06125 Das integrierte Audit – Erfolgreich vorbereiten und durchführen
|
Integrierte Systemaudits sind in der Praxis für immer mehr Unternehmen Bestandteil ihrer Managementsysteme. In diesem Beitrag erfahren Sie, wie Sie integrierte Systemaudits auf der Grundlage der Normen DIN EN ISO 9001, DIN EN ISO 14001, DIN ISO 45001 und DIN EN ISO 50001 erfolgreich und effizient planen, vorbereiten und durchführen können. Die Ausführungen orientieren sich inhaltlich an den Anleitungen/Empfehlungen der Norm DIN EN ISO 19011 „Leitfaden zur Auditierung von Managementsystemen” und geben Ihnen nützliche Tipps für die Gestaltung des Auditprozesses zur Durchführung von integrierten Systemaudits. Es werden jeweils nur die Kurzformen der den deutschen Normen zugrunde liegenden internationalen Standards verwendet, z. B. ISO 19011. Dabei unterstützen Sie direkt verwendbare Arbeitshilfen in Form von Mustertexten, Beispielen und Formularen, die Sie an die Erfordernisse Ihrer Organisation anpassen können.
In Abschnitt 1 finden Sie eine knappe Einführung in die normativen Anforderungen und Grundlagen. Der Abschnitt 2 befasst sich mit der auf ein integriertes Managementsystem ausgerichteten Harmonized Structure (HS). Abschnitt 3 geht auf die Chancen und Risiken von integrierten Systemaudits ein. Abschnitt 4 erörtert den Einsatz moderner Auditmethoden wie z. B. von Remote-Audits. Im Hauptteil werden in den Abschnitten 5 und 6 die wichtigsten Anforderungen an das Auditprogramm für integrierte Systemaudits sowie die konkrete Umsetzung von integrierten Systemaudits anschaulich erläutert und durch Praxistipps ergänzt. Arbeitshilfen: von: |
1 Einleitung
Planung und Durchführung von Managementsystemaudits sind in verschiedenen Regelwerken der International Organization for Standardization (ISO) beschrieben. Zurzeit gibt es zwei Regelwerke, die dazu herangezogen werden können.
ISO/IEC 17021-1
Die ISO/IEC 17021-1 [1] ist ein international anerkannter Standard, der Anforderungen an Zertifizierungsstellen vorgibt, die Managementsysteme (z. B. nach ISO 9001 [2], ISO 14001 [3], ISO 45001 [4] und ISO 50001 [5]) auditieren und zertifizieren. Zertifizierungsstellen, die sich zur Einhaltung dieser Anforderungen verpflichten, stellen so eine einheitliche und regelkonforme Arbeitsweise sicher. Zertifizierungsstellen, die nach der ISO/IEC 17021-1 akkreditiert sind, werden jährlich durch die Deutsche Akkreditierungsstelle (DAkkS) bezüglich der Einhaltung der Anforderungen geprüft. Somit ist dieser Standard verpflichtend für Zertifizierungsstellen.
Die ISO/IEC 17021-1 [1] ist ein international anerkannter Standard, der Anforderungen an Zertifizierungsstellen vorgibt, die Managementsysteme (z. B. nach ISO 9001 [2], ISO 14001 [3], ISO 45001 [4] und ISO 50001 [5]) auditieren und zertifizieren. Zertifizierungsstellen, die sich zur Einhaltung dieser Anforderungen verpflichten, stellen so eine einheitliche und regelkonforme Arbeitsweise sicher. Zertifizierungsstellen, die nach der ISO/IEC 17021-1 akkreditiert sind, werden jährlich durch die Deutsche Akkreditierungsstelle (DAkkS) bezüglich der Einhaltung der Anforderungen geprüft. Somit ist dieser Standard verpflichtend für Zertifizierungsstellen.
ISO 19011
Der zweite internationale Standard ist die ISO 19011 [6] – Leitfaden zur Auditierung von Managementsystemen. Wie der Titel bereits besagt, handelt es sich bei diesem Standard nicht um eine Zertifizierungsgrundlage, sondern um eine Hilfestellung für Organisationen, die Audits durchführen möchten oder aufgrund einer bestehenden Zertifizierung durchführen müssen. Der Anwendungsbereich dieses Standards konzentriert sich auf interne Audits (First Party Audits) und Lieferantenaudits (Second Party Audits). Die Grundlage für Zertifizierungsaudits (Third Party Audits) ist die ISO/IEC 17021-1.
Der zweite internationale Standard ist die ISO 19011 [6] – Leitfaden zur Auditierung von Managementsystemen. Wie der Titel bereits besagt, handelt es sich bei diesem Standard nicht um eine Zertifizierungsgrundlage, sondern um eine Hilfestellung für Organisationen, die Audits durchführen möchten oder aufgrund einer bestehenden Zertifizierung durchführen müssen. Der Anwendungsbereich dieses Standards konzentriert sich auf interne Audits (First Party Audits) und Lieferantenaudits (Second Party Audits). Die Grundlage für Zertifizierungsaudits (Third Party Audits) ist die ISO/IEC 17021-1.
Interne Audits
Dieser Beitrag legt den inhaltlichen Schwerpunkt auf die Durchführung von internen Audits nach ISO 19011. Die Durchführung von Lieferantenaudits ist in einem weiteren Fachbeitrag (s. Kap. 06124) beschrieben.
Dieser Beitrag legt den inhaltlichen Schwerpunkt auf die Durchführung von internen Audits nach ISO 19011. Die Durchführung von Lieferantenaudits ist in einem weiteren Fachbeitrag (s. Kap. 06124) beschrieben.
Integriertes Managementsystem (IMS)
Der Leitfaden zur Auditierung von Managementsystemen unterscheidet nicht zwischen der internen Auditierung von einem oder mehreren (integrierten) Managementsystemen. Die Anzahl der Organisationen die mehr als ein Managementsystem unterhalten steigt jedoch beständig. Davon bündelt die große Mehrzahl der Organisationen ihre Managementsysteme in einem integrierten System (IMS). Der Vorteil eines integrierten Systems, bestehend aus mehreren Einzelsystemen, ist die Möglichkeit gleichartige Forderungen der Standards zu bündeln, umso Redundanzen in den Regelungen des IMS zu vermeiden.
Der Leitfaden zur Auditierung von Managementsystemen unterscheidet nicht zwischen der internen Auditierung von einem oder mehreren (integrierten) Managementsystemen. Die Anzahl der Organisationen die mehr als ein Managementsystem unterhalten steigt jedoch beständig. Davon bündelt die große Mehrzahl der Organisationen ihre Managementsysteme in einem integrierten System (IMS). Der Vorteil eines integrierten Systems, bestehend aus mehreren Einzelsystemen, ist die Möglichkeit gleichartige Forderungen der Standards zu bündeln, umso Redundanzen in den Regelungen des IMS zu vermeiden.
Harmonized Structure (HS)
Erleichtert wird die Integration mehrere Managementsysteme durch die Harmonized Structure der ISO, die seit 2021 für Zertifizierungsstandards eine gleichartige Kapitelstruktur im Aufbau vorsieht (vormals High Level Structure, 2013). Somit lassen sich gleichartige Forderungen der Systemstandards untereinander schneller identifizieren und hinsichtlich ihrer Formulierungen harmonisieren.
Erleichtert wird die Integration mehrere Managementsysteme durch die Harmonized Structure der ISO, die seit 2021 für Zertifizierungsstandards eine gleichartige Kapitelstruktur im Aufbau vorsieht (vormals High Level Structure, 2013). Somit lassen sich gleichartige Forderungen der Systemstandards untereinander schneller identifizieren und hinsichtlich ihrer Formulierungen harmonisieren.
Risiken und Chancen
Seit der ISO 9001 (2015) ist es integraler Bestandteil von Zertifizierungsstandards, das im Hauptkapitel 6 (Planung) die Risiken und Chancen die, die Wirksamkeit eines Managementsystems beeinflussen können, von der Organisation zu identifizieren und zu bewerten sind. Die Chancen- und Risikobetrachtung wurde auch in der ISO 19011 (2018) aufgegriffen und hinsichtlich der Wirksamkeit des Auditprogramms und Auditprozesses angewendet. Durch die Integration mehrerer Systeme zu einem IMS nimmt der Umfang von Risiken und Chancen in Summe zu und erfordert eine erweiterte Betrachtung dieses Themas, z. B. bezüglich der Schnittstellen zwischen den integrierten Systemen.
Seit der ISO 9001 (2015) ist es integraler Bestandteil von Zertifizierungsstandards, das im Hauptkapitel 6 (Planung) die Risiken und Chancen die, die Wirksamkeit eines Managementsystems beeinflussen können, von der Organisation zu identifizieren und zu bewerten sind. Die Chancen- und Risikobetrachtung wurde auch in der ISO 19011 (2018) aufgegriffen und hinsichtlich der Wirksamkeit des Auditprogramms und Auditprozesses angewendet. Durch die Integration mehrerer Systeme zu einem IMS nimmt der Umfang von Risiken und Chancen in Summe zu und erfordert eine erweiterte Betrachtung dieses Themas, z. B. bezüglich der Schnittstellen zwischen den integrierten Systemen.
Moderne Verfahren und Techniken
Das smarte Gestalten von internen Systemaudits hinsichtlich ihrer Planung und Umsetzung zur Begrenzung des Auditaufwandes gewinnt mit jedem weiteren System, das zu einem IMS hinzukommt, an Bedeutung. Neben einer optimierten Auditdurchführung hinsichtlich der Vermeidung von Doppelauditierungen kommt dem Einsatz moderner Auditverfahren und -techniken zur Aufwandsminimierung eine zunehmende Bedeutung zu. Bei der Auditierung entfernter Standorte einer Organisation ist der Einsatz von Remote-Audits eine Möglichkeit den Auditaufwand zu verringern. Des Weiteren bekommen Tools (z. B. Audit-Apps) zur elektronischen Unterstützung der Auditdurchführung einen immer größeren Nutzerkreis.
Das smarte Gestalten von internen Systemaudits hinsichtlich ihrer Planung und Umsetzung zur Begrenzung des Auditaufwandes gewinnt mit jedem weiteren System, das zu einem IMS hinzukommt, an Bedeutung. Neben einer optimierten Auditdurchführung hinsichtlich der Vermeidung von Doppelauditierungen kommt dem Einsatz moderner Auditverfahren und -techniken zur Aufwandsminimierung eine zunehmende Bedeutung zu. Bei der Auditierung entfernter Standorte einer Organisation ist der Einsatz von Remote-Audits eine Möglichkeit den Auditaufwand zu verringern. Des Weiteren bekommen Tools (z. B. Audit-Apps) zur elektronischen Unterstützung der Auditdurchführung einen immer größeren Nutzerkreis.
Auditprogrammplanung
Die Auditprogrammplanung bestimmt im Wesentlichen wie, wann und womit die einzelnen Audits des IMS durchgeführt werden sollen. Dabei können die Vermeidung von Doppelauditierung redundanter Systemforderungen und der sinnvolle Einsatz von Remote-Audit-Techniken den Ressourcenbedarf für das Auditprogramm verringern. Auch die Bewertung des Reifegrads (Performance) von spezifischen Managementsystemen oder einzelnen Prozessen im IMS kann den Auditaufwand durch Anpassung der Stichprobengröße und/oder -häufigkeit beeinflussen.
Die Auditprogrammplanung bestimmt im Wesentlichen wie, wann und womit die einzelnen Audits des IMS durchgeführt werden sollen. Dabei können die Vermeidung von Doppelauditierung redundanter Systemforderungen und der sinnvolle Einsatz von Remote-Audit-Techniken den Ressourcenbedarf für das Auditprogramm verringern. Auch die Bewertung des Reifegrads (Performance) von spezifischen Managementsystemen oder einzelnen Prozessen im IMS kann den Auditaufwand durch Anpassung der Stichprobengröße und/oder -häufigkeit beeinflussen.
Durchführung des IMS-Audits
Die Durchführung des internen IMS-Audits erfolgt auf der Basis der Auditprogrammplanung. Die Durchführung eines internen Audits erfolgt dabei in drei Phasen: der Vorbereitung, der Durchführung und der Nachbearbeitung. Bei IMS-Audits ist die ausgewogene Balance der einzelnen Managementsysteme hinsichtlich ihrer Anwendungsrelevanz für die Organisation von großer Bedeutung. Des Weiteren ist eine ausreichende Betrachtung der Schnittstellen zwischen den einzelnen Managementsystemen zu beachten. In der Bewertung des Auditgesamtergebnisses sind Auditfeststellungen, die über Systemgrenzen hinweg auftreten, entsprechend zu berücksichtigen. Weitere Kriterien, um den Auditaufwand zu begrenzen, sind der Reifegrad der einzelnen Managementsysteme des IMS und deren Bedeutung für die Organisation. Wenn der Reifegrad hoch ist, sind das Risiko für Fehler und die Chancen für Verbesserungen eher als gering einzustufen. Der Stichprobenumfang im Audit kann verringert werden. Gleiches gilt, wenn die Bedeutung des Systems eher als gering einzustufen ist, z. B. muss eine Organisation mit geringer Umweltrelevanz ja nicht genauso intensiv gemäß ISO 14001, geprüft werden wie ein großes Chemieunternehmen.
Die Durchführung des internen IMS-Audits erfolgt auf der Basis der Auditprogrammplanung. Die Durchführung eines internen Audits erfolgt dabei in drei Phasen: der Vorbereitung, der Durchführung und der Nachbearbeitung. Bei IMS-Audits ist die ausgewogene Balance der einzelnen Managementsysteme hinsichtlich ihrer Anwendungsrelevanz für die Organisation von großer Bedeutung. Des Weiteren ist eine ausreichende Betrachtung der Schnittstellen zwischen den einzelnen Managementsystemen zu beachten. In der Bewertung des Auditgesamtergebnisses sind Auditfeststellungen, die über Systemgrenzen hinweg auftreten, entsprechend zu berücksichtigen. Weitere Kriterien, um den Auditaufwand zu begrenzen, sind der Reifegrad der einzelnen Managementsysteme des IMS und deren Bedeutung für die Organisation. Wenn der Reifegrad hoch ist, sind das Risiko für Fehler und die Chancen für Verbesserungen eher als gering einzustufen. Der Stichprobenumfang im Audit kann verringert werden. Gleiches gilt, wenn die Bedeutung des Systems eher als gering einzustufen ist, z. B. muss eine Organisation mit geringer Umweltrelevanz ja nicht genauso intensiv gemäß ISO 14001, geprüft werden wie ein großes Chemieunternehmen.
Qualifizierte Auditoren
Die Bereitstellung von qualifizierten Auditoren zur Umsetzung des Auditprogramms ist in einem IMS komplexer als in einem Einzelsystem. Kein interner Auditor wird die Kompetenz mitbringen ggf. drei, vier oder mehr Managementsysteme in allen Details über alle Prozesse der Organisation effizient auditieren zu können. Daher kommt es darauf an, die Auditthemen so zu bündeln, dass Schwerpunkte der Kompetenz gebildet werden, die von einem Auditor erfüllt werden können. Auch der Einsatz von Sachkundigen, wie er in Zertifizierungsaudits häufiger genutzt wird, könnte bei internen Audits die Zahl der benötigten Fachauditoren begrenzen.
Die Bereitstellung von qualifizierten Auditoren zur Umsetzung des Auditprogramms ist in einem IMS komplexer als in einem Einzelsystem. Kein interner Auditor wird die Kompetenz mitbringen ggf. drei, vier oder mehr Managementsysteme in allen Details über alle Prozesse der Organisation effizient auditieren zu können. Daher kommt es darauf an, die Auditthemen so zu bündeln, dass Schwerpunkte der Kompetenz gebildet werden, die von einem Auditor erfüllt werden können. Auch der Einsatz von Sachkundigen, wie er in Zertifizierungsaudits häufiger genutzt wird, könnte bei internen Audits die Zahl der benötigten Fachauditoren begrenzen.
Wir beziehen uns beispielhaft auf ein integriertes Managementsystem, bestehend aus den vier in der Praxis am häufigsten vorkommenden Managementsystemen, und deren interne Auditierung. Die vier Systeme sind in Abbildung 1 dargestellt.
Die nachfolgenden Ausführungen sollen für Organisationen eine Hilfestellung sein, um integrierte interne Systemaudits mit angemessenem Aufwand so effizient wie möglich zu planen und durchzuführen.
2 Harmonized Structure und integrierte Managementsysteme
Integrierte Managementsysteme
In den letzten 20 Jahren wurde eine Vielzahl an Managementsystemstandards von der International Organization for Standardization (ISO) neu entwickelt oder überarbeitet und anschließend publiziert. Jeder dieser Standards hatte mehr oder weniger ein eigenes Gremium, eine eigene Historie und Entwicklung. Das spiegelte sich bei der Anwendung von verschiedenen Standards in deren unterschiedlichen Strukturen und differenzierten Anforderungsschwerpunkten wider. Da viele Unternehmen sich in der Zwischenzeit mit integrierten Managementsystemen (IMS), also der Verbindung verschiedener Systeme zu einem gemeinsamen System, beschäftigten, war es eine besondere Herausforderung, die Anforderungen aus den unterschiedlichen Standards miteinander zu harmonisieren bzw. ähnliche Anforderungen zu verbinden und ggf. im IMS zu standardisieren.
In den letzten 20 Jahren wurde eine Vielzahl an Managementsystemstandards von der International Organization for Standardization (ISO) neu entwickelt oder überarbeitet und anschließend publiziert. Jeder dieser Standards hatte mehr oder weniger ein eigenes Gremium, eine eigene Historie und Entwicklung. Das spiegelte sich bei der Anwendung von verschiedenen Standards in deren unterschiedlichen Strukturen und differenzierten Anforderungsschwerpunkten wider. Da viele Unternehmen sich in der Zwischenzeit mit integrierten Managementsystemen (IMS), also der Verbindung verschiedener Systeme zu einem gemeinsamen System, beschäftigten, war es eine besondere Herausforderung, die Anforderungen aus den unterschiedlichen Standards miteinander zu harmonisieren bzw. ähnliche Anforderungen zu verbinden und ggf. im IMS zu standardisieren.
Harmonized Structure
Die ISO/IEC Direktive, Teil 1, Konsolidierte ISO-Ergänzungen, Anhang SL („Annex SL”), Anlage 2, ist die Grundlage der High Level Structure (HLS). Sie wurde 2013 eingeführt, um die Struktur (Kapitelgliederung) von ISO-Managementsystemstandards, die als Zertifizierungsgrundlage herangezogen werden, zu vereinheitlichen. Im Mai 2021 wurde der Annex SL einer Revision unterzogen, aus der High Level Structure (HLS) wurde die Harmonized Structure (HS). Die Änderungen in der HS sind recht geringer Natur und werden in die Managementsystemnormen eingearbeitet, die nach der Revision im Mai 2021 neu geschaffen oder einer Revision unterzogen werden.
Die ISO/IEC Direktive, Teil 1, Konsolidierte ISO-Ergänzungen, Anhang SL („Annex SL”), Anlage 2, ist die Grundlage der High Level Structure (HLS). Sie wurde 2013 eingeführt, um die Struktur (Kapitelgliederung) von ISO-Managementsystemstandards, die als Zertifizierungsgrundlage herangezogen werden, zu vereinheitlichen. Im Mai 2021 wurde der Annex SL einer Revision unterzogen, aus der High Level Structure (HLS) wurde die Harmonized Structure (HS). Die Änderungen in der HS sind recht geringer Natur und werden in die Managementsystemnormen eingearbeitet, die nach der Revision im Mai 2021 neu geschaffen oder einer Revision unterzogen werden.
