WIXLIB

DIN EN ISO 19011:2018Leitfaden zur Auditierung von Managementsystemen –Prozessorientiertes AuditierenAndreas RitterDQS GmbH

AgendaAufbau und neue Inhalte DIN EN ISO 19011:2018Auditieren von Risiken und ChancenNeues zur prozessorientierten AuditdurchführungAufgreifen von aktuellen Trends und EntwicklungenFazit

Aufbau und neue Inhalte DIN EN ISO 19011:2018

ISO 19011 Allgemeines Diese Internationale Norm gibt eine Anleitung zum Leiten und Lenken eines Auditprogramms,zum Planen und Durchführen eines Audits des Managementsystems sowie zur Kompetenz undBewertung eines Auditors sowie eines Auditteams. Sie ist ein Leitfaden, d.h. diese Norm enthält Hinweise und Anleitungen zu Audits – keineForderungen, die z.B. im Falle der Zertifizierung zwingend nachgewiesen werden müssen. Sie ist anwendbar auf alle Organisationen und bezieht sich auf alle Arten vonManagementsystemen. Der neue Standard ISO 19011:2018 ist im Juli 2018 erschienen, die deutsche Fassung DIN ENISO 19011:2018 im Oktober.

Aufbau DIN EN ISO 19011 (1) Abschnitt 1AnwendungsbereichAbschnitt 2Normative Verweisungen (keine)Abschnitt 3BegriffeEs wurden alle Anstrengungen unternommen, umsicherzustellen, dass diese Definitionen nicht imWiderspruch stehen mit jenen, die in anderen Normenverwendet werden (9000:2015).Abschnitt 4AuditprinzipienDiese Prinzipien helfen dem Nutzer, die Bedeutung desAuditierens zu würdigen, und sie sind erforderlich, um dieAnleitungen in den Abschnitten 5 bis 7 zu verstehen.

Aufbau DIN EN ISO 19011 (2) Abschnitt 5 Leiten und Lenken eines AuditprogrammsBeinhaltet die Festlegen der Auditprogrammziele sowie dasKoordinieren von Audittätigkeiten.In diesem Abschnitt findet sich der Plan – Do – Check – ActZyklus von Deming.Abschnitt 6 Durchführen eines Managementsystem Audits.Abschnitt 7 Kompetenz und Bewertung von Auditorenfür Managementsysteme sowie von Auditteams. Anhang A gibt zusätzliche Anleitung für Auditoren zumPlanen und Durchführen von Audits.

Inhalte der Überarbeitung (1) Im Kapitel Auditprinzipien wird ein neues Prinzip„Risikobasierter Ansatz“ eingeführt. Dieser Ansatzberücksichtigt Risiken und Chancen. Die Risiken und Chancenbetrachtung zieht sichdurch den gesamten Leitfaden. Das Kapitel „Auditprogramm“ wurde neu strukturiert:Dabei wird das Auditprogramm zukünftig stärker mitdem strategischen Fokus des Unternehmensverbunden. Darüber hinaus werden die Bedingungenfür die Erstellung des Auditprogramms um dieBetrachtung des Kontextes der Organisation, deridentifizierten Chancen und Risiken und derOrganisationsziele erweitert.

Inhalte der Überarbeitung (2) Erweiterung des Leitfadens um die Verwaltungvon Auditprogrammen, einschließlich der Risikenfür (die Umsetzung) der Auditprogramme. Ergänzungen der Auditdurchführung um einigeFacetten z.B. hinsichtlich der Verwendungdigitaler Medien. Empfehlungen zu Kompetenzen der Auditoren

Neue ergänzende Erläuterungenim Anhang A A.2 Auditieren des Prozessansatzes A.3 Neu ist der Begriff „Professional judgement“, in derdeutschen Version mit „Fachlichem Urteil“ übersetzt. A.4 Fokus auf die beabsichtigten Ergebnisse einesManagementsystems im Audit. Dabei sollte auch denGrad der Integration verschiedener Managementsystemeund deren beabsichtigter Ergebnisse berücksichtigtwerden. A.7 Auditieren von Compliance innerhalb einesManagementsystems.

Neue ergänzende Erläuterungenim Anhang A A.8 AuditkontextA.9 Auditieren von Führung und VerpflichtungA.10 Auditieren von Risiken und ChancenA.11 Lebenszyklus (ISO 14001:2015) Die Verbindungzwischen der Minimierung der Umwelteinflüsse einerOrganisation und der damit verbundenen Schaffung von„Mehrwert“ wird hergestellt.A.12 Audit der LieferketteA.16 Auditierung virtueller Tätigkeiten und Standorte

Was sind Auditkriterien?Audits können anhand einer Reihe von Auditkriterien, getrenntoder kombiniert, durchgeführt werden, einschließlich, abernicht beschränkt auf: Anforderungen, die in einer oder mehrerenManagementsystem-Norm(en) definiert sind;Richtlinien und Anforderungen, die von anderen(interessierten) Parteien festgelegt wurden;rechtliche Anforderungen;ein oder mehrere Managementsystem-Prozess(e), die vonder Organisation oder anderen Parteien festgelegt wurde(n);Managementsystemplan/pläne in Bezug auf dieBereitstellung spezifischer Leistungen einesManagementsystems (z. B. Qualitätsplan, Projektplan).

Was sind Auditprinzipien? Integrität: die Grundlage der Professionalität.Sachliche Darstellung: die Pflicht, wahrheitsgemäß undgenau zu berichten.Angemessene berufliche Sorgfalt: Anwendung von Sorgfaltund Urteilsvermögen beim Auditieren.Vertraulichkeit: Sicherheit von Informationen.Unabhängigkeit: die Grundlage für die Unparteilichkeit desAudits sowie für die Objektivität der Auditschlussfolgerungen.Faktengestützter Ansatz: die rationale Methode, um zuzuverlässigen und nachvollziehbaren Auditschlussfolgerungenin einem systematischen Auditprozess zu gelangen.Risikobasierter Ansatz

Neues Auditprinzip: Risikobasierter Ansatz

A.10 Auditieren von Risiken und ChancenDie Kernziele für den risikobasierten Ansatz sind: sich der Glaubwürdigkeit des Prozesses zur Ermittlungvon Risiken und Chancen zu vergewissern;sich zu vergewissern, dass die Risiken und Chancenrichtig bestimmt und gesteuert werden;zu überprüfen, wie die Organisation ihre bestimmtenRisiken und Chancen behandelt.Ein Audit zur Ermittlung von Risiken und Chancen solltenicht als eine eigenständige Tätigkeit erfolgen. Es solltewährend des gesamten Audits eines Managementsystems,auch bei der Befragung der obersten Leitung, inbegriffensein.

A.10 Auditieren von Risiken und ChancenEin Auditor sollte nach den folgenden Schritten handelnund objektive Nachweise wie folgt sammeln:a) Eingaben, die von der Organisation zur Bestimmungihrer Risiken und Chancen verwendet werden undFolgendes umfassen können: Analyse externer und interner Themen;die strategische Ausrichtung der Organisation;interessierte Parteien im Zusammenhang mit ihremdisziplinspezifischen Managementsystem und auchderen Anforderungenpotenzielle Risikoquellen wie Umweltaspekte,Gefahren für die Sicherheit usw.b) Methode, mit der Risiken und Chancen beurteiltwerden und die sich abhängig von Disziplin und Brancheunterscheiden kann.

Neues zur prozessorientierten Auditdurchführung

Zur Bestimmung von Prozessen, die für dasQualitätsmanagementsystem benötigt werden, zählen u.a. ?A: ChancenC: ProzesskostenB: LeistungsindikatorenD: unerwartete Ergebnisse

Zur Bestimmung von Prozessen, die für dasQualitätsmanagementsystem benötigt werden, zählen u.a. ?A: ChancenC: ProzesskostenB: LeistungsindikatorenD: unerwartete Ergebnisse

Zum Auditieren des ProzessansatzesA.2 (neu) Prozessansatz des Auditierens Die Anwendung eines „Prozessansatzes“ ist eine Voraussetzung für alle ISO-ManagementsystemNormen. Die Prozesse einer Organisation und ihre Interaktionen werden auditiert. Auditoren sollten verstehen, dass ein Managementsystem zu auditieren das Auditieren derProzesse einer Organisation und ihrer Interaktionen anhand einer oder mehrererManagementsystem-Norm(en) bedeutet. Konsistente und berechenbare Ergebnisse werden wirksamer und effizienter erzielt, wenn dieTätigkeiten verstanden und als in Wechselbeziehung stehende Prozesse, die alszusammenhängendes System funktionieren, gesteuert werden.7.2.3.2Ein Auditor sollte in der Lage sein einen Prozess von Anfang bis Ende zu auditieren, einschließlichder Wechselbeziehungen mit anderen Prozessen und unterschiedlichen Funktionen, wo angemessen;

Anforderungen an zentrale VorgabeprozesseVerantwortungen undBefugnisse en und Chancenbehandeln, die auf dieProzessergebnisse EinflusshabenErwartetes Ergebnis(Output) bestimmenProzessdurchführung,-lenkung und -messungRessourcenbestimmen undVerfügbarkeitsicherstellenAbfolge und Wechselwirkungen mit anderen Prozessen festlegen

Anwendung Abschnitt 4.4.1 ISO 9001:20151Verantwortungen & Befugnisse (e)(Eignerschaft)

1. ErkenntnisBeginnen Sie mit der „Verantwortung“ und gen oder andere„dokumentierte Informationen“ sind nicht zwingendgefordert.Organigramme, Prozessdarstellungen und Gespräche mitanderen Mitarbeitern können diesem Zweck aber dienen.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

2. ErkenntnisEs ist wichtig, den Prozess zu verstehen.Dann werden Fragen nach der Lenkung, denErgebnissen, den Leistungsindikatoren undder Art der Messung gestellt.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

3. ErkenntnisWenn eine Bewertung stattfindet, ob dieErgebnisse des Prozesses erreichtwurden, so ist ein Teil derNormforderung erfüllt.Aber wie sieht es mit den möglichenProzess-Verbesserungen aus?

Anwendung Abschnitt 4.4.1 ISO 9001:2015

4. ErkenntnisErreicht der Prozess sein Ziel, daserwartete Ergebnis, ist die Normforderungerfüllt.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

5. ErkenntnisDas erwartete Prozess-Ergebnis isterreicht. Aber was ist mit Chancen undRisiken? Diesemüssen aktiv und nachvollziehbar„identifiziert“ und „bewertet“ werden. „Maßnahmenmüssen umgesetzt“, deren„Wirksamkeit bewertet“ werden.

Anwendung Abschnitt 4.4.1 ISO 9001:2015

6. ErkenntnisEs liegen nicht robuste/schwankendeProzessergebnisse vor. Im Audit werden daherfolgende Aspekte beleuchtet: „Prozess-Eingaben“ „Prozess-Ressourcen“ „Methoden / Tools / Werkzeuge“ „Qualifikation und Wissen des Personals“ „dokumentierte Information“und

Anwendung Abschnitt 4.4.1 ISO 9001:2015

7. ErkenntnisDie Betrachtung der Wechselwirkungender Unternehmens-Prozesse führt in derRegel zurück auf das Thema „Chancen undRisiken“.Der Blick wird auf „unerwünschteAuswirkungen“ und „unerwünschteErgebnisse“ gelenkt.Und hier setzt die Vorbeugung ein.

Prozessorientiertes Auditieren3a7Risiken & Chancen,Unerwünschte Auswirkungen,Ereignisse (f)1Verantwortungen & Befugnisse (e)(Eignerschaft)ErforderlicheEingabe (a1)4Ressourcen (d)52Aktivitäten, MethodenDokumentierte Informationen,Einbezogene Personen (c)Erwartetes Ergebnis (a2)Ergebnisse, esslenkung (c)6Wechselwirkungen mit anderen Prozessen (b)Extern bereitgestellte Produkte, Prozesse, Dienstleistungen (8.4)3Bewertung (g);Verbesserungsmöglichkeiten(h)

Aufgreifen von aktuellen Trends undEntwicklungen

Beispiele für das Aufgreifen neuerTrends (1)A.15 c) (neu) Virtuelle Tätigkeiten Sicherstellen, dass das Auditteam vereinbarte Fernzugriffs („Remote“)Protokolle einschließlich angeforderter Geräte, Software usw.verwendet;falls Kopien von Dokumenten jeglicher Art in Form von Screenshotsangefertigt werden, im Voraus um Genehmigung bitten undVertraulichkeits- sowie Sicherheitsfragen berücksichtigen undAufzeichnungen von Personen ohne deren Zustimmung vermeiden;falls während des Fernzugriffs ein Vorfall auftritt, sollte derAuditteamleiter die Situation zusammen mit der auditierten Organisationund, falls notwendig, mit dem Auditauftraggeber überprüfen und eineEinigung darüber erzielen, ob das Audit unterbrochen, verschoben oderfortgesetzt werden sollte;Grundrisse/Diagramme des Fernstandorts als Referenz verwenden;Im Anhang A.16 weitere Erläuterungen zum Thema Auditieren vonvirtuellen Aktivitäten oder Standorten.

Beispiele für das Aufgreifen neuerTrends (2); Kombi-Audit LebenswegIntegration von Forderungen zweier verschiedener NormGrundlagen.ISO 14001:2015, Kapitel 8.1, Betriebliche Planung und SteuerungISO 9001:2015, Kapitel 8.5.5, Tätigkeiten nach der LieferungAuditoren sollten folgende Aspekte berücksichtigen: Die Nutzungsdauer des Produktes/der Dienstleistung. Den Einfluss des Unternehmens auf die „Lieferkette“ (A.12). Die Länge (Akteure) der „Lieferkette“ (A.12). Die technologische Komplexität des Produktes.ISO 9001:2015, 8.5.5:ANMERKUNG Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund vonGewährleistungsbestimmungen, vertraglichen Pflichten, wie Instandhaltung undergänzenden Dienstleistungen wie Wiederverwertung oder Entsorgung einschließen.