during the
Audits gesammelt wurden, anhand der Audit- audit, against the audit objectives;
ziele zu überprüfen;

b) unter Berücksichtigung der mit dem Audit- b) agree on the audit conclusions, taking into
prozess verbundenen Unsicherheit Einigkeit account the uncertainty inherent in the audit
über die Auditschlussfolgerungen zu erzielen; process;

c) Empfehlungen zu erarbeiten, falls dies im c) prepare recommendations, if specified by the


Auditplan festgelegt ist; audit plan;

d) Auditfolgemaßnahmen zu erörtern, soweit zu- d) discuss audit follow-up, as applicable.


treffend.

6.4.9.2 Inhalt der Auditschlussfolgerungen 6.4.9.2 Content of audit conclusions

Auditschlussfolgerungen sollten Themen Audit conclusions should address issues such as the
behandeln wie: following:

a) den Grad der Konformität mit den Auditkri- a) the extent of conformity with the audit criteria
terien sowie die Robustheit des Management- and robustness of the management system,
systems, einschließlich der Wirksamkeit des including the effectiveness of the management
Managementsystems in Bezug auf die Erfüllung system in meeting the intended outcomes, the
der beabsichtigten Ergebnisse, der Identifi- identification of risks and effectiveness of
zierung von Risiken und der Wirksamkeit der actions taken by the auditee to address risks;
von der auditierten Organisation ergriffenen
Maßnahmen, um diese Risiken zu behandeln;

b) die wirksame Verwirklichung, Aufrechter- b) the effective implementation, maintenance and


haltung und Verbesserung des Management- improvement of the management system;
systems;

c) das Erreichen der Auditziele, die Abdeckung c) achievement of audit objectives, coverage of
des Auditumfangs sowie die Erfüllung der audit scope and fulfilment of audit criteria;
Auditkriterien;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

d) ähnliche Feststellungen, die in verschiedenen d) similar findings made in different areas that
auditierten Bereichen oder von einem gemein- were audited or from a joint or previous audit
schaftlichen oder einem vorangegangenen for the purpose of identifying trends.
Audit gemacht wurden, um Tendenzen zu
ermitteln.

Falls im Auditplan festgelegt, können If specified by the audit plan, audit conclusions can
Auditschlussfolgerungen zu Empfehlungen für lead to recommendations for improvement, or
Verbesserungen oder zu künftigen Audittätigkeiten future auditing activities.
führen.

6.4.10 Durchführen der Abschlussbesprechung 6.4.10 Conducting closing meeting

Um die Auditfeststellungen und -schlussfolgerun- A closing meeting should be held to present the
gen darzulegen, sollte eine Abschlussbesprechung audit findings and conclusions.
durchgeführt werden.

57
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Die Abschlussbesprechung sollte vom The closing meeting should be chaired by the audit
Auditteamleiter geleitet werden und neben der team leader and attended by the management of
Leitung der auditierten Organisation folgende the auditee and include, as applicable:
Teilnehmer umfassen, soweit zutreffend:

— die für die auditierten Funktionen oder Pro- — those responsible for the functions or pro-
zesse verantwortlichen Personen; cesses which have been audited;

— der Auditauftraggeber; — the audit client;

— andere Mitglieder des Auditteams; — other members of the audit team;

— andere relevante interessierte Parteien, wie — other relevant interested parties as


vom Auditauftraggeber und/oder der auditier- determined by the audit client and/or auditee.
ten Organisation bestimmt.

Falls zutreffend, sollte der Auditteamleiter die If applicable, the audit team leader should advise
auditierte Organisation auf Situationen hinweisen, the auditee of situations encountered during the
denen während des Audits begegnet wurde und die audit that may decrease the confidence that can be
das Vertrauen, welches in die placed in the audit conclusions. If defined in the
Auditschlussfolgerungen gesetzt werden kann, management system or by agreement with the
verringern könnten. Falls im Managementsystem audit client, the participants should agree on the
festgelegt oder mit dem Auditauftraggeber time frame for an action plan to address audit
vereinbart, sollten sich die Teilnehmer auf den findings.
Zeitrahmen für einen Maßnahmenplan einigen, um
die entsprechenden Auditfeststellungen zu
behandeln.

Der Detaillierungsgrad sollte die Wirksamkeit des The degree of detail should take into account the
Managementsystems bezüglich der Erreichung der effectiveness of the management system in
Ziele der auditierten Organisation einbeziehen, ein- achieving the auditee’s objectives, including
schließlich Berücksichtigung seines Kontextes consideration of its context and risks and
sowie seiner Risiken und Chancen. opportunities.

Darüber hinaus sollte während der Abschluss- The familiarity of the auditee with the audit process
besprechung die Vertrautheit der auditierten Orga- should also be taken into consideration during the
nisation mit dem Auditprozess berücksichtigt closing meeting, to ensure the correct level of detail
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

werden, um sicherzustellen, dass die Teilnehmer is provided to participants.


den korrekten Detaillierungsgrad erhalten.

Bei einigen Auditsituationen kann die Besprechung For some audit situations, the meeting can be
einen formalen Charakter haben, und es sollten ein formal and minutes, including records of
Protokoll sowie Aufzeichnungen zur Anwesenheit attendance, should be kept. In other instances, e.g.
geführt werden. In anderen Fällen, z. B. bei internen internal audits, the closing meeting can be less
Audits, kann die Abschlussbesprechung weniger formal and consist solely of communicating the
formal sein und lediglich darin bestehen, dass die audit findings and audit conclusions.
Auditfeststellungen und Auditschlussfolgerungen
mitgeteilt werden.

Soweit angemessen, sollte gegenüber der As appropriate, the following should be explained
auditierten Organisation in der to the auditee in the closing meeting:
Abschlussbesprechung Folgendes erklärt werden:

a) Hinweis, dass sich die gesammelten Auditnach- a) advising that the audit evidence collected was
weise auf eine Stichprobe aus den Informatio- based on a sample of the information available
nen, die verfügbar waren, stützten und für die and is not necessarily fully representative of

58
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

gesamte Wirksamkeit der Prozesse der the overall effectiveness of the auditee’s
auditierten Organisation nicht notwendiger- processes;
weise vollumfänglich repräsentativ sind;

b) das Berichtsverfahren; b) the method of reporting;

c) wie die Auditfeststellung auf der Grundlage des c) how the audit finding should be addressed
vereinbarten Prozesses behandelt werden based on the agreed process;
sollte;

d) mögliche Folgen, falls die Auditfeststellungen d) possible consequences of not adequately


nicht adäquat behandelt werden; addressing the audit findings;

e) Darstellung der Auditfeststellungen und e) presentation of the audit findings and


-schlussfolgerungen derart, dass sie verstan- conclusions in such a manner that they are
den und von der Leitung der auditierten Orga- understood and acknowledged by the auditee’s
nisation anerkannt werden; management;

f) alle verbundenen Tätigkeiten nach dem Audit f) any related post-audit activities (e.g.
(z. B. Umsetzung und Überprüfung von implementation and review of corrective
Korrekturmaßnahmen, Behandlung von Audit- actions, addressing audit complaints, appeal
beschwerden, Einspruchsverfahren). process).

Alle auseinandergehenden Meinungen bezüglich Any diverging opinions regarding the audit findings
der Auditfeststellungen oder -schlussfolgerungen or conclusions between the audit team and the
zwischen dem Auditteam und der auditierten auditee should be discussed and, if possible,
Organisation sollten besprochen und, wenn resolved. If not resolved, this should be recorded.
möglich, geklärt werden. Falls keine Klärung
zustande kommt, sollte dies aufgezeichnet werden.

Falls durch die Auditziele festgelegt, können If specified by the audit objectives, opportunities
Empfehlungen für Verbesserungsmöglichkeiten for improvement recommendations may be
vorgelegt werden. Es sollte hervorgehoben werden, presented. It should be emphasized that
dass Empfehlungen nicht verbindlich sind. recommendations are not binding.

6.5 Erstellen und Verteilen des 6.5 Preparing and distributing audit
Auditberichts report
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

6.5.1 Erstellen des Auditberichts 6.5.1 Preparing audit report

Der Auditteamleiter sollte über die Auditschluss- The audit team leader should report the audit
folgerungen in Übereinstimmung mit dem conclusions in accordance with the audit
Auditprogramm berichten. Der Auditbericht sollte programme. The audit report should provide a
eine vollständige, genaue, kurzgefasste und klare complete, accurate, concise and clear record of the
Aufzeichnung des Audits liefern. Er sollte Folgendes audit, and should include or refer to the following:
umfassen bzw. darauf verweisen:

a) die Auditziele; a) audit objectives;

b) den Auditumfang, insbesondere die Nennung b) audit scope, particularly identification of the
der Organisation (der auditierten organization (the auditee) and the functions or
Organisation) und der auditierten Funktionen processes audited;
oder Prozesse;

c) die Nennung des Auditauftraggebers; c) identification of the audit client;

59
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

d) die Nennung des Auditteams sowie der d) identification of audit team and auditee’s
Auditteilnehmer aus der auditierten participants in the audit;
Organisation;

e) die Termine und Standorte, an denen die e) dates and locations where the audit activities
Audittätigkeiten durchgeführt wurden; were conducted;

f) die Auditkriterien; f) audit criteria;

g) die Auditfeststellungen und zugehörigen g) audit findings and related evidence;


Nachweise;

h) die Auditschlussfolgerungen; h) audit conclusions;

i) eine Aussage darüber, in welchem Umfang die i) a statement on the degree to which the audit
Auditkriterien erfüllt wurden; criteria have been fulfilled;

j) alle nicht beigelegten Meinungsverschieden- j) any unresolved diverging opinions between


heiten zwischen dem Auditteam und der the audit team and the auditee;
auditierten Organisation;

k) Audits beruhen von Natur aus auf Stichproben, k) audits by nature are a sampling exercise; as
daher besteht das Risiko, dass der untersuchte such there is a risk that the audit evidence
Auditnachweis nicht repräsentativ ist. examined is not representative.

Der Auditbericht kann ebenfalls Folgendes umfas- The audit report can also include or refer to the
sen oder darauf verweisen, soweit angemessen: following, as appropriate:

— den Auditplan einschließlich des Zeitplans; — the audit plan including time schedule;

— eine Zusammenfassung des Auditprozesses, — a summary of the audit process, including any
einschließlich aufgetretener Hindernisse, die obstacles encountered that may decrease the
die Zuverlässigkeit der Auditschlussfolge- reliability of the audit conclusions;
rungen verringern können;

— eine Bestätigung, dass die Auditziele innerhalb — confirmation that the audit objectives have
des Auditumfangs in Übereinstimmung mit been achieved within the audit scope in
dem Auditplan erreicht wurden; accordance with the audit plan;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— all jene Bereiche, die vom Auditumfang nicht — any areas within the audit scope not covered
erfasst wurden, einschließlich aller Themen including any issues of availability of evidence,
der Verfügbarkeit von Nachweisen oder resources or confidentiality, with related
Ressourcen oder der Vertraulichkeit, mit justifications;
entsprechenden Begründungen;

— eine Zusammenfassung, die die Auditschluss- — a summary covering the audit conclusions and
folgerungen sowie die wesentlichen the main audit findings that support them;
Auditfeststellungen, die diese belegen, umfasst;

— identifizierte bewährte Praktiken; — good practices identified;

— einen vereinbarten Plan für Folgemaßnahmen, — agreed action plan follow-up, if any;
falls zutreffend;

— eine Aussage zum vertraulichen Charakter der — a statement of the confidential nature of the
Inhalte; contents;

60
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— alle Folgen für das Auditprogramm bzw. für — any implications for the audit programme or
nachfolgende Audits. subsequent audits.

6.5.2 Verteilen des Auditberichts 6.5.2 Distributing audit report

Der Auditbericht sollte innerhalb eines vereinbar- The audit report should be issued within an agreed
ten Zeitraums herausgegeben werden. Wenn sich period of time. If it is delayed, the reasons should
dies verzögert, sollten die Gründe dafür der be communicated to the auditee and the
auditierten Organisation sowie der(den) Per- individual(s) managing the audit programme.
son(en), die das Auditprogramm steuert(steuern),
mitgeteilt werden.

Der Auditbericht sollte datiert, überprüft und, The audit report should be dated, reviewed and
soweit angemessen, angenommen werden, accepted, as appropriate, in accordance with the
entsprechend den Festlegungen im audit programme.
Auditprogramm.

Der Auditbericht sollte dann an die im The audit report should then be distributed to the
Auditprogramm oder Auditplan festgelegten relevant interested parties defined in the audit
relevanten interessierten Parteien verteilt werden. programme or audit plan.

Bei der Verteilung des Auditberichts sollten ge- When distributing the audit report, appropriate
eignete Maßnahmen zur Gewährleistung der Ver- measures to ensure confidentiality should be
traulichkeit berücksichtigt werden. considered.

6.6 Abschließen des Audits 6.6 Completing audit

Das Audit ist beendet, wenn alle geplanten Audit- The audit is completed when all planned audit
tätigkeiten durchgeführt wurden oder wie activities have been carried out, or as otherwise
anderweitig mit dem Auditauftraggeber vereinbart agreed with the audit client (e.g. there might be an
(z. B. könnte eine unerwartete Situation eintreten, unexpected situation that prevents the audit being
die einen Abschluss des Audits nach Auditplan completed according to the audit plan).
verhindert).

Dokumentierte Information, die das Audit betrifft, Documented information pertaining to the audit
sollte nach einer Vereinbarung zwischen den should be retained or disposed of by agreement
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

beteiligten Parteien und in Übereinstimmung mit between the participating parties and in
den Festlegungen im Auditprogramm sowie den accordance with audit programme and applicable
geltenden Anforderungen aufbewahrt oder ver- requirements.
nichtet werden.

Sofern dies nicht gesetzlich gefordert ist, sollten das Unless required by law, the audit team and the
Auditteam und die Person(en), die das Audit individual(s) managing the audit programme
steuert (steuern) weder während des Audits should not disclose any information obtained
erhaltene Informationen noch den Auditbericht during the audit, or the audit report, to any other
ohne die ausdrückliche Genehmigung des Auditauf- party without the explicit approval of the audit
traggebers und, wo zutreffend, die Genehmigung client and, where appropriate, the approval of the
der auditierten Organisation gegenüber einer ande- auditee. If disclosure of the contents of an audit
ren Partei offenlegen. Wird die Offenlegung der document is required, the audit client and auditee
Inhalte eines Auditdokuments gefordert, so sollten should be informed as soon as possible.
der Auditauftraggeber und die auditierte Organisa-
tion so bald wie möglich informiert werden.

61
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Lehren, die aus dem Audit gezogen wurden, können Lessons learned from the audit can identify risks
Risiken und Chancen für das Auditprogramm und and opportunities for the audit programme and the
die auditierte Organisation aufzeigen. auditee.

6.7 Durchführen von 6.7 Conducting audit follow-up


Auditfolgemaßnahmen

Das Ergebnis des Audits kann in Abhängigkeit von The outcome of the audit can, depending on the
den Auditzielen die Notwendigkeit von Korrektu- audit objectives, indicate the need for corrections,
ren, Korrekturmaßnahmen oder Verbesserungs- or for corrective actions, or opportunities for
möglichkeiten aufzeigen. Solche Maßnahmen wer- improvement. Such actions are usually decided and
den gewöhnlich von der auditierten Organisation undertaken by the auditee within an agreed
innerhalb eines vereinbarten Zeitrahmens timeframe. As appropriate, the auditee should keep
entschieden und durchgeführt. Soweit angemessen, the individual(s) managing the audit programme
sollte die auditierte Organisation die Person(en), and/or the audit team informed of the status of
die das Auditprogramm steuert (steuern) und/oder these actions.
das Auditteam über den Stand dieser Maßnahmen
auf dem Laufenden halten.

Der Abschluss dieser Maßnahmen sowie deren The completion and effectiveness of these actions
Wirksamkeit sollten verifiziert werden. Diese should be verified. This verification may be part of
Verifizierung kann Bestandteil eines nachfolgenden a subsequent audit. Outcomes should be reported
Audits sein. Die Ergebnisse sollten der Person, die to the individual managing the audit programme
das Auditprogramm steuert sowie dem Audit- and reported to the audit client for management
auftraggeber für die Managementbewertung review.
mitgeteilt werden.

7 Kompetenz und Beurteilung von 7 Competence and evaluation of


Auditoren auditors

7.1 Allgemeines 7.1 General

Das Vertrauen in den Auditprozess sowie in die Confidence in the audit process and the ability to
Fähigkeit, dessen Ziele zu erreichen, hängt von der achieve its objectives depends on the competence
Kompetenz derjenigen Personen ab, die in die of those individuals who are involved in performing
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Durchführung der Audits einbezogen sind, ein- audits, including auditors and audit team leaders.
schließlich der Auditoren und Auditteamleiter. Die Competence should be evaluated regularly through
Kompetenz sollte regelmäßig durch einen Prozess a process that considers personal behaviour and
beurteilt werden, welcher persönliches Verhalten the ability to apply the knowledge and skills gained
und die Fähigkeit berücksichtigt, Wissen und through education, work experience, auditor
Fertigkeiten anzuwenden, die durch Ausbildung, training and audit experience. This process should
Arbeitserfahrungen, Auditorenschulungen und take into consideration the needs of the audit
Auditerfahrungen erlangt wurden. Dieser Prozess programme and its objectives. Some of the
sollte die Erfordernisse des Auditprogramms sowie knowledge and skills described in 7.2.3 are
dessen Ziele berücksichtigen. Ein Teil des in 7.2.3 common to auditors of any management system
beschriebenen Wissens und der beschriebenen discipline; others are specific to individual
Fertigkeiten gelten gleichermaßen für Auditoren management system disciplines. It is not necessary
jeglicher Managementsystemdisziplinen; andere for each auditor in the audit team to have the same
sind einzelnen Managementsystemdisziplinen competence. However, the overall competence of
spezifisch. Es braucht nicht jeder Auditor im the audit team needs to be sufficient to achieve the
Auditteam über dieselbe Kompetenz zu verfügen. audit objectives.
Allerdings muss die Gesamtkompetenz des Audit-
teams ausreichen, um die Auditziele zu erreichen.

62
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Die Beurteilung der Kompetenz des Auditors sollte The evaluation of auditor competence should be
geplant, durchgeführt und dokumentiert werden, planned, implemented and documented to provide
um ein Ergebnis zu liefern, das objektiv, konsistent, an outcome that is objective, consistent, fair and
angemessen und zuverlässig ist. Der Beurteilungs- reliable. The evaluation process should include four
prozess sollte die folgenden vier wesentlichen main steps, as follows:
Schritte einschließen:

a) Bestimmen der erforderlichen Kompetenz, um a) determine the required competence to fulfil


die Erfordernisse des Auditprogramms zu er- the needs of the audit programme;
füllen;

b) Festlegen der Beurteilungskriterien; b) establish the evaluation criteria;

c) Auswählen der angemessenen Beurteilungs- c) select the appropriate evaluation method;


methode;

d) Durchführen der Beurteilung. d) conduct the evaluation.

Das Ergebnis des Beurteilungsprozesses sollte die The outcome of the evaluation process should
Grundlage bilden für: provide a basis for the following:

— die Auswahl der Auditteammitglieder (wie — selection of audit team members (as described
beschrieben in 5.5.4); in 5.5.4);

— die Bedarfsbestimmung bezüglich verbesserter — determining the need for improved


Kompetenz (z. B. zusätzliche Schulung); competence (e.g. additional training);

— die laufende Leistungsbeurteilung von Audito- — ongoing performance evaluation of auditors.


ren.

Auditoren sollten ihre Kompetenz durch ständige Auditors should develop, maintain and improve
fachliche Entwicklung sowie regelmäßige Teil- their competence through continual professional
nahme an Audits (siehe 7.6) entwickeln, aufrecht- development and regular participation in audits
erhalten und verbessern. (see 7.6).

Ein Verfahren für die Bewertung der Auditoren und A process for evaluating auditors and audit team
der Auditteamleiter ist in 7.3, 7.4 und 7.5 be- leaders is described in 7.3, 7.4 and 7.5.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

schrieben.

Auditoren und Auditteamleiter sollten nach den in Auditors and audit team leaders should be
7.2.2 und 7.2.3 sowie den in 7.1 festgelegten Krite- evaluated against the criteria set out in 7.2.2 and
rien beurteilt werden. 7.2.3 as well as the criteria established in 7.1.

Die erforderliche Kompetenz der Person(en), die The competence required of the individual(s)
das Auditprogramm steuert (steuern), ist in 5.4.2 managing the audit programme is described in
beschrieben. 5.4.2.

63
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

7.2 Bestimmen der Kompetenz von 7.2 Determining auditor competence


Auditoren

7.2.1 Allgemeines 7.2.1 General

Wenn über die notwendige Kompetenz für ein In deciding the necessary competence for an audit,
Audit entschieden wird, sollten die Kenntnisse und an auditor’s knowledge and skills related to the
Fertigkeiten eines Auditors in Bezug auf folgende following should be considered:
Punkte berücksichtigt werden:

a) Größe, Art, Komplexität, Produkte, Dienstleis- a) the size, nature, complexity, products, services
tungen und Prozesse der auditierten Organisa- and processes of auditees;
tionen;

b) die Auditmethoden; b) the methods for auditing;

c) die zu auditierenden Managementsystem- c) the management system disciplines to be


Disziplinen; audited;

d) die Komplexität und die Prozesse des zu audi- d) the complexity and processes of the manage-
tierenden Managementsystems; ment system to be audited;

e) die Arten und Grade der Risiken und Chancen, e) the types and levels of risks and opportunities
die durch das Managementsystem behandelt addressed by the management system;
werden;

f) die Ziele und das Ausmaß des Auditpro- f) the objectives and extent of the audit
gramms; programme;

g) die Unsicherheit bezüglich des Erreichens von g) the uncertainty in achieving audit objectives;
Auditzielen;

h) sonstige Anforderungen, wie z. B. diejenigen, h) other requirements, such as those imposed by


die durch den Auditauftraggeber oder, wo the audit client or other relevant interested
angemessen, durch sonstige relevante parties, where appropriate.
interessierte Parteien auferlegt werden.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Diese Informationen sollten mit den in 7.2.3 This information should be matched against that
aufgeführten abgeglichen werden. listed in 7.2.3.

7.2.2 Persönliches Verhalten 7.2.2 Personal behaviour

Auditoren sollten über die notwendigen Eigen- Auditors should possess the necessary attributes to
schaften verfügen, die es ihnen ermöglichen, nach enable them to act in accordance with the
den Auditprinzipien zu handeln, wie sie in Ab- principles of auditing as described in Clause 4.
schnitt 4 beschrieben sind. Auditoren sollten Auditors should exhibit professional behaviour
während der Durchführung der Audittätigkeiten during the performance of audit activities. Desired
professionelles Verhalten zeigen. Die gewünschte professional behaviours include being:
professionelle Verhaltensweise schließt Folgendes
ein:

a) sich ethisch verhalten, d. h. fair, wahr- a) ethical, i.e. fair, truthful, sincere, honest and
heitsliebend, aufrichtig, ehrlich und diskret discreet;
sein;

64
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

b) aufgeschlossen sein, d. h. bereit sein, alterna- b) open-minded, i.e. willing to consider


tive Ideen oder Standpunkte zu erwägen; alternative ideas or points of view;

c) diplomatisch sein, d. h. taktvoll im Umgang mit c) diplomatic, i.e. tactful in dealing with
Menschen sein; individuals;

d) aufmerksam sein, d. h. aktiv die physische d) observant, i.e. actively observing physical
Umgebung und die Tätigkeiten beobachten; surroundings and activities;

e) aufnahmefähig sein, d. h. sich Situationen e) perceptive, i.e. aware of and able to understand
bewusst sein und diese verstehen; situations;

f) vielseitig sein, d. h. sich leicht an verschiedene f) versatile, i.e. able to readily adapt to different
Situationen anpassen; situations;

g) hartnäckig sein, d. h. ausdauernd und auf das g) tenacious, i.e. persistent and focused on
Erreichen von Zielen fokussiert sein; achieving objectives;

h) entscheidungsfähig sein, d. h. rechtzeitig h) decisive, i.e. able to reach timely conclusions


Schlussfolgerungen basierend auf logischem based on logical reasoning and analysis;
Denken und auf der Grundlage von Analysen
ziehen können;

i) selbstsicher sein, d. h. bei der wirksamen i) self-reliant, i.e. able to act and function
Zusammenarbeit mit anderen selbständig han- independently while interacting effectively
deln und agieren können; with others;

j) standhaft handeln können, d. h. j) able to act with fortitude, i.e. able to act
verantwortungsvoll und ethisch handeln responsibly and ethically, even though these
können, selbst wenn dieses Handeln nicht actions may not always be popular and may
immer beliebt ist und manchmal zu Uneinigkeit sometimes result in disagreement or
oder Konfrontation führen kann; confrontation;

k) offen für Verbesserungen sein, d. h. bereit sein, k) open to improvement, i.e. willing to learn from
aus Situationen zu lernen; situations;

l) kulturell sensibel sein, d. h. die Kultur der l) culturally sensitive, i.e. observant and
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

auditierten Organisation beachten und sie respectful to the culture of the auditee;
respektieren;

m) teamfähig sein, d. h. effektiv mit anderen, ein- m) collaborative, i.e. effectively interacting with
schließlich der Auditteammitglieder und des others, including audit team members and the
Personals der auditierten Organisation, inter- auditee’s personnel.
agieren.

7.2.3 Wissen und Fertigkeiten 7.2.3 Knowledge and skills

7.2.3.1 Allgemeines 7.2.3.1 General

Auditoren sollten über Folgendes verfügen: Auditors should possess:

a) das Wissen und die Fertigkeiten, die notwendig a) the knowledge and skills necessary to achieve
sind, um die beabsichtigten Ziele der Audits, the intended results of the audits they are
die sie durchführen sollen, zu erreichen; expected to perform;

65
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

b) allgemeine Kompetenz und einen gewissen b) generic competence and a level of discipline
Grad an disziplin- und branchenspezifischem and sector-specific knowledge and skills.
Wissen und -spezifischen Fertigkeiten.

Auditteamleiter sollten das zusätzliche Wissen und Audit team leaders should have the additional
die zusätzlichen Fertigkeiten haben, die notwendig knowledge and skills necessary to provide
sind, um das Auditteam zu führen. leadership to the audit team.

7.2.3.2 Allgemeines Wissen und allgemeine 7.2.3.2 Generic knowledge and skills of
Fertigkeiten von Auditoren für management system auditors
Managementsysteme

Auditoren sollten Wissen und Fertigkeiten auf den Auditors should have knowledge and skills in the
nachfolgend genannten Gebieten haben. areas outlined below.

a) Auditprinzipien, -prozesse und -methoden: a) Audit principles, processes and methods:


Wissen und Fertigkeiten in diesem Bereich knowledge and skills in this area enable the
ermöglichen es dem Auditor, sicherzustellen, auditor to ensure audits are performed in a
dass Audits konsistent und systematisch consistent and systematic manner.
durchgeführt werden.

Ein Auditor sollte in der Lage sein: An auditor should be able to:

— die Arten von mit dem Auditieren verbun- — understand the types of risks and
denen Risiken und Chancen sowie die opportunities associated with auditing and
Prinzipien des risikobasierten Ansatzes the principles of the risk-based approach
des Auditierens zu verstehen; to auditing;

— die Arbeit effektiv zu planen und zu — plan and organize the work effectively;
organisieren;

— das Audit innerhalb des vereinbarten Zeit- — perform the audit within the agreed time
plans durchzuführen; schedule;

— Prioritäten zu setzen und sich auf Fragen — prioritize and focus on matters of
von Bedeutung zu konzentrieren; significance;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— wirksam zu kommunizieren, mündlich — communicate effectively, orally and in


und schriftlich (entweder persönlich oder writing (either personally, or through the
durch den Einsatz von Dolmetschern); use of interpreters);

— Informationen mittels wirksamen Befra- — collect information through effective


gens, Zuhörens, Beobachtens sowie Über- interviewing, listening, observing and
prüfens dokumentierter Information, reviewing documented information,
einschließlich Aufzeichnungen und Daten, including records and data;
zu sammeln;

— die Angemessenheit und die Folgen des — understand the appropriateness and
Einsatzes von Stichprobenverfahren beim consequences of using sampling
Auditieren zu verstehen; techniques for auditing;

— die Meinungen von Sachkundigen zu ver- — understand and consider technical


stehen und zu berücksichtigen; experts’ opinions;

66
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— einen Prozess von Anfang bis Ende zu — audit a process from start to finish,
auditieren, einschließlich der Wechsel- including the interrelations with other
beziehungen mit anderen Prozessen und processes and different functions, where
unterschiedlichen Funktionen, wo appropriate;
angemessen;

— die Relevanz sowie Genauigkeit der ge- — verify the relevance and accuracy of
sammelten Informationen zu überprüfen; collected information;

— die Hinlänglichkeit und Angemessenheit — confirm the sufficiency and appropriate-


der Auditnachweise zu bestätigen, um ness of audit evidence to support audit
Auditfeststellungen und -schlussfolgerun- findings and conclusions;
gen zu belegen;

— solche Faktoren, die die Zuverlässigkeit — assess those factors that may affect the
der Auditfeststellungen und Auditschluss- reliability of the audit findings and
folgerungen beeinträchtigen können, zu conclusions;
beurteilen;

— Audittätigkeiten und Auditfeststellungen — document audit activities and audit find-


zu dokumentieren und Berichte zu ings, and prepare reports;
erstellen;

— die Vertraulichkeit und Sicherheit von — maintain the confidentiality and security
Informationen aufrecht zu erhalten. of information.

b) Managementsystem-Normen und sonstige b) Management system standards and other


Referenzen: Wissen und Fertigkeiten auf references: knowledge and skills in this area
diesem Gebiet befähigen den Auditor, den enable the auditor to understand the audit
Auditumfang zu verstehen sowie die scope and apply audit criteria, and should
Auditkriterien anzuwenden, und sollten Fol- cover the following:
gendes abdecken:

— Managementsystem-Normen oder andere — management system standards or other


normative oder anleitende/unterstüt- normative or guidance/supporting docu-
zende Dokumente, die für die Erstellung ments used to establish audit criteria or
der Auditkriterien oder -methoden ver- methods;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

wendet werden;

— die Anwendung von Managementsystem- — the application of management system


Normen durch die auditierte Organisation standards by the auditee and other
und andere Organisationen; organizations;

— Beziehungen und Wechselwirkungen zwi- — relationships and interactions between the


schen Prozessen des Managementsys- management system(s) processes;
tems/der Managementsysteme;

— das Verständnis der Bedeutung und — understanding the importance and pri-
Priorität der verschiedenen Normen oder ority of multiple standards or references;
Referenzen;

— die Anwendung der Normen oder Referen- — application of standards or references to


zen auf verschiedene Auditsituationen. different audit situations.

67
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

c) Die Organisation und ihr Kontext: Wissen und c) The organization and its context: knowledge
Fertigkeiten auf diesem Gebiet befähigen den and skills in this area enable the auditor to
Auditor, die Struktur, den Zweck und die understand the auditee’s structure, purpose
Managementpraktiken der auditierten Organi- and management practices and should cover
sation zu verstehen, und sollten Folgendes the following:
abdecken:

— Erfordernisse und Erwartungen der rele- — needs and expectations of relevant inter-
vanten interessierten Parteien, die Aus- ested parties that impact the management
wirkungen auf das Managementsystem system;
haben;

— Art der Organisation, Governance, Größe, — type of organization, governance, size,


Struktur, Funktionen und Beziehungen; structure, functions and relationships;

— allgemeine Geschäfts- und Management- — general business and management con-


konzepte, Prozesse und damit verbundene cepts, processes and related terminology,
Terminologie, einschließlich Planung, including planning, budgeting and
Budgetierung und Führung von Personen; management of individuals;

— kulturelle und soziale Aspekte der audi- — cultural and social aspects of the auditee.
tierten Organisation.

d) Zutreffende gesetzliche und behördliche d) Applicable statutory and regulatory require-


Anforderungen sowie weitere Anforderungen: ments and other requirements: knowledge and
Wissen und Fertigkeiten auf diesem Gebiet skills in this area enable the auditor to be
befähigen den Auditor, sich der Anforderungen aware of, and work within, the organization’s
der Organisation bewusst zu sein und nach requirements. Knowledge and skills specific to
diesen zu arbeiten. Das/die dem Rechtsbereich the jurisdiction or to the auditee’s activities,
bzw. den Tätigkeiten, Prozessen, Produkten processes, products and services should cover
und Dienstleistungen der auditierten the following:
Organisation spezifische(n) Wissen und
Fertigkeiten sollten Folgendes abdecken:

— gesetzliche und behördliche Anforderun- — statutory and regulatory requirements


gen sowie dafür zuständige Behörden; and their governing agencies;

— grundlegende Rechtsterminologie; — basic legal terminology;


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— Vertragswesen und Haftungsfragen. — contracting and liability.

ANMERKUNG Sich gesetzlicher und behördlicher An- NOTE Awareness of statutory and regulatory
forderungen bewusst zu sein, impliziert keine Kennt- requirements does not imply legal expertise and a
nisse der Gesetzeslage und das Audit eines Management- management system audit should not be treated as a
systems sollte nicht als Audit der Rechtskonformität legal compliance audit.
behandelt werden.

68
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

7.2.3.3 Disziplin- und branchenspezifische 7.2.3.3 Discipline and sector-specific


Kompetenz von Auditoren competence of auditors

Auditteams sollten über gemeinschaftliche diszi- Audit teams should have the collective discipline
plin- und branchenspezifische Kompetenz ver- and sector-specific competence appropriate for
fügen, die für das Auditieren der einzelnen Arten auditing the particular types of management
von Managementsystemen und Branchen geeignet systems and sectors.
ist.

Die disziplin- und branchenspezifische Kompetenz The discipline and sector-specific competence of
der Auditoren schließt Folgendes mit ein: auditors include the following:

a) Managementsystem-Anforderungen und -prin- a) management system requirements and


zipien sowie deren Anwendung; principles, and their application;

b) Grundlagen der Disziplin(en) und Branche(n) b) fundamentals of the discipline(s) and sector(s)
im Zusammenhang mit den von der auditierten related to the management systems standards
Organisation angewandten Managementsys- as applied by the auditee;
tem-Normen;

c) Anwendung disziplin- und branchenspezi- c) application of discipline and sector-specific


fischer Methoden, Techniken, Prozesse und methods, techniques, processes and practices
Praktiken, um das Auditteam in die Lage zu to enable the audit team to assess conformity
versetzen, die Konformität innerhalb des within the defined audit scope and generate
festgelegten Auditumfangs zu bewerten und appropriate audit findings and conclusions;
entsprechende Auditfeststellungen zu treffen
und Auditschlussfolgerungen zu ziehen;

d) einschlägige Grundlagen, Methoden und d) principles, methods and techniques relevant to


Techniken der Disziplin und der Branche, die the discipline and sector, such that the auditor
den Auditor befähigen, die mit den Auditzielen can determine and evaluate the risks and
verbundenen Risiken und Chancen zu opportunities associated with the audit
bestimmen und zu beurteilen. objectives.

7.2.3.4 Allgemeine Kompetenz eines 7.2.3.4 Generic competence of audit team


Auditteamleiters leader
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Um eine effiziente und wirksame Durchführung des In order to facilitate the efficient and effective
Audits zu erleichtern, sollte ein Auditteamleiter die conduct of the audit an audit team leader should
Kompetenz haben: have the competence to:

a) das Audit zu planen und die Auditaufgaben a) plan the audit and assign audit tasks according
nach der spezifischen Kompetenz der einzel- to the specific competence of individual audit
nen Auditteammitglieder zuzuweisen; team members;

b) strategische Themen mit der obersten Leitung b) discuss strategic issues with top management
der auditierten Organisation zu besprechen, of the auditee to determine whether they have
um zu bestimmen, ob sie diese Themen bei der considered these issues when evaluating their
Bewertung ihrer Risiken und Chancen berück- risks and opportunities;
sichtigt haben;

c) eine harmonische Zusammenarbeit zwischen c) develop and maintain a collaborative working


den Auditteammitgliedern zu entwickeln und relationship among the audit team members;
aufrecht zu erhalten;

69
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

d) den Auditprozess zu steuern, einschließlich: d) manage the audit process, including:

— wirksamer Nutzung der Ressourcen wäh- — making effective use of resources during
rend des Audits; the audit;
— Steuerung der Unsicherheit bezüglich des — managing the uncertainty of achieving
Erreichens der Auditziele; audit objectives;
— Gesundheits- und Arbeitsschutz der Audit- — protecting the health and safety of the
teammitglieder während des Audits, ein- audit team members during the audit,
schließlich Sicherstellung der Einhaltung including ensuring compliance of the
der Gesundheits- und Sicherheits- sowie auditors with the relevant health and
Arbeitsschutzregelungen durch die safety, and security arrangements;
Auditoren;
— Führung der Auditteammitglieder; — directing the audit team members;
— Führung und Anleitung von Auditoren in — providing direction and guidance to
Ausbildung; auditors-in-training;
— Konflikte und Probleme, die während des — preventing and resolving conflicts and
Audits entstehen können, auch innerhalb problems that can occur during the audit,
des Auditteams, vermeiden und lösen, including those within the audit team, as
sofern notwendig. necessary.

e) das Auditteam bei der Kommunikation mit der e) represent the audit team in communications
Person/den Personen, die das Auditprogramm with the individual(s) managing the audit
steuert (steuern), mit dem Auditauftraggeber programme, the audit client and the auditee;
sowie mit der auditierten Organisation zu
vertreten;

f) das Auditteam zu leiten, um zu den Audit- f) lead the audit team to reach the audit
schlussfolgerungen zu gelangen; conclusions;

g) den Auditbericht zu erstellen und abzuschlie- g) prepare and complete the audit report.
ßen.

7.2.3.5 Wissen und Fertigkeiten für das 7.2.3.5 Knowledge and skills for auditing
Auditieren mehrerer Disziplinen multiple disciplines
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Beim Auditieren von Managementsystemen, die When auditing multiple discipline management
mehrere Disziplinen umfassen, sollte das Audit- systems, the audit team member should have an
teammitglied die Wechselwirkungen und Synergien understanding of the interactions and synergy
zwischen den verschiedenen Managementsystemen between the different management systems.
verstehen.

Auditteamleiter sollten die Anforderungen jeder Audit team leaders should understand the require-
einzelnen Managementsystem-Norm, nach der ments of each of the management system standards
auditiert wird, verstehen und sich der Grenzen being audited and recognize the limits of their
ihrer Kompetenz in Bezug auf jede einzelne competence in each of the disciplines.
Disziplin bewusst sein.

ANMERKUNG Audits mehrerer Disziplinen, die NOTE Audits of multiple disciplines done simulta-
gleichzeitig durchgeführt werden, können als neously can be done as a combined audit or as an audit of
kombiniertes Audit oder als Audit eines integrierten an integrated management system that covers multiple
Managementsystems, das mehrere Disziplinen abdeckt, disciplines.
ausgeführt werden.

70
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

7.2.4 Erwerben der Auditor-Kompetenz 7.2.4 Achieving auditor competence

Die Auditor-Kompetenz kann unter Verwendung Auditor competence can be acquired using a
einer Kombination aus den folgenden Elementen combination of the following:
erworben werden:

a) erfolgreiche Absolvierung von Schulungspro- a) successfully completing training programmes


grammen, die allgemeines Wissen und allge- that cover generic auditor knowledge and
meine Fertigkeiten für Auditoren abdecken; skills;

b) Erfahrung in einer relevanten fachlichen, b) experience in a relevant technical, managerial


leitenden oder beruflichen Position, die Urteils- or professional position involving the exercise
vermögen, Entscheidungsfindung, Problem- of judgement, decision making, problem
lösung und Kommunikation mit Managern, solving and communication with managers,
Fachleuten, Kollegen, Kunden und anderen professionals, peers, customers and other
relevanten interessierten Parteien einschließt; relevant interested parties;

c) Ausbildung/Schulung und Erfahrung in einer c) education/training and experience in a specific


spezifischen Managementsystem-Disziplin und management system discipline and sector that
einer spezifischen Branche, die zur Entwick- contribute to the development of overall
lung der Gesamtkompetenz beitragen; competence;

d) Auditerfahrung, die unter der Aufsicht eines in d) audit experience acquired under the super-
derselben Disziplin kompetenten Auditors vision of an auditor competent in the same
erworben wurde. discipline.

ANMERKUNG Die erfolgreiche Absolvierung einer NOTE Successful completion of a training course
Schulung hängt von der Art des Schulungsprogramms ab. will depend on the type of course. For courses with an
Bei Kursen mit einer Prüfungskomponente kann dies das examination component it can mean successfully passing
erfolgreiche Bestehen der Prüfung bedeuten. Bei the examination. For other courses, it can mean
anderen Kursen kann sich dies auf die Teilnahme und participating in and completing the course.
den Abschluss des Programms beziehen.

7.2.5 Erwerben der Auditteamleiter- 7.2.5 Achieving audit team leader competence
Kompetenz

Ein Auditteamleiter sollte zusätzliche Auditerfah- An audit team leader should have acquired
rung erworben haben, um die in 7.2.3.4 beschrie- additional audit experience to develop the
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

bene Kompetenz zu entwickeln. Diese zusätzliche competence described in 7.2.3.4. This additional
Erfahrung sollte bei Arbeiten unter der Führung experience should have been gained by working
und Anleitung eines anderen Auditteamleiters under the direction and guidance of a different
erworben worden sein. audit team leader.

7.3 Festlegen der Beurteilungskriterien 7.3 Establishing auditor evaluation


für Auditoren criteria

Die Kriterien sollten qualitativ (wie durch den The criteria should be qualitative (such as having
erbrachten Nachweis von erwünschtem Verhalten, demonstrated desired behaviour, knowledge or the
von Wissen oder der Ausübung der Fertigkeiten, in performance of the skills, in training or in the
der Ausbildung oder am Arbeitsplatz) und workplace) and quantitative (such as the years of
quantitativ (wie die Jahre der Berufserfahrung und work experience and education, number of audits
Ausbildung, die Anzahl durchgeführter Audits, conducted, hours of audit training).
Stundenzahl der Auditschulungen) sein.

71
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

7.4 Auswählen der geeigneten 7.4 Selecting appropriate auditor


Beurteilungsmethode für Auditoren evaluation method

Die Beurteilung sollte unter Verwendung von zwei The evaluation should be conducted using two or
oder mehr der in Tabelle 2 angegebenen Methoden more of the methods given in Table 2. In using
erfolgen. Bei der Verwendung von Tabelle 2 sollte Table 2, the following should be noted:
Folgendes beachtet werden:

a) die dargestellten Methoden stellen eine Reihe a) the methods outlined represent a range of
von Optionen dar und treffen möglicherweise options and may not apply in all situations;
nicht für alle Situationen zu;

b) die verschiedenen dargestellten Methoden b) the various methods outlined may differ in
können sich in ihrer Zuverlässigkeit unter- their reliability;
scheiden;

c) die Methoden sollten kombiniert angewandt c) a combination of methods should be used to


werden, um ein Ergebnis sicherzustellen, das ensure an outcome that is objective, consistent,
objektiv, konsistent, angemessen und verläss- fair and reliable.
lich ist.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

72
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Tabelle 2 —Methoden zur Beurteilung von Auditoren

Beurteilungs-
Ziele Beispiele
methode
Überprüfung von um den Hintergrund des Auditors zu Analyse von Aufzeichnungen zu Ausbildung,
Aufzeichnungen verifizieren Schulung, Beschäftigung, Arbeitszeugnissen
und Auditerfahrung
Feedback um Informationen darüber bereitzustellen, wie Umfragen, Fragebögen, persönliche Refer-
die Leistung des Auditors wahrgenommen enzen, Zeugnisse, Beschwerden, Leistungs-
wird beurteilung, Begutachtung durch Kollegen
(Peer-Review)
Befragung um das erwünschte professionelle Verhalten persönliche Befragungen
und die Kommunikationsfähigkeiten zu
beurteilen, um Informationen zu verifizieren
und Wissen zu prüfen sowie um zusätzliche
Informationen zu erwerben
Beobachtung um das erwünschte professionelle Verhalten Rollenspiele, Audits unter Aufsicht,
sowie die Fähigkeit, Wissen und Fertigkeiten Arbeitsleistung
anzuwenden, zu beurteilen
Prüfung um erwünschtes Verhalten sowie Wissen und mündliche und schriftliche Prüfungen,
Fertigkeiten und deren Anwendung zu psychometrische Tests
beurteilen
Überprüfung nach um Informationen über die Leistung des Überprüfung des Auditberichts, Befragungen
dem Audit Auditors während der Audittätigkeiten bereit- des Auditteamleiters und des Auditteams
zustellen sowie Stärken und Verbesserungs- und, falls angemessen, Feedback von der
möglichkeiten zu ermitteln auditierten Organisation

Table 2 — Auditor evaluation methods

Evaluation method Objectives Examples


Review of records To verify the background of the auditor Analysis of records of education, training,
employment, professional credentials and
auditing experience
Feedback To provide information about how the Surveys, questionnaires, personal
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

performance of the auditor is perceived references, testimonials, complaints,


performance evaluation, peer review
Interview To evaluate desired professional behaviour Personal interviews
and communication skills, to verify
information and test knowledge and to acquire
additional information
Observation To evaluate desired professional behaviour Role playing, witnessed audits, on-the-job
and the ability to apply knowledge and skills performance
Testing To evaluate desired behaviour and knowledge Oral and written exams, psychometric
and skills and their application testing
Post-audit review To provide information on the auditor Review of the audit report, interviews with
performance during the audit activities, the audit team leader, the audit team and, if
identify strengths and opportunities for appropriate, feedback from the auditee
improvement

73
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

7.5 Durchführen der Auditor-Beurteilung 7.5 Conducting auditor evaluation

Die über den zu beurteilenden Auditor erhobenen The information collected about the auditor under
Informationen sollten mit den in 7.2.3 festgelegten evaluation should be compared against the criteria
Kriterien verglichen werden. Wenn ein zu beur- set in 7.2.3. When an auditor under evaluation who
teilender Auditor, dessen Teilnahme am is expected to participate in the audit programme
Auditprogramm erwartet wird, nicht die Kriterien does not fulfil the criteria, then additional training,
erfüllt, so sollte für zusätzliche Schulung oder work or audit experience should be undertaken and
Berufs- bzw. Auditerfahrung gesorgt und a subsequent re-evaluation should be performed.
anschließend eine wiederholte Beurteilung
durchgeführt werden.

7.6 Aufrechterhalten und Verbessern der 7.6 Maintaining and improving auditor
Kompetenz des Auditors competence

Auditoren sowie Auditteamleiter sollten ihre Kom- Auditors and audit team leaders should continually
petenz fortlaufend verbessern. Auditoren sollten improve their competence. Auditors should main-
ihre Kompetenz zum Auditieren durch regelmäßige tain their auditing competence through regular
Teilnahme an Managementsystem-Audits sowie participation in management system audits and
fortlaufende fachliche Entwicklung aufrechter- continual professional development. This may be
halten. Dies kann durch zusätzliche Berufserfah- achieved through means such as additional work
rung, Schulung, Selbststudium, individuelle För- experience, training, private study, coaching,
derung, Teilnahme an Sitzungen, Seminaren und attendance at meetings, seminars and conferences
Konferenzen oder andere relevante Tätigkeiten or other relevant activities.
erreicht werden.

Die Person(en), die das Auditprogramm steuert The individual(s) managing the audit programme
(steuern), sollte(n) geeignete Mechanismen zur should establish suitable mechanisms for the
kontinuierlichen Beurteilung der Leistung der continual evaluation of the performance of the
Auditoren und der Auditteamleiter festlegen. auditors and audit team leaders.

Die Tätigkeiten zur fortlaufenden fachlichen The continual professional development activities
Entwicklung sollten Folgendes berücksichtigen: should take into account the following:

a) Änderungen der Erfordernisse der Person a) changes in the needs of the individual and the
sowie der Organisation, die für die Durchfüh- organization responsible for the conduct of the
rung des Audits verantwortlich ist; audit;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

b) Entwicklungen in der Praxis der Auditierung, b) developments in the practice of auditing


einschließlich des Einsatzes von Technik; including the use of technology;

c) relevante Normen einschließlich anleitender/ c) relevant standards including guidance/


unterstützender Dokumente und andere Anfor- supporting documents and other require-
derungen; ments;

d) Änderungen in Branchen oder Disziplinen. d) changes in sector or disciplines.

74
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Anhang A Annex A
(informativ) (informative)

Zusätzliche Anleitung für Additional guidance for auditors


Auditoren zum Planen und planning and conducting audits
Durchführen von Audits

A.1 Anwenden von Auditmethoden A.1 Applying audit methods


Ein Audit kann unter Verwendung einer Reihe von An audit can be performed using a range of audit
Auditmethoden durchgeführt werden. Eine Erläute- methods. An explanation of commonly used audit
rung allgemein verwendeter Auditmethoden findet methods can be found in this annex. The audit
sich in diesem Anhang. Die Auditmethoden, die für methods chosen for an audit depend on the defined
ein Audit gewählt werden, hängen von den audit objectives, scope and criteria, as well as
festgelegten Auditzielen, dem Auditumfang und den duration and location. Available auditor compe-
Auditkriterien sowie der Auditdauer und dem tence and any uncertainty arising from the
Standort ab. Weiterhin sollten ebenfalls die verfüg- application of audit methods should also be
bare Auditorkompetenz sowie jegliche Unsicher- considered. Applying a variety and combination of
heiten, die sich aus der Anwendung der Audit- different audit methods can optimize the efficiency
methoden ergeben können, berücksichtigt werden. and effectiveness of the audit process and its
Effizienz und Wirksamkeit des Auditprozesses und outcome.
dessen Ergebnis können durch die Anwendung
vielfältiger Auditmethoden sowie deren Kombina-
tion optimiert werden.

Die Durchführung eines Audits schließt eine Inter- Performance of an audit involves an interaction
aktion zwischen den Personen innerhalb des among individuals within the management system
Managementsystems, das auditiert wird, sowie der being audited and the technology used to conduct
Technik, die zur Durchführung des Audits ver- the audit. Table A.1 provides examples of audit
wendet wird, mit ein. Tabelle A.1 liefert Beispiele methods that can be used, singly or in combination,
für Auditmethoden, die zur Erreichung der in order to achieve the audit objectives. If an audit
Auditziele entweder einzeln oder in Kombination involves the use of an audit team with multiple
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

verwendet werden können. Falls bei einem Audit members, both on-site and remote methods may be
ein Auditteam bestehend aus mehreren Mitgliedern used simultaneously.
involviert ist, können sowohl Vor-Ort- als auch
Fernmethoden gleichzeitig verwendet werden.

ANMERKUNG Weitere Informationen zur Begehung NOTE Additional information on visiting physical
physischer Standorte sind A.15 zu entnehmen. locations is given in A.15.

75
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Tabelle A.1 — Auditmethoden


Ausmaß der Standort des Auditors
gegenseitigen
Einbeziehung von
Auditor und auditierter Vor-Ort Aus der Ferne
Organisation
menschliche Interaktion Durchführen von Befragungen Über interaktive Kommunikationsmittel:
Checklisten und Fragebögen unter — Befragungen durchführen;
Beteiligung der auditierten Organisation — Beobachtung der durchgeführten
ausfüllen. Arbeiten mit Hilfe eines Betreuers aus
Dokumente unter Beteiligung der der Ferne;
auditierten Organisation überprüfen. — Checklisten und Fragebögen ausfüllen;
Stichprobenahme — Überprüfung von Dokumenten unter
Beteiligung der auditierten Organisation.
keine menschliche Überprüfung von Dokumenten Überprüfung von Dokumenten
Interaktion (z. B. Aufzeichnungen, Datenanalyse) (z. B. Aufzeichnungen, Datenanalyse)
Beobachten der durchgeführten Arbeiten Die geleistete Arbeit mittels Überwachung
Standortbegehung durchführen unter Berücksichtigung sozialer und
Checklisten ausfüllen gesetzlicher und behördlicher Anforderungen
beobachten.
Stichprobenahme (z. B. Produkte)
Daten analysieren
Vor-Ort-Audittätigkeiten werden am Standort der auditierten Organisation durchgeführt. Fernaudit-Tätigkeiten
werden, ungeachtet der Entfernung, an jedem beliebigen Standort mit Ausnahme des Standorts der auditierten
Organisation durchgeführt.
Interaktive Audittätigkeiten schließen die Interaktion zwischen dem Personal der auditierten Organisation und dem
Auditteam ein. Nicht-interaktive Audittätigkeiten beinhalten keine menschliche Interaktion mit Personen, die die
auditierte Organisation vertreten, beinhalten jedoch Interaktion mit Ausrüstung, Einrichtungen und Dokumentation.

Table A.1 — Audit methods


Extent of involvement Location of the auditor
between the auditor
and the auditee On-site Remote

Human interaction Conducting interviews Via interactive communication means:


Completing checklists and — conducting interviews;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

questionnaires with auditee — observing work performed with remote


participation guide;
Conducting document review with — completing checklists and questionnaires;
auditee participation — conducting document review with
Sampling auditee participation.
No human interaction Conducting document review Conducting document review (e.g. records,
(e.g. records, data analysis) data analysis)
Observing work performed Observing work performed via surveillance
Conducting on-site visit means, considering social and statutory and
Completing checklists regulatory requirements
Sampling (e.g. products) Analysing data

On-site audit activities are performed at the location of the auditee. Remote audit activities are performed at any place
other than the location of the auditee, regardless of the distance.
Interactive audit activities involve interaction between the auditee’s personnel and the audit team. Non-interactive
audit activities involve no human interaction with individuals representing the auditee but do involve interaction with
equipment, facilities and documentation.

76
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

In der Planungsphase bleibt die Verantwortung für The responsibility of the effective application of
die wirksame Anwendung von Auditmethoden auf audit methods for any given audit in the planning
ein bestimmtes Audit entweder bei der Person/ stage remains with either the individual(s)
den Personen, die das Auditprogramm steuert managing the audit programme or the audit team
(steuern), oder bei dem Auditteamleiter. Der Audit- leader. The audit team leader has this responsibility
teamleiter trägt diese Verantwortung für die for conducting the audit activities.
Durchführung der Audittätigkeiten.

Die Durchführbarkeit von Fernaudit-Tätigkeiten The feasibility of remote audit activities can depend
kann von mehreren Faktoren abhängen (z. B. dem on several factors (e.g. the level of risk to achieving
Risikograd des Erreichens der Auditziele, dem Ver- the audit objectives, the level of confidence
trauensniveau zwischen dem Auditor und dem Per- between auditor and auditee’s personnel and
sonal der auditierten Organisation sowie behörd- regulatory requirements).
lichen Anforderungen).

Um die Auditprogrammziele zufriedenstellend zu At the level of the audit programme, it should be


erreichen, sollte auf der Ebene des Auditpro- ensured that the use of remote and on-site
gramms sichergestellt werden, dass der Einsatz von application of audit methods is suitable and
Fern- sowie Vor-Ort-Auditmethoden angemessen balanced, in order to ensure satisfactory achieve-
und ausgewogen erfolgt. ment of audit programme objectives.

A.2 Prozessansatz des Auditierens A.2 Process approach to auditing


Die Anwendung eines „Prozessansatzes“ ist eine The use of a “process approach” is a requirement
Voraussetzung für alle ISO-Managementsystem- for all ISO management system standards in
Normen nach den ISO/IEC-Direktiven, Teil 1, An- accordance with ISO/IEC Directives, Part 1,
hang SL. Auditoren sollten verstehen, dass ein Annex SL. Auditors should understand that auditing
Managementsystem zu auditieren das Auditieren a management system is auditing an organization’s
der Prozesse einer Organisation und ihrer Inter- processes and their interactions in relation to one
aktionen anhand einer oder mehrerer or more management system standard(s).
Managementsystem-Norm(en) bedeutet. Konsis- Consistent and predictable results are achieved
tente und berechenbare Ergebnisse werden wirk- more effectively and efficiently when activities are
samer und effizienter erzielt, wenn die Tätigkeiten understood and managed as interrelated processes
verstanden und als in Wechselbeziehung stehende that function as a coherent system.
Prozesse, die als zusammenhängendes System
funktionieren, gesteuert werden.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

A.3 Fachmännisches Urteil A.3 Professional judgement


Auditoren sollten während des Auditprozesses ihr Auditors should apply professional judgement
fachmännisches Urteil anwenden und es during the audit process and avoid concentrating
vermeiden, sich zu Lasten der Erreichung der on the specific requirements of each clause of the
beabsichtigten Ergebnisse des Managementsystems standard at the expense of achieving the intended
auf die spezifischen Anforderungen jedes outcome of the management system. Some
Abschnitts der Norm zu konzentrieren. Einige ISO management system standard clauses do not
Abschnitte von ISO-Managementsystem-Normen readily lend themselves to audit in terms of
bieten sich nicht einfach zum auditieren in der comparison between a set of criteria and the
Weise an, dass direkt ein Satz von Kriterien mit content of a procedure or work instruction. In these
dem Inhalt einer Verfahrens- oder situations, auditors should use their professional
Arbeitsanweisung verglichen werden kann. judgement to determine whether the intent of the
Auditoren sollten in diesen Situationen mithilfe clause has been met.
ihres fachmännischen Urteils bestimmen, ob die
Absicht des Abschnitts erfüllt wurde.

77
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

A.4 Leistungsbezogene Ergebnisse A.4 Performance results


Auditoren sollten sich während des gesamten Auditors should be focused on the intended result
Auditprozesses auf das beabsichtigte Ergebnis des of the management system throughout the audit
Managementsystems konzentrieren. Zwar sind Pro- process. While processes and what they achieve are
zesse und was sie erreichen wichtig, doch was important, the result of the management system
zählt, ist das Ergebnis des Managementsystems und and its performance are what counts. It is also
dessen Leistung. Außerdem ist es wichtig, den Grad important to consider the level of the integration of
der Integration verschiedener Managementsysteme different management systems and their intended
und deren beabsichtigte Ergebnisse zu berück- results.
sichtigen.

Das Fehlen eines Prozesses oder einer Dokumen- The absence of a process or documentation can be
tation kann in einer risikoreichen oder komplexen important in a high risk or complex organization
Organisation wichtig sein, aber weniger bedeutend but not so significant in other organizations.
in anderen Organisationen.

A.5 Verifizieren der Informationen A.5 Verifying information


Soweit dies praktikabel ist, sollten die Auditoren Insofar as practicable, the auditors should consider
berücksichtigen, ob die Informationen whether the information provides sufficient
ausreichende objektive Nachweise liefern, um objective evidence to demonstrate that require-
nachzuweisen, dass die Anforderungen erfüllt ments are being met, such as being:
werden, wie z. B., ob die Informationen:

a) vollständig sind (alle erwarteten Inhalte sind in a) complete (all expected content is contained in
der dokumentierten Information enthalten); the documented information);

b) richtig sind (der Inhalt entspricht anderen b) correct (the content conforms to other reliable
zuverlässigen Quellen, wie Normen und sources such as standards and regulations);
Vorschriften);

c) konsistent sind (die dokumentierte c) consistent (the documented information is


Information ist in sich sowie mit dazuge- consistent in itself and with related
hörigen Dokumenten stimmig); documents);
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

d) aktuell sind (der Inhalt ist auf dem aktuellen d) current (the content is up to date).
Stand).

Darüber hinaus sollte berücksichtigt werden, ob die It should also be considered whether the infor-
Informationen, die verifiziert werden, ausreichende mation being verified provides sufficient objective
objektive Nachweise liefern, um nachzuweisen, evidence to demonstrate that requirements are
dass die Anforderungen erfüllt werden. being met.

Falls die Informationen in einer anderen Weise als If information is provided in a manner other than
erwartet bereitgestellt werden (z. B. von verschie- expected (e.g. by different individuals, alternate
denen Personen, durch alternative Medien), sollte media), the integrity of the evidence should be
die Integrität der Nachweise bewertet werden. assessed.

Aufgrund der geltenden Vorschriften über den Specific care is needed for information security due
Schutz von Daten (insbesondere in Bezug auf to applicable regulations on protection of data (in
Informationen, die außerhalb des Auditumfangs particular for information which lies outside the
liegen, aber auch in dem Dokument enthalten sind) audit scope, but which is also contained in the
ist besondere Sorgfalt bei der Informationssicher- document).
heit erforderlich.

78
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

A.6 Stichprobenahme A.6 Sampling


A.6.1 Allgemeines A.6.1 General

Stichprobenahme bei Audits findet dann statt, Audit sampling takes place when it is not practical
wenn es weder praktikabel noch kostengünstig ist, or cost effective to examine all available
alle verfügbaren Informationen während eines information during an audit, e.g. records are too
Audits zu prüfen. Z. B. sind Aufzeichnungen zu numerous or too dispersed geographically to justify
zahlreich oder geographisch zu weit gestreut, um the examination of every item in the population.
eine Prüfung jedes einzelnen Elements der Grund- Audit sampling of a large population is the process
gesamtheit zu rechtfertigen. Stichprobenahme beim of selecting less than 100 % of the items within the
Audit aus einer großen Grundgesamtheit ist der total available data set (population) to obtain and
Prozess der Auswahl von weniger als 100 % der evaluate evidence about some characteristic of that
Einheiten innerhalb der insgesamt zur Verfügung population, in order to form a conclusion concern-
stehenden Datenmenge (Grundgesamtheit), um Er- ing the population.
kenntnisse über ein Merkmal dieser Grund-
gesamtheit zu erhalten und zu bewerten, um eine
Schlussfolgerung hinsichtlich der Grundgesamtheit
ziehen zu können.

Das Ziel der Probenahme beim Audit ist es, dem The objective of audit sampling is to provide
Auditor Informationen bereitzustellen, sodass die- information for the auditor to have confidence that
ser Vertrauen haben kann, dass die Auditziele the audit objectives can or will be achieved.
erreicht werden können oder erreicht werden.

Das Risiko, das mit der Stichprobenahme verbun- The risk associated with sampling is that the
den ist, besteht darin, dass die Proben nicht samples may not be representative of the
repräsentativ für die Grundgesamtheit, aus der sie population from which they are selected. Thus, the
gewählt wurden, sein können. Und somit kann die auditor's conclusion may be biased and be different
Schlussfolgerung des Auditors verfälscht sein und from that which would be reached if the whole
sich von der unterscheiden, die gezogen würde, population was examined. There may be other risks
wenn die gesamte Grundgesamtheit geprüft würde. depending on the variability within the population
In Abhängigkeit von der Variabilität innerhalb der to be sampled and the method chosen.
Grundgesamtheit, aus der Proben zu entnehmen
sind, sowie der gewählten Methode kann es andere
Risiken geben.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Die Stichprobenahme beim Audit umfasst ty- Audit sampling typically involves the following
pischerweise folgende Schritte: steps:

a) Festlegen der Ziele der Stichprobenahme; a) establishing the objectives of sampling;

b) Auswahl des Ausmaßes sowie der Zusammen- b) selecting the extent and composition of the
setzung der Grundgesamtheit, aus der Proben population to be sampled;
zu entnehmen sind;

c) Auswahl einer Methode zur Stichprobenahme; c) selecting a sampling method;

d) Bestimmen der Größe der zu entnehmenden d) determining the sample size to be taken;
Stichprobe;

e) Durchführen der Probenahmetätigkeit; e) conducting the sampling activity;

f) Zusammenstellen, Beurteilen, Berichten und f) compiling, evaluating, reporting and docu-


Dokumentieren der Ergebnisse. menting results.

79
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

Bei der Stichprobenahme sollte die Qualität der When sampling, consideration should be given to
verfügbaren Daten berücksichtigt werden, da the quality of the available data, as sampling
Probenahmen aus unzureichenden und ungenauen insufficient and inaccurate data will not provide a
Daten kein brauchbares Ergebnis liefern. Die useful result. The selection of an appropriate
Auswahl einer geeigneten Stichprobe sollte sich sample should be based on both the sampling
sowohl auf das Probenahmeverfahren als auch auf method and the type of data required, e.g. to infer a
die Art der geforderten Daten stützen, z. B. um ein particular behaviour pattern or draw inferences
bestimmtes Verhaltensmuster abzuleiten oder across a population.
Schlüsse über eine Grundgesamtheit zu ziehen.

Die Berichterstattung über ausgewählte Stichpro- Reporting on the sample selected could take into
ben könnte die Probengröße, das Auswahlverfah- account the sample size, selection method and
ren und Schätzungen, die auf der Stichprobe und estimates made based on the sample and the
dem Vertrauensniveau basieren, berücksichtigen. confidence level.

Bei Audits kann entweder die entscheidungs- Audits can use either judgement-based sampling
basierte Stichprobenahme (siehe A.6.2) oder die (see A.6.2) or statistical sampling (see A.6.3).
statistische Stichprobenahme (siehe A.6.3) ange-
wandt werden.

A.6.2 Entscheidungsbasierte A.6.2 Judgement-based sampling


Stichprobenahme

Entscheidungsbasierte Stichprobenahme stützt sich Judgement-based sampling relies on the


auf Kompetenz und Erfahrungen des Auditteams competence and experience of the audit team (see
(siehe Abschnitt 7). Clause 7).

Bei der entscheidungsbasierten Stichprobenahme For judgement-based sampling, the following can
kann Folgendes berücksichtigt werden: be considered:

a) frühere Auditerfahrungen im Rahmen des a) previous audit experience within the audit
Auditumfangs; scope;

b) Komplexität der Anforderungen (einschließlich b) complexity of requirements (including


gesetzlicher und behördlicher Anforderungen), statutory and regulatory requirements) to
um die Auditziele zu erreichen; achieve the audit objectives;

c) Komplexität und Wechselwirkung der Prozesse c) complexity and interaction of the


Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

der Organisation sowie der Elemente des organization’s processes and management
Managementsystems; system elements;

d) Grad der Veränderung in Bezug auf die Tech- d) degree of change in technology, human factor
nik, den menschlichen Faktor oder das or management system;
Managementsystem;

e) zuvor identifizierte signifikante Risiken und e) previously identified significant risks and
Verbesserungsmöglichkeiten; opportunities for improvement;

f) Ergebnisse aus der Überwachung von Manage- f) output from monitoring of management
mentsystemen. systems.

Ein Nachteil der entscheidungsbasierten Stich- A drawback to judgement-based sampling is that


probenahme ist, dass es keine statistische Schät- there can be no statistical estimate of the effect of
zung über die Wirkung der Unsicherheit in Bezug uncertainty in the findings of the audit and the
auf die Auditfeststellungen und auf die erreichten conclusions reached.
Schlussfolgerungen geben kann.

80
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

A.6.3 Statistische Stichprobenahme A.6.3 Statistical sampling

Wenn die Entscheidung getroffen wird, statistische If the decision is made to use statistical sampling,
Stichprobenahme zu verwenden, dann sollte sich the sampling plan should be based on the audit
der Probenahmeplan auf die Auditziele stützen und objectives and what is known about the
darauf, was über die Merkmale der characteristics of overall population from which the
Grundgesamtheit, aus der die Stichproben zu samples are to be taken.
entnehmen sind, bekannt ist.

Statistische Verfahren zur Stichprobenahme ver- Statistical sampling design uses a sample selection
wenden ein Probeauswahlverfahren, das auf process based on probability theory. Attribute-
Wahrscheinlichkeitstheorie beruht. based sampling is used when there are only two
Stichprobenprüfungen anhand der Anzahl possible sample outcomes for each sample
fehlerhafter Einheiten (Attributprüfungen) werden (e.g. correct/incorrect or pass/fail). Variable-based
verwendet, wenn es nur zwei mögliche Ergebnisse sampling is used when the sample outcomes occur
bei jeder Stichprobe gibt (z. B. richtig/falsch oder in a continuous range.
bestanden/nicht bestanden). Stichproben-
prüfungen anhand quantitativer Merkmale
(Variablenprüfungen) werden verwendet, wenn die
Ergebnisse der Stichproben in einem
kontinuierlichen Bereich auftreten.

Der Plan zur Stichprobenahme sollte berücksich- The sampling plan should take into account
tigen, ob die Ergebnisse, die geprüft werden, whether the outcomes being examined are likely to
wahrscheinlich attributbasiert oder be attribute-based or variable-based. For example,
variablenbasiert sind. Beispielsweise könnte bei when evaluating conformity of completed forms to
der Beurteilung der Konformität ausgefüllter the requirements set out in a procedure, an
Formblätter mit den in einem Verfahren attribute-based approach could be used. When
festgelegten Anforderungen ein attributbasierter examining the occurrence of food safety incidents
Ansatz verwendet werden. Bei der Prüfung des or the number of security breaches, a variable-
Auftretens von Vorfällen bei der Lebensmittel- based approach would likely be more appropriate.
sicherheit oder der Anzahl der Sicherheitsverstöße
würde ein variablenbasierter Ansatz
wahrscheinlich besser geeignet sein.

Elemente, die einen Einfluss auf den Plan zur Elements that can affect the audit sampling plan
Stichprobenahme beim Audit haben können, sind: are:
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

a) Kontext, Größe, Art und Komplexität der a) the context, size, nature and complexity of the
Organisation; organization;

b) die Anzahl der kompetenten Auditoren; b) the number of competent auditors;

c) die Häufigkeit von Audits; c) the frequency of audits;

d) der Zeitpunkt des einzelnen Audits; d) the time of individual audit;

e) jedes extern geforderte Vertrauensniveau; e) any externally required confidence level;

f) das Auftreten von unerwünschten und/oder f) the occurrence of undesirable and/or


unerwarteten Ereignissen. unexpected events.

Bei der Entwicklung eines Plans zur statistischen When a statistical sampling plan is developed, the
Stichprobenahme ist der Grad des Probenahme- level of sampling risk that the auditor is willing to
risikos, den der Auditor bereit ist zu akzeptieren, accept is an important consideration. This is often
ein wichtiger Gesichtspunkt. Dies wird häufig als referred to as the acceptable confidence level. For

81
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

das annehmbare Vertrauensniveau bezeichnet. example, a sampling risk of 5 % corresponds to an


Zum Beispiel entspricht ein Probenahmerisiko von acceptable confidence level of 95 %. A sampling
5 % einem annehmbaren Vertrauensniveau von risk of 5 % means the auditor is willing to accept
95 %. Ein Probenahmerisiko von 5 % bedeutet, the risk that 5 out of 100 (or 1 in 20) of the samples
dass der Auditor bereit ist, das Risiko zu examined will not reflect the actual values that
akzeptieren, dass 5 von 100 (oder 1 von 20) der would be seen if the entire population was
geprüften Proben nicht die tatsächlichen Werte examined.
widerspiegeln, die sich ergeben würden, wenn die
Grundgesamtheit geprüft worden wäre.

Wenn die statistische Stichprobenahme verwendet When statistical sampling is used, auditors should
wird, sollten die Auditoren die durchgeführten appropriately document the work performed. This
Arbeiten entsprechend dokumentieren. Dies sollte should include a description of the population that
eine Beschreibung der Grundgesamtheit, aus der was intended to be sampled, the sampling criteria
die Stichprobe entnommen werden sollte, die used for the evaluation (e.g. what is an acceptable
Probenahmekriterien, die für die Beurteilung sample), the statistical parameters and methods
verwendet wurden (z. B. was eine annehmbare that were utilized, the number of samples evaluated
Stichprobe ist), die statistischen Parameter und and the results obtained.
Methoden, die verwendet wurden, die Anzahl der
bewerteten Stichproben sowie die erzielten Ergeb-
nisse einschließen.

A.7 Auditieren von Compliance inner- A.7 Auditing compliance within a


halb eines Managementsystems management system
Das Auditteam sollte berücksichtigen, ob die audi- The audit team should consider if the auditee has
tierte Organisation wirksame Prozesse besitzt für: effective processes for:

a) die Ermittlung ihrer gesetzlichen und behörd- ƒ) identifying its statutory and regulatory
lichen Anforderungen und anderer Anforde- requirements and other requirements it is
rungen, gegenüber denen sie verpflichtet ist; committed to;

b) die Steuerung ihrer Tätigkeiten, Produkte und „) managing its activities, products and services
Dienstleistungen, um die Compliance mit to achieve compliance with these require-
diesen Anforderungen zu erreichen; ments;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

c) die Beurteilung ihres Compliance-Status. …) evaluating its compliance status.

Neben der allgemeinen Anleitung, die in diesem In addition to the generic guidance given in this
Dokument gegeben wird, sollte das Auditteam bei document, when assessing the processes that the
der Bewertung der von der auditierten Organisa- auditee has implemented to ensure compliance
tion zur Sicherstellung von Compliance mit rele- with relevant requirements, the audit team should
vanten Anforderungen umgesetzten Prozessen consider if the auditee:
berücksichtigen, ob die auditierte Organisation:

1) einen wirksamen Prozess für die Ermittlung 1) has an effective process for identifying changes
von Änderungen an den Compliance-Anforde- in compliance requirements and for consider-
rungen und für deren Berücksichtigung als Teil ing them as part of the management of change;
des Änderungsmanagements eingerichtet hat;

2) über kompetente Personen für die Steuerung 2) has competent individuals to manage its
der Compliance-Prozesse verfügt; compliance processes;

82
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

3) geeignete dokumentierte Information zu ihrem 3) maintains and provides appropriate docu-


Compliance-Status aufrechterhält und zur mented information on its compliance status as
Verfügung stellt, wie dies von den Behörden required by regulators or other interested
oder anderen interessierten Parteien verlangt parties;
wird;

4) Compliance-Anforderungen in ihr internes 4) includes compliance requirements in its inter-


Auditprogramm aufgenommen hat; nal audit programme;

5) jeden Fall von Non-Compliance behandelt; 5) addresses any instances of non-compliance;

6) die Compliance-Leistung in ihren Management- 6) considers compliance performance in its


bewertungen berücksichtigt. management reviews.

A.8 Auditkontext A.8 Auditing context


Viele Managementsystem-Normen verlangen, dass Many management systems standards require an
eine Organisation ihren Kontext sowie die organization to determine its context, including the
Erfordernisse und Erwartungen der relevanten needs and expectations of relevant interested
interessierten Parteien und externe und interne parties and external and internal issues. To do this,
Themen bestimmt. Hierfür kann eine Organisation an organization can use various techniques for
unterschiedliche Techniken der strategischen Ana- strategic analysis and planning.
lyse und Planung einsetzen.

Auditoren sollten bestätigen, dass geeignete Pro- Auditors should confirm that suitable processes
zesse hierfür entwickelt und wirksam eingesetzt have been developed for this and are used
werden, sodass die Ergebnisse eine zuverlässige effectively, so that their results provide a reliable
Grundlage für die Bestimmung des Anwendungs- basis for determining the scope and the
bereichs und der Entwicklung des Management- development of the management system. To do
systems bieten. Hierfür sollten Auditoren objektive this, auditors should consider objective evidence
Nachweise in Zusammenhang mit folgenden Ele- related to the following:
menten berücksichtigen:

a) der/die eingesetzte(n) Prozess(e) oder a) the process(es) or method(s) used;


Methode(n);
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

b) die Eignung und Kompetenz der Personen, die b) the suitability and competence of the
zu dem/den Prozess(en) beitragen; individuals contributing to the process(es);

c) die Ergebnisse des/der Prozesse(s); c) the results of the process(es);

d) die Anwendung der Ergebnisse zur d) the application of the results to determine
Bestimmung des Anwendungsbereichs und der management system scope and development;
Entwicklung des Managementsystems;

e) regelmäßige Überprüfungen des Hintergrunds, e) periodic reviews of context, as appropriate.


soweit angemessen.

Auditoren sollten über branchenbezogenes Wissen Auditors should have relevant sector-specific
und Verständnis der Management-Werkzeuge, die knowledge and understanding of the management
Organisationen einsetzen können, verfügen, um die tools that organizations can use in order to make a
Wirksamkeit der zur Bestimmung des Kontexts judgement regarding the effectiveness of the
verwendeten Prozesse zu beurteilen. processes used to determine context.

83
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

A.9 Auditieren von Führung und A.9 Auditing leadership and


Verpflichtung commitment
Viele Managementsystem-Normen weisen erhöhte Many management systems standards have
Anforderungen an die oberste Leitung auf. increased requirements for top management.

Diese Anforderungen umfassen das Nachweisen These requirements include demonstrating com-
von Verpflichtung und Führung durch Übernahme mitment and leadership by taking accountability
der Rechenschaftspflicht für die Wirksamkeit des for the effectiveness of the management system and
Managementsystems und durch Erfüllung einer fulfilling a number of responsibilities. These include
Reihe von Verantwortlichkeiten. Dies umfasst tasks that top management should undertake itself
Aufgaben, die die oberste Leitung selbst and others that can be delegated.
übernehmen sollte und andere, die delegiert
werden können.

Auditoren sollten objektive Nachweise dazu erhal- Auditors should obtain objective evidence of the
ten, in welchem Grad die oberste Leitung in die degree to which top management is involved in
Entscheidungsfindung in Bezug auf das Manage- decision-making related to the management system
mentsystem einbezogen ist und wie sie Ver- and how it demonstrates commitment to ensuring
pflichtung nachweist, dessen Wirksamkeit sicher- its effectiveness. This can be achieved by reviewing
zustellen. Dies lässt sich durch Überprüfung der the results from relevant processes (for example
Ergebnisse relevanter Prozesse (z. B. Politiken, policies, objectives, available resources, communi-
Ziele, verfügbare Ressourcen, Mitteilungen der cations from top management) and by interviewing
obersten Leitung) oder durch Befragung der staff to determine the degree of top management
Mitarbeiter erreichen, um den Grad an Engagement engagement.
der obersten Leitung zu bestimmen.

Auditoren sollten außerdem eine Befragung der Auditors should also aim to interview top
obersten Leitung anstreben, um zu bestätigen, dass management to confirm that they have an adequate
diese über ein adäquates Verständnis der für ihr understanding of the discipline-specific issues
Managementsystem relevanten disziplinbezogenen relevant to their management system, together
Themen sowie des Kontexts verfügt, in dem ihre with the context their organization operates within,
Organisation tätig ist, damit sie sicherstellen so that they can ensure that the management
können, dass das Managementsystem die system achieves its intended results.
beabsichtigten Ergebnisse erreicht.

Auditoren sollten sich jedoch nicht nur auf die Auditors should not only focus on leadership at the
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Führung der obersten Leitung konzentrieren, top management level but should also audit
sondern auch die Führung und Verpflichtung auf leadership and commitment at other levels of
anderen Managementebenen, sofern angemessen, management, as appropriate.
auditieren.

A.10 Auditieren von Risiken und A.10 Auditing risks and opportunities
Chancen
Im Rahmen der Zuweisung eines einzelnen Audits As part of the assignment of an individual audit the
können die Bestimmung und Steuerung der Risiken determination and management of the organi-
und Chancen der Organisation berücksichtigt wer- zation’s risk and opportunities can be included. The
den. Die Kernziele für einen solchen Auditauftrag core objectives for such an audit assignment are to:
sind:

— sich der Glaubwürdigkeit des Prozesses zur — give assurance on the credibility of the risk and
Ermittlung von Risiken und Chancen zu opportunity identification process(es);
vergewissern;

84
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— sich zu vergewissern, dass die Risiken und — give assurance that risks and opportunities are
Chancen richtig bestimmt und gesteuert correctly determined and managed;
werden;

— zu überprüfen, wie die Organisation ihren — review how the organization addresses its
bestimmten Risiken und Chancen behandelt. determined risks and opportunities.

Ein Audit der Vorgehensweise einer Organisation An audit of an organization’s approach to the
zur Bestimmung von Risiken und Chancen sollte determination of risks and opportunities should
nicht als eine eigenständige Tätigkeit erfolgen. Es not be performed as a stand-alone activity. It
sollte während des gesamten Audits eines Manage- should be implicit during the entire audit of a
mentsystems, auch bei der Befragung der obersten management system, including when interviewing
Leitung, inbegriffen sein. Ein Auditor sollte nach top management. An auditor should act in
den folgenden Schritten handeln und objektive accordance with the following steps and collect
Nachweise wie folgt sammeln: objective evidence as follows:

a) Eingaben, die von der Organisation zur Bestim- a) inputs used by the organization for
mung ihrer Risiken und Chancen verwendet determining its risks and opportunities, which
werden und Folgendes umfassen können: may include:

— Analyse externer und interner Themen; — analysis of external and internal issues;

— die strategische Ausrichtung der Organisa- — the strategic direction of the organization;
tion;

— interessierte Parteien im Zusammenhang — interested parties, related to its discipline-


mit ihrem disziplinspezifischen Manage- specific management system and their
mentsystem und auch deren Anforderun- requirements, also;
gen;

— potenzielle Risikoquellen wie Umwelt- — potential sources of risk such as environ-


aspekte, Gefahren für die Sicherheit usw. mental aspects, and safety hazards, etc.

b) Methode, mit der Risiken und Chancen b) method by which risks and opportunities are
beurteilt werden und die sich abhängig von evaluated, which can differ between disciplines
Disziplin und Branche unterscheiden kann. and sectors.
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Der Umgang der Organisation mit ihren Risiken The organization’s treatment of its risk and
und Chancen, einschließlich des Risikogrades, den opportunities, including the level of risk it wishes to
sie bereit ist, zu akzeptieren, und der Art, wie accept and how it is controlled, will require the
dieser gesteuert wird, erfordert das fachmännische application of professional judgement by the
Urteil des Auditors. auditor.

A.11 Lebenszyklus A.11 Life cycle


Einige disziplinspezifische Managementsysteme Some discipline-specific management systems
erfordern die Anwendung einer Lebenszyklus- require the application of a life cycle perspective to
perspektive auf ihre Produkte und Dienstleistun- their products and services. Auditors should not
gen. Die Auditoren sollten dies nicht als eine consider this as a requirement to adopt a life cycle
Anforderung ansehen, einen Lebenszyklusansatz approach. A life cycle perspective involves
anzunehmen. Eine Lebenszyklusperspektive um- consideration of the control and influence the
fasst die Berücksichtigung der Steuerung und organization has over the stages of its product and
Einflussnahme der Organisation im Hinblick auf die service life cycle. Stages in a life cycle include
Phasen des Lebenszyklus ihrer Produkte und acquisition of raw materials, design, production,
Dienstleistungen. Die Phasen eines Lebenszyklus transportation/delivery, use, end of life treatment

85
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

umfassen Rohstoffbeschaffung, Entwicklung, and final disposal. This approach enables the
Herstellung, Transport/Lieferung, Nutzung, Be- organization to identify those areas where, in
handlung am Ende des Lebenszyklus und endgül- considering its scope, it can minimize its impact on
tige Entsorgung. Diese Vorgehensweise ermöglicht the environment while adding value to the
es der Organisation, diejenigen Bereiche zu ermit- organization. The auditor should use their
teln, in denen sie unter Berücksichtigung ihres professional judgement as to how the organization
Tätigkeitsbereichs ihren Einfluss auf die Umwelt has applied a life cycle perspective in terms of its
minimieren kann, während ein Mehrwert für die strategy and the:
Organisation geschaffen wird. Der Auditor sollte
sein fachmännisches Urteil anwenden in der Frage,
wie die Organisation eine Lebenszyklusperspektive
in Bezug auf ihre Strategie und folgende Punkte
angewendet hat:

a) die Lebensdauer des Produkts oder der Dienst- a) life of the product or service;
leistung;

b) den Einfluss der Organisation auf die Liefer- b) organization’s influence on the supply chain;
kette;

c) die Länge der Lieferkette; c) length of the supply chain;

d) die technische Komplexität des Produkts. d) technological complexity of the product.

Wenn eine Organisation mehrere Managementsys- If an organization has combined several manage-
teme in ein einziges Managementsystem zusam- ment systems into a single management system to
mengeführt hat, um ihren eigenen Erfordernissen meet its own needs, the auditor should look
gerecht zu werden, sollte der Auditor sorgfältig auf carefully at any overlap concerning consideration
Überschneidungen hinsichtlich der Berücksichti- of the life cycle.
gung des Lebenszyklus achten.

A.12 Audit der Lieferkette A.12 Audit of supply chain


Das Audit der Lieferkette auf festgelegte Anforde- The audit of the supply chain to specific require-
rungen kann erforderlich sein. Das ments can be required. The supplier audit
Lieferantenauditprogramm sollte mit anwendbaren programme should be developed with applicable
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

Auditkriterien für die Art von Lieferanten und audit criteria for the type of suppliers and external
externen Anbietern entwickelt sein. Der Umfang providers. The scope of the supply chain audit can
des Audits der Lieferkette kann unterschiedlich differ, e.g. complete management system audit,
sein, z. B. komplettes Audit des Management- single process audit, product audit, configuration
systems, Audit eines einzelnen Prozesses, Produkt- audit.
audit, Konfigurationsaudit.

A.13 Erstellen von Auditarbeits- A.13 Preparing audit work documents


unterlagen
Bei der Erstellung der Auditarbeitsunterlagen sollte When preparing audit work documents, the audit
das Auditteam für jede Unterlage die folgenden team should consider the questions below for each
Fragen berücksichtigen: document.

a) Welche Auditaufzeichnung wird durch Ver- a) Which audit record will be created by using
wendung dieser Arbeitsunterlage erzeugt? this work document?

86
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

b) Welche Audittätigkeit ist durch diese be- b) Which audit activity is linked to this particular
stimmte Arbeitsunterlage betroffen? work document?

c) Wer wird der Nutzer dieser Arbeitsunterlage c) Who will be the user of this work document?
sein?

d) Welche Informationen werden benötigt, um d) What information is needed to prepare this


diese Arbeitsunterlage zu erstellen? work document?

Bei kombinierten Audits sollten die Arbeitsunter- For combined audits, work documents should be
lagen erarbeitet werden, um doppelte Audittätig- developed to avoid duplication of audit activities
keit zu vermeiden durch: by:

— Bündelung ähnlicher Anforderungen aus — clustering of similar requirements from


unterschiedlichen Kriterien; different criteria;

— Koordinierung des Inhalts aus dazugehörigen — coordinating the content of related checklists
Checklisten und Fragebögen. and questionnaires.

Die Auditarbeitsunterlagen sollten adäquat sein, The audit work documents should be adequate to
um alle Elemente des Managementsystems zu address all those elements of the management
behandeln, die innerhalb des Auditumfangs liegen, system within the audit scope and may be provided
und sie können in allen Medien bereitgestellt in any media.
werden.

A.14 Auswählen von A.14 Selecting sources of information


Informationsquellen
Die ausgewählten Informationsquellen können The sources of information selected may vary
entsprechend dem Umfang und der Komplexität according to the scope and complexity of the audit
des Audits variieren und Folgendes einschließen: and may include the following:

a) Befragungen von Beschäftigten und anderen a) interviews with employees and other
Personen; individuals;
b) Beobachtungen von Tätigkeiten sowie der b) observations of activities and the surrounding
Arbeitsumgebung und der Arbeitsbedingun- work environment and conditions;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

gen;
c) dokumentierte Information wie Politiken, Ziel- c) documented information, such as policies,
setzungen, Pläne, Verfahren, Normen, Anwei- objectives, plans, procedures, standards,
sungen, Lizenzen und Genehmigungen, Spezifi- instructions, licences and permits, specifica-
kationen, Zeichnungen, Verträge und Aufträge; tions, drawings, contracts and orders;
d) Aufzeichnungen, wie Prüfaufzeichnungen, d) records, such as inspection records, minutes of
Besprechungsprotokolle, Auditberichte, Auf- meetings, audit reports, records of monitoring
zeichnungen von Überwachungsprogrammen programme and the results of measurements;
und die Ergebnisse aus Messungen;
e) Datenzusammenfassungen, Analysen und e) data summaries, analyses and performance
Leistungsindikatoren; indicators;
f) Informationen über Pläne der auditierten f) information on the auditee’s sampling plans
Organisation zur Stichprobenahme sowie über and on any procedures for the control of
alle Verfahren zur Steuerung der Stich- sampling and measurement processes;
probenahme und der Messprozesse;

87
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

g) Berichte aus anderen Quellen, z. B. Kunden- g) reports from other sources, e.g. customer
Feedback, externe Umfragen und Messungen, feedback, external surveys and measurements,
sonstige zutreffende Informationen von other relevant information from external
externen Parteien sowie Einstufungen durch parties and external provider ratings;
externe Anbieter;

h) Datenbanken und Webseiten; h) databases and websites;

i) Simulationen und Modelle. i) simulation and modelling.

A.15 Begehung des Standortes der A.15 Visiting the auditee’s location
auditierten Organisation
Um Beeinträchtigungen zwischen den Audittätig- To minimize interference between audit activities
keiten und den Arbeitsprozessen der auditierten and the auditee’s work processes and to ensure the
Organisation gering zu halten und um Gesundheit health and safety of the audit team during a visit,
und Sicherheit des Auditteams während einer the following should be considered:
Begehung sicherzustellen, sollten folgende Punkte
beachtet werden:

a) Planung der Begehung: a) Planning the visit:

— Genehmigung und Zugang zu jenen Teilen — ensure permission and access to those
des Standortes der auditierten Organisa- parts of the auditee’s location, to be visited
tion sicherstellen, die entsprechend dem in accordance with the audit scope;
Auditumfang zu begehen sind;

— den Auditoren adäquate Informationen für — provide adequate information to auditors


die Standortbegehung zu Sicherheit, on security, health (e.g. quarantine),
Gesundheit (z. B. Quarantäne), Ge- occupational health and safety matters
sundheits- und Arbeitsschutz, kulturellen and cultural norms and working hours for
Standards sowie Arbeitszeiten, einschließ- the visit including requested and
lich angeforderter und empfohlener recommended vaccination and clearances,
Impfungen und Freigaben zur Verfügung if applicable;
stellen, falls zutreffend;
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

— sich bei der auditierten Organisation — confirm with the auditee that any required
vergewissern, dass, falls zutreffend, dem personal protective equipment (PPE) will
Auditteam jegliche geforderte persönliche be available for the audit team, if
Schutzausrüstung (PSA) zur Verfügung applicable;
gestellt wird;

— die mit dem Auditor bezüglich der Ver- — confirm the arrangements with the
wendung von mobilen Geräten und Kame- auditee regarding the use of mobile
ras getroffenen Vereinbarungen bestäti- devices and cameras including recording
gen, einschließlich zur Aufzeichnung von information such as photographs of loca-
Informationen wie Fotos von Standorten tions and equipment, screen shot copies or
und Geräten, Screenshots oder Fotokopien photocopies of documents, videos of
von Dokumenten, Videos von Tätigkeiten activities and interviews, taking into
und Befragungen unter Berücksichtigung consideration security and confidentiality
von Sicherheits- und Vertraulichkeitsange- matters;
legenheiten;

88
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

— außer bei außerplanmäßigen Adhoc- — except for unscheduled, ad hoc audits,


Audits, sicherstellen, dass das Personal, ensure that personnel being visited will be
bei dem die Begehung durchgeführt wird, informed about the audit objectives and
über Auditziele und -umfang informiert scope.
wird.

b) Vor-Ort-Tätigkeiten: b) On-site activities:

— unnötige Störungen der betrieblichen Pro- — avoid any unnecessary disturbance of the
zesse vermeiden; operational processes;

— sicherstellen, dass das Auditteam die PSA — ensure that the audit team is using PPE
richtig verwendet (falls zutreffend); properly (if applicable);

— sicherstellen, dass über Notfallmaßnah- — ensure emergency procedures are commu-


men informiert wird (z. B. Notausgänge, nicated (e.g. emergency exits, assembly
Sammelplätze); points);

— Kommunikation zeitlich planen, um — schedule communication to minimize


Unterbrechungen möglichst gering zu disruption;
halten;

— die Größe des Auditteams und die Anzahl — adapt the size of the audit team and the
der Betreuer und Beobachter entspre- number of guides and observers in
chend dem Auditumfang anpassen, um accordance with the audit scope, in order
Störungen der betrieblichen Abläufe to avoid interference with the operational
soweit wie möglich zu vermeiden; processes as far as practicable;

— Ausrüstung nicht berühren oder mani- — do not touch or manipulate any equip-
pulieren, soweit nicht ausdrücklich ment, unless explicitly permitted, even
gestattet, selbst dann nicht, wenn die Kom- when competent or licensed;
petenz oder Genehmigung dafür vorhan-
den sind;

— falls während der Vor-Ort-Begehung ein — if an incident occurs during the on-site
Vorfall auftritt, sollte der Auditteamleiter visit, the audit team leader should review
die Situation zusammen mit der auditier- the situation with the auditee and, if
Normen-Download-Beuth-Haufe Discovery GmbH-KdNr.6434657-LfNr.8850307001-2019-04-16 13:24

ten Organisation und, falls notwendig, mit necessary, with the audit client and reach
dem Auditauftraggeber überprüfen und agreement on whether the audit should be
Einigung darüber erzielen, ob das Audit interrupted, rescheduled or continued;
unterbrochen, verschoben oder fortgesetzt
werden sollte;

— wenn von Dokumenten Kopien in — if taking copies of documents in any media,


beliebigen Medien angefertigt werden, im ask for permission in advance and con-
Voraus um Genehmigung bitten und sider confidentiality and security matters;
Vertraulichkeits- sowie Sicherheitsfragen
berücksichtigen;

— wenn Notizen gemacht werden, es — when taking notes, avoid collecting perso-
vermeiden, persönliche Informationen zu nal information unless required by the
sammeln, es sei denn, dies wird durch die audit objectives or audit criteria.
Auditziele oder die Auditkriterien gefor-
dert.

89
DIN EN ISO 19011:2018-10
EN ISO 19011:2018 (D+E)

c) Virtuelle Audittätigkeiten: c) Virtual audit activities: