ISO 19011 – Leitfaden zur Auditierung von
Transcription
ISO 19011 – Leitfaden zur Auditierung von
Kundenzeitschrift der DQS-Gruppe Nr. 69/70/71 ISO 19011 – Leitfaden zur Auditierung von Managementsystemen Im Dezember 2011 ist der neue Leitfaden zur Auditierung von Managementsystemen erschienen. Diese Version ersetzt den alten Leitfaden aus dem Jahr 2002 „Auditieren von Qualitäts- und Umweltmanagementsystemen“ und erweitert die Anwendung nun auf das Auditieren aller Managementsysteme. Mit diesen Artikeln startet die DQS eine Reihe von Beiträgen, die sich mit den Änderungen des neuen Leitfadens ISO 19011 und den damit verbundenen Auswirkungen auf die interne Auditpraxis befassen. Warum überhaupt diese Revision ? Alle Normen und Leitfäden unterliegen grundsätzlich Änderungsbzw. Anpassungsintervallen. Zum einen sollen sie gängige Praxis und technologische Neuerungen aufgreifen, zum anderen fließen Erfahrungswerte von Anwenderseite in die Überarbeitungen ein. Diese Rückmeldungen von zertifizierten Unternehmen, deren Kunden, Zertifizierungsgesellschaften, Akkreditierungsstellen, Wirtschaftsverbänden und weiteren interessierten Parteien werden zunächst auf nationaler Ebene gesammelt, ausgewertet und verdichtet. Diese nationalen Kommentierungen und Änderungsvorschläge werden wiederum in die internationale Gremienarbeit eingebracht. In die nationalen und internationalen Gremien sind unter anderem auch Mitarbeiter der Deutschen Gesellschaft für Qualität (DGQ) eingebunden. Übergangsregelungen und -fristen Hier können wir uns erfreulich kurz halten. Es gibt keine Übergangsregelungen und -fristen. Mit der Veröffentlichung im Dezember 2011 wurde dieser Leitfaden sofort gültig und kann angewendet werden. Dabei kommt ihm natürlich sein Status als „Leitfaden“ zugute – doch dazu mehr im folgenden Absatz. Geltungsbereich und Status des Dokumentes „Diese Norm ist anwendbar auf alle Organisationen, die interne oder externe Audits von Managementsystemen durchführen oder für das Management eines Auditprogramms verantwortlich sind.“ Diesem Satz aus Kapitel 1 wäre eigentlich nichts hinzuzufügen. Allerdings ist zu beachten, dass hinsichtlich der Durchführung von „externen Audits“ die Norm ISO / IEC 17021 für Zertifizierungsgesellschaften gilt, die zwar weite Passagen von ISO 19011 in einem neuen Kapitel 9 übernommen hat, aber eben nicht alle und nicht komplett – genannt seien hier die Beispiele „Remote Audit Activities“ und „Risikobasierter Auditansatz“. Somit ist die Nennung von „externen Audits“ im Kontext von ISO 19011 auf das Durchführen von 2nd Party, also Lieferantenaudits zu begrenzen. Betrachtet man einerseits die internationale Normungsarbeit der vergangenen Jahre und beobachtet gleichzeitig den ungebrochenen Trend immer weitere neue oder ergänzende Managementsystemnormen zu veröffentlichen, die allesamt interne Audits enthalten, ist es eine nahezu logische Folge, dass es nun nach 10 Jahren geboten ist, den entsprechenden Leitfaden einer Generalüberholung zu unterziehen. Andererseits ist festzuhalten, dass Techniken und Methoden der Auditplanung, Auditdurchführung und Auditnachbereitung seit über zwei Jahrzehnten etabliert sind und das „Auditieren“ nicht neu definiert werden muss. Jedoch sind Anpassungen, Klarstellungen, Präzisierungen und Auslegungen notwendig geworden, um dem immens gewachsenen Anwendungsgrad dieses Leitfadens gerecht zu werden. Erstaunlich ist allerdings auch Folgendes: Fragt man im Rahmen von Veranstaltungen nach dem Kenntnisstand zu diesem Dokument, ist das Ergebnis ernüchternd. Auch aus diesem Grund haben wir uns entschlossen, in der DQS im Dialog diese Reihe von Beiträgen zu veröffentlichen. DQS GmbH Zum Status des Dokumentes ist folgender Hinweis entscheidend: Es handelt sich um einen Leitfaden! Was bedeutet dies für die Praxis? Ein Leitfaden gibt Hinweise und Orientierungshilfe. Ein Leitfaden stellt keine Forderungen auf! Das heißt: Organisationen können sich an die Anleitungen anlehnen, sie übernehmen – in Gänze oder in Teilen. Auch die in den Forderungsnormen zu Managementsystemen eingefügten Fußnoten und Anmerkungen, die auf diesen Leitfaden Bezug nehmen, machen aus einem Leitfaden kein normatives „Muss“. Damit www.dqs.de Kundenzeitschrift der DQS-Gruppe Nr. 69/70/71 bleibt es jeder Organisation selbst überlassen zu entscheiden, ob und welche Passagen für das eigene Unternehmen praktikabel, sinnvoll und umsetzbar sind. Aber Achtung: Wenn Sie in Ihrer Systemdokumentation Formulierungen nutzen wie „… unsere internen Auditprozesse folgen den Prinzipien von ISO 19011“ oder „… Auditprogramme und Audits werden auf der Grundlage von ISO 19011 durchgeführt“ erheben Sie diesen Leitfaden zu einem Dokument, das für Ihr System Forderungen aufstellt. Hier könnte also ein Blick in die Ausgestaltung und die Wortwahl der eigenen Prozesse angebracht sein. Ein weiterer Hinweis: Manche, gerade sektorenspezifische Normen, wie ISO / TS 16949 stellen präzisierende Forderungen zur Planung und Durchführung interner Audits auf. Hier gilt das Prinzip „Ober schlägt Unter“. Wenn also ein für Ihre Organisation gültiges und anzuwendendes Regelwerk Forderungen erhebt, gelten diese, egal ob es sich bei der übergreifenden Auditnorm ISO 19011 um einen Leitfaden handelt. Die grundsätzliche Botschaft des Leitfaden Wenn wir aufgefordert wären die grundsätzliche Botschaft des Leitfadens in wenige Worte zu fassen, kämen wahrscheinlich diese Leitsätze zu Stande: Investieren Sie mehr Zeit und Überlegungen darin, in welche Prozesse und Aspekte Ihres Managementsystems Sie die zur Verfügung stehenden Auditressourcen einbringen und die Sie intensiv auditieren wollen – treffen Sie also eine selektive Entscheidung. Machen Sie sich Gedanken darüber, welche Ziele Sie mit den internen Audits verfolgen (und das ist mehr als der Nachweis von Konformität!) und mit welchen Auditmethoden diese ausgewählten Ziele optimal unterstützt werden können. Setzen Sie – je nach ausgewählten Prozessen und Auditmethoden – die hierfür am besten geeigneten Personen ein. Ermitteln Sie die individuell für Ihr Unternehmen benötigten Kompetenzen der internen Auditoren. Bewerten und verbessern Sie kontinuierlich Ihre Auditplanung, Auditdurchführung und Auditnachbereitung. DQS GmbH Das neu eingeführte Auditprinzip Vertraulichkeit Auditprinzipien werden gerne überlesen, sei es weil man annimmt dort stünden nur Allgemeinplätze, sei es weil keine konkreten Handlungsanleitungen dargestellt seien. Dies ist bedauerlich, sind dort doch grundsätzliche, handwerkliche und berufsethische Bedingungen definiert, die professionelles Handeln im Auditkontext ausmachen. Nicht umsonst sind diese Prinzipien dem Leitfaden vorangestellt. Neben den bekannten Integrität (war bislang ethisches Verhalten) sachliche Darstellung angemessene berufliche Sorgfalt Unabhängigkeit Vorgehensweise, die auf Nachweisen beruht ist nun ein weiteres Prinzip hinzugekommen, das sich mit Vertraulichkeit befasst. Hier wird Folgendes ausgeführt: „Auditoren sollten bei der Verwendung und dem Schutz von Informationen, die sie im Verlaufe ihre Aufgaben erworben haben, umsichtig sein. Auditinformationen sollten nicht unangemessen zur persönlichen Bereicherung des Auditors oder der Organisation, die das Audit anfordert, oder in einer Weise verwendet werden, die nachteilig für die berechtigten Interessen der zu auditierenden Organisation ist. Dieses Konzept schließt den ordnungsgemäßen Umgang mit sensiblen, vertraulichen Informationen ein.“ Viele Leser werden hier einwenden: Das ist doch eine Selbstverständlichkeit! Trotzdem seien die nachfolgenden Fragen hier erlaubt: In welchen Organisationen sind denn tatsächlich transparente, verbindliche Regeln zum Umgang mit vertraulichen, und sensiblen Informationen aufgestellt? Das Festlegen einer Verteilerliste für den Auditbericht greift in diesem Zusammenhang nur unzureichend. Die meisten Organisationen haben entweder gar keine definierten Regelungen oder nur „mündlich überlieferte“ und überlassen die Entscheidung darüber, wie zu verfahren ist, den internen Auditoren selbst. Fair gegenüber den Auditoren und umsichtig bzgl. Risikovorsorge ist das auch nicht. Wie handhaben es die internen Auditoren z. B. beim Austausch untereinander? Will die Organisation den Informationstransfer (was ja nicht verboten und durch das Auditprinzip untersagt wäre)? Was könnte eine sog. „persönliche Bereicherung“ des Auditors sein, z. B. die www.dqs.de Kundenzeitschrift der DQS-Gruppe Nr. 69/70/71 Nutzung für eine Nebentätigkeit als Berater? Insbesondere im Kontext von Lieferantenaudits sind aus Sicht des Autors Leitsätze, Regeln, Prinzipien zur Vertraulichkeit dringend zu empfehlen. Auch wer einmal in den Zügen der deutschen Bahn oder der Lounges von Airlines aufmerksam auf die Inhalte von Telefonaten am Nachbartisch achtet, bekommt einen alarmierenden Eindruck über die Relevanz des „ordnungsgemäßen Umgangs mit sensiblen, vertraulichen Informationen“. Remote-Auditmethoden Erstmalig nennt ISO 19011 im Zusammenhang mit der Festlegung des Umfangs von Auditprogrammen sogenannte „Remote-Auditmethoden“ (ja, Sie lesen richtig, das ist die offizielle deutsche Sprachfassung!). Gemeint sind damit Methoden, die nicht die physische Anwesenheit des Auditors vor Ort erfordern. Die ersten Reaktionen darauf reichten von „Hervorragend, zukünftig werden Audits vom Schreibtisch der QMBs mit dem Telefon in der Hand durchgeführt“ bis zu „Um Himmels Willen, Audits aus der Distanz, wie soll das gehen, z. B. bei Umwelt- oder Arbeitssicherheitssystemen?“ Achtung: Es ist nicht von Remote-Audits die Rede, sondern vom Einsatz von Remote-Auditmethoden! Und die hat es schon immer gegeben, beispielsweise in Form von Dokumentenprüfungen im Vorfeld des Audits oder beim Schließen von Maßnahmen durch die Einsendung von Nachweisen und deren Bewertung, ohne direkt vor Ort zu sein. Hier wird also nur etwas beschrieben, was schon länger praktisch umgesetzt war. Dennoch sollte man diese Nennung nun auch als Chance begreifen sich intensiver damit auseinanderzusetzen, welche Themen, Bereiche, Personen tatsächlich vor Ort sein müssen, um ein Audit sinnvoll durchzuführen. Beispielhaft seien hier das Einschalten eines Fachexperten per Telefon, Skype oder Netviewer zu einem spezifischen Thema angeführt oder z. B. das Telefonat mit einem Vertriebsmitarbeiter an einem entfernten Standort, wenn gleichzeitig sichergestellt ist, dass die Auditbeteiligten auf den gleichen Datenbestand zugreifen können. Interessanterweise wird im Anhang B von ISO 19011, der sich generell mit Auditmethoden befasst, auch auf ein angemessenes „Vertrauensniveau“ hingewiesen, welches für die Anwendung von Remote-Auditmethoden notwendig ist. methoden nicht erhalten werden, die z. B. durch den direkten, persönlichen Kontakt mit Menschen oder durch direkte visuelle Eindrücke entstehen. Persönlich kann sich der Autor die intensive Anwendung von solchen Auditmethoden im Kontext von Produktionsprozessen, Umwelt- oder Arbeitsschutzsystemen nur schwerlich vorstellen. Der Ansatz des risikobasierten Auditierens Der vielleicht interessanteste Satz in der Neufassung von ISO 19011 findet sich im Kapitel 5.1. Dort ist im Zusammenhang mit dem Konzept des risikobasierten Auditierens ausgeführt, „… Vorrang sollte der Zuordnung der Auditprogrammressourcen gegeben werden, um diejenigen Dinge zu auditieren, die innerhalb des Managementsystems von Bedeutung sind.“ Das eröffnet die Chance der Selektion, d. h. es ist ausdrücklich zugestanden, Prozesse mehr oder weniger intensiv zu auditieren, je nachdem welchen Stellenwert sie innerhalb des Managementsystems und der Organisation wahrnehmen. Es ist nun also an der Organisation zu spezifizieren, welche Kriterien sie anlegt um diese Bedeutung zu ermitteln. Kriterien hierfür könnten sein: Schlüsselmerkmale von Produktqualität, Risiken, signifikante Umweltaspekte oder Gefahren für die Gesundheit, Unternehmensund/oder Auditziele, Reifegrad des Managementsystems (hier könnte sich dann wiederum ein Blick in den Anhang A von ISO 9004 lohnen, der einen sehr praktikablen Ansatz für eine selbstbewertende Reifegradeinstufung durch die Organisation darstellt). Aus dem Blickwinkel eines externen Auditors betrachtet, sollte dieser Prozess der Identifikation der „sog. bedeutenden Prozesse, Bereiche des Managementsystems“ allerdings nachweisbar, plausibel dargestellt und mit Nachweisen versehen sein. Dann werden externe Auditoren Auditprogramme selbstverständlich akzeptieren, die auf diesem risikobasierten Ansatz aufsetzen. Damit sollten Auditprogramme mit dem zugrunde gelegten Prinzip alle Prozesse, jedes Jahr und überall in gleicher Intensität „durchzuauditieren“ der Vergangenheit angehören. Und das ist eine wahrlich gute Botschaft! In welchem Umfang auch immer Organisationen nun zukünftig von dieser Möglichkeit Gebrauch machen werden, sie sollten genau überlegen, welche Informationen durch Remote-Audit- DQS GmbH www.dqs.de Kundenzeitschrift der DQS-Gruppe Nr. 69/70/71 Bewertung der Risiken, die mit der Auditprogrammplanung verbunden sind Dieses Kapitel wurde völlig neu entwickelt und enthält eine durchaus beeindruckende Zusammenstellung von Aspekten, die bei der Festlegung, Umsetzung, Überwachung, Bewertung und Verbesserung von Auditprogrammen und der Erreichung der Auditprogrammziele kritisch werden können. Diese können in Zusammenhang stehen mit: der Planung, d. h. Versäumnissen in Bezug auf die Festlegung entsprechender Auditziele oder der Ermittlung des Umfangs des Auditprogramms. Was ist damit gemeint? Angesprochen ist hier das Risiko, dass beispielsweise bei Lieferverpflichtungen oder Verträgen Zusagen bezüglich der Durchführung und Nachweisführung von internen Audits oder der verpflichtenden Auditierung definierter Prozesse gemacht werden. Diese müssen dann auch Bestandteil des Auditprogrammes sein. Die Sicherstellung, dass diese Information den/die Verantwortlichen für das Auditprogramm auch erreicht, ist ein potenzielles Risikofeld. den Ressourcen, z. B. nicht genügend Zeit zur Entwicklung des Auditprogramms oder zu wenig zur Verfügung stehende Ressourcen zur Durchführung des Audits (der Klassiker!) bereitstellen zu können. Hierbei sei die Anmerkung erlaubt, dass der gegenwärtige Trend, die Anzahl der internen Auditoren oder deren Verfügbarkeit immer weiter zu reduzieren, die sinnvolle und wertschöpfende Durchführung von Audits zunehmend in Frage stellt, also risikosteigernd wirkt. der Auswahl des Auditteams, womit gemeint ist, dass das Team (viele wären froh, wenn sie noch Teams zur Verfügung hätten, siehe auch Anmerkung oben) nicht über die kollektive Qualifikation verfügt, das Audit wirksam durchzuführen. „Wirksam“ ist dabei so auszulegen, dass die notwendigen Fachkenntnisse vorhanden sein müssen, um die Auditziele zu verwirklichen und die Auditkriterien beurteilen zu können. einer ineffektiven Kommunikation des Auditprogrammes, im Klartext: Die Betroffenen sind nicht ausreichend informiert, Auditziele und Umfang sind nicht eindeutig, zum Audit stehen nicht die benötigten Gesprächspartner zu Verfügung etc. dem Schutz, der Aufbewahrung und Wiederauffindbarkeit von Auditaufzeichnungen, was besonders dann ein signifikantes Problem werden könnte, wenn im Zusammenhang mit Gewährleistungsansprüchen oder Vertragszusagen (siehe oben) auch Jahre später über solche Aufzeichnungen ein Nachweis geführt werden muss. und zu guter Letzt der Überwachung, Bewertung und Verbesserung des Auditprogramms – Überwachung im Sinne von Einhaltung der Umsetzung der Auditprogrammplanung, Bewertung im Sinne der Erreichung der Auditziele und Verbesserung im Sinne einer möglichen Anpassung des Auditprogramms aus Auditauswertungen heraus, aufgrund von Rückmeldungen interessierter Parteien oder aufgrund aktueller Ereignisse. DQS GmbH Alles in allem sicherlich wichtige Aspekte, die häufig recht wenig oder zumindest wenig systematisch bei der Betrachtung von Auditprogrammen herangezogen werden. Bedauerlicherweise geben sich manche Organisationen bereits damit zufrieden, wenn ein Auditprogramm erstellt und freigegeben ist, und hoffen dann darauf, es ohne größere interne bzw. externe Störungen oder andere Widrigkeiten durchgeführt zu bekommen – aber das ist wieder eine andere Geschichte … Bewerten und Verbessern von Auditprogrammen Auch dieser das Kapitel 5 abschließende Absatz ist komplett neu – und spätestens jetzt werden manche Anwender sich erleichtert daran erinnern, dass ISO 19011 ein Leitfaden ist und kein Forderungsdokument. Dieses Kapitel 5.6 gibt dahin gehend Orientierung, welche Kriterien zur Anwendung kommen sollten, wenn das Auditprogramm bezüglich seiner Zielerreichung eingeschätzt werden soll. Folgende Aspekte werden genannt: a)Ergebnisse und Tendenzen aus der Überwachung des Auditprogramms b)Konformität mit den Verfahren des Auditprogramms c) sich abzeichnende Erfordernisse und Erwartungen interessierter Parteien d)Auditprogrammaufzeichnungen e) alternative oder neue Auditmethoden f) Wirksamkeit der Maßnahmen, um auf die Risiken, die mit dem Auditprogramm zusammenhängen, einzugehen g)Fragen zur Vertraulichkeit und Informationssicherheit in Bezug auf das Auditprogramm www.dqs.de Kundenzeitschrift der DQS-Gruppe Nr. 69/70/71 Dem Autor sind kaum Unternehmen bekannt, die bislang solche oder ähnliche Bewertungen von Auditprogrammen vornehmen. Es ist sicherlich davon auszugehen und teilweise auch nachvollziehbar, dass dieses Kapitel insbesondere bei kleinen oder mittelständischen Unternehmen nur wenig konkrete Anwendung finden wird. Nehmen wir als Beispiel die Bewertung unter c) „sich abzeichnende Erfordernisse und Erwartungen interessierter Parteien“. Dies wirft bereits beim Terminus „interessierte Parteien“ die Frage auf, wer damit eigentlich gemeint ist. Hier hilft wiederum ein Blick in die bereits erwähnte und leider so sehr ignorierte ISO 9004. Dort sind als interessierte Parteien (im Zusammenhang mit umfassenden (Qualitäts-)Managementsystemen) aufgeführt: Kunden Mitarbeiter Lieferanten Geldgeber/Eigentümer und Staat/Gesellschaft Und welches Unternehmen hat denn bereits eine wirklich stichhaltige Auswertung der Erfordernisse und Erwartungen dieser interessierten Parteien erstellt und falls ja, daraus Maßnahmen zur Verbesserung des Auditprogrammes abgeleitet? Um Missverständnissen vorzubeugen: Der Autor hält diese Anregungen durchaus für sinnvoll und geeignet, Auditprogrammen eine um die Interessen Dritter erweiterte Ausrichtung zu geben und bereits gut entwickelte und reife interne Auditprozesse deutlich weiterzuentwickeln. Für viele Unternehmen jedoch könnte dies (immer noch) eine DQS GmbH Überforderung bedeuten. Gleiches könnte auch für die Empfehlungen am Ende des Absatzes im Kapitel 5.6 gelten, dass die kontinuierliche berufliche Entwicklung der Auditoren bewertet sowie der obersten Leitung die Ergebnisse aus der Bewertung des Auditprogramms mitgeteilt werden sollten. Letzteres wird heute bereits manchmal im Zusammenhang mit der Managementsystembewertung (ISO 9001, Kap. 5.6) geleistet. Die Bewertung der „kontinuierlichen beruflichen Entwicklung“ der Auditoren erfolgt jedoch eher selten – eigentlich so gut wie gar nicht. Dies wäre nun aber wirklich ein signifikanter Schritt nach vorn, denn diese Frage muss erlaubt sein: Wie sollen sich Auditoren weiterentwickeln, wenn sie keine oder nur anekdotische Rückmeldungen und Bewertungen bezüglich ihres handwerklichen Könnens oder der Wahrnehmung ihrer „Auditkunden“ beispielsweise hinsichtlich Auditgestaltung, Fachkompetenz, sozialer Kompetenz inklusive der Beherrschung von Frage- und Kommunikationstechniken bekommen. Wohlgemerkt, dies muss alles nicht personenbezogen erfolgen (denn hier war der Aufschrei aus Deutschland „das erlaubt der Betriebsrat nicht“ laut und deutlich zu vernehmen) und kann auch so gestaltet werden, dass Rückschlüsse auf den einzelnen Auditor nicht möglich sind und keine Verletzungen von gesetzlichen Forderungen erfolgen. Hilfreich für die persönliche Weiterentwicklung der Auditoren und der Steigerung der Auditqualität wäre es allemal. Absatz e) „alternative oder neue Auditmethoden“ – warum? Weil sich der Leser/ Anwender neugierig fragt, was denn neue oder alternative Methoden sein könnten, außer den bekannten wie Dokumente prüfen, Nachweise sammeln, Stichproben ziehen und Interviews führen, und nun gespannt in dieser Norm liest und blättert und sucht … aber leider nicht fündig wird. Dann müssen wir also selbst kreativ werden und Ideen zusammenstellen, wie wir Audits „anders“, vielleicht lebendiger, abwechslungsreicher, überraschender, mit mehr Spaß und vielleicht besseren, nutzbareren Ergebnissen behaftet durchführen können. Ausschließlich diesem Thema wird sich der 4. Teil unserer Beitragsreihe in der nächsten DiD 72 widmen – freuen Sie sich darauf. Frank Graichen Geschäftsführer DQS Medizinprodukte GmbH frank.graichen@dqs.de Der in diesem Kapitel aber vielleicht spannendste Aspekt ergibt sich aus dem www.dqs.de