www.dqs.deDQS GmbHDeutsche Gesellschaft zur Zertifizierung von Managementsystemen

August-Schanz-Straße 21 60433 Frankfurt am Main

Tel. +49 69 95427-0info@dqs.de

ISO 19011 Leitfaden zur Auditierung von ManagementsystemenIm Dezember 2011 ist der überarbeitete Leitfaden zur Auditierung von Managementsystemen erschienen. Diese Version ersetzt den alten Leitfaden aus dem Jahr 2002 „Auditieren von Qualitäts- und Umweltmanagementsystemen“ und erweitert die Anwendung nun auf das Auditieren aller Managementsysteme. Lesen Sie mehr über den Leitfaden ISO 19011 und die Auswirkungen auf die interne Auditpraxis.

Warum überhaupt diese Revision?Alle Normen und Leitfäden unterliegen grundsätzlich Änderungs- bzw. Anpassungsintervallen. Zum einen sollen sie gängige Praxis und technologische Neuerungen aufgreifen, zum anderen fließen Erfahrungswerte von Anwenderseite in die Überarbeitungen ein. Diese Rückmeldungen von zertifizierten Unternehmen, deren Kunden, Zertifizierungsgesellschaften, Akkreditierungsstellen, Wirtschaftsverbänden und weiteren interessierten Parteien wer-den zunächst auf nationaler Ebene gesammelt, ausgewertet und verdichtet. Diese nationalen Kommentierungen und Änderungs-vorschläge werden wiederum in die internationale Gremienarbeit eingebracht. In die nationalen und internationalen Gremien sind unter anderem auch Mitarbeiter der Deutschen Gesellschaft für Qualität (DGQ) eingebunden.

Dabei ist festzuhalten, dass Techniken und Methoden der Auditplanung, Auditdurchführung und Auditnachbereitung seit über zwei Jahrzehnten etabliert sind und das „Auditieren“ nicht neu definiert werden muss. Jedoch sind Anpassungen, Klarstel-lungen, Präzisierungen und Auslegungen notwendig geworden, um dem immens gewachsenen Anwendungsgrad dieses Leitfa-dens gerecht zu werden.

Geltungsbereich und Status des Dokumentes„Diese Norm ist anwendbar auf alle Organisationen, die interne oder externe Audits von Managementsystemen durchführen oder für das Management eines Auditprogramms verantwortlich sind.“ Diesem Satz aus Kapitel 1 wäre eigentlich nichts hinzu-zufügen. Allerdings ist zu beachten, dass hinsichtlich der Durch-führung von „externen Audits“ die Norm ISO / IEC 17021 für Zer-tifizierungsgesellschaften gilt, die zwar weite Passagen von ISO 19011 in einem neuen Kapitel 9 übernommen hat, aber eben nicht alle und nicht komplett – genannt seien hier die Beispiele „Remote Audit Activities“ und „Risikobasierter Auditansatz“. Somit ist die Nennung von „externen Audits“ im Kontext von ISO 19011 auf das Durchführen von 2nd Party, also Lieferantenau-dits zu begrenzen.

Zum Status des Dokumentes ist folgender Hinweis entscheidend: Es handelt sich um einen Leitfaden!Was bedeutet dies für die Praxis? Ein Leitfaden gibt Hinweise und Orientierungshilfe. Ein Leitfaden stellt keine Anforderungen auf! Das heißt: Organisationen können sich an die Anleitungen anlehnen, sie übernehmen – in Gänze oder in Teilen. Auch die in den Anforderungsnormen zu Managementsystemen einge-fügten Fußnoten und Anmerkungen, die auf diesen Leitfaden Bezug nehmen, machen aus einem Leitfaden kein normatives „Muss“. Damit bleibt es jeder Organisation selbst überlassen zu entscheiden, ob und welche Passagen für das eigene Unter-nehmen praktikabel, sinnvoll und umsetzbar sind. Aber Ach-tung: Wenn Sie in Ihrer Systemdokumentation Formulierungen nutzen wie „… unsere internen Auditprozesse folgen den Prinzi-pien von ISO 19011“ oder „… Auditprogramme und Audits wer-den auf der Grundlage von ISO 19011 durchgeführt“ erheben Sie diesen Leitfaden zu einem Dokument, das für Ihr System Anforderungen aufstellt. Hier könnte also ein Blick in die Aus-gestaltung und die Wortwahl der eigenen Prozesse angebracht sein. Ein weiterer Hinweis: Manche, gerade sektorenspezifische Normen stellen präzisierende Anforderungen zur Planung und Durchführung interner Audits auf. Hier gilt das Prinzip „Ober schlägt Unter“. Wenn also ein für Ihre Organisation gültiges und anzuwendendes Regelwerk Anforderungen erhebt, gelten diese, egal ob es sich bei der übergreifenden Auditnorm ISO 19011 um einen Leitfaden handelt.

2/8 www.dqs.de

Die grundsätzliche Botschaft des LeitfadenWenn wir aufgefordert wären die grundsätzliche Botschaft des Leitfadens in wenige Worte zu fassen, kämen wahrscheinlich diese Leitsätze zu Stande: �� Investieren Sie mehr Zeit und Überlegungen darin, in welche

Prozesse und Aspekte Ihres Managementsystems Sie die zur Verfügung stehenden Auditressourcen einbringen und die Sie intensiv auditieren wollen – treffen Sie also eine selektive Entscheidung. �� Machen Sie sich Gedanken darüber, welche Ziele Sie mit

den internen Audits verfolgen (und das ist mehr als der Nachweis von Konformität!) und mit welchen Auditmethoden diese ausgewählten Ziele optimal unterstützt werden kön-nen. �� Setzen Sie – je nach ausgewählten Prozessen und Audit-

methoden – die hierfür am besten geeigneten Personen ein. Ermitteln Sie die individuell für Ihr Unternehmen benötigten Kompetenzen der internen Auditoren. �� Bewerten und verbessern Sie kontinuierlich Ihre Auditpla-

nung, Auditdurchführung und Auditnachbereitung.

Das neu eingeführte Auditprinzip VertraulichkeitAuditprinzipien werden gerne überlesen, sei es weil man annimmt dort stünden nur Allgemeinplätze, sei es weil keine konkreten Handlungsanleitungen dargestellt seien. Dies ist bedauerlich, sind dort doch grundsätzliche, handwerkliche und berufsethische Bedingungen definiert, die professionelles Handeln im Auditkon-text ausmachen. Nicht umsonst sind diese Prinzipien dem Leit-faden vorangestellt. Neben den bekannten�� Integrität (war bislang ethisches Verhalten)�� sachliche Darstellung�� angemessene berufliche Sorgfalt�� Unabhängigkeit�� Vorgehensweise, die auf Nachweisen beruht

ist nun ein weiteres Prinzip hinzugekommen, das sich mit Ver-traulichkeit befasst. Hier wird Folgendes ausgeführt:

„Auditoren sollten bei der Verwendung und dem Schutz von Informationen, die sie im Verlaufe ihrer Aufgaben erworben haben, umsichtig sein. Auditinformationen sollten nicht unan-gemessen zur persönlichen Bereicherung des Auditors oder der Organisation, die das Audit anfordert, oder in einer Weise ver-wendet werden, die nachteilig für die berechtigten Interessen der

zu auditierenden Organisation ist. Dieses Konzept schließt den ordnungsgemäßen Umgang mit sensiblen, vertraulichen Infor-mationen ein.“

Viele Leser werden hier einwenden: Das ist doch eine Selbst-verständlichkeit! Trotzdem seien die nachfolgenden Fragen hier erlaubt: In welchen Organisationen sind denn tatsächlich trans-parente, verbindliche Regeln zum Umgang mit vertraulichen, und sensiblen Informationen aufgestellt? Das Festlegen einer Vertei-lerliste für den Auditbericht greift in diesem Zusammenhang nur unzureichend. Die meisten Organisationen haben entweder gar keine definierten Regelungen oder nur „mündlich überlieferte“ und überlassen die Entscheidung darüber, wie zu verfahren ist, den internen Auditoren selbst. Fair gegenüber den Auditoren und umsichtig bzgl. Risikovorsorge ist das auch nicht. Wie handhaben es die internen Auditoren z. B. beim Austausch untereinander? Will die Organisation den Informationstransfer (was ja nicht ver-boten und durch das Auditprinzip untersagt wäre)? Was könnte eine sog. „persönliche Bereicherung“ des Auditors sein, z. B. die Nutzung für eine Nebentätigkeit als Berater? Insbesondere im Kontext von Lieferantenaudits sind aus Sicht des Autors Leitsätze, Regeln, Prinzipien zur Vertraulichkeit dringend zu empfehlen.

Auch wer einmal in den Zügen der deutschen Bahn oder der Lounges von Airlines aufmerksam auf die Inhalte von Telefona-ten am Nachbartisch achtet, bekommt einen alarmierenden Ein-druck über die Relevanz des „ordnungsgemäßen Umgangs mit sensiblen, vertraulichen Informationen“.

Remote-AuditmethodenErstmalig nennt ISO 19011 im Zusammenhang mit der Festle-gung des Umfangs von Auditprogrammen sogenannte „Remote-Auditmethoden“ (ja, Sie lesen richtig, das ist die offizielle deut-sche Sprachfassung!). Gemeint sind damit Methoden, die nicht die physische Anwesenheit des Auditors vor Ort erfordern. Die ersten Reaktionen darauf reichten von „Hervorragend, zukünftig werden Audits vom Schreibtisch der QMBs mit dem Telefon in der Hand durchgeführt“ bis zu „Um Himmels Willen, Audits aus der Distanz, wie soll das gehen, z. B. bei Umwelt- oder Arbeits-sicherheitssystemen?“ Achtung: Es ist nicht von Remote-Audits die Rede, sondern vom Einsatz von Remote-Auditmethoden! Und die hat es schon immer gegeben, beispielsweise in Form von Dokumentenprüfungen im Vorfeld des Audits oder beim Schlie-ßen von Maßnahmen durch die Einsendung von Nachweisen und deren Bewertung, ohne direkt vor Ort zu sein. Hier wird also nur

3/8 www.dqs.de

etwas beschrieben, was schon länger praktisch umgesetzt war. Dennoch sollte man diese Nennung nun auch als Chance begrei-fen sich intensiver damit auseinanderzusetzen, welche Themen, Bereiche, Personen tatsächlich vor Ort sein müssen, um ein Audit sinnvoll durchzuführen. Beispielhaft seien hier das Einschalten eines Fachexperten per Telefon, Skype oder Netviewer zu einem spezifischen Thema angeführt oder z. B. das Telefonat mit einem Vertriebsmitarbeiter an einem entfernten Standort, wenn gleich-zeitig sichergestellt ist, dass die Auditbeteiligten auf den gleichen Datenbestand zugreifen können. Interessanterweise wird im Anhang B von ISO 19011, der sich generell mit Auditmethoden befasst, auch auf ein angemessenes „Vertrauensniveau“ hinge-wiesen, welches für die Anwendung von Remote-Auditmethoden notwendig ist.

In welchem Umfang auch immer Organisationen nun zukünf-tig von dieser Möglichkeit Gebrauch machen werden, sie sollten genau überlegen, welche Informationen durch Remote-Audit-methoden nicht erhalten werden, die z. B. durch den direkten, persönlichen Kontakt mit Menschen oder durch direkte visuelle Eindrücke entstehen. Persönlich kann sich der Autor die inten-sive Anwendung von solchen Auditmethoden im Kontext von Produktionsprozessen, Umwelt- oder Arbeitsschutzsystemen nur schwerlich vorstellen.

Der Ansatz des risikobasierten AuditierensDer vielleicht interessanteste Satz in der Neufassung von ISO 19011 findet sich im Kapitel 5.1. Dort ist im Zusammenhang mit dem Konzept des risikobasierten Auditierens ausgeführt, „… Vorrang sollte der Zuordnung der Auditprogrammressourcen gegeben werden, um diejenigen Dinge zu auditieren, die inner-halb des Managementsystems von Bedeutung sind.“

Das eröffnet die Chance der Selektion, d. h. es ist ausdrück-lich zugestanden, Prozesse mehr oder weniger intensiv zu auditie-ren, je nachdem welchen Stellenwert sie innerhalb des Manage-mentsystems und der Organisation wahrnehmen. Es ist nun also an der Organisation zu spezifizieren, welche Kriterien sie anlegt um diese Bedeutung zu ermitteln. Kriterien hierfür könnten sein: Schlüsselmerkmale von Produktqualität, Risiken, signifikante Umweltaspekte oder Gefahren für die Gesundheit, Unterneh-mens- und/oder Auditziele, Reifegrad des Managementsystems (hier könnte sich dann wiederum ein Blick in den Anhang A von ISO 9004 lohnen, der einen sehr praktikablen Ansatz für eine selbst-bewertende Reifegradeinstufung durch die Organisation darstellt). Aus dem Blickwinkel eines externen Auditors betrachtet, sollte dieser Prozess der Identifikation der „sog. bedeutenden Pro-zesse, Bereiche des Managementsystems“ allerdings nachweis-bar, plausibel dargestellt und mit Nachweisen versehen sein. Dann werden externe Auditoren Auditprogramme selbstverständ-lich akzeptieren, die auf diesem risikobasierten Ansatz aufset-zen. Damit sollten Auditprogramme mit dem zugrunde gelegten Prinzip alle Prozesse, jedes Jahr und überall in gleicher Intensität „durchzuauditieren“ der Vergangenheit angehören. Und das ist eine wahrlich gute Botschaft!

4/8 www.dqs.de

Neuerungen zum Auditprogramm Bewertung der Risiken, die mit der Auditprogrammplanung verbunden sindDieses Kapitel wurde völlig neu entwickelt und enthält eine durchaus beeindruckende Zusammenstellung von Aspekten, die bei der Festlegung, Umsetzung, Überwachung, Bewertung und Verbesserung von Auditprogrammen und der Erreichung der Auditprogrammziele kritisch werden können. Diese können in Zusammenhang stehen mit:�� der Planung, d. h. Versäumnissen in Bezug auf die

Festlegung entsprechender Auditziele oder der Ermittlung des Umfangs des Auditprogramms. Was ist damit gemeint? Angesprochen ist hier das Risiko, dass beispielsweise bei Lieferverpflichtungen oder Verträgen Zusagen bezüglich der Durchführung und Nachweisführung von internen Audits oder der verpflichtenden Auditierung definierter Prozesse gemacht werden. Diese müssen dann auch Bestandteil des Auditprogrammes sein. Die Sicherstellung, dass diese Information den/die Verantwortlichen für das Auditprogramm auch erreicht, ist ein potenzielles Risikofeld.�� den Ressourcen, z. B. nicht genügend Zeit zur Entwicklung

des Auditprogramms oder zu wenig zur Verfügung stehende Ressourcen zur Durchführung des Audits (der Klassiker!) bereitstellen zu können. Hierbei sei die Anmerkung erlaubt, dass der gegenwärtige Trend, die Anzahl der internen Auditoren oder deren Verfügbarkeit immer weiter zu reduzieren, die sinnvolle und wertschöpfende Durchführung von Audits zunehmend in Frage stellt, also risikosteigernd wirkt.�� der Auswahl des Auditteams, womit gemeint ist, dass

das Team (viele wären froh, wenn sie noch Teams zur Verfügung hätten, siehe auch Anmerkung oben) nicht über die kollektive Qualifikation verfügt, das Audit wirksam durchzuführen. „Wirksam“ ist dabei so auszulegen, dass die notwendigen Fachkenntnisse vorhanden sein müssen, um die Auditziele zu verwirklichen und die Auditkriterien beurteilen zu können.�� einer ineffektiven Kommunikation des Auditprogrammes, im

Klartext: Die Betroffenen sind nicht ausreichend informiert, Auditziele und Umfang sind nicht eindeutig, zum Audit stehen nicht die benötigten Gesprächspartner zu Verfügung etc.�� dem Schutz, der Aufbewahrung und Wiederauffindbarkeit

von Auditaufzeichnungen, was besonders dann ein signifikantes Problem werden könnte, wenn im Zusammenhang mit Gewährleistungsansprüchen oder Vertragszusagen (siehe oben) auch Jahre später über solche Aufzeichnungen ein Nachweis geführt werden muss.

�� und zu guter Letzt der Überwachung, Bewertung und Verbesserung des Auditprogramms – Überwachung im Sinne von Einhaltung der Umsetzung der Auditprogrammplanung, Bewertung im Sinne der Erreichung der Auditziele und Verbesserung im Sinne einer möglichen Anpassung des Auditprogramms aus Auditauswertungen heraus, aufgrund von Rückmeldungen interessierter Parteien oder aufgrund aktueller Ereignisse.

Alles in allem sicherlich wichtige Aspekte, die häufig recht wenig oder zumindest wenig systematisch bei der Betrachtung von Auditprogrammen herangezogen werden. Bedauerlicherweise geben sich manche Organisationen bereits damit zufrieden, wenn ein Auditprogramm erstellt und freigegeben ist, und hoffen dann darauf, es ohne größere interne bzw. externe Störungen oder andere Widrigkeiten durchgeführt zu bekommen – aber das ist wieder eine andere Geschichte …

Bewerten und Verbessern von AuditprogrammenAuch dieser, das Kapitel 5 abschließende Absatz ist komplett neu – und spätestens jetzt werden manche Anwender sich erleichtert daran erinnern, dass ISO 19011 ein Leitfaden ist und kein Forderungsdokument. Dieses Kapitel 5.6 gibt dahin gehend Orientierung, welche Kriterien zur Anwendung kommen sollten, wenn das Auditprogramm bezüglich seiner Zielerreichung einge-schätzt werden soll. Folgende Aspekte werden genannt:

a) Ergebnisse und Tendenzen aus der Überwachung des Auditprogramms

b) Konformität mit den Verfahren des Auditprogramms c) sich abzeichnende Erfordernisse und Erwartungen

interessierter Parteiend) Auditprogrammaufzeichnungen e) alternative oder neue Auditmethodenf) Wirksamkeit der Maßnahmen, um auf die Risiken, die mit

dem Auditprogramm zusammenhängen, einzugeheng) Fragen zur Vertraulichkeit und Informationssicherheit in

Bezug auf das Auditprogramm

Dem Autor sind kaum Unternehmen bekannt, die bislang solche oder ähnliche Bewertungen von Auditprogrammen vornehmen. Es ist sicherlich davon auszugehen und teilweise auch nachvollzieh-bar, dass dieses Kapitel insbesondere bei kleinen oder mittelstän-dischen Unternehmen nur wenig konkrete Anwendung finden wird. Nehmen wir als Beispiel die Bewertung unter c) „sich abzeichnende Erfordernisse und Erwartungen interessierter Parteien“. Dies wirft bereits beim Terminus „interessierte Parteien“ die Frage auf, wer damit eigentlich gemeint ist. Hier hilft wiederum ein Blick in die

5/8 www.dqs.de

bereits erwähnte und leider so sehr ignorierte ISO 9004. Dort sind als interessierte Parteien (im Zusammenhang mit umfassenden (Qualitäts-)Managementsystemen) aufgeführt:�� Kunden�� Mitarbeiter�� Lieferanten�� Geldgeber/Eigentümer �� und Staat/Gesellschaft

Und welches Unternehmen hat denn bereits eine wirklich stich-haltige Auswertung der Erfordernisse und Erwartungen dieser interessierten Parteien erstellt und falls ja, daraus Maßnahmen zur Verbesserung des Auditprogrammes abgeleitet? Um Miss-verständnissen vorzubeugen: Der Autor hält diese Anregungen durchaus für sinnvoll und geeignet, Auditprogrammen eine um die Interessen Dritter erweiterte Ausrichtung zu geben und bereits gut entwickelte und reife interne Auditprozesse deutlich weiterzuentwickeln. Für viele Unternehmen jedoch könnte dies (immer noch) eine Überforderung bedeuten. Gleiches könnte auch für die Empfehlungen am Ende des Absatzes im Kapitel 5.6 gelten, dass die kontinuierliche berufliche Entwicklung der Auditoren bewertet sowie der obersten Leitung die Ergebnisse aus der Bewertung des Auditprogramms mitgeteilt werden soll-ten. Letzteres wird heute bereits manchmal im Zusammenhang mit der Managementsystembewertung (ISO 9001, Kap. 5.6) geleistet.

Die Bewertung der „kontinuierlichen beruflichen Entwick-lung“ der Auditoren erfolgt jedoch eher selten – eigentlich so gut wie gar nicht. Dies wäre nun aber wirklich ein signifikanter Schritt nach vorn, denn diese Frage muss erlaubt sein: Wie sollen sich Auditoren weiterentwickeln, wenn sie keine oder nur anekdoti-sche Rückmeldungen und Bewertungen bezüglich ihres hand-werklichen Könnens oder der Wahrnehmung ihrer „Auditkunden“ beispielsweise hinsichtlich Auditgestaltung, Fachkompetenz, sozialer Kompetenz inklusive der Beherrschung von Frage- und Kommunikationstechniken bekommen. Wohlgemerkt, dies muss alles nicht personenbezogen erfolgen (denn hier war der Auf-schrei aus Deutschland „das erlaubt der Betriebsrat nicht“ laut und deutlich zu vernehmen) und kann auch so gestaltet werden, dass Rückschlüsse auf den einzelnen Auditor nicht möglich sind und keine Verletzungen von gesetzlichen Anforderungen erfol-gen. Hilfreich für die persönliche Weiterentwicklung der Audito-ren und der Steigerung der Auditqualität wäre es allemal.

Der in diesem Kapitel aber vielleicht spannendste Aspekt ergibt sich aus dem Absatz e) „alternative oder neue Auditme-thoden“ – warum? Weil sich der Leser/Anwender neugierig fragt, was denn neue oder alternative Methoden sein könnten, außer den bekannten wie Dokumente prüfen, Nachweise sammeln,

Stichproben ziehen und Interviews führen, und nun gespannt in dieser Norm liest und blättert und sucht … aber leider nicht fün-dig wird. Dann müssen wir also selbst kreativ werden und Ideen zusammenstellen, wie wir Audits „anders“, vielleicht lebendiger, abwechslungsreicher, überraschender, mit mehr Spaß und viel-leicht besseren, nutzbareren Ergebnissen behaftet durchführen können.

Alternative oder neue AuditmethodenAlternative oder neue Auditmethoden – so lautet der letzte Teil unserer Beitragsreihe zu den Änderungen von ISO 19011. Zum Hintergrund: In Kapitel 5.6 „Bewerten und Verbessern des Auditprogramms“ findet sich neben anderen Aspekten, wie z. B. der Wirksamkeit der Maßnahmen und der sich abzeichnenden Erfordernisse und Erwartungen interessierter Parteien, die kleine aber hoch interessante Anregung über die Anwendung alterna-tiver oder neuer Auditmethoden. Wer sich nun aber denkt, dass ISO 19011 hierzu zusätzliche Informationen bereit hielte, sieht sich getäuscht. Es bleibt uns selbst überlassen zu überlegen, wie dies gelingen könnte, mit innovativen und kreativen Ansätzen interne Audits „anders“ und vielleicht auch anregender, lebendi-ger, anerkannter zu gestalten.

Nachfolgend finden Sie eine Auswahl möglicher alternativer, neuer Auditmethoden. Natürlich sind noch viele andere denkbar und sicherlich in dem einen oder anderen Unternehmen auch tatsächlich in Anwendung. Wir wollen uns in diesem Artikel aber auf einige wenige, bereits erfolgreich angewendete Methoden beschränken.

Der TOP-FLOP-AnsatzWir alle kennen die traditionellen Methoden des Ziehens von Stichproben/Beispielen im Audit. Diese sind entweder statisti-sche oder entscheidungsbasierte Stichprobennahmen (siehe hierzu den lesenswerten Anhang B3 von ISO 19011). Beiden Klassikern ist aber gemein, dass sich die gezogenen Stichpro-ben (so ist das nun einmal mit der Gauß‘schen Normalvertei-lung) größtenteils im „grünen Bereich“ bewegen, also meistens irgendwie in Ordnung sind, wenn man es mal umgangssprachlich ausdrücken wollte.

Der TOP-FLOP-Ansatz geht bewusst anders an Stichpro-bennahmen heran. Es sei aber gleich zu Beginn angemerkt, dass diese Methode nicht dauerhaft und beständig angewen-det werden sollte, sondern nur gelegentlich und mit dem Ziel, eine andere Perspektive auf Prozesse zu erhalten.

www.dqs.de

Wir beginnen mit der Auswahl eines „TOP“-Beispiels. Dies wird durch die Auditierten ausgewählt und sollte sich durchaus dadurch auszeichnen, dass in diesem Projekt, Verfahren oder Vorgang alles nur Erdenkliche optimal, effektiv und effizient verlaufen ist. Zielsetzung ist es zu lernen, welche Umstände herrschten oder zusammentrafen, die dieses außerordentlich gute Ergebnis her-vorbrachten. Das Augenmerk der Auditoren sollte hier – zusam-men mit den Auditbeteiligten – darauf liegen zu erkennen, ob und wie solche Situationen reproduzierbar sind.

Darauf folgend sollte ein „FLOP“-Beispiel ausgewählt werden – aber bitte genau in dieser Reihenfolge vorgehen. Denn begin-nen Sie zuerst mit der Frage nach einem „FLOP“, wird Ihnen ein „So was haben wir hier nicht!“ entgegenschallen. Ist es den Mitarbeitern aber bereits über das „TOP“-Beispiel gelungen dar-zustellen, zu welchen außerordentlichen Leistungen sie fähig waren und sind, steigt die Bereitschaft deutlich an, auch einmal einen Blick in den „Giftschrank“ zu werfen, in dem die organi-satorischen Fehlleistungen gerne gelagert werden. Das „FLOP“-Beispiel wird ebenso daraufhin analysiert, welche Umstände zusammenwirkten, die zu diesem signifikant schlechten Ergebnis geführt haben. Das Augenmerk sollte hier nun darauf liegen, zu erkennen, ob und wie eine Wiederholung der Situation wirksam auszuschließen ist (eigentlich eine klassische Vorbeugungsmaß-nahme).

Die Stellvertreter-AuditsNormalerweise führen wir unsere Auditgespräche mit den in den Prozessen ausgewiesenen verantwortlichen Personen, das ist gut und richtig so. Daraus bildet sich über die Jahre betrachtet aber nahezu zwangsläufig eine Gruppe von „Audit-Profis“, die immer und immer wieder ins (interne aber auch externe) Audit einbe-zogen werden. Was meinen Sie? Ist es eine zu gewagte These, dass manche Audits Züge des bekannten Kinofilms „… und täg-lich grüßt das Murmeltier“ tragen? Die Mitarbeiter kennen die Fragen der Auditoren zur Genüge und die Auditoren können die Antworten der Mitarbeiter schon auswendig mitsprechen. Warum also nicht einmal konsequent das Audit auf die „2. Reihe“ aus-richten, auf die Stellvertreter, auf diejenigen, die bei Krankheit, Urlaub, Abwesenheit der Verantwortlichen in die Pflicht genom-men werden. Dies hat neben einem positiven Überraschungs-effekt schon in einigen Unternehmen dazu geführt, dass dieser Personenkreis im Vorfeld eines internen Audits wieder einmal in die beschriebenen Verfahren und Prozesse hineingeschaut hat. Abgesehen davon, dass bereits bei der Auditplanung so manche ungenügende Stellvertretungsregelung offenbar wird.

Die Anwendung von „Quiz-Methoden“Können Sie sich Folgendes vorstellen? In der Vorbereitung auf ein internes Audit zum Prozess XY nehmen Sie die entsprechende Prozessbeschreibung und verändern diese ein wenig. Sie ergän-zen zum Beispiel einen Prozessschritt oder lassen einen weg-fallen, verändern Verantwortungen und Mitwirkungen, streichen Qualitätsaufzeichnungen oder ersetzen eine Entscheidungsraute durch eine durchgehende Linie, entfernen mitgeltende Doku-mente oder stellen falsche Verbindungen zu anderen Prozessen her. Nun kommt der spannende Schritt: Verteilen Sie den so geänderten Prozess an die betroffene Organisationseinheit oder auch nur an die Auditbeteiligten und bitten Sie diese, Ihnen die Anzahl der offenkundigen Fehler bzw. Veränderungen zu nennen – Preis für den Gewinner ist eine Schachtel Pralinen oder eine Tüte Gummibärchen.

Sie werden sich wundern, welche sportiven Handlungen dies bei Mitarbeitern auslösen kann, die unter Umständen mit Herzenslust nach Fehlern suchen und sich mit Kollegen darüber austauschen. Das Ergebnis: Die Dokumentation wird gelesen, man kommt darüber intern ins Gespräch, es macht Spaß und im besten Falle ergeben sich bereits in diesem Stadium Ideen für Verbesserungen. Aber Vorsicht: Stellen Sie sich darauf ein, dass Fehler an Stellen gefunden werden, an denen keine sind oder auf Rückmeldungen wie „Ich habe keine Fehler gefunden“. Für diesen Fall sollten Sie eine Tafel Schokolade für sich selbst bereithalten.

Interne Kunden auditieren interne LieferantenDies ist die vielleicht bereits gebräuchlichste Methode. Die Anwendung ergibt sich bereits aus dem Titel. Nehmen Sie in das Auditteam einen internen Kunden quasi als Experte für die interne Kundenperspektive. Dieser muss keine professionellen Auditkenntnisse mitbringen, denn die werden durch Sie, den ausgebildeten, qualifizierten Auditor eingebracht. Der interne Kunde hat als Aufgabe alle Handlungen des internen Lieferanten vor folgendem Hintergrund zu betrachten: Was haben wir (als interne Kunden) davon? Was können wir gut gebrauchen? Was ist gut, was wäre besser für uns? Der Auditor hingegen über-nimmt eher eine Moderationsrolle (je nach Lebendigkeit des Dialogs und der internen Problemlage kann sich das auch zu einer Mediatorenrolle ausweiten), sichert Gesprächsergebnisse und dokumentiert Auditfeststellungen. Der Auditor bringt also die Methodenkompetenz ein und betrachtet (bewertet) die Interak-tion an den Schnitt- bzw. Nahtstellen. Alles in allem berichten Unternehmen, die diese Methode bereits genutzt haben, von sehr guten, praktikablen Ergebnissen und einem sehr koopera-tivem Auditklima.

6/8

www.dqs.de

Die Blitzaudits (auch Ad-hoc-Audits)Anlässlich unserer Umfragen wurde diese Methode immer am häufigsten genannt; sie wird offenbar zunehmend realisiert. Was versteckt sich dahinter? Gemeint sind hier anlassbezogene, meist unangekündigte Audits, die kurz und knapp ein konkretes Prob-lem, ein kurzfristig erkanntes Risiko, einen aufgetretenen Fehler an den Stellen betrachten, wo sie relevant sind, also dort, wo es eine Eintrittswahrscheinlichkeit geben könnte. Diese Audits benötigen keinen intensiven Planungsvorlauf oder umfangreiche Checklisten, sie generieren auch keine mehrseitigen Berichte. Stichworthafte Ergebnisse genügen aus, angereichert mit ent-sprechenden Maßnahmen, sofern diese als notwendig erkannt wurden. Hinweis: Sollte das Instrumentarium von unangekündig-ten Audits neu in Ihrem Unternehmen sein, empfiehlt es sich aus organisationspsychologischer Hinsicht hierüber vor der Ein-führung offen und transparent zu kommunizieren. Andernfalls riskieren Sie, dass Blitzaudits negative Motive unterstellt werden und dementsprechende Vorbehalte zu wenig kooperativen Ver-haltensweisen führen können.

Vom Output zum Input Was liegt näher als eine Sequenz von Aktivitäten in der natür-lichen Reihenfolge, also vom Beginn an zum Abschluss hin zu betrachten? Das ist logisch und so hat sich Auditieren bewährt, keine Frage. Prozesse wandeln Eingaben in Ergebnisse um – so haben wir das gelernt und folglich beginnen wir in der Regel beim Auditieren eines Prozesses mit den Eingaben. Man kann es aber auch mal andersherum versuchen. Wie sagte es mein geschätz-ter Auditorenkollege, Klaus Dolch, einmal so schön: „Wenn ich bei meiner Katze nach Läusen suche, streichele ich ja auch nicht vom Kopf zum Schwanz, sondern grad umgekehrt – gegen den Strich!“

Also beginnen wir am Ende des Prozesses, quasi mit dem Ergebnis und tasten uns Schritt für Schritt nach vorne. Für ein Produktionsunternehmen würde dies bedeuten, dass wir als Ausgangspunkt eine für den Versand fertig verpackte Lieferung nehmen und uns dann rückwärts zum Beispiel über die Mon-tage, zur Produktion – mit einem Seitenausflug zur Messtechnik –, zum Beschaffungswesen, zur Arbeitsvorbereitung bis in den Vertrieb vorarbeiten. Dabei betrachten wir besonders intensiv die Übergabepunkte und Nahtstellen im Prozess. Wir haben zudem den Vorteil, mit einer Stichprobe zu arbeiten, von der wir wis-sen, dass sie den gesamten Fertigungsprozess durchlaufen hat. Arbeiten wir von vorne nach hinten, wählen wir naturgemäß als Beispiele gerne Vorgänge, die gerade in diesem Bereich in Bear-beitung sind und enden damit zwangsläufig wieder an der Abtei-lungsgrenze. In der nächsten Abteilung wählen wir dann wieder ein anderes Beispiel. Diese Methode könnte man auch gut mit

„interne Kunden auditieren interne Lieferanten“ in Verbindung bringen, indem man immer den jeweiligen internen Kunden zum internen Lieferanten „nach vorne“ mitnimmt.

Weitere Möglichkeiten Und es gäbe noch viele weitere Möglichkeiten darzustel-len: Self-Assessments, Mystery Calls, Workshop-Methoden und Gruppenaudits, Hospitation als Audit, Feenfragen, Sze-narien und Rollenspiele. Probieren Sie mal eine der oben genannten oder eine Abwandlung der klassischen Auditakti-vitäten aus. Machen Sie Ihre eigenen Erfahrungen damit, wie viel Spaß die Anwendung verschiedener Methoden machen kann und wie gut man auch unterschiedliche Auditmetho-den mit unterschiedlichen Mitarbeitern, Führungskräften und Kulturen im Unternehmen kombinieren kann – oder um es mit dem großen Wort eines Schuhherstellers zu sagen: Just do it!

Aspekte zur Durchführung und Nachbereitung von Audits Einige bemerkenswerte Klarstellungen hat es zu den Rollen und Aufgaben von Personen gegeben, die das Audit begleiten. Der hierzu in ISO 19011 wiederzufindende Text lautet: „Betreuer (zur Unterstützung des Auditteams von der zu auditierenden Orga-nisation benannt) und Beobachter (eine Person, die das Audit begleitet, aber nicht auditiert; kann ein Vetreter der zu auditie-renden Organisation sein, ein Vertreter einer Behörde oder einer anderen interessierten Partei) können ein Audit begleiten, soll-ten dieses aber nicht beeinflussen. Wenn dies nicht sicherge-stellt werden kann, sollte der Auditteam-Leiter das Recht haben, Beobachtern die Teilnahme an bestimmten Audittätigkeiten zu verweigern.“ Dies ist natürlich leichter gesagt als getan, aber immerhin werden hier Auditoren Rechte eingeräumt, um sicher-zustellen, dass sie ihren Auditauftrag erfüllen können.

Beeinflussungen können auf die verschiedensten Arten und durch verschiedenste Beobachter erfolgen und reichen von Füh-rungskräften, die anstatt der Interviewpartner antworten bis zu Unternehmensberatern, die im Audit versuchen, die Ergebnisse ihrer Beratungsleistung zu „verteidigen“. Ebenso können dies aber auch hospitierende, in Ausbildung befindliche Auditoren sein, die im Überschwang der Gefühle das Audit an sich reißen, oder Vertreter von Behörden, die ihre Kompetenzen und Zustän-digkeiten überschreiten. Diese Passage sollte im Übrigen auch auf sogenannte „Witness-Audits“ angewendet werden, d. h. Auditbegleitungen durch Dritte, also Akkreditierungsstellen, Noti-

7/8

© DQS GmbH 09/2016 www.dqs.de

fizierer oder die Zertifizierungsstellen selbst. Witness-Auditoren haben die Aufgabe, die Leistungen der eingesetzten Auditoren vor Ort zu bewerten. Dabei wird die Methode der Beobachtung genutzt, und sie dürfen nicht in das Audit selbst eingreifen.

Neben dem „risikobasierten Auditansatz“ gibt es in Bezug auf Auditziele noch eine kleine, aber aufschlussreiche Ergän-zung. Im Kapitel 6.2.2 ist im letzten Absatz davon die Rede, „alle Bereiche zu ermitteln, die für die zu auditierende Organisation in Bezug auf das spezifische Audit von Interesse oder kritisch sind.“ Was liegt also näher, als im Zuge der Auditplanung direk-ten Kontakt mit dem zu auditierenden Bereich aufzunehmen und diese spezifische Interessenlage bzw. kritischen Bereiche zu erkunden. In einem solchen Dialog können gleich zwei Fliegen mit einer Klappe geschlagen werden. Zum einen gibt es einen guten Anlass, im Vorfeld des Audits einen unmittelbaren Dia-log mit verantwortlichen Führungskräften und/oder Prozesseig-nern zu führen und Auditziele sowie Auditschwerpunkte konkret abzustimmen. So geplante Audits bewegen sich in der Regel viel stärker an den tatsächlichen, für die Prozessakteure relevanten Themenbereichen als ständig wiederkäuende, ausschließlich auf fertigen Checklisten und Konformitätserwägungen basierende Vorgehensweisen.

Soweit die Auditdurchführung selbst betroffen ist, haben sich nur sehr wenige Ergänzungen oder Veränderungen in ISO 19011 ergeben, was aber auch nicht unbedingt als überraschend einzu-stufen ist. Der grundsätzliche Ablauf von Audits – Einführungsge-spräch / Interviews / Betrachtung von Stichproben / Sammeln von Nachweisen / Bewertung der Auditfestellungen und Abschluss-gespräch hat sich über Jahrzehnte als bewährte Praxis heraus-gestellt oder salopp ausgedrückt: Hier wird kein Rad mehr neu erfunden!

Ein jetzt neu eingeführter Satz jedoch hat beim Autor dieses Beitrags große Belustigung ausgelöst: „Während der Bespre-chung sollte die Möglichkeit eingeräumt werden, Fragen zu stel-len.“ Da fragt man sich ja schon, was sind in der Vergangenheit für Einführungsgespräche durchgeführt worden, dass man sich berufen fühlte, diese Ergänzung aufzunehmen? Vielleicht wäre auch folgender Zusatz hilfreich: „In Audits sollte, soweit möglich, kommuniziert werden.“

Zum Thema Prüfung von Dokumenten während des Audits gibt der Leitfaden folgende Empfehlung ab: „Falls benötigte Dokumente nicht innerhalb der veranschlagten Auditzeit zur Ver-fügung gestellt werden können, sollte der Auditteam-Leiter die Person, die das Auditprogramm leitet und lenkt, und die zu audi-tierende Organisation darüber in Kenntnis setzen. Anschließend sollte entschieden werden, ob das Audit fortgeführt werden kann oder abgebrochen werden sollte.“ Auch hier wieder: Leichter gesagt als getan! Aber auch dies ist eine Stärkung der Rechte von Auditoren und ein wichtiger Hinweis in Sachen Auditeffizi-enz. Natürlich obliegt es in der praktischen Ausgestaltung die-

ser Textpassage den Auditoren, situativ zu entscheiden, welche Relevanz ein benötigtes Dokument bzgl. der Nachweisführung besitzt, um daraus einen eventuellen Auditabbruch abzuleiten. Es gibt aber definitiv Situationen, die eine Fortführung des Audits wenig sinnvoll machen, z. B. wenn auf einen neuen dokumentier-ten und implementierten wesentlichen Prozess verwiesen wird, der allerdings nicht auffindbar ist (weder auf Papier noch in elek-tronischer Form), oder Qualitätsaufzeichnungen von zentraler Bedeutung nicht verfügbar sind oder vielleicht auch nur nicht zur Verfügung gestellt werden sollen. Gerade letzteres kann, ja muss Auditoren zur Schlussfolgerung bringen, dass sie ihren Auditauf-trag der Nachweisführung dann nicht erfüllen können und vor diesem Hintergrund entscheiden müssen, ob eine Fortführung des Audits noch Sinn hat.

Eine Neuerung ist wirklich zu begrüßen: Auditfeststellun-gen sollten jetzt auch Empfehlungen und bewährte Praktiken zusammen mit Nachweisen enthalten! In den Entwurfsstadien von ISO 19011 war anstatt von „bewährten Praktiken“ noch von „Stärken“ die Rede. Vielleicht hätte dieser Begriff noch etwas besser zum Ausdruck gebracht, worum es hier geht. Erfreulich ist auf jeden Fall aber, dass es nun auch offiziell zur Aufgabe von Audits gehört, Stärken bzw. bewährte Praktiken festzu-stellen. Möglicherweise gelingt es dadurch vermehrt, (interne) Audits besser als „wertschöpfendes“ oder auch bestätigendes und motivierendes Instrument zu positionieren. In der Wahrneh-mungswelt vieler sind Audits ausschließlich daran orientiert, Feh-ler zu finden, Schwachstellen zu identifizieren, Verschwendun-gen (Zeit und Ressourcen) zu erkennen. Nimmt man die Aufgabe ernst, „bewährte Praktiken“ zusammen mit Nachweisen festzu-stellen, und richtet Audits auch darauf aus (ohne die anderen Aspekte zu vernachlässigen!), verändern sie die Auditatmosphäre und als Folge davon die Akzeptanz. Natürlich müssen folgerich-tig entsprechende festgestellte Stärken auch dokumentiert und kommuniziert werden und zwar nicht mit den allbekannten Text-hülsen, die wir alle nicht mehr hören können und wollen wie z. B. „konstruktives Auditklima“, „gut gelebtes Qualitätsmanage-mentsystem“ und „ausgepräg-tes Qualitätsbewusstsein“, son-dern durch konkrete, individu-elle Feststellungen gerne auch mit eindeutiger Identifizierung von Bereichen, Abteilungen und Verantwortlichen.

Frank GraichenGeschäftsführerDQS GmbHfrank.graichen@dqs.de