DQS im Dialog
DQS Website Abonnieren

Revision ISO 19011 – Impulse für modernes Auditieren

Der neue Leitfaden zur Auditierung von Managementsystemen, ISO 19011:2018, ist im Oktober 2018 nach eingehender Überarbeitung erschienen. Er gibt damit, drei Jahre nach der Revision von ISO 9001, neue Impulse für die interne Auditpraxis. Die DQS hat den Workshop dazu.
© DQS GmbH Kundengespräch im Rahmen eines Audits

Mit ISO 9001:2015 hat eine Reihe neuer Managementaspekte Einzug in die Strategie von Unternehmen gehalten – Begriffe wie Prozessorientierung oder risikobasierter Ansatz gehören heute zum Arbeitsalltag. Das forderte freilich auch, ISO 19011, den weltweit maßgeblichen Leitfaden zur Auditierung von Managementsystemen, dieser Entwicklung anzupassen.

Was ist neu?

Jetzt ist er da, der neue Leitfaden, und er ist gewachsen: Er hat mehr Seiten (!) als ISO 9001:2015 und enthält jede Menge Experten-Know-how! Was sich bewährt hat, blieb dabei erhalten: vor allem das auf den PDCA-Zyklus gestützte Auditieren. Das Umfeld der Audits hat sich jedoch geändert. So mussten einerseits die neuen, oben bereits genannten Managementthemen in ISO 19011 berücksichtigt werden, andererseits ist längst auch die Digitalisierung in den Audits angekommen. Stichwörter sind z. B.

  • Remote-Audits: Audits, die aus der Ferne geführt werden
  • virtuelle Standorte: Nutzung einer Online-Umgebung, die das Ausführen von Prozessen unabhängig vom physikalischen Standort des Ausführenden ermöglicht

Dieser Wandel im Audit-Umfeld hat sich in der Revision von ISO 19011 niedergeschlagen, und zwar in Form vieler lesenswerter Erläuterungen, Ergänzungen und Anpassungen. Der Leitfaden legt weiterhin den Schwerpunkt auf die Durchführung interner und Lieferantenaudits. Aber auch für externe Auditoren aus der Zertifizierungsbranche ist der neue Leitfaden äußerst nützlich, wenn auch nicht verbindlich. Er kann für alle Managementsysteme und deren Prozesse verwendet werden – auch in Kombination mit verschiedenen Normen, z. B. ISO 9001, ISO 14001 oder ISO 27001.

Audits nach ISO 19011

Der „risikobasierte Ansatz“

Das siebte Auditprinzip (risikobasierter Ansatz) berücksichtigt Risiken und Chancen und soll die Auditplanung, Durchführung und Berichterstattung von Audits maßgeblich beeinflussen. Die Idee dahinter: die Audits stärker auf die für den Auditauftraggeber und für die Erreichung der Ziele des Auditprogramms relevanten Themen auszurichten. Dieser Ansatz ist nach den Revisionen der klassischen Managementsystemnormen zwar nicht mehr neu, die relevanten Normanforderungen müssen in der Organisation aber auch auditiert werden. Dieser Ansatz gilt auch für den Auditprozess selbst.

  • Risiko: z.B. nicht genügend qualifizierte Auditoren bereitzustellen, um die Auditziele zu erreichen
  • Chancen: z.B. durch die Auditierung aktueller Themen der Geschäftsführung, beispielsweise mit Blick auf die Umsetzung von Umstrukturierungen in der Organisation oder auf den Umgang mit der DS-GVO

Auditprogramm steuern

Das Kapitel „Auditprogramm“ wurde neu strukturiert. Bemerkenswert ist hier die Fokussierung der Norm auf das, worauf es letztlich ankommt.

„Audits dienen nicht nur der Konformitätsbestätigung, sondern vor allem auch der Weiterentwicklung der Organisation und ihrer Prozesse.“

Der Bezug liegt stärker auf der strategischen Ausrichtung der Organisation – auf ihrem Kontext, ihren Zielen und den identifizierten Risiken und Chancen. Die Anwendung eines Prozessansatzes ist eine Voraussetzung für alle Managementsystemnormen. Es müssen also alle relevanten Prozesse und ihre Interaktionen auditiert werden. Dies sollten besonders die Auftraggeber der Audits wissen (z. B. die oberste Leitung), um klare Aufträge zu vergeben.

Eine angemessene Auditplanung soll u. a. folgendes berücksichtigen:

  • Komplexität des Unternehmens und der Prozesse
  • Standorte (ggf. mit Besonderheiten)
  • Ausgliederungen
  • Anforderungen an Informationssicherheit und Vertraulichkeit

In der Praxis ist es heute bereits üblich, die Planung für das Auditprogramm flexibler zu gestalten und nicht unbedingt fix, z. B. über 3 Jahre. Dabei sollten Prozesse mit höheren Risiken bzw. niedrigerem Leistungsniveau ausgewählt und aktuelle Unternehmensthemen mit Audits begleitet werden.

Einzelnes Audit durchführen

Der risikobasierte Ansatz sollte die Planung, Durchführung und Berichterstattung von Audits maßgeblich beeinflussen, besonders mit Blick auf die Effizienz der Audittätigkeiten, die Erreichung der Auditziele und die Bewertung von Feststellungen in Bezug auf Risiken und Chancen. Auditziele sind in der Norm nichts Neues. Sie werden aber in der Praxis vielfach nicht ausreichend genutzt, obwohl sie neben den Auditkriterien den „roten Faden“ für das Audit vorgeben.

Auditziele sollten fokussiert sein auf

  • den Reifegrad des Managementsystems, der Prozesse und weitere Auditkriterien
  • die Wirksamkeit des Managementsystems und dessen beabsichtigte Ergebnisse, z. B. mit Bezug auf die Prozessziele
  • die Ermittlung von Chancen zur möglichen Verbesserung, z. B. mit Blick auf Effizienz und Digitalisierung
  • die Eignung, Angemessenheit und Fähigkeit des Managementsystems in Bezug auf den (sich wandelnden) Kontext und die strategische Ausrichtung

Neue Wege mit Remote-Audits

Mit ISO 19011:2018 ist auch die Digitalisierung in den Audits angekommen. Dies betrifft zum einen das Audit selbst, in dem immer häufiger ein Tablet oder Notebook zum Einsatz kommt. Diese Geräte müssen jedoch gut daraufhin geprüft werden, ob sie für den Auditablauf effizient sind, z. B. was Schrift- und Spracherkennung, Fotos oder Videos (dies mit Einwilligung) anbelangt.

Zum anderen existieren inzwischen immer mehr virtuelle Standorte. Beispiele dafür sind Homeoffice-Arbeitsplätze oder Online-Shops etc. Diese Standorte können aus der Ferne – remote – auditiert werden. Remote-Audits werden aber auch bei physischen Standorten immer häufiger angewendet. So lassen sich große Entfernungen durch Videokonferenzen etc. einfach überbrücken, was Zeit und Geld spart. Wichtig dabei ist jedoch, auch die möglichen Schnittstellen der physischen Standorte zu berücksichtigen. Die Anwendung von Remote-Audits muss immer sorgfältig abgewogen werden, da nicht jede Situation über die Distanz angemessen beurteilt werden kann. Oft sind es die kleinen Dinge, das Umfeld eines Arbeitsplatzes oder einzelne Arbeitsschritte in der Produktion, die für eine angemessene Bewertung notwendig sind.

„Mini-Leitfäden“ im Anhang

Im lesenswerten Anhang der Norm gibt es 18 kleine Leitfäden mit Erläuterungen zum Vorgehen im Audit. Die Hälfte davon ist neu und daher zum Lesen empfohlen, z. B.

  • Prozessansatz des Auditierens
  • Auditieren von Führung und Verpflichtung
  • Auditieren von Risiken und Chancen
  • Lebenszyklus
  • Fachmännisches Urteil
  • Leistungsbezogene Ergebnisse
  • Auditieren von Compliance innerhalb eines Managementsystems

Auditoren-Kompetenz

Die Empfehlungen zur Ermittlung der Kompetenz von Auditoren wurden erweitert. So gilt es, die Beurteilung der Kompetenz der am Auditprozess Beteiligten sicherzustellen, z. B. mit Blick auf ausreichende (Gesamt-)Kompetenz im Auditteam oder die Begleitung von Sachverständigen etc. Diese Kompetenz zielt auch auf Fähigkeiten, wie den Einsatz von Auditmethoden, das Verständnis und die Anwendung des prozess- und risikoorientierten Ansatzes im Audit bzw. auf Art und Grad von Risiken und Chancen, also nicht nur auf reines Wissen und Fertigkeiten. Gefragt ist auch Kommunikationskompetenz, z. B. das wirksame Zusammenarbeiten, Selbstsicherheit, souveränes Verhalten bei Meinungsverschiedenheiten oder sicherer Umgang mit Informations- und Kommunikations-Technik. Auditteamleiter müssen zudem delegieren können, also Auditaufgaben nach spezifischer Kompetenz der einzelnen Auditoren zuweisen, sie müssen das Management auditieren können, d. h. Besprechung strategischer Themen unter Einbezug von Risiken und Chancen mit der obersten Leitung, und sie müssen führen können, also die Mitglieder des Auditteams, inkl. Auditoren in Ausbildung, leiten und lenken – kurzum: Sie müssen Vorbild sein.

Fazit

ISO 19011 wurde mit der Revision systematisch verbessert. Das Ergebnis ist keine grundlegend neue, aber fundiert weiterentwickelte, an die aktuellen Managementsystemnormen angepasste Version. Durch den strategischen Bezug sollten klare Auditziele formuliert werden, um so den Auditnutzen weiter zu steigern. Feststellungen beziehen sich nicht nur auf Konformität, sondern auch auf das Verbesserungspotenzial und bewährte Praktiken. In der Praxis ist dies nicht immer selbstverständlich. Nutzen Sie den überarbeiteten Leitfaden deshalb als Impulsgeber für Ihren Auditprozess, für Methoden und die erforderliche Auditkompetenz.

Workshop ISO 19011:2018

Als interner Auditor kommt Ihnen eine Schlüsselrolle für ein funktionierendes Managementsystem zu. Wie Ihnen ISO 19011 dabei hilft, diese wichtige Rolle zielführend und gewinnbringend umzusetzen, erfahren Sie in unserem Workshop „ISO 19011:2018 – Neue Impulse für Ihre interne Auditpraxis“.

Jetzt anmelden!