DIN EN ISO 19011:2018
Leitfaden zur Auditierung von Managementsystemen –
Prozessorientiertes Auditieren
Andreas Ritter
DQS GmbH
Agenda
Aufbau und neue Inhalte DIN EN ISO 19011:2018
Auditieren von Risiken und Chancen
Neues zur prozessorientierten Auditdurchführung
Aufgreifen von aktuellen Trends und Entwicklungen
Fazit
ISO 19011 Allgemeines
▪ Diese Internationale Norm gibt eine Anleitung zum Leiten und Lenken eines Auditprogramms,
zum Planen und Durchführen eines Audits des Managementsystems sowie zur Kompetenz und
Bewertung eines Auditors sowie eines Auditteams.
▪ Sie ist ein Leitfaden, d.h. diese Norm enthält Hinweise und Anleitungen zu Audits – keine
Forderungen, die z.B. im Falle der Zertifizierung zwingend nachgewiesen werden müssen.
▪ Sie ist anwendbar auf alle Organisationen und bezieht sich auf alle Arten von
Managementsystemen.
▪ Der neue Standard ISO 19011:2018 ist im Juli 2018 erschienen, die deutsche Fassung DIN EN
ISO 19011:2018 im Oktober.
Aufbau DIN EN ISO 19011 (1)
▪ Abschnitt 1 Anwendungsbereich
▪ Abschnitt 2 Normative Verweisungen (keine)
▪ Abschnitt 3 Begriffe
Es wurden alle Anstrengungen unternommen, um
sicherzustellen, dass diese Definitionen nicht im
Widerspruch stehen mit jenen, die in anderen Normen
verwendet werden (9000:2015).
▪ Abschnitt 4 Auditprinzipien
Diese Prinzipien helfen dem Nutzer, die Bedeutung des
Auditierens zu würdigen, und sie sind erforderlich, um die
Anleitungen in den Abschnitten 5 bis 7 zu verstehen.
Aufbau DIN EN ISO 19011 (2)
▪ Abschnitt 5 Leiten und Lenken eines Auditprogramms
Beinhaltet die Festlegen der Auditprogrammziele sowie das
Koordinieren von Audittätigkeiten.
In diesem Abschnitt findet sich der Plan – Do – Check – Act-
Zyklus von Deming.
▪ Abschnitt 6 Durchführen eines Managementsystem Audits.
▪ Abschnitt 7 Kompetenz und Bewertung von Auditoren
für Managementsysteme sowie von Auditteams.
▪ Anhang A gibt zusätzliche Anleitung für Auditoren zum
Planen und Durchführen von Audits.
Inhalte der Überarbeitung (1)
▪ Im Kapitel Auditprinzipien wird ein neues Prinzip
„Risikobasierter Ansatz“ eingeführt. Dieser Ansatz
berücksichtigt Risiken und Chancen.
▪ Die Risiken und Chancenbetrachtung zieht sich
durch den gesamten Leitfaden.
▪ Das Kapitel „Auditprogramm“ wurde neu strukturiert:
Dabei wird das Auditprogramm zukünftig stärker mit
dem strategischen Fokus des Unternehmens
verbunden. Darüber hinaus werden die Bedingungen
für die Erstellung des Auditprogramms um die
Betrachtung des Kontextes der Organisation, der
identifizierten Chancen und Risiken und der
Organisationsziele erweitert.
Inhalte der Überarbeitung (2)
▪ Erweiterung des Leitfadens um die Verwaltung
von Auditprogrammen, einschließlich der Risiken
für (die Umsetzung) der Auditprogramme.
▪ Ergänzungen der Auditdurchführung um einige
Facetten z.B. hinsichtlich der Verwendung
digitaler Medien.
▪ Empfehlungen zu Kompetenzen der Auditoren
Neue ergänzende Erläuterungen im Anhang A
▪ A.2 Auditieren des Prozessansatzes
▪ A.3 Neu ist der Begriff „Professional judgement“, in der
deutschen Version mit „Fachlichem Urteil“ übersetzt.
▪ A.4 Fokus auf die beabsichtigten Ergebnisse eines
Managementsystems im Audit. Dabei sollte auch den
Grad der Integration verschiedener Managementsysteme
und deren beabsichtigter Ergebnisse berücksichtigt
werden.
▪ A.7 Auditieren von Compliance innerhalb eines
Managementsystems.
▪ A.8 Auditkontext
▪ A.9 Auditieren von Führung und Verpflichtung
▪ A.10 Auditieren von Risiken und Chancen
▪ A.11 Lebenszyklus (ISO 14001:2015) Die Verbindung
zwischen der Minimierung der Umwelteinflüsse einer
Organisation und der damit verbundenen Schaffung von
„Mehrwert“ wird hergestellt.
▪ A.12 Audit der Lieferkette
▪ A.16 Auditierung virtueller Tätigkeiten und Standorte
Neue ergänzende Erläuterungen im Anhang A
Was sind Auditkriterien?
Audits können anhand einer Reihe von Auditkriterien, getrennt
oder kombiniert, durchgeführt werden, einschließlich, aber
nicht beschränkt auf:
▪ Anforderungen, die in einer oder mehreren
Managementsystem-Norm(en) definiert sind;
▪ Richtlinien und Anforderungen, die von anderen
(interessierten) Parteien festgelegt wurden;
▪ rechtliche Anforderungen;
▪ ein oder mehrere Managementsystem-Prozess(e), die von
der Organisation oder anderen Parteien festgelegt wurde(n);
▪ Managementsystemplan/pläne in Bezug auf die
Bereitstellung spezifischer Leistungen eines
Managementsystems (z. B. Qualitätsplan, Projektplan).
Was sind Auditprinzipien?
▪ Integrität: die Grundlage der Professionalität.
▪ Sachliche Darstellung: die Pflicht, wahrheitsgemäß und
genau zu berichten.
▪ Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt
und Urteilsvermögen beim Auditieren.
▪ Vertraulichkeit: Sicherheit von Informationen.
▪ Unabhängigkeit: die Grundlage für die Unparteilichkeit des
Audits sowie für die Objektivität der Auditschlussfolgerungen.
▪ Faktengestützter Ansatz: die rationale Methode, um zu
zuverlässigen und nachvollziehbaren Auditschlussfolgerungen
in einem systematischen Auditprozess zu gelangen.
▪ Risikobasierter Ansatz
A.10 Auditieren von Risiken und Chancen
Die Kernziele für den risikobasierten Ansatz sind:
▪ sich der Glaubwürdigkeit des Prozesses zur Ermittlung
von Risiken und Chancen zu vergewissern;
▪ sich zu vergewissern, dass die Risiken und Chancen
richtig bestimmt und gesteuert werden;
▪ zu überprüfen, wie die Organisation ihre bestimmten
Risiken und Chancen behandelt.
Ein Audit zur Ermittlung von Risiken und Chancen sollte
nicht als eine eigenständige Tätigkeit erfolgen. Es sollte
während des gesamten Audits eines Managementsystems,
auch bei der Befragung der obersten Leitung, inbegriffen
sein.
A.10 Auditieren von Risiken und ChancenEin Auditor sollte nach den folgenden Schritten handeln
und objektive Nachweise wie folgt sammeln:
a) Eingaben, die von der Organisation zur Bestimmung
ihrer Risiken und Chancen verwendet werden und
Folgendes umfassen können:
▪ Analyse externer und interner Themen;
▪ die strategische Ausrichtung der Organisation;
▪ interessierte Parteien im Zusammenhang mit ihrem
disziplinspezifischen Managementsystem und auch
deren Anforderungen
▪ potenzielle Risikoquellen wie Umweltaspekte,
Gefahren für die Sicherheit usw.
b) Methode, mit der Risiken und Chancen beurteilt
werden und die sich abhängig von Disziplin und Branche
unterscheiden kann.
Zur Bestimmung von Prozessen, die für das
Qualitätsmanagementsystem benötigt werden, zählen u.a. …?
A: Chancen
B: Leistungsindikatoren
C: Prozesskosten
D: unerwartete Ergebnisse
Zur Bestimmung von Prozessen, die für das
Qualitätsmanagementsystem benötigt werden, zählen u.a. …?
A: Chancen
B: Leistungsindikatoren
C: Prozesskosten
D: unerwartete Ergebnisse
Zum Auditieren des ProzessansatzesA.2 (neu) Prozessansatz des Auditierens
▪ Die Anwendung eines „Prozessansatzes“ ist eine Voraussetzung für alle ISO-Managementsystem-
Normen. Die Prozesse einer Organisation und ihre Interaktionen werden auditiert.
▪ Auditoren sollten verstehen, dass ein Managementsystem zu auditieren das Auditieren der
Prozesse einer Organisation und ihrer Interaktionen anhand einer oder mehrerer
Managementsystem-Norm(en) bedeutet.
▪ Konsistente und berechenbare Ergebnisse werden wirksamer und effizienter erzielt, wenn die
Tätigkeiten verstanden und als in Wechselbeziehung stehende Prozesse, die als
zusammenhängendes System funktionieren, gesteuert werden.
7.2.3.2
Ein Auditor sollte in der Lage sein… einen Prozess von Anfang bis Ende zu auditieren, einschließlich
der Wechselbeziehungen mit anderen Prozessen und unterschiedlichen Funktionen, wo angemessen;
Erwartetes Ergebnis
(Output) bestimmen
Risiken und Chancen
behandeln, die auf die
Prozessergebnisse Einfluss
habenVerantwortungen und
Befugnisse zuweisen
Erforderliche
Eingaben
(Input)
bestimmen
Ressourcen
bestimmen und
Verfügbarkeit
sicherstellen
Prozessdurchführung,
-lenkung und -messung
Abfolge und Wechselwirkungen mit anderen Prozessen festlegen
Anforderungen an zentrale Vorgabeprozesse
1. Erkenntnis
Beginnen Sie mit der „Verantwortung“ und den
„Befugnissen“.
Stellen-/Funktionsbeschreibungen oder andere
„dokumentierte Informationen“ sind nicht zwingend
gefordert.
Organigramme, Prozessdarstellungen und Gespräche mit
anderen Mitarbeitern können diesem Zweck aber dienen.
2. Erkenntnis
Es ist wichtig, den Prozess zu verstehen.
Dann werden Fragen nach der Lenkung, den
Ergebnissen, den Leistungsindikatoren und
der Art der Messung gestellt.
3. Erkenntnis
Wenn eine Bewertung stattfindet, ob die
Ergebnisse des Prozesses erreicht
wurden, so ist ein Teil der
Normforderung erfüllt.
Aber wie sieht es mit den möglichen
Prozess-Verbesserungen aus?
4. Erkenntnis
Erreicht der Prozess sein Ziel, das
erwartete Ergebnis, ist die Normforderung
erfüllt.
5. Erkenntnis
Das erwartete Prozess-Ergebnis ist
erreicht. Aber was ist mit Chancen und
Risiken?
Diese müssen aktiv und nachvollziehbar
„identifiziert“ und „bewertet“ werden.
„Maßnahmen müssen umgesetzt“, deren
„Wirksamkeit bewertet“ werden.
6. Erkenntnis
Es liegen nicht robuste/schwankende
Prozessergebnisse vor. Im Audit werden daher
folgende Aspekte beleuchtet:
„Prozess-Eingaben“
„Prozess-Ressourcen“
„Methoden / Tools / Werkzeuge“
„Qualifikation und Wissen des Personals“ und
„dokumentierte Information“
7. Erkenntnis
Die Betrachtung der Wechselwirkungen
der Unternehmens-Prozesse führt in der
Regel zurück auf das Thema „Chancen und
Risiken“.
Der Blick wird auf „unerwünschte
Auswirkungen“ und „unerwünschte
Ergebnisse“ gelenkt.
Und hier setzt die Vorbeugung ein.
Prozessorientiertes Auditieren
Ergebnisse, Messungen,
Aufzeichnungen,
Leistungsindikatoren,
Prozesslenkung (c)
Aktivitäten, Methoden
Dokumentierte Informationen,
Einbezogene Personen (c)
Erwartetes Ergebnis (a2)
Bewertung (g);
Verbesserungsmöglichkeiten
(h)
Wechselwirkungen mit anderen Prozessen (b) Extern bereitgestellte Produkte, Prozesse, Dienstleistungen (8.4)
Ereignisse (f)
Risiken & Chancen,
Unerwünschte Auswirkungen,
Erforderliche
Eingabe (a1)
Ressourcen (d)
Verantwortungen & Befugnisse (e)
(Eignerschaft)
1
7
3
2
4
5
6
3a
Beispiele für das Aufgreifen neuer Trends (1)
A.15 c) (neu) Virtuelle Tätigkeiten
▪ Sicherstellen, dass das Auditteam vereinbarte Fernzugriffs („Remote“)-
Protokolle einschließlich angeforderter Geräte, Software usw.
verwendet;
▪ falls Kopien von Dokumenten jeglicher Art in Form von Screenshots
angefertigt werden, im Voraus um Genehmigung bitten und
Vertraulichkeits- sowie Sicherheitsfragen berücksichtigen und
Aufzeichnungen von Personen ohne deren Zustimmung vermeiden;
▪ falls während des Fernzugriffs ein Vorfall auftritt, sollte der
Auditteamleiter die Situation zusammen mit der auditierten Organisation
und, falls notwendig, mit dem Auditauftraggeber überprüfen und eine
Einigung darüber erzielen, ob das Audit unterbrochen, verschoben oder
fortgesetzt werden sollte;
▪ Grundrisse/Diagramme des Fernstandorts als Referenz verwenden;
▪ Im Anhang A.16 weitere Erläuterungen zum Thema Auditieren von
virtuellen Aktivitäten oder Standorten.
Beispiele für das Aufgreifen neuer Trends (2); Kombi-Audit Lebensweg
Integration von Forderungen zweier verschiedener Norm-
Grundlagen.
ISO 14001:2015, Kapitel 8.1, Betriebliche Planung und Steuerung
ISO 9001:2015, Kapitel 8.5.5, Tätigkeiten nach der Lieferung
Auditoren sollten folgende Aspekte berücksichtigen:
▪ Die Nutzungsdauer des Produktes/der Dienstleistung.
▪ Den Einfluss des Unternehmens auf die „Lieferkette“ (A.12).
▪ Die Länge (Akteure) der „Lieferkette“ (A.12).
▪ Die technologische Komplexität des Produktes.
ISO 9001:2015, 8.5.5:ANMERKUNG Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von Gewährleistungsbestimmungen, vertraglichen Pflichten, wie Instandhaltung und
ergänzenden Dienstleistungen wie Wiederverwertung oder Entsorgung einschließen.
Beispiele für das Aufgreifen neuer Trends (3); Kombiaudit Compliance
Integration von Forderungen zweier verschiedener Norm-
Grundlagen.
ISO 14001:2015, u.a. Kapitel 4.2, 4.3, 5.2, 6.1.3 und 9.1.2
ISO 9001:2015, u.a. Kapitel 4.1, 4.2, 8.2.2, 8.3.3, 8.4.2 und 8.5.5
Das Auditteam sollte in Betracht ziehen, ob wirksame Verfahren für folgende Aspekte vorliegen:
a) die gesetzlichen und aufsichtsrechtlichen Anforderungen und sonstigen Anforderungen, zu denen sich das Unternehmen verpflichtet hat, werden identifiziert;
b) Aktivitäten, Produkte und Dienstleistungen sind darauf aus-gerichtet, die Einhaltung dieser Anforderungen zu erreichen;
c) die Bewertung des „Compliance-Status“ erfolgt.
Fazit zum Profil als interner Auditor
▪ Wissen, Kenntnisse und Fertigkeiten rund um das
Fachthema „Internes Audit“ mit Auditplanung,
Durchführung und Nachbereitung
▪ Prozesskenntnisse
▪ Sicherheit im Umgang mit neuen Medien
▪ Fachliches Urteil sicher anwenden
▪ Methodensicherheit
▪ Persönliche Ausstrahlung/Auftreten
▪ Direkter Kontakt zu Fach- und Führungskräften und der
obersten Leitung
▪ Botschafter/in für das Managementsystem sein
▪ Überzeugungskraft und Ideenreichtum zur
Weiterentwicklung des Managementsystems
Fazit zum aktuellen Stand der Revision
▪ Das Ergebnis ist keine grundlegend neue, aber fundiert
weiterentwickelte und an den Stand der Technik der aktuellen
Managementsystemnormen angepasste Version.
▪ Aktuelle Trends und Entwicklungen wurden aufgegriffen.
▪ ISO 19011:2018 enthält zu allen auditrelevanten Fragen
wertvolle Hinweise, insbesondere viele praktische
Erläuterungen zum Auditieren im Anhang A.
▪ Jeder Auditor sollte den Inhalt kennen, um nutzbringend für
einen nachhaltigen Unternehmenserfolg auditieren zu können.