Österreich

Mehrwert durch Audits:
„schlank und rank“


Das A und O, um nachhaltigen Nutzen aus externen Audits zu lukrieren, ist die richtige Audit-Vorbereitung. Straffung der Prozesse, Wirksamkeit von Maßnahmen und eine ausgewogene Schlankheit des Systems können zentrale Schwerpunkte sowohl für Zertifizierungs-, Erneuerungs- als auch für Überwachungsaudits sein. Zwei erfahrene Auditoren aus den Bereichen ISO 9001 für Qualitätsmanagement, ISO 27001 für Informationssicherheit sowie ISO 20000 für IT-Service-Management beleuchten die „DOs and DON`Ts“ in der Audit-Vorbereitung.

 


Frau Dr. Stoll, wie hat sich die Auditpraxis durch die Einführung der homogenen Strukturen in den ISO-Managementstandards verändert?
stollGemäß dem neuen harmonisierten Normmodell - das betrifft die ISO 27001 für Informationssicherheit und die neue ISO 9001:2015 – fokussieren Audits stärker auf die strategischen Interessen der Organisation und ihrer Stakeholder. Es soll also nicht nur die Erfüllung der Normanforderungen geprüft werden, sondern vor allem auch die Angemessenheit und Wirksamkeit der Maßnahmen für die nachhaltige Entwicklung des Unternehmens. Dabei spielen die Interessen der Kunden und Eigentümer, die Marktsituation, Umwelt- und Sozialaspekte, technologische Entwicklungen, sowie neue Compliance-Anforderungen mit zugehörigen Chancen und Risiken eine wichtige Rolle. All dies gilt es nun in Audits verstärkt zu berücksichtigen.

 

Wie kann das Management durch gezielte Auditvorbereitung einen Mehrwert lukrieren?
In der gemeinsamen Auditplanung mit dem Auditor werden die zu prüfenden Schwerpunkte nach strategischen Überlegungen definiert. So kann die Organisation das Know-how der Auditoren, sowie das Feedback aus den Auditberichten gezielt nutzen, um beispielsweise:
• verbesserungswürdige Aspekte wie Prozessoptimierung intern voran zu treiben,
• internen Wissensaustausch zu fördern,
• Anpassungen auf geänderte Marktsituationen zu hinterfragen,
• wichtige Kundenprojekte verstärkt mit auditieren zu lassen,
• die systematische und effektive Umsetzung neuer Strategien zu prüfen.

 

Welche Beispiele aus der täglichen Praxis können Sie dazu nennen?
Ein externes Audit kann sehr gut „benutzt“ werden, um Management und Mitarbeiter von Änderungen zu überzeugen. Werden gewisse Potenziale explizit in einem Auditbericht angeführt, so entsteht häufig eine erstaunliche Dynamik zur Umsetzung. Zudem bewährt es sich auch neu eingeführte Vorgaben zu auditieren. So wurde mir einmal ein Konzept für den Austausch alter PCs präsentiert, inklusive relevanter ISO-27001-Aspekte wie Softwareverteilung und Datenlöschung. Durch das Audit-Feedback konnte der Komplettaustausch deutlich optimiert werden. Ebenso ist es sinnvoll, kritische Kundenprojekte explizit in Audits einzubeziehen. So können mitunter zusätzliche Audits durch die Kunden eingespart werden und die Einhaltung wichtiger vertraglicher Anforderungen wird durch unabhängige Dritte überprüft. Die laufende Weiterentwicklung an geänderte Situationen ist ein wesentlicher Audit-Schwerpunkt: Für ISO-27001-Systeme wären das beispielsweise Compliance, Big Data, BYOD (Bring Your Own Device) oder Cybersecurity, für ISO-20000-Systeme auch Cloud-Security und bei ISO 9001 etwa Prozessoptimierung, risikobasiertes Denken, Wissensmanagement.


Herr Filacchione, wie soll man mit Schwachstellen im System umgehen?
04_Filacchione_webGegenseitige Offenheit und Vertrauen sollten bei einer guten Audit-Vorbereitung im Vordergrund stehen. Wenn zu zertifizierende Organisationen ihre Schwächen möglicherweise verstecken wollen, wird ein erfahrener Auditor diese ohnehin früher oder später enrdecken – aber die Vertrauensbasis ist dann beschädigt worden. Sinnvoller ist es daher, Schwachpunkte im System schon bei der Auditplanung ganz offen anzusprechen und gezielt auditieren zu lassen, um daraus ein sinnvolles Verbesserungspotenzial zu generieren.

  

Wie aufwendig ist eine gute Audit-Vorbereitung?
„Alte Hasen“ – also Kunden, die schon reife Systeme haben, bereiten sich nur mehr wenig vor. Diese haben ohnehin ihre Reviews, laufende Verbesserungsprozesse und die erforderlichen Dokumente. Bei Erstzertifizierungen schaut das natürlich anders aus. Eine gute Vorbereitung auf das Zertifizierungsaudit sind ein Stage Review als freiwillige Vorbegutachtung sowie das verpflichtende Stage One Audit, bei dem die Verfügbarkeit der Dokumente geprüft wird. Die gemeinsame Audit-Planung zwischen Auditor und Kunde sollte idealerweise rund 4 Wochen vor dem Zertifizierungsaudit sowie vor jedem Überwachungs- und Erneuerungsaudit erfolgen, wobei der Kunde die Audit-Schwerpunkte selbst definieren sollte. Je reifer das System ist, desto mehr kann der Prüfer über die reine Normerfüllung hinaus Projekte in Richtung Kontext der Organisation, Strategie, Risiken und Chancen, Stakeholder-Orientierung sowie Effektivität, Effizienz und Straffung der Prozesse auditieren.

 

Für die Einsteiger – können Sie uns einen Überblick über die erforderlichen Dokumente geben?
Ja, diese sind in den einzelnen Kapiteln innerhalb der harmonisierten Normstruktur zu finden. Gemäß dieser Reihenfolge sollte dokumentierte Information mit folgenden Inhalten verfügbar sein:

  • Kontext der Organisation
  • Führung und Politik
  • Planung und Umsetzung der Politik. Bei der ISO 27001 gehört hier das komplette Risikomanagement als Basis für die entsprechenden Maßnahmen dazu.padlock_istockphoto
  • Unterstützende Prozesse – Schwerpunkt Personen und Kommunikation
  • Betrieb: Anforderung an Produkte und
  • Dienstleistungen, Abläufe, Partner, etc. Bei der ISO 27001 wird hier die operative Abwicklung des Risikomanagements beschrieben.
  • Bewertung der Leistung (ISO 27001) einschließlich Internem Audit und Management Review
  • Fortlaufende Verbesserung des Systems

 

Was ist ein häufiger Fehler bei der Erstellung von Dokumenten?
Das Paradigma hat sich grundlegend geändert: Früher konnte man Auditoren mit umfangreichen Handbüchern, Prozessen und Richtlinien beeindrucken. Heute gilt das Gegenteil: Wir sind durch die Norm dazu aufgefordert, die Sinnhaftigkeit, Effektivität und Effizienz der dokumentierten Information zu überprüfen. Es sollen nicht Berge an Dokumentationen produziert werden, die niemand liest. Wesentlich ist: Die Organisation sollte sich selbst stets die Frage stellen, welche Dokumente notwendig sind, um die Unternehmensziele und Ergebnisse zu erreichen.

 

Und welche Fehler schleichen sich gern in der Prozesslandschaft ein?
Der Mensch hat generell das Bestreben, eine gewisse Wichtigkeit einzunehmen. So neigen Mitarbeiter auch mitunter dazu, dass jeder gern sein „Prozesschen“ hätte. Hier gilt es klar zu unterscheiden: Wofür braucht man einen dokumentierten Prozess, wofür genügt eine Richtlinie oder eine interne Information? Eine Richtlinie definiert Abläufe ohne dass Kennzahlen hinterlegt werden müssen. Ein Prozess hingegen bildet komplexe Abläufe ab, erstreckt sich über mehrere Bereiche und sollte mittels Kennzahlen messbar sein. Ein Beispiel für einen relativ unnötigen Prozess fand ich vor Jahren in einer großen Organisation, wo die Personalabteilung einen „Urlaubsantragsprozess“ implementiert hatte.

 

Idealerweise wird ein Audit Top-Down geführt – was bedeutet das?
Das heißt der Auditor beleuchtet zunächst mit der Geschäftsleitung Punkte wie den Kontext der Organisation, die Unternehmensziele sowie die Umsetzungsstrategie oder im Falle der ISO 27001 das angestrebte Sicherheitsniveau und misst dann das gesamte System daran, ob die umgesetzten Maßnahmen diesem Ziel zuarbeiten. Bei Erstzertifizierungen stimmt das implementierte Managementsystem meist nur teilweise mit der Vision der obersten Leitung überein, da oft zu wenig Adlerblick vorherrscht und sich die Beteiligten mitunter in Details verlieren. In einem Stage Review, die freiwillige Vorbegutachtung, kann ein Auditor Zielabweichungen, Doppelgleisigkeiten und einen zu hohen Detailierungsgrad rechtzeitig aufzeigen. Der Vorteil des Stage Reviews oder der Gap-Analyse ist auch, dass die Beteiligten beim Zertifizierungsaudit sehr entspannt sind, da die neuralgischen Punkte schon geprüft und korrigiert wurden.

Welchen Tipp geben Sie generell für eine Nutzen-orientierte Audit-Abwicklung?
Für jeden Prozess sollte ein Hauptansprechpartner bestimmt werden, der sich abteilungsübergreifend vorbereitet. Berater als Audit-Partner sind tabu, schließlich soll das System von den Mitarbeitern gelebt werden. Für die einzelnen Audit-Punkte sollte ausreichend Zeit mit zusätzlichen Zeitpuffern eingeplant werden. „Drüber hudeln“ bringt dem Kunden nichts. Nur wenn die Auditoren in die Tiefe gehen können, können sinnvolle Optimierungspotenziale zu Tage gefördert werden, die dem Unternehmen helfen, sich weiter zu entwickeln.

 

 

 

Dr. Margareth Stoll
Dr.techn. Margareth Stoll fungiert als Auditorin der Zertifizierungsorganisation CIS für die Standards ISO 27001 und ISO 20000, sowie als Auditorin der Quality Austria für ISO 9001. Sie implementiert und optimiert seit vielen Jahren integrierte Managementsysteme.


Ing. Herbert Filacchione
Herbert Filacchione fungiert als Auditor der Zertifizierungsorganisation CIS für die Standards ISO 27001 und ISO 20000, sowie als Auditor der Quality Austria für ISO 9001, ISO 31000, TL 9000, sowie weitere Managementnormen. Darüber hinaus fungiert er als Berater für die Implementierung und Optimierung von Managementsystemen in diesen Bereichen.

 

_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 

 

 


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB