DIN EN ISO 19011:2018 Leitfaden zur Auditierung von ... · Managementsystems im Audit. Dabei sollte auch den Grad der Integration verschiedener Managementsysteme und deren beabsichtigter

DIN EN ISO 19011:2018

Leitfaden zur Auditierung von Managementsystemen –

Prozessorientiertes Auditieren

Andreas Ritter

DQS GmbH

Agenda

Aufbau und neue Inhalte DIN EN ISO 19011:2018

Auditieren von Risiken und Chancen

Neues zur prozessorientierten Auditdurchführung

Aufgreifen von aktuellen Trends und Entwicklungen

Fazit

Aufbau und neue Inhalte DIN EN ISO 19011:2018

ISO 19011 Allgemeines

▪ Diese Internationale Norm gibt eine Anleitung zum Leiten und Lenken eines Auditprogramms,

zum Planen und Durchführen eines Audits des Managementsystems sowie zur Kompetenz und

Bewertung eines Auditors sowie eines Auditteams.

▪ Sie ist ein Leitfaden, d.h. diese Norm enthält Hinweise und Anleitungen zu Audits – keine

Forderungen, die z.B. im Falle der Zertifizierung zwingend nachgewiesen werden müssen.

▪ Sie ist anwendbar auf alle Organisationen und bezieht sich auf alle Arten von

Managementsystemen.

▪ Der neue Standard ISO 19011:2018 ist im Juli 2018 erschienen, die deutsche Fassung DIN EN

ISO 19011:2018 im Oktober.

Aufbau DIN EN ISO 19011 (1)

▪ Abschnitt 1 Anwendungsbereich

▪ Abschnitt 2 Normative Verweisungen (keine)

▪ Abschnitt 3 Begriffe

Es wurden alle Anstrengungen unternommen, um

sicherzustellen, dass diese Definitionen nicht im

Widerspruch stehen mit jenen, die in anderen Normen

verwendet werden (9000:2015).

▪ Abschnitt 4 Auditprinzipien

Diese Prinzipien helfen dem Nutzer, die Bedeutung des

Auditierens zu würdigen, und sie sind erforderlich, um die

Anleitungen in den Abschnitten 5 bis 7 zu verstehen.

Aufbau DIN EN ISO 19011 (2)

▪ Abschnitt 5 Leiten und Lenken eines Auditprogramms

Beinhaltet die Festlegen der Auditprogrammziele sowie das

Koordinieren von Audittätigkeiten.

In diesem Abschnitt findet sich der Plan – Do – Check – Act-

Zyklus von Deming.

▪ Abschnitt 6 Durchführen eines Managementsystem Audits.

▪ Abschnitt 7 Kompetenz und Bewertung von Auditoren

für Managementsysteme sowie von Auditteams.

▪ Anhang A gibt zusätzliche Anleitung für Auditoren zum

Planen und Durchführen von Audits.

Inhalte der Überarbeitung (1)

▪ Im Kapitel Auditprinzipien wird ein neues Prinzip

„Risikobasierter Ansatz“ eingeführt. Dieser Ansatz

berücksichtigt Risiken und Chancen.

▪ Die Risiken und Chancenbetrachtung zieht sich

durch den gesamten Leitfaden.

▪ Das Kapitel „Auditprogramm“ wurde neu strukturiert:

Dabei wird das Auditprogramm zukünftig stärker mit

dem strategischen Fokus des Unternehmens

verbunden. Darüber hinaus werden die Bedingungen

für die Erstellung des Auditprogramms um die

Betrachtung des Kontextes der Organisation, der

identifizierten Chancen und Risiken und der

Organisationsziele erweitert.

Inhalte der Überarbeitung (2)

▪ Erweiterung des Leitfadens um die Verwaltung

von Auditprogrammen, einschließlich der Risiken

für (die Umsetzung) der Auditprogramme.

▪ Ergänzungen der Auditdurchführung um einige

Facetten z.B. hinsichtlich der Verwendung

digitaler Medien.

▪ Empfehlungen zu Kompetenzen der Auditoren

Neue ergänzende Erläuterungen im Anhang A

▪ A.2 Auditieren des Prozessansatzes

▪ A.3 Neu ist der Begriff „Professional judgement“, in der

deutschen Version mit „Fachlichem Urteil“ übersetzt.

▪ A.4 Fokus auf die beabsichtigten Ergebnisse eines

Managementsystems im Audit. Dabei sollte auch den

Grad der Integration verschiedener Managementsysteme

und deren beabsichtigter Ergebnisse berücksichtigt

werden.

▪ A.7 Auditieren von Compliance innerhalb eines

Managementsystems.

▪ A.8 Auditkontext

▪ A.9 Auditieren von Führung und Verpflichtung

▪ A.10 Auditieren von Risiken und Chancen

▪ A.11 Lebenszyklus (ISO 14001:2015) Die Verbindung

zwischen der Minimierung der Umwelteinflüsse einer

Organisation und der damit verbundenen Schaffung von

„Mehrwert“ wird hergestellt.

▪ A.12 Audit der Lieferkette

▪ A.16 Auditierung virtueller Tätigkeiten und Standorte

Neue ergänzende Erläuterungen im Anhang A

Was sind Auditkriterien?

Audits können anhand einer Reihe von Auditkriterien, getrennt

oder kombiniert, durchgeführt werden, einschließlich, aber

nicht beschränkt auf:

▪ Anforderungen, die in einer oder mehreren

Managementsystem-Norm(en) definiert sind;

▪ Richtlinien und Anforderungen, die von anderen

(interessierten) Parteien festgelegt wurden;

▪ rechtliche Anforderungen;

▪ ein oder mehrere Managementsystem-Prozess(e), die von

der Organisation oder anderen Parteien festgelegt wurde(n);

▪ Managementsystemplan/pläne in Bezug auf die

Bereitstellung spezifischer Leistungen eines

Managementsystems (z. B. Qualitätsplan, Projektplan).

Was sind Auditprinzipien?

▪ Integrität: die Grundlage der Professionalität.

▪ Sachliche Darstellung: die Pflicht, wahrheitsgemäß und

genau zu berichten.

▪ Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt

und Urteilsvermögen beim Auditieren.

▪ Vertraulichkeit: Sicherheit von Informationen.

▪ Unabhängigkeit: die Grundlage für die Unparteilichkeit des

Audits sowie für die Objektivität der Auditschlussfolgerungen.

▪ Faktengestützter Ansatz: die rationale Methode, um zu

zuverlässigen und nachvollziehbaren Auditschlussfolgerungen

in einem systematischen Auditprozess zu gelangen.

▪ Risikobasierter Ansatz

Neues Auditprinzip: Risikobasierter Ansatz

A.10 Auditieren von Risiken und Chancen

Die Kernziele für den risikobasierten Ansatz sind:

▪ sich der Glaubwürdigkeit des Prozesses zur Ermittlung

von Risiken und Chancen zu vergewissern;

▪ sich zu vergewissern, dass die Risiken und Chancen

richtig bestimmt und gesteuert werden;

▪ zu überprüfen, wie die Organisation ihre bestimmten

Risiken und Chancen behandelt.

Ein Audit zur Ermittlung von Risiken und Chancen sollte

nicht als eine eigenständige Tätigkeit erfolgen. Es sollte

während des gesamten Audits eines Managementsystems,

auch bei der Befragung der obersten Leitung, inbegriffen

sein.

A.10 Auditieren von Risiken und ChancenEin Auditor sollte nach den folgenden Schritten handeln

und objektive Nachweise wie folgt sammeln:

a) Eingaben, die von der Organisation zur Bestimmung

ihrer Risiken und Chancen verwendet werden und

Folgendes umfassen können:

▪ Analyse externer und interner Themen;

▪ die strategische Ausrichtung der Organisation;

▪ interessierte Parteien im Zusammenhang mit ihrem

disziplinspezifischen Managementsystem und auch

deren Anforderungen

▪ potenzielle Risikoquellen wie Umweltaspekte,

Gefahren für die Sicherheit usw.

b) Methode, mit der Risiken und Chancen beurteilt

werden und die sich abhängig von Disziplin und Branche

unterscheiden kann.

Neues zur prozessorientierten Auditdurchführung

Zur Bestimmung von Prozessen, die für das

Qualitätsmanagementsystem benötigt werden, zählen u.a. …?

A: Chancen

B: Leistungsindikatoren

C: Prozesskosten

D: unerwartete Ergebnisse

Zur Bestimmung von Prozessen, die für das

Qualitätsmanagementsystem benötigt werden, zählen u.a. …?

A: Chancen

B: Leistungsindikatoren

C: Prozesskosten

D: unerwartete Ergebnisse

Zum Auditieren des ProzessansatzesA.2 (neu) Prozessansatz des Auditierens

▪ Die Anwendung eines „Prozessansatzes“ ist eine Voraussetzung für alle ISO-Managementsystem-

Normen. Die Prozesse einer Organisation und ihre Interaktionen werden auditiert.

▪ Auditoren sollten verstehen, dass ein Managementsystem zu auditieren das Auditieren der

Prozesse einer Organisation und ihrer Interaktionen anhand einer oder mehrerer

Managementsystem-Norm(en) bedeutet.

▪ Konsistente und berechenbare Ergebnisse werden wirksamer und effizienter erzielt, wenn die

Tätigkeiten verstanden und als in Wechselbeziehung stehende Prozesse, die als

zusammenhängendes System funktionieren, gesteuert werden.

7.2.3.2

Ein Auditor sollte in der Lage sein… einen Prozess von Anfang bis Ende zu auditieren, einschließlich

der Wechselbeziehungen mit anderen Prozessen und unterschiedlichen Funktionen, wo angemessen;

Erwartetes Ergebnis

(Output) bestimmen

Risiken und Chancen

behandeln, die auf die

Prozessergebnisse Einfluss

habenVerantwortungen und

Befugnisse zuweisen

Erforderliche

Eingaben

(Input)

bestimmen

Ressourcen

bestimmen und

Verfügbarkeit

sicherstellen

Prozessdurchführung,

-lenkung und -messung

Abfolge und Wechselwirkungen mit anderen Prozessen festlegen

Anforderungen an zentrale Vorgabeprozesse

Anwendung Abschnitt 4.4.1 ISO 9001:2015

Verantwortungen & Befugnisse (e)

(Eignerschaft)

1

1. Erkenntnis

Beginnen Sie mit der „Verantwortung“ und den

„Befugnissen“.

Stellen-/Funktionsbeschreibungen oder andere

„dokumentierte Informationen“ sind nicht zwingend

gefordert.

Organigramme, Prozessdarstellungen und Gespräche mit

anderen Mitarbeitern können diesem Zweck aber dienen.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

2. Erkenntnis

Es ist wichtig, den Prozess zu verstehen.

Dann werden Fragen nach der Lenkung, den

Ergebnissen, den Leistungsindikatoren und

der Art der Messung gestellt.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

3. Erkenntnis

Wenn eine Bewertung stattfindet, ob die

Ergebnisse des Prozesses erreicht

wurden, so ist ein Teil der

Normforderung erfüllt.

Aber wie sieht es mit den möglichen

Prozess-Verbesserungen aus?

Anwendung Abschnitt 4.4.1 ISO 9001:2015

4. Erkenntnis

Erreicht der Prozess sein Ziel, das

erwartete Ergebnis, ist die Normforderung

erfüllt.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

5. Erkenntnis

Das erwartete Prozess-Ergebnis ist

erreicht. Aber was ist mit Chancen und

Risiken?

Diese müssen aktiv und nachvollziehbar

„identifiziert“ und „bewertet“ werden.

„Maßnahmen müssen umgesetzt“, deren

„Wirksamkeit bewertet“ werden.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

6. Erkenntnis

Es liegen nicht robuste/schwankende

Prozessergebnisse vor. Im Audit werden daher

folgende Aspekte beleuchtet:

„Prozess-Eingaben“

„Prozess-Ressourcen“

„Methoden / Tools / Werkzeuge“

„Qualifikation und Wissen des Personals“ und

„dokumentierte Information“

Anwendung Abschnitt 4.4.1 ISO 9001:2015

7. Erkenntnis

Die Betrachtung der Wechselwirkungen

der Unternehmens-Prozesse führt in der

Regel zurück auf das Thema „Chancen und

Risiken“.

Der Blick wird auf „unerwünschte

Auswirkungen“ und „unerwünschte

Ergebnisse“ gelenkt.

Und hier setzt die Vorbeugung ein.

Prozessorientiertes Auditieren

Ergebnisse, Messungen,

Aufzeichnungen,

Leistungsindikatoren,

Prozesslenkung (c)

Aktivitäten, Methoden

Dokumentierte Informationen,

Einbezogene Personen (c)

Erwartetes Ergebnis (a2)

Bewertung (g);

Verbesserungsmöglichkeiten

(h)

Wechselwirkungen mit anderen Prozessen (b) Extern bereitgestellte Produkte, Prozesse, Dienstleistungen (8.4)

Ereignisse (f)

Risiken & Chancen,

Unerwünschte Auswirkungen,

Erforderliche

Eingabe (a1)

Ressourcen (d)

Verantwortungen & Befugnisse (e)

(Eignerschaft)

1

7

3

2

4

5

6

3a

Aufgreifen von aktuellen Trends und Entwicklungen

Beispiele für das Aufgreifen neuer Trends (1)

A.15 c) (neu) Virtuelle Tätigkeiten

▪ Sicherstellen, dass das Auditteam vereinbarte Fernzugriffs („Remote“)-

Protokolle einschließlich angeforderter Geräte, Software usw.

verwendet;

▪ falls Kopien von Dokumenten jeglicher Art in Form von Screenshots

angefertigt werden, im Voraus um Genehmigung bitten und

Vertraulichkeits- sowie Sicherheitsfragen berücksichtigen und

Aufzeichnungen von Personen ohne deren Zustimmung vermeiden;

▪ falls während des Fernzugriffs ein Vorfall auftritt, sollte der

Auditteamleiter die Situation zusammen mit der auditierten Organisation

und, falls notwendig, mit dem Auditauftraggeber überprüfen und eine

Einigung darüber erzielen, ob das Audit unterbrochen, verschoben oder

fortgesetzt werden sollte;

▪ Grundrisse/Diagramme des Fernstandorts als Referenz verwenden;

▪ Im Anhang A.16 weitere Erläuterungen zum Thema Auditieren von

virtuellen Aktivitäten oder Standorten.

Beispiele für das Aufgreifen neuer Trends (2); Kombi-Audit Lebensweg

Integration von Forderungen zweier verschiedener Norm-

Grundlagen.

ISO 14001:2015, Kapitel 8.1, Betriebliche Planung und Steuerung

ISO 9001:2015, Kapitel 8.5.5, Tätigkeiten nach der Lieferung

Auditoren sollten folgende Aspekte berücksichtigen:

▪ Die Nutzungsdauer des Produktes/der Dienstleistung.

▪ Den Einfluss des Unternehmens auf die „Lieferkette“ (A.12).

▪ Die Länge (Akteure) der „Lieferkette“ (A.12).

▪ Die technologische Komplexität des Produktes.

ISO 9001:2015, 8.5.5:ANMERKUNG Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von Gewährleistungsbestimmungen, vertraglichen Pflichten, wie Instandhaltung und

ergänzenden Dienstleistungen wie Wiederverwertung oder Entsorgung einschließen.

Beispiele für das Aufgreifen neuer Trends (3); Kombiaudit Compliance

Integration von Forderungen zweier verschiedener Norm-

Grundlagen.

ISO 14001:2015, u.a. Kapitel 4.2, 4.3, 5.2, 6.1.3 und 9.1.2

ISO 9001:2015, u.a. Kapitel 4.1, 4.2, 8.2.2, 8.3.3, 8.4.2 und 8.5.5

Das Auditteam sollte in Betracht ziehen, ob wirksame Verfahren für folgende Aspekte vorliegen:

a) die gesetzlichen und aufsichtsrechtlichen Anforderungen und sonstigen Anforderungen, zu denen sich das Unternehmen verpflichtet hat, werden identifiziert;

b) Aktivitäten, Produkte und Dienstleistungen sind darauf aus-gerichtet, die Einhaltung dieser Anforderungen zu erreichen;

c) die Bewertung des „Compliance-Status“ erfolgt.

Fazit

Fazit zum Profil als interner Auditor

▪ Wissen, Kenntnisse und Fertigkeiten rund um das

Fachthema „Internes Audit“ mit Auditplanung,

Durchführung und Nachbereitung

▪ Prozesskenntnisse

▪ Sicherheit im Umgang mit neuen Medien

▪ Fachliches Urteil sicher anwenden

▪ Methodensicherheit

▪ Persönliche Ausstrahlung/Auftreten

▪ Direkter Kontakt zu Fach- und Führungskräften und der

obersten Leitung

▪ Botschafter/in für das Managementsystem sein

▪ Überzeugungskraft und Ideenreichtum zur

Weiterentwicklung des Managementsystems

Fazit zum aktuellen Stand der Revision

▪ Das Ergebnis ist keine grundlegend neue, aber fundiert

weiterentwickelte und an den Stand der Technik der aktuellen

Managementsystemnormen angepasste Version.

▪ Aktuelle Trends und Entwicklungen wurden aufgegriffen.

▪ ISO 19011:2018 enthält zu allen auditrelevanten Fragen

wertvolle Hinweise, insbesondere viele praktische

Erläuterungen zum Auditieren im Anhang A.

▪ Jeder Auditor sollte den Inhalt kennen, um nutzbringend für

einen nachhaltigen Unternehmenserfolg auditieren zu können.

Andreas Ritter

DQS Auditor, Moderator und Trainer

Herzlichen Dank für Ihr Interesse

und Ihre Aufmerksamkeit!

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen