ISO 19011 – Leitfaden zur Auditierung von

Kundenzeitschrift der DQS-Gruppe
Nr. 69/70/71
ISO 19011 –
Leitfaden zur Auditierung
von Managementsystemen
Im Dezember 2011 ist der neue Leitfaden zur Auditierung
von Managementsystemen erschienen. Diese Version ersetzt den alten Leitfaden aus dem Jahr 2002 „Auditieren
von Qualitäts- und Umweltmanagementsystemen“ und
erweitert die Anwendung nun auf das Auditieren aller
Managementsysteme. Mit diesen Artikeln startet die DQS
eine Reihe von Beiträgen, die sich mit den Änderungen des
neuen Leitfadens ISO 19011 und den damit verbundenen
Auswirkungen auf die interne Auditpraxis befassen.
Warum überhaupt diese Revision ?
Alle Normen und Leitfäden unterliegen grundsätzlich Änderungsbzw. Anpassungsintervallen. Zum einen sollen sie gängige Praxis
und technologische Neuerungen aufgreifen, zum anderen fließen
Erfahrungswerte von Anwenderseite in die Überarbeitungen ein.
Diese Rückmeldungen von zertifizierten Unternehmen, deren
Kunden, Zertifizierungsgesellschaften, Akkreditierungsstellen,
Wirtschaftsverbänden und weiteren interessierten Parteien werden zunächst auf nationaler Ebene gesammelt, ausgewertet und
verdichtet. Diese nationalen Kommentierungen und Änderungsvorschläge werden wiederum in die internationale Gremienarbeit
eingebracht. In die nationalen und internationalen Gremien sind
unter anderem auch Mitarbeiter der Deutschen Gesellschaft für
Qualität (DGQ) eingebunden.
Übergangsregelungen und -fristen
Hier können wir uns erfreulich kurz halten. Es gibt keine Übergangsregelungen und -fristen. Mit der Veröffentlichung im
Dezember 2011 wurde dieser Leitfaden sofort gültig und kann
angewendet werden. Dabei kommt ihm natürlich sein Status als
„Leitfaden“ zugute – doch dazu mehr im folgenden Absatz.
Geltungsbereich und Status des Dokumentes
„Diese Norm ist anwendbar auf alle Organisationen, die interne
oder externe Audits von Managementsystemen durchführen oder
für das Management eines Auditprogramms verantwortlich sind.“
Diesem Satz aus Kapitel 1 wäre eigentlich nichts hinzuzufügen.
Allerdings ist zu beachten, dass hinsichtlich der Durchführung von
„externen Audits“ die Norm ISO / IEC 17021 für Zertifizierungsgesellschaften gilt, die zwar weite Passagen von ISO 19011 in einem neuen Kapitel 9 übernommen hat, aber eben nicht alle und
nicht komplett – genannt seien hier die Beispiele „Remote Audit
Activities“ und „Risikobasierter Auditansatz“. Somit ist die Nennung von „externen Audits“ im Kontext von ISO 19011 auf das
Durchführen von 2nd Party, also Lieferantenaudits zu begrenzen.
Betrachtet man einerseits die internationale Normungsarbeit der
vergangenen Jahre und beobachtet gleichzeitig den ungebrochenen Trend immer weitere neue oder ergänzende Managementsystemnormen zu veröffentlichen, die allesamt interne Audits
enthalten, ist es eine nahezu logische Folge, dass es nun nach
10 Jahren geboten ist, den entsprechenden Leitfaden einer
Generalüberholung zu unterziehen.
Andererseits ist festzuhalten, dass Techniken und Methoden der
Auditplanung, Auditdurchführung und Auditnachbereitung seit
über zwei Jahrzehnten etabliert sind und das „Auditieren“ nicht
neu definiert werden muss. Jedoch sind Anpassungen, Klarstellungen, Präzisierungen und Auslegungen notwendig geworden, um
dem immens gewachsenen Anwendungsgrad dieses Leitfadens
gerecht zu werden. Erstaunlich ist allerdings auch Folgendes:
Fragt man im Rahmen von Veranstaltungen nach dem Kenntnisstand zu diesem Dokument, ist das Ergebnis ernüchternd. Auch
aus diesem Grund haben wir uns entschlossen, in der DQS im
Dialog diese Reihe von Beiträgen zu veröffentlichen.
DQS GmbH
Zum Status des Dokumentes ist folgender Hinweis
entscheidend: Es handelt sich um einen Leitfaden!
Was bedeutet dies für die Praxis? Ein Leitfaden gibt Hinweise und
Orientierungshilfe. Ein Leitfaden stellt keine Forderungen auf! Das
heißt: Organisationen können sich an die Anleitungen anlehnen,
sie übernehmen – in Gänze oder in Teilen. Auch die in den Forderungsnormen zu Managementsystemen eingefügten Fußnoten
und Anmerkungen, die auf diesen Leitfaden Bezug nehmen, machen aus einem Leitfaden kein normatives „Muss“. Damit
www.dqs.de
Kundenzeitschrift der DQS-Gruppe
Nr. 69/70/71
bleibt es jeder Organisation selbst überlassen zu entscheiden, ob
und welche Passagen für das eigene Unternehmen praktikabel,
sinnvoll und umsetzbar sind. Aber Achtung: Wenn Sie in Ihrer
Systemdokumentation Formulierungen nutzen wie „… unsere
internen Auditprozesse folgen den Prinzipien von ISO 19011“ oder
„… Auditprogramme und Audits werden auf der Grundlage von
ISO 19011 durchgeführt“ erheben Sie diesen Leitfaden zu einem
Dokument, das für Ihr System Forderungen aufstellt. Hier könnte
also ein Blick in die Ausgestaltung und die Wortwahl der eigenen
Prozesse angebracht sein. Ein weiterer Hinweis: Manche, gerade
sektorenspezifische Normen, wie ISO / TS 16949 stellen präzisierende Forderungen zur Planung und Durchführung interner Audits
auf. Hier gilt das Prinzip „Ober schlägt Unter“. Wenn also ein für
Ihre Organisation gültiges und anzuwendendes Regelwerk Forderungen erhebt, gelten diese, egal ob es sich bei der übergreifenden Auditnorm ISO 19011 um einen Leitfaden handelt.
Die grundsätzliche Botschaft des Leitfaden
Wenn wir aufgefordert wären die grundsätzliche Botschaft des
Leitfadens in wenige Worte zu fassen, kämen wahrscheinlich
diese Leitsätze zu Stande:
ƒƒ Investieren Sie mehr Zeit und Überlegungen darin, in welche
Prozesse und Aspekte Ihres Managementsystems Sie die zur
Verfügung stehenden Auditressourcen einbringen und die Sie
intensiv auditieren wollen – treffen Sie also eine selektive
Entscheidung.
ƒƒ Machen Sie sich Gedanken darüber, welche Ziele Sie mit den
internen Audits verfolgen (und das ist mehr als der Nachweis
von Konformität!) und mit welchen Auditmethoden diese ausgewählten Ziele optimal unterstützt werden können.
ƒƒ Setzen Sie – je nach ausgewählten Prozessen und Auditmethoden – die hierfür am besten geeigneten Personen ein.
Ermitteln Sie die individuell für Ihr Unternehmen benötigten
Kompetenzen der internen Auditoren.
ƒƒ Bewerten und verbessern Sie kontinuierlich Ihre Auditplanung,
Auditdurchführung und Auditnachbereitung.
DQS GmbH
Das neu eingeführte Auditprinzip Vertraulichkeit
Auditprinzipien werden gerne überlesen, sei es weil man annimmt
dort stünden nur Allgemeinplätze, sei es weil keine konkreten
Handlungsanleitungen dargestellt seien. Dies ist bedauerlich, sind
dort doch grundsätzliche, handwerkliche und berufsethische Bedingungen definiert, die professionelles Handeln im Auditkontext
ausmachen. Nicht umsonst sind diese Prinzipien dem Leitfaden
vorangestellt. Neben den bekannten
ƒƒ
ƒƒ
ƒƒ
ƒƒ
ƒƒ
Integrität (war bislang ethisches Verhalten)
sachliche Darstellung
angemessene berufliche Sorgfalt
Unabhängigkeit
Vorgehensweise, die auf Nachweisen beruht
ist nun ein weiteres Prinzip hinzugekommen, das sich mit Vertraulichkeit befasst. Hier wird Folgendes ausgeführt:
„Auditoren sollten bei der Verwendung und dem Schutz von Informationen, die sie im Verlaufe ihre Aufgaben erworben haben, umsichtig sein. Auditinformationen sollten nicht unangemessen zur
persönlichen Bereicherung des Auditors oder der Organisation,
die das Audit anfordert, oder in einer Weise verwendet werden,
die nachteilig für die berechtigten Interessen der zu auditierenden
Organisation ist. Dieses Konzept schließt den ordnungsgemäßen
Umgang mit sensiblen, vertraulichen Informationen ein.“
Viele Leser werden hier einwenden: Das ist doch eine Selbstverständlichkeit! Trotzdem seien die nachfolgenden Fragen hier
erlaubt: In welchen Organisationen sind denn tatsächlich transparente, verbindliche Regeln zum Umgang mit vertraulichen, und
sensiblen Informationen aufgestellt? Das Festlegen einer Verteilerliste für den Auditbericht greift in diesem Zusammenhang nur
unzureichend. Die meisten Organisationen haben entweder gar
keine definierten Regelungen oder nur „mündlich überlieferte“
und überlassen die Entscheidung darüber, wie zu verfahren ist,
den internen Auditoren selbst. Fair gegenüber den Auditoren und
umsichtig bzgl. Risikovorsorge ist das auch nicht. Wie handhaben
es die internen Auditoren z. B. beim Austausch untereinander?
Will die Organisation den Informationstransfer (was ja nicht verboten und durch das Auditprinzip untersagt wäre)? Was könnte eine
sog. „persönliche Bereicherung“ des Auditors sein, z. B. die
www.dqs.de
Kundenzeitschrift der DQS-Gruppe
Nr. 69/70/71
Nutzung für eine Nebentätigkeit als Berater? Insbesondere im
Kontext von Lieferantenaudits sind aus Sicht des Autors Leitsätze,
Regeln, Prinzipien zur Vertraulichkeit dringend zu empfehlen.
Auch wer einmal in den Zügen der deutschen Bahn oder der
Lounges von Airlines aufmerksam auf die Inhalte von Telefonaten
am Nachbartisch achtet, bekommt einen alarmierenden Eindruck
über die Relevanz des „ordnungsgemäßen Umgangs mit sensiblen, vertraulichen Informationen“.
Remote-Auditmethoden
Erstmalig nennt ISO 19011 im Zusammenhang mit der Festlegung
des Umfangs von Auditprogrammen sogenannte „Remote-Auditmethoden“ (ja, Sie lesen richtig, das ist die offizielle deutsche
Sprachfassung!). Gemeint sind damit Methoden, die nicht die
physische Anwesenheit des Auditors vor Ort erfordern. Die ersten
Reaktionen darauf reichten von „Hervorragend, zukünftig werden
Audits vom Schreibtisch der QMBs mit dem Telefon in der Hand
durchgeführt“ bis zu „Um Himmels Willen, Audits aus der Distanz,
wie soll das gehen, z. B. bei Umwelt- oder Arbeitssicherheitssystemen?“ Achtung: Es ist nicht von Remote-Audits die Rede, sondern
vom Einsatz von Remote-Auditmethoden! Und die hat es schon
immer gegeben, beispielsweise in Form von Dokumentenprüfungen im Vorfeld des Audits oder beim Schließen von Maßnahmen
durch die Einsendung von Nachweisen und deren Bewertung,
ohne direkt vor Ort zu sein. Hier wird also nur etwas beschrieben,
was schon länger praktisch umgesetzt war. Dennoch sollte man
diese Nennung nun auch als Chance begreifen sich intensiver
damit auseinanderzusetzen, welche Themen, Bereiche, Personen
tatsächlich vor Ort sein müssen, um ein Audit sinnvoll durchzuführen. Beispielhaft seien hier das Einschalten eines Fachexperten
per Telefon, Skype oder Netviewer zu einem spezifischen Thema
angeführt oder z. B. das Telefonat mit einem Vertriebsmitarbeiter
an einem entfernten Standort, wenn gleichzeitig sichergestellt ist,
dass die Auditbeteiligten auf den gleichen Datenbestand zugreifen
können. Interessanterweise wird im Anhang B von ISO 19011, der
sich generell mit Auditmethoden befasst, auch auf ein angemessenes „Vertrauensniveau“ hingewiesen, welches für die Anwendung von Remote-Auditmethoden notwendig ist.
methoden nicht erhalten werden, die z. B. durch den direkten,
persönlichen Kontakt mit Menschen oder durch direkte visuelle
Eindrücke entstehen. Persönlich kann sich der Autor die intensive
Anwendung von solchen Auditmethoden im Kontext von Produktionsprozessen, Umwelt- oder Arbeitsschutzsystemen nur schwerlich vorstellen.
Der Ansatz des risikobasierten Auditierens
Der vielleicht interessanteste Satz in der Neufassung von ISO
19011 findet sich im Kapitel 5.1. Dort ist im Zusammenhang mit
dem Konzept des risikobasierten Auditierens ausgeführt, „… Vorrang sollte der Zuordnung der Auditprogrammressourcen gegeben
werden, um diejenigen Dinge zu auditieren, die innerhalb des Managementsystems von Bedeutung sind.“
Das eröffnet die Chance der Selektion, d. h. es ist ausdrücklich
zugestanden, Prozesse mehr oder weniger intensiv zu auditieren,
je nachdem welchen Stellenwert sie innerhalb des Managementsystems und der Organisation wahrnehmen. Es ist nun also an
der Organisation zu spezifizieren, welche Kriterien sie anlegt um
diese Bedeutung zu ermitteln. Kriterien hierfür könnten sein:
Schlüsselmerkmale von Produktqualität, Risiken, signifikante Umweltaspekte oder Gefahren für die Gesundheit, Unternehmensund/oder Auditziele, Reifegrad des Managementsystems (hier
könnte sich dann wiederum ein Blick in den Anhang A von ISO
9004 lohnen, der einen sehr praktikablen Ansatz für eine selbstbewertende Reifegradeinstufung durch die Organisation darstellt).
Aus dem Blickwinkel eines externen Auditors betrachtet, sollte
dieser Prozess der Identifikation der „sog. bedeutenden Prozesse,
Bereiche des Managementsystems“ allerdings nachweisbar,
plausibel dargestellt und mit Nachweisen versehen sein. Dann
werden externe Auditoren Auditprogramme selbstverständlich akzeptieren, die auf diesem risikobasierten Ansatz aufsetzen. Damit
sollten Auditprogramme mit dem zugrunde gelegten Prinzip alle
Prozesse, jedes Jahr und überall in gleicher Intensität „durchzuauditieren“ der Vergangenheit angehören. Und das ist eine wahrlich
gute Botschaft!
In welchem Umfang auch immer Organisationen nun zukünftig
von dieser Möglichkeit Gebrauch machen werden, sie sollten
genau überlegen, welche Informationen durch Remote-Audit-
DQS GmbH
www.dqs.de
Kundenzeitschrift der DQS-Gruppe
Nr. 69/70/71
Bewertung der Risiken, die mit der Auditprogrammplanung verbunden sind
Dieses Kapitel wurde völlig neu entwickelt und enthält eine durchaus beeindruckende
Zusammenstellung von Aspekten, die bei der Festlegung, Umsetzung, Überwachung,
Bewertung und Verbesserung von Auditprogrammen und der Erreichung der Auditprogrammziele kritisch werden können. Diese können in Zusammenhang stehen mit:
ƒƒ der Planung, d. h. Versäumnissen in Bezug auf die Festlegung entsprechender Auditziele oder der Ermittlung des Umfangs des Auditprogramms. Was ist damit gemeint?
Angesprochen ist hier das Risiko, dass beispielsweise bei Lieferverpflichtungen oder
Verträgen Zusagen bezüglich der Durchführung und Nachweisführung von internen
Audits oder der verpflichtenden Auditierung definierter Prozesse gemacht werden.
Diese müssen dann auch Bestandteil des Auditprogrammes sein. Die Sicherstellung,
dass diese Information den/die Verantwortlichen für das Auditprogramm auch erreicht,
ist ein potenzielles Risikofeld.
ƒƒ den Ressourcen, z. B. nicht genügend Zeit zur Entwicklung des Auditprogramms oder
zu wenig zur Verfügung stehende Ressourcen zur Durchführung des Audits (der Klassiker!) bereitstellen zu können. Hierbei sei die Anmerkung erlaubt, dass der gegenwärtige Trend, die Anzahl der internen Auditoren oder deren Verfügbarkeit immer weiter zu
reduzieren, die sinnvolle und wertschöpfende Durchführung von Audits zunehmend in
Frage stellt, also risikosteigernd wirkt.
ƒƒ der Auswahl des Auditteams, womit gemeint ist, dass das Team (viele wären froh,
wenn sie noch Teams zur Verfügung hätten, siehe auch Anmerkung oben) nicht über
die kollektive Qualifikation verfügt, das Audit wirksam durchzuführen. „Wirksam“ ist
dabei so auszulegen, dass die notwendigen Fachkenntnisse vorhanden sein müssen,
um die Auditziele zu verwirklichen und die Auditkriterien beurteilen zu können.
ƒƒ einer ineffektiven Kommunikation des Auditprogrammes, im Klartext: Die Betroffenen
sind nicht ausreichend informiert, Auditziele und Umfang sind nicht eindeutig, zum
Audit stehen nicht die benötigten Gesprächspartner zu Verfügung etc.
ƒƒ dem Schutz, der Aufbewahrung und Wiederauffindbarkeit von Auditaufzeichnungen,
was besonders dann ein signifikantes Problem werden könnte, wenn im Zusammenhang mit Gewährleistungsansprüchen oder Vertragszusagen (siehe oben) auch Jahre
später über solche Aufzeichnungen ein Nachweis geführt werden muss.
ƒƒ und zu guter Letzt der Überwachung, Bewertung und Verbesserung des Auditprogramms – Überwachung im Sinne von Einhaltung der Umsetzung der Auditprogrammplanung, Bewertung im Sinne der Erreichung der Auditziele und Verbesserung
im Sinne einer möglichen Anpassung des Auditprogramms aus Auditauswertungen
heraus, aufgrund von Rückmeldungen interessierter Parteien oder aufgrund aktueller
Ereignisse.
DQS GmbH
Alles in allem sicherlich wichtige Aspekte,
die häufig recht wenig oder zumindest wenig systematisch bei der Betrachtung von
Auditprogrammen herangezogen werden.
Bedauerlicherweise geben sich manche
Organisationen bereits damit zufrieden,
wenn ein Auditprogramm erstellt und
freigegeben ist, und hoffen dann darauf,
es ohne größere interne bzw. externe Störungen oder andere Widrigkeiten durchgeführt zu bekommen – aber das ist wieder
eine andere Geschichte …
Bewerten und Verbessern von
Auditprogrammen
Auch dieser das Kapitel 5 abschließende
Absatz ist komplett neu – und spätestens
jetzt werden manche Anwender sich erleichtert daran erinnern, dass ISO 19011
ein Leitfaden ist und kein Forderungsdokument. Dieses Kapitel 5.6 gibt dahin
gehend Orientierung, welche Kriterien
zur Anwendung kommen sollten, wenn
das Auditprogramm bezüglich seiner
Zielerreichung eingeschätzt werden soll.
Folgende Aspekte werden genannt:
a)Ergebnisse und Tendenzen aus der
Überwachung des Auditprogramms
b)Konformität mit den Verfahren des
Auditprogramms
c) sich abzeichnende Erfordernisse und
Erwartungen interessierter Parteien
d)Auditprogrammaufzeichnungen
e) alternative oder neue Auditmethoden
f) Wirksamkeit der Maßnahmen, um
auf die Risiken, die mit dem Auditprogramm zusammenhängen, einzugehen
g)Fragen zur Vertraulichkeit und Informationssicherheit in Bezug auf das
Auditprogramm
www.dqs.de
Kundenzeitschrift der DQS-Gruppe
Nr. 69/70/71
Dem Autor sind kaum Unternehmen bekannt, die bislang solche oder ähnliche
Bewertungen von Auditprogrammen vornehmen. Es ist sicherlich davon auszugehen und teilweise auch nachvollziehbar,
dass dieses Kapitel insbesondere bei
kleinen oder mittelständischen Unternehmen nur wenig konkrete Anwendung
finden wird. Nehmen wir als Beispiel die
Bewertung unter c) „sich abzeichnende Erfordernisse und Erwartungen interessierter
Parteien“. Dies wirft bereits beim Terminus
„interessierte Parteien“ die Frage auf,
wer damit eigentlich gemeint ist. Hier hilft
wiederum ein Blick in die bereits erwähnte
und leider so sehr ignorierte ISO 9004.
Dort sind als interessierte Parteien (im
Zusammenhang mit umfassenden (Qualitäts-)Managementsystemen) aufgeführt:
ƒƒ
ƒƒ
ƒƒ
ƒƒ
ƒƒ
Kunden
Mitarbeiter
Lieferanten
Geldgeber/Eigentümer
und Staat/Gesellschaft
Und welches Unternehmen hat denn bereits eine wirklich stichhaltige Auswertung
der Erfordernisse und Erwartungen dieser
interessierten Parteien erstellt und falls ja,
daraus Maßnahmen zur Verbesserung des
Auditprogrammes abgeleitet? Um Missverständnissen vorzubeugen: Der Autor hält
diese Anregungen durchaus für sinnvoll
und geeignet, Auditprogrammen eine um
die Interessen Dritter erweiterte Ausrichtung zu geben und bereits gut entwickelte
und reife interne Auditprozesse deutlich
weiterzuentwickeln. Für viele Unternehmen
jedoch könnte dies (immer noch) eine
DQS GmbH
Überforderung bedeuten. Gleiches könnte
auch für die Empfehlungen am Ende des
Absatzes im Kapitel 5.6 gelten, dass die
kontinuierliche berufliche Entwicklung der
Auditoren bewertet sowie der obersten
Leitung die Ergebnisse aus der Bewertung
des Auditprogramms mitgeteilt werden
sollten. Letzteres wird heute bereits
manchmal im Zusammenhang mit der
Managementsystembewertung (ISO 9001,
Kap. 5.6) geleistet.
Die Bewertung der „kontinuierlichen beruflichen Entwicklung“ der Auditoren erfolgt
jedoch eher selten – eigentlich so gut wie
gar nicht. Dies wäre nun aber wirklich ein
signifikanter Schritt nach vorn, denn diese
Frage muss erlaubt sein: Wie sollen sich
Auditoren weiterentwickeln, wenn sie keine
oder nur anekdotische Rückmeldungen
und Bewertungen bezüglich ihres handwerklichen Könnens oder der Wahrnehmung ihrer „Auditkunden“ beispielsweise
hinsichtlich Auditgestaltung, Fachkompetenz, sozialer Kompetenz inklusive der
Beherrschung von Frage- und Kommunikationstechniken bekommen. Wohlgemerkt,
dies muss alles nicht personenbezogen
erfolgen (denn hier war der Aufschrei aus
Deutschland „das erlaubt der Betriebsrat
nicht“ laut und deutlich zu vernehmen)
und kann auch so gestaltet werden, dass
Rückschlüsse auf den einzelnen Auditor
nicht möglich sind und keine Verletzungen
von gesetzlichen Forderungen erfolgen.
Hilfreich für die persönliche Weiterentwicklung der Auditoren und der Steigerung der
Auditqualität wäre es allemal.
Absatz e) „alternative oder neue Auditmethoden“ – warum? Weil sich der Leser/
Anwender neugierig fragt, was denn neue
oder alternative Methoden sein könnten,
außer den bekannten wie Dokumente
prüfen, Nachweise sammeln, Stichproben
ziehen und Interviews führen, und nun
gespannt in dieser Norm liest und blättert und sucht … aber leider nicht fündig
wird. Dann müssen wir also selbst kreativ
werden und Ideen zusammenstellen, wie
wir Audits „anders“, vielleicht lebendiger,
abwechslungsreicher, überraschender, mit
mehr Spaß und vielleicht besseren, nutzbareren Ergebnissen behaftet durchführen
können.
Ausschließlich diesem Thema wird sich
der 4. Teil unserer Beitragsreihe in der
nächsten DiD 72 widmen – freuen Sie sich
darauf.
Frank Graichen
Geschäftsführer
DQS Medizinprodukte GmbH
[email protected]
Der in diesem Kapitel aber vielleicht
spannendste Aspekt ergibt sich aus dem
www.dqs.de