Internes Audit – Allgemein
Was ist ein internes Audit?
Audit leitet sich aus dem lateinischen Wort “Audire” (hören, zuhören, etwas erfahren) ab. Ein Audit stellt in Verbindung mit den Managementsystemen nach der ISO-Norm eine wichtige Säule zur Qualitätsverbesserung in Unternehmen dar. Audits werden durch speziell ausgebildete Personen durchgeführt. Diese Personen werden Auditoren genannt. Während eines Audits wird festgestellt, ob das Unternehmen seine selbst festgelegten Ziele und die Anforderungen aus entsprechenden Richtlinien oder behördlichen Voraussetzungen tatsächlich erreichen konnte. Geprüft wird die Vorgehensweise (das Managementsystem, bzw. die Anforderungen), welche das Unternehmen zum Erreichen seiner Ziele in seinem Unternehmen eingeführt hat.
Wozu dient ein internes Audit?
Unternehmen aller Art verfügen über Auszeichnungen und Zertifizierungen. Sie wirken auf uns vertrauenserweckend und professionell. Doch um an die begehrten Zertifizierungen zu kommen (oder diese künftig beizubehalten) müssen Unternehmen diverse Normvorgaben aufweisen. In einem Audit wird kontrolliert ob in Ihrem Unternehmen, der derzeitige Zustand auch wirklich den vorgegebenen Normwerten, bzw. Anforderungen entspricht. Ein Audit liefert meistens Verbesserungsvorschläge. Audits müssen planmäßig durchgeführt werden. Die Auditergebnisse müssen zudem sorgfältig dokumentiert werden.
Sollten kritische Mängel festgestellt und mit Sofortmaßnahmen behoben werden müssen, so müssen diese kontrolliert und deren Durchführung überwacht werden. Dies geschieht in der Regel in einem Nachaudit.
Wichtig! Ein Audit stellt KEINE persönliche Prüfungssituation dar! Ganz im Gegenteil: Ein Audit kann Ihnen dabei helfen, das verborgene Potenzial Ihres Unternehmens aufzudecken und das Qualitäts- bzw. Sicherheitsniveau Ihres Unternehmens deutlich zu erhöhen.
Pflicht zur Durchführung von internen Audits
Die meisten Norm- und Managementsysteme setzen eine Auditierung als zentrale Basis voraus. Zudem können viele Inhalte eines Managementsystems (z.B. ISO 9001) auch auf andere Managementsysteme (z.B. DIN EN ISO 14001) übertragen und erweitert werden. Interne Audits sind aber auch für Zulassungen ohne zugehörige Norm erforderlich. In diesem Fall werden die entsprechenden Dokumentations- und Umsetzungsanforderungen, in Zusammenhang der entsprechenden Richtlinien, überprüft.
Ein internes Audit kann auch sehr gut dazu genutzt werden, um sich auf ein anstehendes Zertifizierungsaudit oder Kundenaudit vorzubereiten.
Audit-Beauftragung
Beauftragen Sie uns mit der Durchführung Ihrer Audits.
Soll es ein Vor-Audit zur Eigenanalyse oder ein internes Audit sein? Wir übernehmen das für Sie und stehen dabei an und auf Ihrer Seite. Unsere Aufgabe ist es, Sie bestmöglich auf anstehende Zertifizierungs- und Zulassungsaudits vorzubereiten und diese Aufgabe liegt uns sehr am Herzen!
Auditablauf
Ein Auditablauf kann in 3 Kategorien unterteilt werden:
- Vorbereitungsphase
- Durchführungsphase
- Nachbearbeitungsphase
Vorbereitungsphase:
In der Vorbereitungsphase wird der Ablauf des Audits geplant und strukturiert. Hier legen Sie fest, in welchen Gebieten das Audit durchgeführt werden soll (z.B. zur Erlangung einer bestimmten Zertifizierung) und in welchem Zeitraum das Audit abläuft.
Die Dauer eines Audits wird individuell festgelegt. Bei der Festlegung des zeitlichen Rahmens für ein Audit müssen die Unternehmensgröße und die zu auditierenden Bereiche berücksichtigt werden. Ein Audit kann einige Stunden bis mehrere Tage dauern. Zudem erstellen Sie in der Audit-Vorbereitungsphase eine Prüf- bzw. Checkliste für das eigentliche Audit. Jetzt wird ebenso der Auditor bestimmt und welche Personen noch am Audit teilhaben werden (Auditpartner).
Um einen reibungslosen Ablauf des Audits zu gewährleisten, ist eine nachvollziehbare Struktur im Unternehmen das A und O.
Dem Auditor müssen in den wichtigen Bereichen die nötigen Befugnisse zustehen (z.B. Einsicht in bestimmte Dokumente). Sie müssen auch die Ergebnisse einer vorangegangenen Auditierung vorlegen.
Auditoren müssen eine entsprechende Qualifikation für die Durchführung der Audits vorweisen. Die Qualifikation kann unteranderem durch Auditor-Lehrgänge oder durch eine entsprechend glaubwürdige Erfahrung als Auditor (nachweislich schon sehr viele Audits durchgeführt) nachgewiesen werden.
Audits sollten immer durch eine unabhängige und qualifizierte Person erfolgen. Wichtig ist, dass diese Person, sich nicht selbst überprüft (Betriebsblindheit). Beispielsweise sollte sich ein Qualitätsbeauftragter nicht selbst überprüfen, in dem er das eingeführte Qualitätsmanagement des Unternehmens kontrolliert. Allerdings könnte dieser, sofern die entsprechende Auditor-Qualifikation vorliegt, einen seiner Fremddienstleister auditieren (externe Audits durchführen).
Durchführungsphase:
Die Audit-Durchführungsphase wird in 5 Abläufe gegliedert:
- Einführungsgespräch
Während des Einführungsgespräches werden folgende Themen besprochen:
Das Auditziel
Ein Auditziel kann der Erhalt einer Zertifizierung sein oder die erfolgreiche Qualifikation durch einen Kunden.
Der Auditumfang
Der Auditumfang gibt die zu auditierenden Geschäftsbereiche vor (bspw. Transport und Logistik).
Der Auditablauf und die Dauer des Audits
Der Auditablauf gibt den zeitlichen Rahmen des Audits, mit Bezug auf die jeweiligen Themen vor.
Vorstellungsrunde und Fragen
In der Regel erfolgt auch eine Vorstellungsrunde unter den Auditteilnehmern sowie eine kurze Firmenvorstellung. Eventuell aufgekommene Fragen, können Sie jetzt an den Auditor stellen.
- Audit-Prüfung
Hier stellt Ihnen der Auditor Fragen über Ihr Unternehmen, überprüft Ihre Unterlagen und beobachtet die Abläufe in Ihrem Unternehmen.
Die Prüfung wird in 3 Auditschritten durchgeführt
- Der Auditor fragt nach den Abläufen und Sie erklären diese = MÜNDLICH (Soll Zustand der Abläufe)
- Der Auditor lässt sich die entsprechende Umsetzung zeigen = PRAKTISCH (Umsetzung / Vergleich mit Schritt 1)
- Der Auditor lässt sich die Dokumentation zeigen = SCHRIFTLICH (Dokumentation / Vergleich mit Schritt 1 und 2)
- Audit-Feststellung
Nach der stichprobenartigen Überprüfung der Unternehmensabläufe während des Audits wird festgestellt ob alle Anforderungen eingehalten werden.
- Schlussgespräch
Im Schlussgespräch bewerten Sie und der Auditor die positiven und verbesserungswürdigen Feststellungen und gliedern diese nach ihrer Wichtigkeit.
- Audit-Bericht
Zum Schluss dokumentiert der Auditor die Audit-Ergebnisse in einem Auditbericht.
Nachbearbeitungsphase:
In der Audit-Nachbearbeitungsphase werden die Auditergebnisse ausgewertet, bewertet und weitere Maßnahmen festgelegt.
Auswertung und Bewertung
In der Auswertung wird der Soll-Ist-Zustand (ob Ihr Unternehmen die Anforderungen und festgelegten Ziele erreicht hat) verglichen und ggf. Empfehlungen und/oder Aufforderungen von Verbesserungs- bzw. Korrekturmaßnahmen angefertigt. Zudem werden die Ergebnisse des Audits in einem umfassenden Audit-Maßnahmeplan notiert.
Folgemaßnahmen
Folgemaßnahmen sind Verbesserungs- und Korrekturmaßnahmen, um die vorgegebenen Auditziele zu erreichen. Bei festgestellten kritischen Abweichungen kann es vorkommen, dass ein Nachaudit erfolgt. Das Nachaudit dient zur Überprüfung, ob die Verbesserungsmaßnahmen auch tatsächlich eingeführt wurden und wirksam sind.
Regeln für Audits
Wenn Ihr Unternehmen eine Zertifizierung nach einer ISO-Norm anstrebt, werden die Regeln des Audits von der ISO Norm und vom Auditleiter festgelegt. Diese Regeln beziehen sich u.a. auf die Planung und Durchführung der Audits. Für diese Regeln wurden eigene Normen und Leitfäden erstellt.
- ISO 19011:2011 – Sie ist der grundsätzliche Leitfaden zur Auditierung von Managementsystemen
- ISO/IEC 17021:2011 – Sie legt die Forderung an „Stellen, die Managementsysteme auditieren und zertifizieren“ fest
- ISO/IEC 17065:2013 – Sie legt die Forderungen an „Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren“ fest
Die ISO 19011 macht jedoch keine Vorgabe, wie ein Audit im Detail zu erfolgen hat. Sie dient viel mehr als eine Anleitung, wie ein Audit geleitet und gelenkt, geplant und durchgeführt werden könnte.
Wie First Class Management GmbH Sie bei einer Auditierung unterstützen kann
Wir nehmen Ihr Unternehmen in folgenden Bereichen genauestens unter die Lupe. Dabei stehen wir stets auf Ihrer Seite und helfen Ihnen in allen Belangen.
- ISO 9001 – Qualitätsmanagementsystem (QM)
- ISO 28000 – Sicherheitsmanagementsystem für die Lieferkette
- Good Distribution Practice (GDP) – gute Vertriebspraxis von Humanarzneimitteln
- AEO Authorized Economic Operator – zugelassener Wirtschaftsbeteiligter (Zoll)
- Luftsicherheit – gem. Durchführungsverordnung (EU) 2015/1998 (reglementierte Beauftragte, bekannte Versender, usw.)
- Datenschutzmanagementsystem (DSMS) gem. Datenschutz-Grundverordnung (EU-DSGVO)
Warum sollte ich einen externen Fachexperten zu Rate ziehen?
Die Vorteile eines externen Auditors liegen auf der Hand, denn „Zeit ist Geld“
ZEIT – Einsparungen von Unternehmensressourcen
GELD – Besser einmal richtig gemacht als unzählige Versuche unternommen
SICHERHEIT – Fachkenntnisse und Erfahrung bringen Klarheit und Autorität mit
Gemeinsam erarbeiten wir eine Soll/Ist Analyse und motivieren Ihre Mitarbeiter durch unsere neutrale Ansicht gegenüber dem Unternehmen (Integrationsvorteil im Auditprozess).
Egal welche Ziele Sie für Ihr Unternehmen festlegen, wir stehen Ihnen mit unserer Erfahrung zur Seite und führen Sie durch jedes Audit. Dabei liefern wir Ihnen stets transparente Ergebnisse zur Auditierung und potenzielle Handlungsmaßnahmen zur Verbesserung. Sie erhalten einen umfassenden und übersichtlichen Auditbericht. Zudem unterstützen wir Sie gerne bei der Einführung und Umsetzung der Verbesserungsmaßnahem.
Ihre Vorteile mit First Class Management
- Qualifizierte Auditoren
- Unabhängige Auditoren (keine Betriebsblindheit)
- Erstellung der gesamten Auditdokumentation
- Erstellung eines übersichtlicher Maßnahmenberichts
- Stärkung der internen Kontrolle
- Beurteilung der Risiken, Qualität und Sicherheit
Internes Audit – Qualitätsmanagementsystem – ISO 9001
Die Zertifizierung eines Qualitätsmanagements nach ISO 9001 ist weltweit anerkannt und zeichnet Ihr Unternehmen durch Fachkompetenz und Leistungsfähigkeit aus. Sie kann Ihnen dabei helfen, durch Prozessoptimierung und Verbesserungen einen dauerhaften Wettbewerbsvorteil zu verschaffen.
Doch damit Sie im Unternehmen ein Qualitätsmanagementsystem nach ISO 9001 einführen können, müssen vorher diverse Zielvorgaben von Ihnen festgelegt werden. In der Praxis stellen wir immer wieder fest, dass jedes Unternehmen bereits Unternehmensziele gesetzt hat, sie sind eben nur noch nicht dokumentiert (wo wollen wir hin und wie kommen wir da hin?). Die Vorgehensweise zur Erreichung der Unternehmensziele wird auch in Audits überprüft. Sofern Ihr Unternehmen die nötigen Maßnahmen einführt und einhält, werden Sie in den Besitz der begehrten Zertifizierung kommen.
Eine ISO 9001 Zertifizierung ist insgesamt für 3 Jahre gültig und muss (sofern Sie weiterhin die Zertifizierung beibehalten möchten) vor Ablauf der Gültigkeit erneuert werden. Dies wird durch ein Re-Zertifizierungsaudit veranlasst. Dabei wird durch eine Zertifizierungsgesellschaft, während des Audits festgestellt, ob Sie die ISO-Anforderungen weiterhin einhalten können.
In Unternehmen, welche bereits im Besitz einer Zertifizierung “ISO 9001 Qualitätsmanagementsystem” sind, werden in regelmäßigen Abständen (1x jährlich) sogenannte Wiederholungsaudits durchgeführt.
Diese sind nötig um zu überprüfen,
- ob das ISO 9001 QM-System im Unternehmen ordnungsgemäß etabliert wurde,
- ob die Regelungen wirksam in die Praxis umgesetzt wurden,
- ob die angestrebten Zielvorgaben erreicht wurden. Wiederholungsaudits können Ihnen dabei helfen, Ihr Unternehmen kontinuierlich zu verbessern.
Internes Audit – Sicherheitsmanagementsystem für die Lieferkette – ISO 28000
Die ISO 28000 ist eine der ersten internationalen Standards von Managementsystemen für die Sicherheit in der Logistikkette. Die ISO 28000 wurde im Jahre 2007 eingeführt. Sofern Ihr Unternehmen in einem der folgenden Bereiche tätig ist, können Sie Ihr Unternehmen ISO 28000 zertifizieren lassen:
- Produktion
- Lagerung
- Transport
- Dienstleistung
- Logistikdienstleister
Dabei spielt die Größe des Unternehmens keine Rolle. Eine Zertifizierung nach ISO 28000 zeigt Ihren Kunden (und potenziellen Kunden), dass Ihr Unternehmen mit Risiken innerhalb der Lieferkette umgehen kann. In sicherheitsrelevanten Bereichen wird die Zertifizierung gem. ISO 28000 immer häufiger gefordert.
Wenn Sie sich einen Überblick über die Anforderungen der ISO 28000 machen möchten, stehen wir Ihnen gerne beratend zur Seite. Mit uns können sich optimal auf eine ISO 28000 Zertifizierung einstellen.
Sie wollen wissen ob Sie alle Vorgaben der ISO 28000 einhalten?
Wir unterstützen Sie bei der Einführung und Vorbereitung der Zertifizierung.
Um die Vorgaben der ISO 28000 Zertifizierung zu erfüllen, müssen Sie zuvor ein internes Audit durchführen. Zur Vorbereitung auf das Zertifizierungsaudit empfehlen wir zudem ein internes Vor-Audit (Vorbereitungsaudit). Vorbereitungsaudits können auch durchgeführt werden um den Aufwand, bzw. Soll-Ist Stand zu ermitteln Mit diesen Ergebnissen kann eine schnellere Entscheidung getroffen werden, ob eine ISO 28000 Zertifizierung grundsätzlich angestrebt werden sollte (Aufwand-Nutzen).
Unter bestimmten Voraussetzungen lassen sich Vorbereitungsaudits auch mit internen Audits kombinieren. Sprechen Sie uns an – Wir unterstützen Sie gerne!
Auszug aus der ISO Norm:
Die Organisation muss ein Auditprogramm zum Sicherheitsmanagement aufbauen, verwirklichen und aufrechterhalten, und muss sicherstellen, dass Audits des Sicherheitsmanagementsystems in festgelegten Abständen durchgeführt werden, um:
- a) festzulegen, ob das Sicherheitsmanagementsystem:
- mit den geplanten Regelungen für das Sicherheitsmanagement übereinstimmt, einschließlich der Anforderungen aus dem gesamten Abschnitt 4 dieser Spezifikation;
- ordnungsgemäß verwirklicht wurde und aufrechterhalten wird;
- die Politik und die Zielsetzungen des Sicherheitsmanagements der Organisation erfolgreich erfüllt;
- b) die Ergebnisse der vorherigen Audits und die ergriffenen Maßnahmen zur Behebung der Nichtkonformität zu prüfen;
- c) der Leitung Informationen zu den Ergebnissen des Audits zu geben;
- d) zu verifizieren, dass die Sicherheitsausrüstung und die Mitarbeiter angemessen eingesetzt werden. Das Auditprogramm, einschließlich jeglicher Zeitpläne, muss auf den Ergebnissen der Bedrohungs- und Risikoanalysen der Aktivitäten der Organisation sowie den Ergebnissen vorheriger Audits basieren. Die Auditverfahren müssen den Umfang, die Häufigkeit, die Methoden und die Kompetenzen sowie die Verantwortlichkeiten und Anforderungen zur Durchführung von Audits und die Berichterstattung von
Ergebnissen abdecken. Sofern möglich sind Audits durch Mitarbeiter durchzuführen, die unabhängig von denjenigen sind, die eine direkte Verantwortung für die zu untersuchende Aktivität haben.
Bei der ISO 28000 handelt es sich um einen anspruchsvollen Managementsystemstandard, welcher Ihr Unternehmen, durch die Auszeichnung „Sicherheit in der Lieferkette“, positiv ergänzt. Wie jede ISO Zertifizierung zeichnet auch die ISO 28000 Ihr Unternehmen durch Fachkompetenz und Leistungssteigerung aus. Sie liefert den Kunden den nötigen Nachweis über hochwertige Sicherheitsstandards und reduziert die Sicherheitsrisiken innerhalb der Lieferkette. Dies wirkt sich positiv auf die heutigen Kundenstandards aus und erfüllt die Anforderung Ihrer Kunde nach dem Wunsch zur Sicherheit.
Internes Audit – Good Distribution Practice (GDP)
Um eine gute Vertriebspraxis, Qualität und die Unversehrtheit von Arzneimitteln zu gewährleisten, wurden in der EU-Richtlinie 2013/C343/01 entsprechende Maßnahmen festgelegt. Auf dieser Richtlinie wird das GDP Audit aufgebaut. Die GDP Guideline richtet sich dabei in erster Linie an den Arzneimittelgroßhandel. Trotz dessen müssen sämtliche Beteiligte in der Lieferkette an der Umsetzung teilhaben.
Unsere Soll/Ist Analyse (internes Audit) wendet sich an die Logistikbranche. Darunter fallen:
- Spediteure
- Transportunternehmen
- Lagerhalter – Freilager, Zolllager, Frachtumschlag
Keine Angst vor einem Audit. Wir helfen Ihnen in allen Belangen. Unser Angebot für Sie:
- Festlegung des Audittermins
- Vereinbarung einer Agenda
- Durchführung des Audits
- Protokollierung des Audits
- Erstellung des ausführlichen Auditberichts.
Gerade im Bereich der GDP werden in der heutigen Zeit sehr viele Kunden-Audits durchgeführt. Dabei kontrolliert der Pharmahersteller bzw. der Auftraggeber den Logistikdienstleister. Diese müssen die nötigen Standards vorweisen (Ausrüstung, geschultes Personal, regelkonforme Pharmalogistik-Prozesse). Sollten die Logistikdienstleister mit Subunternehmern zusammenarbeiten, so werden diese ebenfalls auf die Erfüllung der GDP Standards überprüft. Jedes einzelne Glied in der “GDP-Kette” wird dabei auf Herz und Nieren überprüft.
Dies kann schnell zur Überforderung führen. Was muss ich alles in meinem Unternehmen einführen? Was muss ich beachten? Welche Prozesse laufen mit der GDP in meinem Unternehmen ab, usw.? Doch haben Sie keine Angst vor den GDP Anforderungen. Die Einführung der GDP Vorgaben verbessert Ihre internen Prozesse. Dies erhöht die Kundenzufriedenheit und erfüllt zudem die nötigen Sicherheitsvorgaben unserer Zeit.
Wir kennen uns mit der ganzen Materie aus und wissen was zu tun ist. Machen Sie den ersten Check mit uns und seien Sie für das nächste Kunden-Audit bestens vorberietet. Wir sind auf die Logistikbranche spezialisiert und unterstützen Sie gerne.
Internes Audit – Authorized Economic Operator (AEO)
AEO bewilligte Unternehmen genießen ein besonderes Ansehen bei ihren Kunden und potenziellen Kunden. Sie gelten zudem auch bei den Zollbehörden und Geschäftspartnern als besonders zuverlässig und vertrauenswürdig. Zudem erhalten AEO zertifizierte Unternehmen zusätzliche Privilegien und Vergünstigungen bei der Zollabfertigung. Deshalb streben immer mehr Unternehmen danach, zugelassener Wirtschaftsbeteiligter (AEO) zu werden. Doch auch hier muss zunächst festgestellt werden, ob Ihr Unternehmen die nötigen Voraussetzungen mitbringt. Dies geschieht mittels einer Vorab-Dokumentenüberprüfung und eines Zoll-Audits, welches vor Ort in Ihrem Unternehmen durchgeführt wird.
Das Zoll-Audit ist eine objektive Beurteilung Ihres Unternehmens und stellt fest, ob Ihr Unternehmen anhand der geltenden zollrechtlichen Voraussetzungen, die vorgegebenen Zollprozesse korrekt anwenden kann. Dabei werden alle relevanten Abteilungen (z.B. Rechnungswesen, Warenannahme, Lagerung usw.) kontrolliert.
Wenn Sie sich nicht sicher sind,
- ob Ihr Unternehmen alle AEO Anforderungen und Kriterien erfüllt oder
- wenn Sie bereits über den AEO Status verfügen aber nicht wissen, ob Sie immer noch aktuell aufgestellt sind (bspw. durch Personalwechsel oder Weggang des Zollbeauftragten)
dann führen wir gerne einen AEO-Check bei Ihnen durch.
Die AEO Dokumentation, darunter fällt vor allem der AEO Fragenkatalog (auch AEO Selbstbewertung genannt) muss intern mindestens jährlich in Bezug auf Aktualität überprüft werden. Änderungen sollen dem zuständigen Hauptzollamt möglichst unaufgefordert übermittelt werden und nicht erst im Rahmen des AEO Monitorings vom Zoll nachgefragt bzw. angefordert werden.
Die nachweisliche interne Überprüfung erreichen Sie ebenfalls mit unserem AEO Check, bzw. dem internen AEO Audit.
Internes Audit – Luftsicherheit – gem. VO EU 2015/1998
Flüchtigkeitsfehler können vermieden werden
Die sicherheitsrelevanten Dokumente von zugelassenen Stellen (z.B. reglementierte Beauftragte und bekannte Versender) müssen mindestens 1x im Jahr intern auditiert werden. Bei dem internen Luftsicherheitsaudit wird die Aktualität und Wirksamkeit der Umsetzung der Luftsicherheitsanforderungen (VO EU 2015/1998 sowie Luftsicherheitsgesetz) für die jeweilige zugelassene Betriebsstätte überprüft. Das Audit (interne Qualitätskontrolle) muss jährlich für jeden zugelassenen Standort durchgeführt werden.
Doch genau hier laufen Unternehmen Gefahr, dass sie die behördlichen Vorgaben oft falsch verstehen oder gar falsch umsetzen. Eine Auditierung muss immer ordnungsgemäß durchgeführt und dokumentiert werden. Oftmals werden Audit-Berichte jedoch gar nicht angefertigt oder diese entsprechen nicht den formellen Anforderungen. Somit können Sie am Ende nicht nachvollziehen, wie das Audit abgelaufen ist. Welche Fragen, Prüfpunkte und Checklisten wurden verwendet, waren diese zum Zeitpunkt des Audits aktuell und an die entsprechenden Richtlinien angepasst? Wurden die Verbesserungsmaßnahmen dokumentiert? In welchem Zeitraum haben Sie die Mängel korrigiert? Sie sehen wie wichtig eine richtige Dokumentation sein kann, denn das sind die Fragen, die Ihnen das LBA im Nachhinein stellen könnte.
Es kann allerdings auch vorkommen, dass das Audit zwar ordentlich dokumentiert wird, jedoch durch eine betriebsblinde bzw. nicht qualifizierte Person durchgeführt wurde. Aus der Praxis können wir auch dazu berichten: Die Auditberichte weisen keine Mängel und/oder Verbesserungsmaßnahmen und Empfehlungen auf (es ist immer alles in Ordnung). Eine solche Vorgehensweise, meist mit dem Hintergrund der Zeit- und Kosteneinsparung, sorgt eher für unnötige Lauferei und Probleme im Nachhinein. Denn in der Praxis erfolgen Audits ohne Feststellungen oder Empfehlungen eher selten und das ist auch gut so. Warum? Die Feststellungen von Mängeln in einem internen Audit ist für das Unternehmen viel vorteilhafter, als dass diese erst durch Behörden festgestellt werden.
Verpflichtungen
Bevor die Zulassung als reglementierter Beauftragter, bekannter Versender oder reglementierter Lieferant vergeben werden kann, wird eine vor Ort Kontrolle (Zulassungsaudit) vom Luftfahrt Bundesamt (LBA) in der zuzulassenden Betriebsstelle durchgeführt. Die Zulassung ist auf 5 Jahre befristet. Sofern die Zulassung auch darüber hinaus bestehen bleiben soll, muss ein Verlängerungsantrag beim LBA eingereicht werden. Damit der jeweilige Status für weitere 5 Jahre verlängert werden kann, führt das LBA eine Re-Zertifizierung durch. Das LBA Re-Zertifizierungsaudit erfolgt nach Terminankündigung und Anmeldung des Luftfahrt Bundesamtes ebenfalls vor Ort. Innerhalb der Zulassungszeit wird es ebenfalls vorkommen, dass die „LBA Aufsicht“ unangemeldete Stichprobenkontrollen (sogenannte Qualitätskontrollmaßnahmen zur Überwachung der Wirksamkeit und ordnungsgemäßen Durchführung von Luftsicherheitsmaßnahmen) durchführt. Diese LBA Qualitätskontrollmaßnahmen sind unangemeldet und erfolgen in allen zugelassenen Betriebsstellen. Die Häufigkeit der unangemeldeten Kontrollen durch das LBA kann nicht verbindlich genannt werden, allerdings kann man davon ausgehen, dass diese ca. jährlich erfolgen. Bei reglementierten Beauftragten bzw. reglementierten Lieferanten, welche auch Kontrolltechniken einsetzen (bspw. röntgen, sniffen und Fracht per Hand durchsuchen/Handsearch) werden sogar quartalsweise, unangemeldete Kontrollen vom LBA durchgeführt.
Abgesehen von den obengenannten behördlichen Audits und Kontrollen sind Sie, als reglementierte Stelle, dazu verpflichtet, mindestens ein jährliches Audit intern durchzuführen.
Das Audit muss immer direkt am zugelassenen Betriebsstandort durchgeführt werden. Sind mehrere zugelassene Niederlassungen vorhanden, so muss jährlich an jedem Standort Ihres Unternehmens ein internes Audit vor Ort durchgeführt werden. Nur so kann festgestellt werden, ob jede zugelassene Betriebsstätte die Anforderungen der Verordnung (EG) Nr. 300/2008 und ihre Durchführungsbestimmung erfüllt.
Wir können Ihnen dabei helfen, die vom LBA vorgeschriebenen Sicherheitsaudits in Verbindung mit Ihrem Luftfrachtsicherheitsprogramm, nach den neusten gesetzlichen Vorgaben, problemlos über die Bühne zu bringen.
Durch unsere Audit-Checklisten und dem Auditbericht sparen Sie sich unnötige Zeitverluste und Ärger. Die Auditdokumentationen entsprechen alle den neusten behördlichen Standards.
Internes Audit – Datenschutzmanagementsystem (DSMS)
Datenschutz ist das Gesprächsthema aber wie läuft es mit der Umsetzung? Die EU Datenschutz-Grundverordnung (EU-DSGVO – in Kraft getreten: 24.05.2016) ist ab dem 25.05.2018 wirksam, zudem ersetzt das Bundesdatenschutzgesetz (BDSG) neue Fassung – das alte BDSG. Jedes Unternehmen ist seitdem verpflichtet, die EU-DSGVO anzuwenden und ein Datenschutzmanagement, zum Schutz personenbezogener Daten, einzuführen. Dabei müssen die Unternehmen sicherstellen, dass die Vorgaben der EU-DSGVO im Unternehmen korrekt umgesetzt werden und die Umsetzung auch nachgewiesen werden kann.
Allerdings sind viele Unternehmen verunsichert, was nun wirklich durch die DSGVO umgesetzt werden muss und warten vorsichtshalber erst einmal ab. Wir empfehlen Ihnen jedoch, sich schnellstmöglich um die Datenschutzangelegenheiten zu kümmern, damit Ihnen, bei Nichtbeachtung, keine Bußgelder, Schadensersatzansprüche oder sonstige Nachteile entstehen.
Wann ist eine Datenschutz-Audit in Ihrem Unternehmen sinnvoll?
Ein datenverarbeitendes Unternehmen, sollte von einem Datenschutz-Audit Nutzen ziehen können und dabei den Aufwand so gering wie möglich halten. Dabei sollten sie stets beachten, ob Ihr Unternehmen den wachsenden Anforderungen Ihrer Kunden und Partner aber auch der aktuellen rechtlichen Grundlagen gerecht wird.
Sie möchten Wissen ob der jetzige Zustand Ihres betrieblichen Datenschutzes in Ihrem Unternehmen ausreicht. Machen sie den Selbsttest:
- Verfügen Sie über einen externen oder internen betrieblichen Datenschutzbeauftragten und wurde diese Bestellung ordentlich vollzogen?
- Haben Sie den Datenschutzbeauftragten bei der Aufsichtsbehörde gemeldet?
- Erhalten Ihre Mitarbeiter eine regelmäßige Datenschutzunterweisung und gibt es einen entsprechenden Schulungsplan?
- Wissen Ihre Mitarbeiter, dass regelmäßig mit personenbezogenen Daten gearbeitet wird (Anrufe/Emails/Besucherlisten)
- Liegt ein aktuelles Verzeichnis der Verarbeitungstätigkeiten vor?
- Schützen Sie Ihre IT-Ausstattung ausreichend vor Cyberangriffe durch Firewalls und Antivirensoftware? Sicheren Sie Ihre Daten ausreichend?
- Sind Ihre betrieblichen Räumlichkeiten sowie Ihr Serverraum ausreichend vor äußeren Einflüssen (z.B. Hackerangriff, unbefugtes betreten etc.) geschützt?
- Werden lediglich die relevanten Daten Ihrer Angestellten erfasst, zu denen Sie berechtigt sind?
- Sind Ihre IT-Dienstleisterverträge auf dem neusten Stand? Müssen Verträge erneuert werden? Wurden die Dienstleister dokumentiert überprüft?
- Wurde Ihre Marketingabteilung über die in Kraft getretenen Änderungen informiert?
- Werden interne Datenschutz-Audits durchgeführt, gibt es einen Auditplan für den Bereich Datenschutz?
- Liegen die Verträge zur Auftragsdatenverarbeitung von allen Auftragsverarbeitern aktuell und unterzeichnet vor? Wurden die Auftragsverarbeiter vor Ort oder zu mindestens dokumentarisch und nachweislich in Bezug auf Datenschutz kontrolliert?
Wenn Sie alle Fragen mit JA beantworten können, dann Glückwunsch! Sie sind auf dem neusten Stand und müssen sich um nichts mehr Sorgen machen. Wenn Sie jedoch eine oder mehrere Fragen mit NEIN beantworten haben, machen Sie mit uns den Datenschutz-Check. Wir stehen Ihnen professionell mit Rat und Tat zur Seite und machen Ihr Unternehmen, in Sachen Datenschutz, fit für die Zukunft!
Nach dem Audit erhalten Sie einen umfangreichen und detaillierten Bericht, die Datenschutz-Checkliste sowie eine Übersicht, mit welchen Maßnahmen Sie den Datenschutz in Ihrem Unternehmen verbessern können bzw. müssen.
Bei Interesse bieten wir Ihnen zudem gerne einen externen Datenschutzbeauftragten an, welcher sich um die Angelegenheiten rund um das Thema Datenschutz kümmert. Mit unseren qualifizierten Datenschutzbeauftragten, welche jeweils durch eine Personenzertifizierungsstelle geprüft und zertifiziert wurden, sowie die nötige Weiterbildung Ihrer Mitarbeiter durch unsere Datenschutzschulung (auch als Online-Seminar), bringen wir Ihr Unternehmen auf den neusten Stand.
Somit schaffen Sie nicht nur vertrauen bei Ihren Kunden sondern sichern sich auch unternehmerisch ab in dem Sie die Anforderungen des Datenschutzes erfüllen und nachweislich dokumentieren.