DIN EN ISO 19011:2018 Leitfaden zur Auditierung von Managementsystemen Prozessorientiertes Auditieren. Andreas Ritter DQS GmbH

Transkript

1 DIN EN ISO 19011:2018 Leitfaden zur Auditierung von Managementsystemen Prozessorientiertes Auditieren Andreas Ritter DQS GmbH

2 Agenda Aufbau und neue Inhalte DIN EN ISO 19011:2018 Auditieren von Risiken und Chancen Neues zur prozessorientierten Auditdurchführung Aufgreifen von aktuellen Trends und Entwicklungen Fazit

3 Aufbau und neue Inhalte DIN EN ISO 19011:2018

4 ISO Allgemeines Diese Internationale Norm gibt eine Anleitung zum Leiten und Lenken eines Auditprogramms, zum Planen und Durchführen eines Audits des Managementsystems sowie zur Kompetenz und Bewertung eines Auditors sowie eines Auditteams. Sie ist ein Leitfaden, d.h. diese Norm enthält Hinweise und Anleitungen zu Audits keine Forderungen, die z.b. im Falle der Zertifizierung zwingend nachgewiesen werden müssen. Sie ist anwendbar auf alle Organisationen und bezieht sich auf alle Arten von Managementsystemen. Der neue Standard ISO 19011:2018 ist im Juli 2018 erschienen, die deutsche Fassung DIN EN ISO 19011:2018 im Oktober.

5 Aufbau DIN EN ISO (1) Abschnitt 1 Abschnitt 2 Anwendungsbereich Normative Verweisungen (keine) Abschnitt 3 Begriffe Es wurden alle Anstrengungen unternommen, um sicherzustellen, dass diese Definitionen nicht im Widerspruch stehen mit jenen, die in anderen Normen verwendet werden (9000:2015). Abschnitt 4 Auditprinzipien Diese Prinzipien helfen dem Nutzer, die Bedeutung des Auditierens zu würdigen, und sie sind erforderlich, um die Anleitungen in den Abschnitten 5 bis 7 zu verstehen.

6 Aufbau DIN EN ISO (2) Abschnitt 5 Leiten und Lenken eines Auditprogramms Beinhaltet die Festlegen der Auditprogrammziele sowie das Koordinieren von Audittätigkeiten. In diesem Abschnitt findet sich der Plan Do Check Act- Zyklus von Deming. Abschnitt 6 Durchführen eines Managementsystem Audits. Abschnitt 7 Kompetenz und Bewertung von Auditoren für Managementsysteme sowie von Auditteams. Anhang A gibt zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits.

7 Inhalte der Überarbeitung (1) Im Kapitel Auditprinzipien wird ein neues Prinzip Risikobasierter Ansatz eingeführt. Dieser Ansatz berücksichtigt Risiken und Chancen. Die Risiken und Chancenbetrachtung zieht sich durch den gesamten Leitfaden. Das Kapitel Auditprogramm wurde neu strukturiert: Dabei wird das Auditprogramm zukünftig stärker mit dem strategischen Fokus des Unternehmens verbunden. Darüber hinaus werden die Bedingungen für die Erstellung des Auditprogramms um die Betrachtung des Kontextes der Organisation, der identifizierten Chancen und Risiken und der Organisationsziele erweitert.

8 Inhalte der Überarbeitung (2) Erweiterung des Leitfadens um die Verwaltung von Auditprogrammen, einschließlich der Risiken für (die Umsetzung) der Auditprogramme. Ergänzungen der Auditdurchführung um einige Facetten z.b. hinsichtlich der Verwendung digitaler Medien. Empfehlungen zu Kompetenzen der Auditoren

9 Neue ergänzende Erläuterungen im Anhang A A.2 Auditieren des Prozessansatzes A.3 Neu ist der Begriff Professional judgement, in der deutschen Version mit Fachlichem Urteil übersetzt. A.4 Fokus auf die beabsichtigten Ergebnisse eines Managementsystems im Audit. Dabei sollte auch den Grad der Integration verschiedener Managementsysteme und deren beabsichtigter Ergebnisse berücksichtigt werden. A.7 Auditieren von Compliance innerhalb eines Managementsystems.

10 Neue ergänzende Erläuterungen im Anhang A A.8 Auditkontext A.9 Auditieren von Führung und Verpflichtung A.10 Auditieren von Risiken und Chancen A.11 Lebenszyklus (ISO 14001:2015) Die Verbindung zwischen der Minimierung der Umwelteinflüsse einer Organisation und der damit verbundenen Schaffung von Mehrwert wird hergestellt. A.12 Audit der Lieferkette A.16 Auditierung virtueller Tätigkeiten und Standorte

11 Was sind Auditkriterien? Audits können anhand einer Reihe von Auditkriterien, getrennt oder kombiniert, durchgeführt werden, einschließlich, aber nicht beschränkt auf: Anforderungen, die in einer oder mehreren Managementsystem-Norm(en) definiert sind; Richtlinien und Anforderungen, die von anderen (interessierten) Parteien festgelegt wurden; rechtliche Anforderungen; ein oder mehrere Managementsystem-Prozess(e), die von der Organisation oder anderen Parteien festgelegt wurde(n); Managementsystemplan/pläne in Bezug auf die Bereitstellung spezifischer Leistungen eines Managementsystems (z. B. Qualitätsplan, Projektplan).

12 Was sind Auditprinzipien? Integrität: die Grundlage der Professionalität. Sachliche Darstellung: die Pflicht, wahrheitsgemäß und genau zu berichten. Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt und Urteilsvermögen beim Auditieren. Vertraulichkeit: Sicherheit von Informationen. Unabhängigkeit: die Grundlage für die Unparteilichkeit des Audits sowie für die Objektivität der Auditschlussfolgerungen. Faktengestützter Ansatz: die rationale Methode, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen. Risikobasierter Ansatz

13 Neues Auditprinzip: Risikobasierter Ansatz

14 A.10 Auditieren von Risiken und Chancen Die Kernziele für den risikobasierten Ansatz sind: sich der Glaubwürdigkeit des Prozesses zur Ermittlung von Risiken und Chancen zu vergewissern; sich zu vergewissern, dass die Risiken und Chancen richtig bestimmt und gesteuert werden; zu überprüfen, wie die Organisation ihre bestimmten Risiken und Chancen behandelt. Ein Audit zur Ermittlung von Risiken und Chancen sollte nicht als eine eigenständige Tätigkeit erfolgen. Es sollte während des gesamten Audits eines Managementsystems, auch bei der Befragung der obersten Leitung, inbegriffen sein.

15 A.10 Auditieren von Risiken und Chancen Ein Auditor sollte nach den folgenden Schritten handeln und objektive Nachweise wie folgt sammeln: a) Eingaben, die von der Organisation zur Bestimmung ihrer Risiken und Chancen verwendet werden und Folgendes umfassen können: Analyse externer und interner Themen; die strategische Ausrichtung der Organisation; interessierte Parteien im Zusammenhang mit ihrem disziplinspezifischen Managementsystem und auch deren Anforderungen potenzielle Risikoquellen wie Umweltaspekte, Gefahren für die Sicherheit usw. b) Methode, mit der Risiken und Chancen beurteilt werden und die sich abhängig von Disziplin und Branche unterscheiden kann.

16 Neues zur prozessorientierten Auditdurchführung

17 Zur Bestimmung von Prozessen, die für das Qualitätsmanagementsystem benötigt werden, zählen u.a.? A: Chancen C: Prozesskosten B: Leistungsindikatoren D: unerwartete Ergebnisse

18 Zur Bestimmung von Prozessen, die für das Qualitätsmanagementsystem benötigt werden, zählen u.a.? A: Chancen C: Prozesskosten B: Leistungsindikatoren D: unerwartete Ergebnisse

19 Zum Auditieren des Prozessansatzes A.2 (neu) Prozessansatz des Auditierens Die Anwendung eines Prozessansatzes ist eine Voraussetzung für alle ISO-Managementsystem- Normen. Die Prozesse einer Organisation und ihre Interaktionen werden auditiert. Auditoren sollten verstehen, dass ein Managementsystem zu auditieren das Auditieren der Prozesse einer Organisation und ihrer Interaktionen anhand einer oder mehrerer Managementsystem-Norm(en) bedeutet. Konsistente und berechenbare Ergebnisse werden wirksamer und effizienter erzielt, wenn die Tätigkeiten verstanden und als in Wechselbeziehung stehende Prozesse, die als zusammenhängendes System funktionieren, gesteuert werden Ein Auditor sollte in der Lage sein einen Prozess von Anfang bis Ende zu auditieren, einschließlich der Wechselbeziehungen mit anderen Prozessen und unterschiedlichen Funktionen, wo angemessen;

20 Anforderungen an zentrale Vorgabeprozesse Verantwortungen und Befugnisse zuweisen Risiken und Chancen behandeln, die auf die Prozessergebnisse Einfluss haben Erforderliche Eingaben (Input) bestimmen Ressourcen bestimmen und Verfügbarkeit sicherstellen Prozessdurchführung, -lenkung und -messung Erwartetes Ergebnis (Output) bestimmen Abfolge und Wechselwirkungen mit anderen Prozessen festlegen

21 Anwendung Abschnitt ISO 9001: Verantwortungen & Befugnisse (e) (Eignerschaft)

22 1. Erkenntnis Beginnen Sie mit der Verantwortung und den Befugnissen. Stellen-/Funktionsbeschreibungen oder andere dokumentierte Informationen sind nicht zwingend gefordert. Organigramme, Prozessdarstellungen und Gespräche mit anderen Mitarbeitern können diesem Zweck aber dienen.

23 Anwendung Abschnitt ISO 9001:2015

24 2. Erkenntnis Es ist wichtig, den Prozess zu verstehen. Dann werden Fragen nach der Lenkung, den Ergebnissen, den Leistungsindikatoren und der Art der Messung gestellt.

25 Anwendung Abschnitt ISO 9001:2015

26 3. Erkenntnis Wenn eine Bewertung stattfindet, ob die Ergebnisse des Prozesses erreicht wurden, so ist ein Teil der Normforderung erfüllt. Aber wie sieht es mit den möglichen Prozess-Verbesserungen aus?

27 Anwendung Abschnitt ISO 9001:2015

28 4. Erkenntnis Erreicht der Prozess sein Ziel, das erwartete Ergebnis, ist die Normforderung erfüllt.

29 Anwendung Abschnitt ISO 9001:2015

30 5. Erkenntnis Das erwartete Prozess-Ergebnis ist erreicht. Aber was ist mit Chancen und Risiken? Diese müssen aktiv und nachvollziehbar identifiziert und bewertet werden. Maßnahmen müssen umgesetzt, deren Wirksamkeit bewertet werden.

31 Anwendung Abschnitt ISO 9001:2015

32 6. Erkenntnis Es liegen nicht robuste/schwankende Prozessergebnisse vor. Im Audit werden daher folgende Aspekte beleuchtet: Prozess-Eingaben Prozess-Ressourcen Methoden / Tools / Werkzeuge Qualifikation und Wissen des Personals und dokumentierte Information

33 Anwendung Abschnitt ISO 9001:2015

34 7. Erkenntnis Die Betrachtung der Wechselwirkungen der Unternehmens-Prozesse führt in der Regel zurück auf das Thema Chancen und Risiken. Der Blick wird auf unerwünschte Auswirkungen und unerwünschte Ergebnisse gelenkt. Und hier setzt die Vorbeugung ein.

35 Prozessorientiertes Auditieren 3a 7 1 Verantwortungen & Befugnisse (e) (Eignerschaft) Risiken & Chancen, Unerwünschte Auswirkungen, Ereignisse (f) Erforderliche Eingabe (a1) 5 2 Erwartetes Ergebnis (a2) 4 Ressourcen (d) Aktivitäten, Methoden Dokumentierte Informationen, Einbezogene Personen (c) Ergebnisse, Messungen, Aufzeichnungen, Leistungsindikatoren, Prozesslenkung (c) 3 Bewertung (g); Verbesserungsmöglichkeiten (h) 6 Wechselwirkungen mit anderen Prozessen (b) Extern bereitgestellte Produkte, Prozesse, Dienstleistungen (8.4)

36 Aufgreifen von aktuellen Trends und Entwicklungen

37 Beispiele für das Aufgreifen neuer Trends (1) A.15 c) (neu) Virtuelle Tätigkeiten Sicherstellen, dass das Auditteam vereinbarte Fernzugriffs ( Remote )- Protokolle einschließlich angeforderter Geräte, Software usw. verwendet; falls Kopien von Dokumenten jeglicher Art in Form von Screenshots angefertigt werden, im Voraus um Genehmigung bitten und Vertraulichkeits- sowie Sicherheitsfragen berücksichtigen und Aufzeichnungen von Personen ohne deren Zustimmung vermeiden; falls während des Fernzugriffs ein Vorfall auftritt, sollte der Auditteamleiter die Situation zusammen mit der auditierten Organisation und, falls notwendig, mit dem Auditauftraggeber überprüfen und eine Einigung darüber erzielen, ob das Audit unterbrochen, verschoben oder fortgesetzt werden sollte; Grundrisse/Diagramme des Fernstandorts als Referenz verwenden; Im Anhang A.16 weitere Erläuterungen zum Thema Auditieren von virtuellen Aktivitäten oder Standorten.

38 Beispiele für das Aufgreifen neuer Trends (2); Kombi-Audit Lebensweg Integration von Forderungen zweier verschiedener Norm- Grundlagen. ISO 14001:2015, Kapitel 8.1, Betriebliche Planung und Steuerung ISO 9001:2015, Kapitel 8.5.5, Tätigkeiten nach der Lieferung Auditoren sollten folgende Aspekte berücksichtigen: Die Nutzungsdauer des Produktes/der Dienstleistung. Den Einfluss des Unternehmens auf die Lieferkette (A.12). Die Länge (Akteure) der Lieferkette (A.12). Die technologische Komplexität des Produktes. ISO 9001:2015, 8.5.5: ANMERKUNG Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von Gewährleistungsbestimmungen, vertraglichen Pflichten, wie Instandhaltung und ergänzenden Dienstleistungen wie Wiederverwertung oder Entsorgung einschließen.

39 Beispiele für das Aufgreifen neuer Trends (3); Kombiaudit Compliance Integration von Forderungen zweier verschiedener Norm- Grundlagen. ISO 14001:2015, u.a. Kapitel 4.2, 4.3, 5.2, und ISO 9001:2015, u.a. Kapitel 4.1, 4.2, 8.2.2, 8.3.3, und Das Auditteam sollte in Betracht ziehen, ob wirksame Verfahren für folgende Aspekte vorliegen: a) die gesetzlichen und aufsichtsrechtlichen Anforderungen und sonstigen Anforderungen, zu denen sich das Unternehmen verpflichtet hat, werden identifiziert; b) Aktivitäten, Produkte und Dienstleistungen sind darauf ausgerichtet, die Einhaltung dieser Anforderungen zu erreichen; c) die Bewertung des Compliance-Status erfolgt.

40 Fazit

41 Fazit zum Profil als interner Auditor Wissen, Kenntnisse und Fertigkeiten rund um das Fachthema Internes Audit mit Auditplanung, Durchführung und Nachbereitung Prozesskenntnisse Sicherheit im Umgang mit neuen Medien Fachliches Urteil sicher anwenden Methodensicherheit Persönliche Ausstrahlung/Auftreten Direkter Kontakt zu Fach- und Führungskräften und der obersten Leitung Botschafter/in für das Managementsystem sein Überzeugungskraft und Ideenreichtum zur Weiterentwicklung des Managementsystems

42 Fazit zum aktuellen Stand der Revision Das Ergebnis ist keine grundlegend neue, aber fundiert weiterentwickelte und an den Stand der Technik der aktuellen Managementsystemnormen angepasste Version. Aktuelle Trends und Entwicklungen wurden aufgegriffen. ISO 19011:2018 enthält zu allen auditrelevanten Fragen wertvolle Hinweise, insbesondere viele praktische Erläuterungen zum Auditieren im Anhang A. Jeder Auditor sollte den Inhalt kennen, um nutzbringend für einen nachhaltigen Unternehmenserfolg auditieren zu können.

43 Herzlichen Dank für Ihr Interesse und Ihre Aufmerksamkeit! Andreas Ritter DQS Auditor, Moderator und Trainer DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen