Virtuelle Audits: Ideal während der Lockdown-Zeit
Bereits in unserem Blogbeitrag vom Juli 2018 berichteten wir darüber, dass ISO 19011 Möglichkeiten von virtuellen Audits einräumt. Ein idealer Zeitpunkt also, virtuelle Audits auszuprobieren und Erfahrungen damit zu sammeln.
Zunächst ein paar Grundlagen zum Verständnis.
Wozu braucht es ISO 19011?
In Normen wie beispielsweise Qualitätsmanagement (ISO 9001), Umweltmanagement (ISO 14001) oder Arbeitssicherheit und Gesundheitsschutz (ISO 45001) werden sog. Interne Audits gefordert. Diese haben den Zweck der objektiven Auswertungen, bzw. Überprüfung des Soll-/Ist-Zustandes um damit die Qualität aufrecht zu erhalten. Die Anforderungen zum Internen Audit sind in den jeweiligen Normenkapitel jedoch knapp gehalten, weswegen die ISO 19011 eine ideale Hilfestellung bietet.
Was ist also die ISO 19011?
Es ist der Leitfaden zur Auditierung von Managementsystemen, wie z. B. für Qualitätsmanagement (ISO 9001), Umweltmanagement (ISO 14001) oder Arbeitssicherheit und Gesundheitssschutz (ISO 45001). Somit ist ISO 19011 keine Norm, sondern eine Hilfestellung, wie Audits grundsätzlich geplant, durchgeführt und dokumentiert werden können. Darin sind ausserdem Grundsätze sowie die Anforderungen an Interne Auditoren festgehalten.
Was ist zu beachten im Auditprozess?
Im Wesentlichen läuft ein Remote Audit wie ein herkömmliches Audit ab. Folgende Prozess-Anforderungen der IAF, für externe Remote Audits, geben jedoch ebenfalls hilfreiche Hinweise.
Prozess-Schritt | Massnahmen im Zusammenhang mit Remote Audits |
Planung | Berücksichtigung der Remote-Aktivitäten im Auditprogramm und Sicherstellung einer regelmässigen ergänzenden physischen Begehung. |
Eindeutige Nennung des Remote-Umfangs im Auditplan. | |
Auswahl der Auditoren in Bezug auf deren Fähigkeiten zur Anwendung von Remote-Methoden (z.B. anspruchsvoller, wodurch ausreichend Auditroutine, erforderlich wird um Auditinterview und Technik miteinander zu verbinden). | |
Vorhergehende Prüfung der Infrastruktur des zu auditierenden Bereiches auf die Eignung für Remote Auditmethoden (z.B. gegen instabiles Netz, Handhabung der Software, Datensicherheit). | |
Klärung unternehmens-spezifischer Aspekte im Vorfeld (z.B. Abstimmung mit der Geschäftsleitung, Prozess-Eigner). | |
Durchführung | Gewährleistung der Daten- und Informationssicherheit durch Nutzung einer sicheren Verbindung. |
Gemeinsamer Zugriff auf die relevanten und aktuellen Prozessbeschreibungen und Anweisungen. | |
Möglichkeit der Abfrage von Datenbanken zur Analyse von Vorgängen (z.B. Bildschirm teilen, wenn z.B. bewertet werden soll, welche Rollen in welchen Prozessen aktiv sind). | |
Durch Kommunikationstechniken vermeiden, dass ggf. nicht übertragene körpersprachliche Signale zu einer abweichenden Bewertung führen können (z.B. aktives Zuhören, Rückfragen). | |
Nachweis-Sammlung | Sicherstellen, dass Aufzeichnungen angeben, inwieweit Remote Auditmethoden bei der Durchführung verwendet wurden. |
Zugriff auf ein elektronisches Archiv mit unveränderlichen Aufzeichnungen ermöglichen (z.B. Dokumente mit elektronischer Signatur). | |
Methoden zur Erfassung dynamischer und zeitlich veränderbarer Daten aus elektronischen Medien (z.B. Nachweise durch Snapshots). | |
Berichterstattung | Darstellung, inwieweit die Remote Auditmethoden zur Wirksamkeit und Effizienz des gesamten Audits beigetragen haben. |
Nachweisführung, dass die Remote-Informationsbasis den operativen Gegebenheiten der betrieblichen Praxis entspricht. |
Welche Auditarten dürfen remote erfolgen?
Die ISO 19011 macht keine Angaben für welche Auditarten. Hauptsache ist, dass es angemessen und damit ausgewogen sind. Und für eine ausgewogene Verteilung von Auditarten eignet sich das Auditprogramm, das ohnehin zu erstellen ist.
Ausserdem gibt es bei einem persönlichen Audit weitere *Einflussfaktoren, die eine richtige Einschätzung/Beurteilung begünstigen und bei einer virtuellen Audit-Methode kaum wahrnehmbar werden.
(*Nonverbales wie Mimik, Gestik, gegenseitig wirkende Energien, Empathie etc.)
Dürfen alle Internen Audits remote erfolgen?
Das IAF begrenzt den Anteil der Remote-Aktivitäten (für externe Audits) an der gesamten Vor-Ort-Zeit auf einen Anteil von max. 30% (MD 4). Sicherlich ist dieser Wert für Interne Audits nicht zwingend übertragbar, doch zeigt es auf, dass die Autoren von ISO 19011 den Rang zu einem Vor-Ort-Audit nicht gleichstellen.
ISO 17021 sowie IAF verweisen ebenfalls auf das Dokument MD 4/5, in dem die Anwendung von Remote-Techniken für externe Audits reglementiert wird. Darin werden folgende computergestützte Verfahren dokumentiert:
- Durchführung von Telefonkonferenzen
- Sitzungen im Internet
- Interaktive webbasierte Kommunikation;
- Elektronischer Fernzugriff auf die Dokumentation des Managementsystems u/o auf die MS-Prozesse
Laut ISO 19011 kann sich die Anwendung von Remote Audits bezüglich Umfang in 3 Arten unterscheiden:
- Vollständig remote: Das Audit findet vollständig, d.h. von der Planung bis zur Verifizierung der Auditfolgemassnahmen, ohne physische Anwesenheit der Auditoren statt.
- Teilweise remote: Die Auditoren sind zeitweise physisch am Auditort anwesend und auditieren bestimmte Umfänge mittels Remote-Techniken.
- Folgemassnahmen remote: Die nachträgliche Bewertung von Auditfolgemassnahmen oder ein Nachaudit findet remote statt.
Womit können Remote-Audits durchgeführt werden?
Remote Audits benötigen lediglich ein gängiges Konferenztool wie bspw. Skype, bzw. Teams, Zoom sowie das Einverständnis des Auditierten. Bitte achten Sie dabei auf die Vertraulichkeit, da diese Tools meist durch Drittanbieter angeboten werden.
Was noch?
- Aller Anfang ist schwer. Fangen Sie nicht mit einem schwierigen Bereich oder Prozess an. Sinnvollerweise experimentieren Sie gemeinsam mit einem Auditierten gemeinsam das Remote Audit und arbeiten Sie sich schrittweise an anspruchsvollere Audits. Und vergessen Sie dabei nicht, nicht nur den Vorgesetzten des Auditierten zu informieren, sondern auch den Prozess-Eigner.
- Sicherheitshinweis: Für Remote Audits ist die Sicherheit und Vertraulichkeit elektronischer oder elektronisch übertragener Informationen von hoher Bedeutung. Die Sicherheitsanforderungen sollte der auditierte Bereich kennen und festlegen.
- Das Risiko von Missverständnissen/Fehlinterpretationen erhöht sich durch Remote Audits. Insofern ist es sehr wichtig, Verstandenes durch Rückkoppelung „Habe ich das richtig verstanden, dass…“ bestätigen zu lassen.
Wir wünschen viel Erfolg!