DIN EN ISO 19011:2018 Leitfaden zur Auditierung von ... · Faktengestützter Ansatz: die rationale Methode, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem

DIN EN ISO 19011:2018

Leitfaden zur Auditierung von

Managementsystemen

DQS Webinar

Ihr Moderator: Andreas Ritter

www.dqs.de DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen

ISO 19011 Allgemeines

Diese Internationale Norm gibt eine Anleitung zum Leiten

und Lenken eines Auditprogramms, zum Planen und

Durchführen eines Audits des Managementsystems sowie

zur Kompetenz und Bewertung eines Auditors sowie eines

Auditteams.

Sie ist ein Leitfaden, d.h. diese Norm enthält Hinweise und

Anleitungen zu Audits – keine Forderungen, die z.B. im Falle

der Zertifizierung zwingend nachgewiesen werden müssen.

Sie ist anwendbar auf alle Organisationen und bezieht sich

auf alle Arten von Managementsystemen.

Der neue Standard ISO 19011:2018 ist im Juli 2018

erschienen, die deutsche Fassung DIN EN ISO 19011:2018

im Oktober.


Aufbau DIN EN ISO 19011 (1)

Abschnitt 1 Anwendungsbereich

Abschnitt 2 Normative Verweisungen (keine)

Abschnitt 3 Begriffe

Es wurden alle Anstrengungen unternommen, um

sicherzustellen, dass diese Definitionen nicht im

Widerspruch stehen mit jenen, die in anderen Normen

verwendet werden (9000:2015).

Abschnitt 4 Auditprinzipien

Diese Prinzipien helfen dem Nutzer, die Bedeutung des

Auditierens zu würdigen, und sie sind erforderlich, um die

Anleitungen in den Abschnitten 5 bis 7 zu verstehen.


Aufbau DIN EN ISO 19011 (2)

Abschnitt 5 Leiten und Lenken eines Auditprogramms

Beinhaltet die Festlegen der Auditprogrammziele sowie das

Koordinieren von Audittätigkeiten.

In diesem Abschnitt findet sich der Plan – Do – Check – Act-

Zyklus von Deming.

Abschnitt 6 Durchführen eines Managementsystem

Audits.

Abschnitt 7 Kompetenz und Bewertung von Auditoren

für Managementsysteme sowie von Auditteams.

Anhang A gibt zusätzliche Anleitung für Auditoren zum

Planen und Durchführen von Audits.


Ziel der Überarbeitung

Aktualisierung und Berücksichtigung der seit 2011

erschienenen neuen Managementsystemstandards,

insbesondere die Anforderungen der ISO 9001:2015

aber auch der ISO 14001:2015 (mit

Berücksichtigung der Forderungen aus der High-

Level-Struktur).

Die überarbeitete Norm soll für alle Organisationen,

vor allem auch klein- und mittelständische

Unternehmen anwendbar sein.

Der Anwendungsbereich inclusive Fokus auf „first-“

und „second-party“ soll erhalten bleiben.


Inhalte der Überarbeitung (1)

Im Kapitel Auditprinzipien wird ein neues Prinzip

„Risikobasierter Ansatz“ eingeführt. Dieser Ansatz

berücksichtigt Risiken und Chancen.

Die Risiken und Chancenbetrachtung zieht sich

durch den gesamten Leitfaden.

Das Kapitel „Auditprogramm“ wurde neu

strukturiert: Dabei wird das Auditprogramm

zukünftig stärker mit dem strategischen Fokus des

Unternehmens verbunden. Darüber hinaus werden

die Bedingungen für die Erstellung des

Auditprogramms um die Betrachtung des

Kontextes der Organisation, der identifizierten

Chancen und Risiken und der Organisationsziele

erweitert.


Inhalte der Überarbeitung (2)

Erweiterung des Leitfadens um die Verwaltung

von Auditprogrammen, einschließlich der Risiken

für (die Umsetzung der) Auditprogramme.

Ergänzungen der Auditdurchführung um einige

Facetten z.B. hinsichtlich der Verwendung

digitaler Medien.

Empfehlungen zu Kompetenzen der Auditoren


Auditieren der

Lieferkette (A.12)

Lebenszyklus

(A.11)

Auditieren von

Risiken und Chancen (A.10)Fachmännisches

Urteil (A.3)

Auditieren von Führung und

Verpflichtung (A.9)

Prozessansatz des

Auditierens (A.2)

Leistungsbezogene

Ergebnisse (A.4)

Auditieren von Compliance

innerhalb eines

Managementsystems (A.7)

Auditkontext

(A.8)

Auditieren virtueller

Tätigkeiten & Standorte(A.16)

Lesenswert: neue Anleitungen im

„Anhang A“


Was sind Auditkriterien?

Audits können anhand einer Reihe von Auditkriterien, getrennt

oder kombiniert, durchgeführt werden, einschließlich, aber nicht

beschränkt auf:

Anforderungen, die in einer oder mehreren

Managementsystem-Norm(en) definiert sind;

Richtlinien und Anforderungen, die von anderen

(interessierten) Parteien festgelegt wurden;

rechtliche Anforderungen;

ein oder mehrere Managementsystem-Prozess(e), die von

der Organisation oder anderen Parteien festgelegt wurde(n);

Managementsystemplan/pläne in Bezug auf die

Bereitstellung spezifischer Leistungen eines

Managementsystems (z. B. Qualitätsplan, Projektplan).


Auditprinzipien – die Basics unverändert

Integrität: die Grundlage der Professionalität.

Sachliche Darstellung: die Pflicht, wahrheitsgemäß und

genau zu berichten.

Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt

und Urteilsvermögen beim Auditieren.

Vertraulichkeit: Sicherheit von Informationen.

Unabhängigkeit: die Grundlage für die Unparteilichkeit des

Audits sowie für die Objektivität der Auditschlussfolgerungen.

Faktengestützter Ansatz: die rationale Methode, um zu

zuverlässigen und nachvollziehbaren Auditschlussfolgerungen

in einem systematischen Auditprozess zu gelangen.


Auditprinzipien – die Ergänzung

Risikobasierter Ansatz (neu): Ein Auditansatz, der Risiken

und Chancen berücksichtigt.

Der risikobasierte Ansatz sollte die Planung, Durchführung

und Berichterstattung von Audits maßgeblich beeinflussen,

um sicherzustellen, dass die Audits auf die für den

Auditauftraggeber und für die Erreichung der Ziele des

Auditprogramms relevanten Themen ausgerichtet sind.


Auditrisiken und –chancen

Die Kernziele für den risikobasierten Ansatz im Audit sind:

die Glaubwürdigkeit des Risikobewertungsprozesses

versichern;

versichern, dass die Risiken richtig bestimmt und gesteuert

werden;

den Umgang mit den Risiken und Chancen der Organisation

bewerten.


Auditieren von Risiken und Chancen

Die Bestimmung und der Umgang mit Risiken und Chancen

sollte des gesamten Audits berücksichtigt werden, so z.B.

auch im Interview mit der obersten Leitung. Zur Einschätzung

der Steuerung ist auch das fachmännische Urteil des

Auditors gefragt.

Prozess(e) zur Ermittlung von Risiken und Chancen.

Angemessene Bestimmung, Behandlung und Steuerung

von Risiken und Chancen (u.a. Maßnahmen und deren

Wirksamkeit).

Eingaben zu Risiken und Chancen, wie: interne und externe

Themen, strategische Ausrichtung, interessierte Parteien,

potenzielle Risikoquellen.

Angemessene Methode(n) zur Bewertung und Beurteilung

von Risiken und Chancen.


Zum Auditieren des Prozessansatzes

A.2 (neu) Prozessansatz des Auditierens

Die Anwendung eines „Prozessansatzes“ ist eine Voraussetzung für

alle ISO-Managementsystem-Normen. Die Prozesse einer

Organisation und ihre Interaktionen werden auditiert.

Auditoren sollten verstehen, dass ein Managementsystem zu

auditieren das Auditieren der Prozesse einer Organisation und ihrer

Interaktionen anhand einer oder mehrerer Managementsystem-

Norm(en) bedeutet.

Konsistente und berechenbare Ergebnisse werden wirksamer und

effizienter erzielt, wenn die Tätigkeiten verstanden und als in

Wechselbeziehung stehende Prozesse, die als

zusammenhängendes System funktionieren, gesteuert werden.

7.2.3.2

Ein Auditor sollte in der Lage sein… einen Prozess von Anfang bis

Ende zu auditieren, einschließlich der Wechselbeziehungen mit

anderen Prozessen und unterschiedlichen Funktionen, wo

angemessen;


Prozessorientiertes Auditieren

Ergebnisse, Messungen,

Aufzeichnungen,

Leistungsindikatoren,

Prozesslenkung (c)

Aktivitäten, Methoden

Dokumentierte Informationen,

Einbezogene Personen (c)

Erwartetes Ergebnis (a2)

Bewertung (g);

Verbesserungsmöglichkeiten

(h)

Wechselwirkungen mit anderen Prozessen (b) Extern bereitgestellte Produkte, Prozesse, Dienstleistungen (8.4)

Ereignisse (f)

Risiken & Chancen,

Unerwünschte Auswirkungen,

Erforderliche

Eingabe (a1)

Ressourcen (d)

Verantwortungen & Befugnisse (e)

(Eignerschaft)

1

7

3

2

4

5

6

3a


Vor-Ort Remote

(aus der Ferne) Befragung durchführen.

Checklisten und Fragebögen

ausfüllen unter Beteiligung von

Mitarbeitern.

Dokumentenprüfung unter

Beteiligung von Mitarbeitern.

Bewertung vor Ort:

- Standortbegehung,

- Probenahme (z. B.

Produkte),

- dokumentierte Informationen.

Befragungen durchführen.

Checklisten und

Fragebögen ausfüllen.

dokumentierte

Informationen prüfen.

Beobachtung der

geleisteten Arbeit durch

Überwachung.

Grundsätzliche Auditmethoden heute


Anwenden von Auditmethoden

Die Auditmethoden, die für ein Audit gewählt werden, hängen

von den festgelegten Auditzielen, dem Auditumfang und den

Auditkriterien sowie der Auditdauer und dem Standort ab.

Die beiden grundsätzlichen Methoden sind „Vor Ort“ und „Aus

der Ferne“ (remote) aber auch ggfs. Alternativen, wie

Auditworkshops.

Verfügbare Auditoren-Kompetenz für Methoden

berücksichtigen.

Das Audit kann eine Mischung von Methoden sein.

Bei mehreren Auditoren können diese auch parallel

eingesetzt werden.

Die Methoden können sich während des Audits bei Bedarf

ändern.


Remote-Audit als eine Auditmethode

„aus der Ferne“

Angemessene Anwendung, auch in Kombination mit einem

Vor-Ort-Audit.

Standorte in einer Online-Umgebung, die es ermöglicht,

unabhängig von physischen Standorten Prozesse

durchzuführen. Beispiele: Online-Shops, Homeoffice-

Arbeitsplätze.

Sicherstellen, dass vereinbarte „Remote“-Protokolle

einschließlich angeforderter Geräte, Software usw. verwendet

werden.

Vertraulichkeits- sowie Sicherheitsfragen. Die Privatsphäre

ist zu berücksichtigen.

Erfolgreiches Audit nur, wenn die per Remote-Audit

auditierten Sachverhalte unabhängig vom persönlichen Kontakt

zu den physischen Standorten beurteilt werden können.


Beispiel für das Aufgreifen neuer

Trends: Kombi-Audit Lebensweg

Integration von Forderungen zweier verschiedener Norm-

Grundlagen.

ISO 14001:2015, Kapitel 8.1, Betriebliche Planung und Steuerung

ISO 9001:2015, Kapitel 8.5.5, Tätigkeiten nach der Lieferung

Auditoren sollten folgende Aspekte berücksichtigen:

Die Nutzungsdauer des Produktes/der Dienstleistung.

Den Einfluss des Unternehmens auf die „Lieferkette“ (A.12).

Die Länge (Akteure) der „Lieferkette“ (A.12).

Die technologische Komplexität des Produktes.

ISO 9001:2015, 8.5.5:ANMERKUNG Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von

Gewährleistungsbestimmungen, vertragliche Pflichten, wie Instandhaltung, und

ergänzende Dienstleistungen wie Wiederverwertung oder Entsorgung,

einschließen.


Beispiel für das Aufgreifen neuer

Trends: Kombiaudit Compliance

Integration von Forderungen zweier verschiedener Norm-

Grundlagen.

ISO 14001:2015, u.a. Kapitel 4.2, 4.3, 5.2, 6.1.3 und 9.1.2

ISO 9001:2015, u.a. Kapitel 4.1, 4.2, 8.2.2, 8.3.3, 8.4.2 und 8.5.5

Das Auditteam sollte in Betracht ziehen, ob wirksame Verfahren für

folgende Aspekte vorliegen:

a) die gesetzlichen und aufsichtsrechtlichen Anforderungen und

sonstigen Anforderungen, zu denen sich das Unternehmen

verpflichtet hat, werden identifiziert;

b) Aktivitäten, Produkte und Dienstleistungen sind darauf aus-

gerichtet, die Einhaltung dieser Anforderungen zu erreichen;

c) die Bewertung des „Compliance-Status“ erfolgt.


Fazit


Fazit zum Profil als interner Auditor

Wissen, Kenntnisse und Fertigkeiten rund um das

Fachthema „Internes Audit“ mit Auditplanung,

Durchführung und Nachbereitung

Prozesskenntnisse

Sicherheit im Umgang mit neuen Medien

Fachliches Urteil sicher anwenden

Methodensicherheit

Persönliche Ausstrahlung/Auftreten

Direkter Kontakt zu Fach- und Führungskräften und der

obersten Leitung

Botschafter/in für das Managementsystem sein

Überzeugungskraft und Ideenreichtum zur

Weiterentwicklung des Managementsystems


Fazit zur Normrevision ISO 19001:2018

Der Leitfaden ist systematisch geprüft und verbessert

worden.

Das Ergebnis ist keine grundlegend neue, aber fundiert

weiterentwickelt und an den Stand der Technik der aktuellen

Managementsystemnormen angepasste Version.

Aktuelle Trends und Entwicklungen wurden aufgegriffen.

ISO 19011:2018 enthält zu allen auditrelevanten Fragen

wertvolle Hinweise, insbesondere viele praktische

Erläuterungen zum Auditieren im Anhang A.

Jeder Auditor sollte den Inhalt kennen um nutzbringend für

einen nachhaltigen Unternehmenserfolg auditieren zu

können.


DQS Campus Workshops

zum Thema interne Audits

In diesem Workshop vertiefen Sie die Neuerungen des

revidierten Leitfadens DIN EN ISO 19011. Er fokussiert auf

der praxisnahen Anwendung der neuen Empfehlungen wie

z.B. dem risiko- und prozessorientierten Ansatz bei der

Durchführung interner Audits.

In diesem Workshop lernen Sie die Grundlagen zur

Durchführung interner Audits kennen. Aufbauend auf der DIN

EN ISO 19011, geben wir Ihnen die notwendigen Werkzeuge

für eine erfolgreiche Umsetzung in der Praxis an die Hand.

Die ISO 19011 bietet eine Fundgrube an

Weiterentwicklungsmöglichkeiten für interne Auditoren im

Hinblick auf ihre Rolle, Kompetenzen und

Methodensicherheit. Sie nehmen aus diesem Seminar neue

Techniken für Ihre internen Audits mit.

Interne Audits planen,

durchführen und

nachbereiten

Win-Win für interne

Auditoren:

Kompetenz steigern,

Auditqualität verbessern

ISO 19011:2018 – Neue

Impulse für Ihre interne

Auditpraxis In unserem

Veranstaltungskalender finden

Sie alle Termine zu den

Workshops unter

www.dqs-veranstaltungen.de

Herzlichen Dank für Ihr Interesse und

Ihre Aufmerksamkeit!

Ihr Webinar-Moderator

Andreas Ritter

DQS Auditor, Moderator

und Trainer

Bei Fragen zu weiteren Webinar-Themen, öffentlichen Workshops und

Inhouse-Veranstaltungen:

Ute Kirsch, Projektmanagerin Workshops

[email protected], Tel. 069 95427-376 oder

www.dqs-veranstaltungen.de

mailto:[email protected]

Documents

DIN EN ISO 19011:2018 Leitfaden zur Auditierung von ... · Faktengestützter Ansatz: die rationale Methode, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem