DQS im Dialog
DQS Website Abonnieren

Remote Audits zu Zeiten der Krise

Die Corona-Krise forciert auf dramatische Weise die digitale Entwicklung, auch bei Audits. Nachdem die DAkkS gemeldet hatte, dass sämtliche Audittätigkeiten vor Ort eingestellt werden, mussten neue Wege beschritten werden. Im März 2020 stellte sich Martin Mantz Compliance Solutions erfolgreich einer Voll-Remote-Zertifizierung nach ISO 9001 und ISO 27001 durch Auditoren der DQS.
(c) Martin Mantz Compliance Solutions vollumfängliches Remote Audit für die Martin Mantz Cmpliance Solutions

Remote-Zertifizierung einer digitalen New Work-Organisation

Eine Woche vor dem geplanten und regulären Zertifizierungsaudit hatte die Deutsche Akkreditierungsstelle (DAkkS) mitgeteilt, dass sämtliche Audittätigkeiten vor Ort eingestellt werden müssten. Martin Mantz Compliance Solutions, Anbieter von Compliance Management Software und Services, suchte nach einer Alternative und fand diese im Remote Audit. Das Zertifizierungsunternehmen DQS ließ sich auf diese neue Erfahrung ein und stimmte einem Voll-Remote-Audit zu. Wie sich zeigte, stellt diese Form des Fern-Audits besondere Anforderungen an die Auditoren und an alle am Audit Beteiligten.

Das zu zertifizierende Unternehmen hat aktuell 30 Mitarbeiter, ist auf digitale Compliance-Dienstleistungen spezialisiert und arbeitet seit etwa drei Jahren nach den Grundsätzen von New Work (oft auch als agile Organisation bezeichnet). Martin Mantz Compliance Solutions versteht darunter die betrieblichen Tätigkeiten in Selbstorganisation der Mitarbeiter in zehn Teams. Diese sind flexibel mit der jeweils erforderlichen Kompetenz besetzt. Die Unternehmenspolitik vermittelt den für New Work sehr wichtigen Sinn der Unternehmensziele und die Verpflichtung zur digitalen Organisation.

Whitepaper

Remote Audit – Auditieren aus der Ferne

  • Chancen und Grenzen
  • Formaler Rahmen und technische Voraussetzungen
  • Risikoeinschätzung
  • Remote Audit mit der DQS

von Julian König, DQS-Experte

Whitepaper kostenfrei herunterladen

New Work als Voraussetzung für hochflexibles Arbeiten

Das Mindset für New Work entsteht nicht von selbst. Alle Mitarbeiter haben eine intensive Ausbildung in Selbstorganisation erhalten und Team Trainings durchlaufen. Der Nutzen dieser Investitionen zeigt sich im Lauf der Corona-Krise, dem Arbeiten im Home Office und dem Aufbau einer widerstandsfähigen, digitalen Organisation.

Alle Mitarbeiter sind von der Idee hinter New Work überzeugt. Die Erfahrungen lehren jedoch, dass New Work einen digital organisierten Rahmen braucht. Aufgrund der flexiblen Arbeitsorte ist dieser organisatorische Rahmen webbasiert im GEORG Compliance Manager® integriert. Diese Software beinhaltet alle organisatorischen und inhaltlichen Pflichten und Aufgaben, um das Gesamtunternehmen funktionsfähig zu halten und weiter zu entwickeln.

Ausbildung zur Selbstorganisation: Gute Invesition für Krisenzeiten.

So kann jeder Mitarbeiter unabhängig vom Büroarbeitsplatz oder Home Office jederzeit auf die digitalisierten Aufgaben, Pflichten und deren Nachweise der Umsetzung (Dokumente) zugreifen. Hierzu gehört etwa die regelmäßige Durchführung von Risikobewertungen, die Rückmeldung aller Teams über erzielte Ergebnisse oder erreichte Ziele und Maßnahmen.

Im Gegenzug haben die Mitarbeiter große Freiräume bei der Arbeitszeitgestaltung (Work-Life-Balance) und Arbeitsausführung. Der organisatorische Rahmen konkretisiert das interne Corporate Compliance- Regelwerk und beinhaltet:

  • festgelegte Rollen und konkrete Aufgaben für jeden Mitarbeiter,
  • namentliche Zuordnung von betrieblichen Aufgaben mit Hinweisen zu deren Umsetzung,
  • Reflektion der Teamergebnisse und daraus folgenden Maßnahmen,
  • den Beitrag eines jeden Mitarbeiters für das gesamte Unternehmen (Zielerreichung),
  • vertragliche und behördliche Verpflichtungen,
  • Verhaltensregeln gegenüber Kunden, Kollegen, Lieferanten nach außen,
  • den Status der erledigten und offenen Aufgaben (Corporate Compliance).

Die Forderungen aus ISO 9001 und ISO 27001 ergänzen das interne Regelwerk, die Corporate Compliance. Die Forderungen der ISO-Normen sind – in konkrete Aufgaben umgewandelt – im GEORG Compliance Manager® hinterlegt, durch Detailinformationen ergänzt und den verantwortlichen Mitarbeitern namentlich zugeordnet.

Abstraktionsgrad von Regeln verringern

So wird der Abstraktionsgrad der Regeln verringert und die Mitarbeiter werden zu Beteiligten gemacht. Jeder Mitarbeiter hat über eine Feedback-Funktion die Möglichkeit, Aufgaben zurückzuweisen oder um weitere Klärung zu bitten. Die Rollen (Legal Project, Entwicklung, Marketing, Kundenservice, etc.) und die konkret delegierten Aufgaben werden den Mitarbeitern digital angezeigt.

Zusätzlich erinnert eine E-Mail an die Fälligkeit von Aufgaben. Ein Ampelsystem zeigt den jeweiligen Compliance- Status aller Organisationseinheiten an. Bereits in der Vorbereitung auf die Zertifizierung zeigte sich, dass bei Reflektion der ISO-Forderungen innerbetriebliche Lücken und Risiken geschlossen werden konnten.

Remote-Zertifizierung in zwei Schritten

Der Zertifikatsumfang beschränkte sich zunächst auf die Standorte Großwallstadt und Leipzig. Der Standort in Nanjing (China) wurde zunächst ausgeklammert, soll später jedoch integriert werden. Die Auditziele wurden vor dem Audit intensiv im Team diskutiert und freigegeben:

Auditziele Zertifizierungsaudit Martin Mantz
Die Audits orientierten sich auch an qualitätiven Zielen und gingen über die
Normforderungen hinaus. (Quelle: Martin Mantz, Grafik: © Hanser)

Bei der Auswahl des Audit Teams in Hinblick auf fachliche Eignung und Erfahrung fiel die Entscheidung auf die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS) mit Sitz in Frankfurt am Main. Diese war mit der Erwartung verbunden, auf Augenhöhe durch erfahrene Auditoren auditiert zu werden.

Die Systemanalyse (1st-Stage-Audit)

Die eintägige Systemanalyse fand Anfang März 2020 in den Räumen von Martin Mantz Compliance Solutions in Großwallstadt statt. Das Auditklima war geprägt vom fachlich-sachlichen Austausch über die Forderungen der Normen ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheits-Managementsysteme) und deren Interpretation. Die Auditoren entdeckten durch intensives Nachfragen ein zweifelhaftes Zertifikat bei einem wichtigen Dienstleister. Auch konnten viele Fragen geklärt werden. Gleichzeitig forderten die Auditoren dazu auf, die eine oder andere Regelung zu überdenken.

Bereits in diesem frühen Stadium des Zertifizierungsprozesses konnte ein Einvernehmen über zahlreiche Einzelfragen hergestellt werden. Dabei bestätigten die Auditoren den erforderlichen Reifegrad des digitalen GEORG Compliance Managers® und dessen potenzieller Zertifizierungsfähigkeit. Die Auditoren machten ferner deutlich, welche Erwartungen sie an das Zertifizierungsaudit stellen werden. Das gesamte Audit Team war sich darüber einig, dass die offenen Fragen bis zum Zertifizierungsaudit (2nd-Stage) geklärt werden können.

Das Zertifizierungsaudit (2nd-Stage)

Während das Stage-1-Audit noch vor Ort stattfand, wurde das dreitägige Zertifizierungsaudit unter den besonderen Bedingungen der Corona-Krise im Voll-Remote-Modus aus der Ferne durchgeführt. Für das Voll-Remote Audit erhielt das Unternehmen eine Sondergenehmigung des Zertifizierers. Auch die Auditoren auditierten aus dem Home Office.

Die Technik in Hinblick auf gute Bild- und Tonqualität wurde vom Unternehmen über Videokonferenz organisiert. Alle Mitarbeiter und Auditoren sind mit Home-Arbeitsplätzen ausgestattet, allen ist die webbasierte Kommunikation vertraut.

Das gesamte Remote Audit wurde mit Einverständnis der Auditoren von einer in der Gesprächspsychologie ausgebildeten Kommunikationstrainerin der SprachGUT-Akademie begleitet. Ihre Aufgabe war es, die Remote-Kommunikation etwa in Hinblick auf wertschätzende Kommunikation, Dialogkompetenz auf Augenhöhe, Sprachgeschwindigkeit, Wortwahl, Anteile von Sprechen und Zuhören oder Verständlichkeit zu begleiten.

Remote Audit erweist sich als echte Alternative

Trotz kleinerer vorübergehender Übertragungsprobleme konnte das Audit entsprechend dem Auditplan umgesetzt werden. Die Auditoren auditierten die Prozesse der Geschäftsleitung gemeinsam und teilten sich für die anderen Bereich auf. Hierzu wurden unterschiedliche Online-Meetingräume genutzt.

Da alle Beteiligten in digitalen Kommunikationstechniken geübt sind, entstand sehr schnell eine offene und vertrauensvolle Gesprächsatmosphäre. In manchen Phasen fehlender Bandbreite wurde zusätzlich zur Videokonferenz das Mobiltelefon genutzt.

Remote Audits erfordern ein konsequentes Zeitmanagement.

Die von den Auditoren gestellten Fragen waren klar und deutlich formuliert. Die geforderten Dokumente waren über Teilung des Bildschirms für alle einsehbar, wurden erläutert und diskutiert. Die Auditoren fanden sich in den dokumentierten Informationen schnell zurecht. Angenehm war, dass die Auditoren stets Bezug auf die Geschäftsprozesse nahmen. Da Meeting-Räume vorab nach einem strengen Zeitplan organisiert waren, folgte dementsprechend auch das Audit einem konsequenten Zeitmanagement.

Remote Audit - Moderator übernimmt wichtige Aufgaben
Auch auf den Moderator eines Remote Audits kommen neue Aufgaben und Anforderungen zu. (c) Martin Mantz Compliance Solutions

Alle verfügbaren Mitarbeiter waren an der Abschlussbesprechung beteiligt. Diese war mittels einer PowerPoint-Präsentation gut vorbereitet, sodass alle Mitarbeiter gut folgen konnten. Im Anschluss an die Zertifikatsempfehlung erläuterten die Auditoren ihre wesentlichen Feststellungen und Beobachtungen. Abweichungen wurden nicht festgestellt.

Erfolgsfaktoren für Remote Audits

Besonders positiv wurde seitens der Auditoren das selbstbewusste Engagement der Mitarbeiter und die einfache Ablagestruktur in Verbindung mit dem GEORG-System hervorgehoben. Sämtliche Empfehlungen der Auditoren zeigten ein ausgeprägtes und pragmatisches Verständnis für die Prozesse und erschienen angemessen. Für den Erfolg des Remote Audits maßgebend waren:

  • hohe Motivation der Mitarbeiter für New Work,
  • hohes Engagement für die interne, digitale GEORG-Plattform,
  • Auflösung komplexer Prozesse in einfache Aufgaben,
  • einfache ISO-Aufgaben als Bringschuld für die Mitarbeiter,
  • Integration der ISO-Aufgaben in die betrieblichen Prozesse,
  • einfaches Ablagesystem und
  • laufende Einbeziehung der Mitarbeiter.

Aus den Empfehlungen fand insbesondere der Hinweis auf ergänzenden Einsatz zukunftsorientierter Kennzahlen zur Steuerung von Prozessen sowie die Einbeziehung der Lieferanten in das GEORG-System Beachtung. Mit den Teams von Martin Mantz Compliance Solutions wurde vereinbart, alle Empfehlungen auf den nächsten regelmäßig stattfindenden internen Fachtagungen zu erörtern, Maßnahmen abzuleiten und diese im GEORG-System zu monitoren. Die abschließende Stellungnahme der SprachGUT-Akademie bestätigte das sehr gute Gesprächsklima und den konstruktiven und kompetenten Austausch über die Inhalte im Audit.

Hinweis: Der vorstehende Artikel erschien im Original in „QZ Qualität und Zuverlässigkeit“, Jahrgang 65, Ausgabe 06/2020 (www.qz-online.de). Die Verwendung des Textes als Beitrag im DQS Blog erfolgt mit freundlicher Genehmigung der Redaktion.

Nachtrag: Zufriedenheitsbefragung unter den Auditteilnehmern

Im Nachgang zum Zertifizierungsaudit wurden die Auditbeteiligten nach ihrer Zufriedenheit mit der Organisation, der Kommunikation und der Durchführung insgesamt befragt. Hier die Ergebnisse:

Remote Audit: Zufriedenheit organistorisch
Remote Audit: Zufriedenheit mit der Qualität
Remote Audit: Zufriedenheit mit der Organisation