Acht Tipps für das Audit eines Managementsystems
Die Situation im Audit
Das Audit wird Ihnen wie eine der wichtigsten Klausuren bzw. Prüfungen in Ihrer Schule, Ausbildung oder Studium vorkommen. Sie sind nervös und wissen nicht was auf Sie zu kommt. Dies ist oft, wenn Sie den Auditor oder die Auditiren nicht kennen.
Tipp 1: Frühzeitig den Kontakt zum Lead Auditor herstellen.
Damit Sie entspannter sind, versuchen Sie frühzeitig den Kontakt zum Lead Auditor her zu stellen. Versuchen Sie die folgenden Fragen abzuklären:
Wann erhalten Sie den Auditplan?
Braucht der Auditor vorher Dokumente von Ihnen?
Achten Sie auf die Vertraulichkeit der Dokumente nicht alles muss der Auditor vorher erhalten.
Wie werden die Dokumente ausgetauscht? (Verschlüsselter Datenaustausch ist sinnvoll)
Wird das Audit vor Ort oder remote durchgeführt?
Bei einem Audit vor Ort denken Sie an: die Verpflegung und fragen Sie nach Lebensmittel – Allergene (Milch, Lactose, Nüsse, Sellerie, usw., Parkplatz für die Auditoren, Übernachtung im Hotel
Tipp 2: Bleiben Sie im Audit ruhig
Im Audit wird Ihr Umgang mit den Anforderungen (ISO 9001, ISO/IEC 27001, ISO 22301 oder andere Vorgaben) abgefragt. Ihre Umsetzung muss für Ihr Unternehmen angemessen und den Anforderungen entsprechend sein. Der Auditor versucht herauszufinden, ob das Managementsystem lebt, oder Sie nur Vorgaben haben und keine Nachweise. Führen Sie kein Theaterstück auf, aber bereiten Sie sich gut vor. Einen roten Faden durch die Themen zu definieren ist sinnvoll.
Tipp 3: Schieben Sie nicht immer den Berater vor
Wenn Sie auf jede Frage antworten: Das wird unser Berater Ihnen erklären. Dann wird Ihnen der Auditor irgendwann die Frage stellen, ob das Ihr Managementsystem oder das des Auditors ist. Ab diesem Zeitpunkt wird das Audit aus unseren Erfahrungen sehr ungemütlich bzw. schwierig. Der Berater gehört nicht zu Ihrem Unternehmen und darf in der Prüfung vom Lead Auditor ausgeschlossen werden. Der Auditor muss feststellen, wie Sie mit den Vorgaben umgehen.
Tipp 4: Holen Sie sich Unterstützung
Die einzelnen Vorgaben in Ihrem Unternehmen werden meist nicht von einer Person erstellt. Die einzelnen Prozesse werden von vielen leitenden Mitarbeitern definiert und die Einhaltung sichergestellt. Für jeden Prozess oder Thema laden Sie die Spezialisten mit ein.
Tipp 5: Erklären Sie in der Prüfung warum sie etwas machen
Erklären Sie im Audit unbedingt, warum Sie etwas genauso machen wie sie es definiert haben. Für jede Regelung gibt es Gründe diese sollten Sie genau erklären, so dass diese Nachvollziehbar sind. Dies beginnt bei der Implementierung des Managementsystems. Es wird Anforderungen auf Basis der Gesetze, Verordnungen oder einer Anforderung eines Kunden geben.
Tipp 6: Wiedersprechen Sie dem Auditor nicht in jedem Punkt
Im Audit wird es oft zu dem Punkt kommen, an dem Sie eine andere Meinung haben als Ihr Auditor. Seien Sie sich sicher, dass Ihr Auditor die Norm und die weltweite Umsetzung recht genau kennt. Wenn Sie dem Auditor widersprechen, werden Sie sich in unnütze Diskussionen verlieren. Auch die Frage, wo steht das in den Anforderungen oder Norm ist meist sehr kontraproduktiv.
Im Audit muss sichergestellt werden, dass die Anforderungen angemessen und wirksam umgesetzt sind. Angemessen, Wirtschaftlichkeit (effizient): Das Gebot der Angemessenheit (auch: Verhältnismäßigkeit im engeren Sinne) verlangt, dass eine Maßnahme nicht außer Verhältnis zu dem verfolgten Zweck steht. Das bedeutet, dass die von einer Maßnahme das Unternehmen nicht übermäßig oder unzumutbar belastet werden dürfen. (juristische Definition). Die Wirtschaftlichkeit (auch Kostenwirtschaftlichkeit genannt) ist ein Maß dafür, wie ertragreich ein Unternehmen wirtschaftet im Verhältnis zu seinem investierten Aufwand.(wirtschaftliche Definition)
Wirksamkeit (Effektivität): Unter der Wirksamkeit (auch: Effektivität) versteht man einen Maßstab, um zu überprüfen, inwieweit eine infrage stehende Maßnahmen bzw. ein Output zur Erreichung bestimmter Ziele oder Wirkungen beiträgt. Die Wirksamkeit ist folglich ein Maß zur Kontrolle des Zielerreichungsgrades. Es geht dabei insb. um die Frage, ob „das Richtige“ getan wird.
Eine Regelung auf einer Seite zum Thema Kryptographie ist für ein Unternehmen von 10 Mitarbeitern eher angemessen als für ein Unternehmen mit 500 Mitarbeitern. Bei Diskussionen ist es das Ziel auf die Angemessenheit und die Wirksamkeit für Ihr Unternehmen zu lenken.
Tipp 7: Akzeptieren Sie Abweichungen und Empfehlungen
Wenn der Auditor etwas zu beanstanden hat, akzeptieren sie dies. Fragen Sie den Auditor was Ihm genau fehlt und wie sie sich verbessern können. Achten Sie darauf, dass der Auditor Sie nicht beraten kann. Wenn der Auditor keine Aussage treffen will, fragen Sie Ihn, wie würden es andere Unternehmen umsetzen?
Tipp 8: Risikomanagement
Eine der wichtigen Tipps ist ein Ausführliches Risikomanagement. Wenn Sie dem Auditor nachweisen können, dass Sie selbst die Schwachstelle, das Problem, die Abweichung schon gefunden haben und eine Maßnahme zur Umsetzung eingeleitet haben, wird der Auditor ggf. sich dazu hinreißen lassen keine große Abweichung zu schreiben.
Unsere Dienstleistung: Unser Partner ↗IT-Richtlinien.de bietet Vorlagen für Managementsysteme an. Diese Vorlagen sind geeignet für die Zertifizierung.
Wir haben für die unterschiedlichen Managementsysteme Beratungsdienstleistungen.
Informationssicherheit:
Qualitätsmanagement:
Business Continuity Management
Compliance Management