Glossar Testing, Inspection & Certification

Wenn ein Auditor im Audit eine Abweichung feststellt, heißt das, dass eine vorher (durch ein Regelwerk) festgelegte Toleranz überschritten wurde oder festgelegte Verfahrensschritte nicht befolgt wurden. Abweichungen werden in Hauptabweichungen und Nebenabweichungen (von geringerem Ausmaß oder von geringerer Relevanz) unterteilt. Statt Abweichung verwendet der Auditor auch die Begriffe Differenz, Zielerreichungsgrad oder Delta.

Das Wort Akkreditierung geht auf das lateinische Verb „accredere“ zurück. Auf Deutsch bedeutet das so viel wie „Glauben schenken“. Eine Akkreditierung stellt eine Art Zulassung oder Bestätigung dar, die von der zur Akkreditierung berechtigten Stelle erteilt wird. Dazu sind Nachweise bestimmter Eigenschaften und Fähigkeiten sowie die Einhaltung vorgegebener Standards notwendig.

Eine besondere Bedeutung hat die Akkreditierung von Zertifizierungsstellen, die in der Norm ISO 17011 festgehalten ist. Bei dieser Form der Akkreditierung handelt es sich um eine „Bestätigung durch eine dritte Seite, die formal darlegt, dass eine Zertifizierungsstelle die Kompetenz besitzt, bestimmte Bewertungsaufgaben durchzuführen“.

Der Begriff stammt von dem lateinischen Wort audire ab und bedeutet so viel wie hören/zuhören. Ein Audit untersucht, ob Prozesse, Aktivitäten oder Managementsysteme vorab definierte bzw. geforderte Standards, Richtlinien, Normanforderungen oder gesetzliche Vorgaben erfüllen. Ein Audit soll praxisnah sein. Es erlaubt, in sehr kurzer Zeit den „status quo“ in der Organisation zu erheben, weshalb ein sehr leistungsfähiges Instrument ist.

Man unterscheidet typischerweise vier Auditformen:

System-Audit

Hier wird die Konformität eines Systems mit der Norm überprüft. Eine Frage könnte sein: Erfüllt eine Organisation alle Anforderungen des Qualitätsmanagements laut ISO 9001? Dabei wird die Umsetzung aller Regeln der Norm (des Regelwerks) und unternehmenseigener Vorgaben überprüft.

Prozess-Audit

Hier wird ein bestimmter Prozess per Audit überprüft, zum Beispiel ein Lieferprozess. Ziel ist es, die Leistungsfähigkeit und die Wirksamkeit des Prozesses zu betrachten und zu bewerten.

Produkt-Audit

Hier werden Produkte auditiert, also hinsichtlich ihrer Konformität mit zuvor definierten Anforderungen (z. B. Qualität, Sicherheit, Lebensdauer, gesetzliche/behördliche Anforderungen) geprüft. Beispiel: Neu auf den Markt kommende Produkte müssen sich für eine CE-Kennzeichnung überprüfen lassen, sonst dürfen sie nicht vertrieben werden.

Compliance-Audit

Bei dieser Form des Audits wird die Rechtskonformität überprüft, also die Einhaltung festgelegter, rechtlicher Anforderungen. Zum Beispiel kann ein Unternehmen mit einem Compliance-Audit risikobehaftete Geschäftsvorfälle identifizieren, systemische Schwachstellen im internen Kontrollsystem aufdecken und mit geeigneten Maßnahmen schließen.

Als Auditleiter wir ein Auditor bezeichnet, der aufgrund seiner besonderen Qualifikation von der Zertifizierungsstelle eingesetzt wird und zur Leitung eines Auditteams berechtigt ist. Auditleiter werden immer dann benötigt, wenn große Organisationen und/oder mehrere Regelwerke gleichzeitig auditiert werden sollen und dafür mehrere Auditoren (mindestens jedoch zwei) eingesetzt werden.

Ein Auditleiter ist dafür verantwortlich, die Auditplanung und das Audit selbst ordnungsgemäß auszuführen. Sofern ein Team aus mehreren Auditoren bestehen soll, hat er die Aufgabe, das Auditteam zusammenzustellen, ihre Aufgaben zuzuteilen und sie anzuleiten. Ferner muss er das Auditprogramm und den Auditprozess inklusive Zeitmanagement steuern. Er tauscht mit den Teammitgliedern Informationen aus, bewertet in regelmäßigen Abständen den Fortschritt des Audits und unterrichtet den Auftraggeber über den aktuellen Stand. Der Auditleiter zieht schließlich gemeinsam mit seinem Auditteam die Schlussfolgerungen aus den Auditergebnissen, bespricht diese im Abschlussgespräch und erstellt den Auditbericht.

Mit Auditnachweis sind alle „Aufzeichnungen, Tatsachenfeststellungen oder andere Informationen, die für die Auditkriterien zutreffen und verifizierbar sind” gemeint. Dabei verlangt der Leitfaden zur Auditierung von Managementsystemen, dass die Auditnachweise objektiv sind. Der Kunde (das zu auditierende Unternehmen) muss diese Nachweise erbringen und diese gegenüber Dritten auf Verlangen vorzeigen können.

Ein Auditor ist die Person, die das Audit durchführt. Er/Sie analysiert und begutachtet ein Managementsystem – also die Strukturen, Prozesse und Arbeitsabläufe einer Organisation. Das ist wichtig, um eine stetige Optimierung zu gewährleisten. Dabei arbeitet ein Auditor mit allen Managementebenen zusammen. Er/Sie hört zu, beobachtet und befragt die Mitglieder einer Organisation – auf allen Managementebenen. Die Ausbildung von Auditoren ist in der Norm DIN ISO 19011 geregelt.

Laut der ISO 19011 versteht man unter einem Auditprogramm einen Satz von einem oder mehreren Audits innerhalb eines bestimmten Zeitraumes, die ein bestimmtes Ziel verfolgen.

Benannte Stellen, auch Notifizierte Stellen (englisch Notified Bodies), sind staatlich benannte und staatlich überwachte Organisationen, z. B. Inspektionsstellen, die im Auftrag der Hersteller tätig werden. Ihre Aufgabe ist es, die Konformitätsbewertung von Herstellern zu begleiten und zu kontrollieren. Es kann sich um Erzeugnisse unterschiedlicher Art handeln, meist geht es um Produkte oder Dienstleistungen von „öffentlichem Interesse“. Benannte Stellen sind beispielsweise im Sektor Medizinprodukte im Einsatz, wo sie die Produkte im Hinblick auf die Einhaltung von Verordnungen bzw. Regelwerken prüfen.

Auditoren sind Personen, die auf einem Gebiet oder in einer Branche langjährige Berufserfahrungen gesammelt und eine Expertise aufgebaut haben. Um durch eine Akkreditierungsstelle als Auditor oder Auditorin zugelassen werden zu können, muss man einige Jahre (meist mindestens drei bis vier Jahre) (Vollzeit-)Berufserfahrung mitbringen. Wer für ein bestimmtes Regelwerk als Auditor/ in arbeiten möchte, muss für die jeweilige Branche/ den Bereich mindestens zwei Jahre Berufspraxis in Verbindung mit dem Regelwerk nachweisen. Für manche Regelwerke gilt, dass man zusätzlich noch Berufspraxis im firmeninternen Qualitätsmanagement gesammelt haben muss.

Certification = Zertifizierung

Zertifizierung ist die formale Bescheinigung oder Bestätigung bestimmter Eigenschaften eines Objekts, einer Person oder einer Organisation. Diese Bestätigung erfolgt häufig, aber nicht immer, durch eine Form der externen Überprüfung und Bewertung.

Auditoren haben früher gern mit sogenannten Audit-Checklisten gearbeitet – von der Form her standardisierte, vorgefertigte Fragebögen. Diese arbeitete der Auditor systematisch ab, was den Vorteil hat, dass er keine Themenbereiche oder Fragen vergisst. Checklisten haben jedoch den Nachteil, dass die Kundenseite nur das preisgibt, was von ihr erfragt wird. Nebenaspekte, Zwischentöne, die in einem freier gestalteten Audit-Dialog zur Sprache kommen, werden so nicht gehört oder hinterfragt. Selbstverständlich laufen auch heute Audits nach einem geregelten Prozess, doch es hat sich in der vergangenen Dekade eine dialogische Gesprächsführung durchgesetzt.

Ein Auditor, der noch nicht über ausreichend Erfahrung verfügt, wird meist als Co-Auditor eingesetzt. Auch Auditoren, die in einem größeren Audit-Team neben dem Lead-Auditor tätig sind, werden als Co-Auditoren bezeichnet.

Der Datenschutz spielt im Audit eine wichtige Rolle. Ein Auditor erfährt im Laufe des Audits firmeninterne, teils geheime Informationen oder erhält personenbezogene Informationen und ist daher dem Datenschutz besonders verpflichtet.

DIN steht für Deutsches Institut für Normung. Eine DIN-Norm ist ein unter Leitung des DIN erarbeiteter freiwilliger Standard, in dem materielle und immaterielle Gegenstände vereinheitlicht sind. DIN-Normen entstehen auf Anregung und durch die Initiative interessierter Kreise (in der Regel die deutsche Wirtschaft). Sie werden von einem eigens eingerichteten Ausschuss entwickelt, geprüft und dann freigegeben. In Deutschland existieren mittlerweile mehr als 3.000 DIN-Normen von vornehmlich nationaler Bedeutung.

Auf internationaler Ebene erarbeitete Standards sind zum Beispiel ISO-Normen oder die europäischen Normen EN.

Die Abkürzung EN steht für Europäische Norm.

EOQ steht für European Organization for Quality. Dabei handelt es sich um ein europäisches Netzwerk von Experten und Organisationen, das es sich zur Aufgabe gemacht hat, die Anforderungen an das Fachpersonal im Qualitätsmanagement zu harmonisieren und die Ausbildung von Experten nach vergleichbaren Kriterien durchzuführen. Die EOQ bietet Trainings, Zertifizierung und Registrierung und sorgt für die Anerkennung von Personenzertifikaten.

Ein externes Audit wird immer von einer externen Person, etwa einem von einer Zertifizierungsstelle beauftragten Auditor, durchgeführt. Je nach Anzahl der am externen Audit beteiligten Parteien wird dabei zwischen zwei Auditformen unterschieden:
Second Party Audit (Lieferantenaudit): Hierbei sind ein Kunde sowie sein Lieferant als Parteien involviert. Im 2nd Party Audit werden die Fähigkeiten des Lieferanten, die Kundenanforderungen einzuhalten, überprüft.

Third Party Audit (Zertifizierungsaudit): Ein solches Audit wird immer von einer dritten externen Partei durchgeführt, z. B. einer Zertifizierungsgesellschaft. Es handelt sich um eine unabhängige Prüfung eines Managementsystems (z. B. nach der Norm DIN EN ISO 9001) auf Normkonformität mit anschließender Zertifizierung.)

Die als „1st Party Audits“ bezeichneten Verfahren heißen so, weil sie in der Regel von einem „internen Auditor“ durchgeführt werden, also von einem dafür geschulten Unternehmensangehörigen (meist Mitarbeiter im Qualitätsmanagement oder interner Auditor). In diesem Fall ist nur eine Partei, nämlich das Unternehmen selbst, involviert. Interne Audits können auch von externen Auditoren durchgeführt werden, unter der Voraussetzung, dass für ein nachfolgendes Zertifizierungs-Audit ein anderer Zertifizierer zum Zuge kommt.

Produkte und Dienstleistungen müssen heute nicht nur die Erwartungen der Kunden erfüllen, die Hersteller und Anbieter müssen häufig auch sicherstellen, dass gesetzliche Vorgaben erfüllt werden. In Deutschland vertriebene Medizinprodukte müssen beispielsweise nach dem Medizinproduktegesetz zugelassen bzw. geprüft werden. Energieaudits nach DIN EN 16247-1 müssen von Unternehmen ab einer bestimmten Größe durchgeführt werden, um nachzuweisen, dass sie die Energieeffizienzrichtlinie einhalten. Führen sie diese Audits nicht durch, drohen Bußgelder. Insofern sind in einigen Bereichen Gesetzesvorgaben zwingend durch z. B. Audits für bestimmte Regelwerke umzusetzen.

Die gute Herstellungspraxis (Good Manufacturing Practice, GMP) ist ein System, mit dem sichergestellt wird, dass Produkte durchgängig nach Qualitätsstandards hergestellt und kontrolliert werden. Dafür müssen Unternehmen den dokumentierten Nachweis erbingen, dass bei jedem Schritt des Herstellungsprozesses eines Produkts die richtigen Verfahren eingehalten werden.

Das Thema Haftung spielt in mehrfacher Hinsicht eine große Rolle. Zum einen haften die Prüfdienstleister für die Richtigkeit der durchgeführten Zertifizierung. Des Weiteren haftet das Management von Organisationen, wenn sie die Einhaltung gesetzlicher Vorgaben oder Verfahrensrichtlinien nicht durch eine Zertifizierung bzw. durch Audits nachweisen können. Und Unternehmen, die Produkte gegenüber Endverbrauchern „in Verkehr bringen“, haften, wenn die Produkte nicht nach bestimmten Mechanismen geprüft und zugelassen wurden. So soll z. B. die Produktsicherheit gewährleistet sein.

IEC steht für „International Electrotechnical Commission”. Für Normen, die mit Elektrik und Elektronik zu tun haben, haben sich die IEC-Normen durchgesetzt.

Mit Inspektion ist der Bereich gemeint, bei dem durch Messen, Untersuchen, Prüfen und Beurteilen eines oder mehrerer Merkmale eines Produkts oder einer Dienstleistung ein Vergleich der Ergebnisse mit festgelegten Anforderungen durchgeführt wird. Dies alles, um festzustellen, ob die Konformität für jedes Merkmal des Produkts/der Dienstleistung besteht.

Inspektionsstellen sind mit der Überprüfung von Objekten (Materialien, Produkte, Anlagen, Installationen etc.) und der Dokumentation ihres Zustands betraut. Ziel ist es, Fragen der Sicherheit, Quantität, Qualität und Zweckmäßigkeit kritisch zu betrachten. Inspektionsstellen kennt man z.B. für die Prüfung von KFZ oder für die Prüfung von Anlagen in Industrie und Baugewerbe. Die internationale Norm für Inspektionsstellen ist die ISO/IEC 17020.

Diese Auditart dient internen Zwecken einer Organisation. Da an einem internen Audit nur eine Partei beteiligt ist, wird es im internationalen Sprachgebrauch auch als First Party Audit bezeichnet.

Der Begriff IRCA (International Register of Certificated Auditors) bezeichnet das Register, in dem zugelassene Auditoren registriert und abrufbar sind. Das Register geht auf eine britische Initiative zurück. Verschiedene Bildungsanbieter richten die Ausbildung von Auditoren auch an der IRCA-Prüfungsordnung aus und der Auditor darf dann den Zusatz IRCA führen.

Hinter den drei Buchstaben ISO verbirgt sich die Internationale Organisation für Normung (International Organization for Standardization) mit Sitz in Genf. Die 1947 gegründete unabhängige und weltweit agierende Nichtregierungsorganisation hat sich die Entwicklung und Herausgabe internationaler Normen zum Ziel gesetzt. ISO-Normen sind internationale Normen, die dabei helfen, die Qualität und die Sicherheit von Waren und Dienstleistungen zu verbessern und ihren Austausch zwischen Unternehmen und Ländern zu vereinfachen.

Die Konformitätsbewertung (festgelegt in der Norm ISO/IEC 17000 „Konformitätsbewertung – Begriffe und allgemeine Grundlagen“) bestätigt, dass in einer Norm definierte Anforderungen bezogen auf ein Produkt, einen Prozess, ein System, eine Person oder eine Stelle erfüllt werden. Konformitätsbewertung ist zudem ein Sammelbegriff, unter dem das Auswählen, Ermitteln von z. B. Eigenschaften, Bewerten von Anforderungen und das Bestätigen (Erklärung des Herstellers, Zertifikat einer Zertifizierungsstelle, dass ein Produkt bestimmte Normen einhält) zusammengefasst werden.

Englisch auch „Notified Body“. Konformitätsbewertungsstellen sind Stellen, die Dienstleistungen, Produkte oder Prozesse fachgerecht prüfen. Sie können privat oder staatlich sein. Konformitätsbewertungsstellen sind z.B. Zertifizierungsstellen, Laboratorien, Verifizierungs- und Inspektionstellen. Private Konformitätsbewertungsstellen in Deutschland sind z. B. die TÜV-Organisationen, DEKRA, Bureau Veritas, DQS, die vielfältige Prüf- und Überwachungsaufgaben wahrnehmen. Des Weiteren gibt es auch staatliche Konformitätsbewertungsstellen wie Bundesanstalten, die im hoheitlichen Auftrag Prüfungen übernehmen.

Werden im Audit Abweichungen z. B. von Regelwerksvorgaben oder hausinternen Prozessen festgestellt, hält der Auditor Korrekturmaßnahmen fest, die dann im Rahmen einer Nachbegutachtung erneut überprüft werden.

Produktzertifizierungen können vor Ort beim Hersteller oder in einem Labor durchgeführt werden. Bestimmte Produktzertifizierungen finden in einem Prüflabor statt, um z. B. Simulationen vorzunehmen, zerstörungsfreie/-arme oder intensive Prüfungen durchzuführen. Prüflabore sind dafür eigens akkreditiert und verwenden modernste Test- und Messgeräte. Nachdem das Produkt geprüft wurde, erhält der Kunde einen umfassenden Prüfbericht und das Produktzertifikat.

Siehe auch Auditleiter.

Möchte ein Unternehmen (regelmäßig) überprüfen, ob sein Lieferant die an ihn gestellten Vorgaben tatsächlich einhält und den Ansprüchen genügt, vereinbart es ein Lieferanten-Audit.

Der Begriff bündelt Tätigkeiten, Instrumente und Methoden der Unternehmensführung, die aufeinander abgestimmt sind, um eine Organisation zu führen und zu steuern und deren Ziele zu erreichen. Ein Managementsystem ist somit ein Standard für die Unternehmensführung. Die Wirksamkeit von Managementsystemen prüft man z.B. über ein Audit.

Normen helfen Unternehmen oder Organisationen ihre Abläufe und Produktion aufeinander abzustimmen. Damit wird sichergestellt, dass Produkte unterschiedlicher Hersteller von Kunden/ Anwendern gleichermaßen genutzt werden können. (Beispiel: USB-Anschlüsse sind genormt, damit sie weltweit genutzt werden können) Darüber hinaus soll die Normierung die Zusammenarbeit zwischen Institutionen und Unternehmen in Wirtschaft, Technik und Wissenschaft fördern und sie bietet Rechtssicherheit. Ihre Anwendung wirkt praktisch in jedes Unternehmen und jeden Privathaushalt hinein. Normen geben unterschiedliche Organisationen heraus: Außer der Internationalen Organisation für Normung (ISO) entwickeln/ veröffentlichen noch zwei weitere Organisationen internationale Normen: die IEC (oft in Kooperation mit der ISO) für den Bereich Elektrotechnik und ITU für den Bereich Telekommunikation.

Die Objektivität spielt im Auditprozess eine wichtige Rolle. Der Auditor erlangt Erkenntnisse, die unabhängig von einer individuellen Meinung Bestand haben müssen. Er muss sicherstellen, dass die Erkenntnisse nicht durch subjektive Ansichten oder Färbungen verfälscht werden. Die beste Möglichkeit hierfür ist, im Audit verifizierbare Nachweise für Tatsachen zu erfassen und daran die Bewertung auszurichten.

Qualitätsmanagement umfasst alle Maßnahmen zur Planung, Steuerung und Optimierung von Prozessen anhand vorgegebener Anforderungen. Das Ziel von Qualitätsmanagement ist es, die Qualität eines Produktes oder einer Dienstleistung und damit die Kundenzufriedenheit zu verbessern. Die erste Frage, die sich dabei stellt: Welche Bedingungen müssen erfüllt sein, um Kunden glücklich zu machen? Die DIN EN ISO 9000 ff. ist die international am weitesten verbreitete Norm, die Begriffe, Prinzipien und Standards für ein wirksames Qualitätsmanagementsystem (QMS oder QM-System) bestimmt. Qualitätsmanager sollen nach der ISO 9000 z. B. kunden- und prozessorientiert handeln.

QMA steht für Qualitätsmanagement-Auditor und bezeichnet zunächst eine umfassende Qualifikationsmaßnahme (in der Regel dauert diese vier bis fünf Tage), die mit einer Prüfung abgeschlossen wird. Diese Qualifikation berechtigt dazu, (interne) Audits vollumfänglich zu planen und durchzuführen. Sie ist zugleich Grundlage, um im nächsten Schritt als externer Auditor berufen zu werden. Hierfür bedarf es dann aber weiterer Praxistage, also Audits vor Ort.

Der Qualitätsmanagementbeauftragte (QMB) ist im Unternehmen das wichtigste Bindeglied zwischen dem Qualitätsmanagement und den Fachbereichen. Er ist meist von der obersten Leitung (GF, Vorstand etc.) beauftragt und greift in Prozesse ein, die zu Qualitätsproblemen führen können.

QMF steht für Qualitätsmanagement-Fachkraft und stellt meist die erste Stufe der Qualifizierung im Bereich Qualitätsmanagement dar. Im Rahmen von Seminaren erwerben Interessierte das Grundlagenwissen zu Qualitätsmethoden und Prüftechniken.

Die Re-Zertifizierung ist der Begriff für die Erneuerung der Gültigkeit eines Zertifikats, das bereits erworben wurde. Hierfür findet ein neues Zertifizierungsaudit innerhalb einer bestimmten Frist statt. In der Regel werden bei den meisten Normen nach zwei oder drei Jahren Re-Zertifizierungen fällig.

Der Begriff Regelwerk ist ein Sammel- und Überbegriff für Richtlinien wie die ISO-, EN- oder DIN-Normen.

Ein Remote-Audit läuft wie ein herkömmliches Audit ab, nur mittels digitaler Tools. Man kann ein Audit komplett oder teilweise als Remote-Audit durchführen. Alternativ spricht man auch von einem Remote-Audit, wenn ein Experte digital hinzugezogen wird. Vorteil: Es fallen keine Reisekosten und -zeiten an und der zeitliche Verzug zwischen Datenerhebung und -auswertung kann sehr klein gehalten werden. Nachteil: Nicht alle Audits lassen sich remote durchführen, vor allem die Inspektion von technischen Anlagen funktioniert in der Regel nur vor Ort. Zudem sind die kommunikativen Möglichkeiten eingeschränkt, was sich in Konfliktsituationen nachteilig auswirken kann.

Scopes bezeichnen die Branchenschwerpunkte, in denen ein Auditor später Audits durchführen darf, also seine Zulassungsbereiche. Man unterscheidet Produkt-Scopes und Technologie-Scopes.

“2nd Party Audits“ heißen Verfahren, bei denen zwei Parteien involviert sind; Auditor ist hier oft der Qualitätsmanagementbeauftragte eines Unternehmens. Er prüft zum Beispiel ein anderes Unternehmen auf die Eignung als Lieferant. Auch hier werden heute immer häufiger erfahrene externe Auditoren beauftragt.

„3rd Party Audits“ führen ausschließlich externe Auditoren (unabhängige Dritte) durch, die für das zugrundeliegende Regelwerk zugelassen sind.

Im Rahmen eines Auditprozesses ist die Objektivität und Unparteilichkeit der Auditoren von höchster Relevanz. Der Auditor sollte vorher möglichst nicht in dem zu auditierenden Unternehmen/ Bereich gearbeitet haben (Stichwort Interessenkonflikt), zum anderen möglichst unvoreingenommen in jedes Audit gehen. Von ihm wird gefordert, das Audit sachlich zu gestalten, faktenbasiert zu arbeiten und integer (also unbestechlich) zu sein.

Ein Überwachungsaudit findet dann statt, wenn eine Organisation für ein Regelwerk bereits (erst-)zertifiziert wurde und die Einhaltung der Normkonformität überwacht werden soll. Überwachungsaudits finden in der Regel jährlich statt – bis zu dem Zeitpunkt, an dem eine Re-Zertifizierung ansteht.

Eine Zertifizierung ist ein komplexes Verfahren, das die Organisationen entsprechend Geld kostet. Im Rahmen eines Vor-Audits wird die Einhaltung des Regelwerks im Unternehmen in Hinblick auf eine Zertifizierungsreife eingeschätzt. Das Vor-Audit führen in der Regel Berater/ Beratungsgesellschaften durch. Sie kommen in die Organisation und geben eine erste Einschätzung, welche Kriterien und Punkte bis zu einer erfolgreichen Zertifizierung noch zu erfüllen sind.

Bei einem Witness-Audit wird nicht die zu auditierende Organisation beobachtet und bewertet, sondern der durchführende Auditor und sein Audit. Witness leitet sich von Witnessing (Beobachten) ab. Hierbei wird das durchgeführte Audit beobachtet, ohne dabei störend einzugreifen oder zu beinflussen. Ziel ist es, die Kompetenz der Auditoren zu prüfen und die Einhaltung der Zertifizierungsprogramme und -verfahren zu überwachen. Witness-Audits werden von Akkreditierungsstellen wie der Deutschen Akkreditierungsstelle DAkkS durchgeführt.

Das Ergebnis eines Zertifizierungsaudits wird der Organisation in Form eines Auditberichtes und – bei Erfolg – in Form einer Urkunde, dem „Zertifikat“, überreicht. Damit kann die Organisation nach außen (gegenüber dem Markt, den Kunden oder Lieferanten) nachweisen, dass es die Anforderungen an ein Regelwerk einhält.

Bei einer Zertifizierung handelt es sich um ein Verfahren zur Konformitätsbewertung, also zur Einhaltung von Anforderungen. Der Begriff Konformität beschreibt hierbei eine Überprüfung der Erfüllung bzw. Einhaltung definierter Anforderungen, die an ein Produkt, ein System, einen Prozess sowie auch an Personen gestellt werden.

Um als 3rd Party Auditor arbeiten zu können, bedarf es einer Zulassung. Eine Akkreditierungsstelle wie die DAkkS prüft, ob der Auditor-Kandidat alle notwendigen Zulassungsvoraussetzungen – sprich Anforderungen – erfüllt. Es gibt allgemeine Anforderungen, die ein Auditor zu erfüllen hat, die in der ISO 19011 (Abschnitt 7) geregelt sind. Für jedes Regelwerk (z. B. die DIN ISO 27001) gibt es zusätzliche Zulassungsvoraussetzungen, die auf das Regelwerk und den Themenschwerpunkt gerichtet sind.