DIN EN ISO 19011:2018

Leitfaden zur Auditierung von Managementsystemen –

Prozessorientiertes Auditieren

Andreas Ritter
DQS GmbH
Agenda

Aufbau und neue Inhalte DIN EN ISO 19011:2018

Auditieren von Risiken und Chancen

Neues zur prozessorientierten Auditdurchführung

Aufgreifen von aktuellen Trends und Entwicklungen

Fazit
Aufbau und neue Inhalte DIN EN ISO 19011:2018
ISO 19011 Allgemeines

▪ Diese Internationale Norm gibt eine Anleitung zum Leiten und Lenken eines Auditprogramms,

zum Planen und Durchführen eines Audits des Managementsystems sowie zur Kompetenz und

Bewertung eines Auditors sowie eines Auditteams.

▪ Sie ist ein Leitfaden, d.h. diese Norm enthält Hinweise und Anleitungen zu Audits – keine

Forderungen, die z.B. im Falle der Zertifizierung zwingend nachgewiesen werden müssen.

▪ Sie ist anwendbar auf alle Organisationen und bezieht sich auf alle Arten von

Managementsystemen.

▪ Der neue Standard ISO 19011:2018 ist im Juli 2018 erschienen, die deutsche Fassung DIN EN

ISO 19011:2018 im Oktober.

Aufbau DIN EN ISO 19011 (1)

▪ Abschnitt 1 Anwendungsbereich

▪ Abschnitt 2 Normative Verweisungen (keine)

▪ Abschnitt 3 Begriffe
Es wurden alle Anstrengungen unternommen, um
sicherzustellen, dass diese Definitionen nicht im
Widerspruch stehen mit jenen, die in anderen Normen
verwendet werden (9000:2015).
▪ Abschnitt 4 Auditprinzipien
Diese Prinzipien helfen dem Nutzer, die Bedeutung des
Auditierens zu würdigen, und sie sind erforderlich, um die
Anleitungen in den Abschnitten 5 bis 7 zu verstehen.
Aufbau DIN EN ISO 19011 (2)
▪ Abschnitt 5 Leiten und Lenken eines Auditprogramms
Beinhaltet die Festlegen der Auditprogrammziele sowie das
Koordinieren von Audittätigkeiten.
In diesem Abschnitt findet sich der Plan – Do – Check – Act-
Zyklus von Deming.

▪ Abschnitt 6 Durchführen eines Managementsystem Audits.

▪ Abschnitt 7 Kompetenz und Bewertung von Auditoren

für Managementsysteme sowie von Auditteams.

▪ Anhang A gibt zusätzliche Anleitung für Auditoren zum

Planen und Durchführen von Audits.
Inhalte der Überarbeitung (1)
▪ Im Kapitel Auditprinzipien wird ein neues Prinzip
„Risikobasierter Ansatz“ eingeführt. Dieser Ansatz
berücksichtigt Risiken und Chancen.
▪ Die Risiken und Chancenbetrachtung zieht sich
durch den gesamten Leitfaden.
▪ Das Kapitel „Auditprogramm“ wurde neu strukturiert:
Dabei wird das Auditprogramm zukünftig stärker mit
dem strategischen Fokus des Unternehmens
verbunden. Darüber hinaus werden die Bedingungen
für die Erstellung des Auditprogramms um die
Betrachtung des Kontextes der Organisation, der
identifizierten Chancen und Risiken und der
Organisationsziele erweitert.
Inhalte der Überarbeitung (2)
▪ Erweiterung des Leitfadens um die Verwaltung
von Auditprogrammen, einschließlich der Risiken
für (die Umsetzung) der Auditprogramme.

▪ Ergänzungen der Auditdurchführung um einige

Facetten z.B. hinsichtlich der Verwendung
digitaler Medien.

▪ Empfehlungen zu Kompetenzen der Auditoren

Neue ergänzende Erläuterungen
im Anhang A

▪ A.2 Auditieren des Prozessansatzes

▪ A.3 Neu ist der Begriff „Professional judgement“, in der
deutschen Version mit „Fachlichem Urteil“ übersetzt.
▪ A.4 Fokus auf die beabsichtigten Ergebnisse eines
Managementsystems im Audit. Dabei sollte auch den
Grad der Integration verschiedener Managementsysteme
und deren beabsichtigter Ergebnisse berücksichtigt
werden.
▪ A.7 Auditieren von Compliance innerhalb eines
Managementsystems.
Neue ergänzende Erläuterungen
im Anhang A

▪ A.8 Auditkontext

▪ A.9 Auditieren von Führung und Verpflichtung

▪ A.10 Auditieren von Risiken und Chancen

▪ A.11 Lebenszyklus (ISO 14001:2015) Die Verbindung

zwischen der Minimierung der Umwelteinflüsse einer
Organisation und der damit verbundenen Schaffung von
„Mehrwert“ wird hergestellt.

▪ A.12 Audit der Lieferkette

▪ A.16 Auditierung virtueller Tätigkeiten und Standorte

Was sind Auditkriterien?
Audits können anhand einer Reihe von Auditkriterien, getrennt
oder kombiniert, durchgeführt werden, einschließlich, aber
nicht beschränkt auf:
▪ Anforderungen, die in einer oder mehreren
Managementsystem-Norm(en) definiert sind;
▪ Richtlinien und Anforderungen, die von anderen
(interessierten) Parteien festgelegt wurden;
▪ rechtliche Anforderungen;
▪ ein oder mehrere Managementsystem-Prozess(e), die von
der Organisation oder anderen Parteien festgelegt wurde(n);
▪ Managementsystemplan/pläne in Bezug auf die
Bereitstellung spezifischer Leistungen eines
Managementsystems (z. B. Qualitätsplan, Projektplan).
Was sind Auditprinzipien?
▪ Integrität: die Grundlage der Professionalität.
▪ Sachliche Darstellung: die Pflicht, wahrheitsgemäß und
genau zu berichten.
▪ Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt
und Urteilsvermögen beim Auditieren.
▪ Vertraulichkeit: Sicherheit von Informationen.
▪ Unabhängigkeit: die Grundlage für die Unparteilichkeit des
Audits sowie für die Objektivität der Auditschlussfolgerungen.
▪ Faktengestützter Ansatz: die rationale Methode, um zu
zuverlässigen und nachvollziehbaren Auditschlussfolgerungen
in einem systematischen Auditprozess zu gelangen.
▪ Risikobasierter Ansatz
Neues Auditprinzip: Risikobasierter Ansatz
A.10 Auditieren von Risiken und Chancen
Die Kernziele für den risikobasierten Ansatz sind:

▪ sich der Glaubwürdigkeit des Prozesses zur Ermittlung

von Risiken und Chancen zu vergewissern;
▪ sich zu vergewissern, dass die Risiken und Chancen
richtig bestimmt und gesteuert werden;
▪ zu überprüfen, wie die Organisation ihre bestimmten
Risiken und Chancen behandelt.

Ein Audit zur Ermittlung von Risiken und Chancen sollte

nicht als eine eigenständige Tätigkeit erfolgen. Es sollte
während des gesamten Audits eines Managementsystems,
auch bei der Befragung der obersten Leitung, inbegriffen
sein.
A.10 Auditieren von Risiken und Chancen
Ein Auditor sollte nach den folgenden Schritten handeln
und objektive Nachweise wie folgt sammeln:
a) Eingaben, die von der Organisation zur Bestimmung
ihrer Risiken und Chancen verwendet werden und
Folgendes umfassen können:
▪ Analyse externer und interner Themen;
▪ die strategische Ausrichtung der Organisation;
▪ interessierte Parteien im Zusammenhang mit ihrem
disziplinspezifischen Managementsystem und auch
deren Anforderungen
▪ potenzielle Risikoquellen wie Umweltaspekte,
Gefahren für die Sicherheit usw.
b) Methode, mit der Risiken und Chancen beurteilt
werden und die sich abhängig von Disziplin und Branche
unterscheiden kann.
Neues zur prozessorientierten Auditdurchführung
 Zur Bestimmung von Prozessen, die für das
Qualitätsmanagementsystem benötigt werden, zählen u.a. …?

A: Chancen C: Prozesskosten

B: Leistungsindikatoren D: unerwartete Ergebnisse

 Zur Bestimmung von Prozessen, die für das
Qualitätsmanagementsystem benötigt werden, zählen u.a. …?

A: Chancen C: Prozesskosten

B: Leistungsindikatoren D: unerwartete Ergebnisse

 Zum Auditieren des Prozessansatzes
A.2 (neu) Prozessansatz des Auditierens

▪ Die Anwendung eines „Prozessansatzes“ ist eine Voraussetzung für alle ISO-Managementsystem-

Normen. Die Prozesse einer Organisation und ihre Interaktionen werden auditiert.

▪ Auditoren sollten verstehen, dass ein Managementsystem zu auditieren das Auditieren der

Prozesse einer Organisation und ihrer Interaktionen anhand einer oder mehrerer

Managementsystem-Norm(en) bedeutet.

▪ Konsistente und berechenbare Ergebnisse werden wirksamer und effizienter erzielt, wenn die

Tätigkeiten verstanden und als in Wechselbeziehung stehende Prozesse, die als

zusammenhängendes System funktionieren, gesteuert werden.

7.2.3.2

Ein Auditor sollte in der Lage sein… einen Prozess von Anfang bis Ende zu auditieren, einschließlich

der Wechselbeziehungen mit anderen Prozessen und unterschiedlichen Funktionen, wo angemessen;

Anforderungen an zentrale Vorgabeprozesse

Risiken und Chancen

behandeln, die auf die
Prozessergebnisse Einfluss
haben
Verantwortungen und
Befugnisse zuweisen

Erforderliche Erwartetes Ergebnis

Eingaben (Output) bestimmen
(Input)
Prozessdurchführung,
bestimmen
-lenkung und -messung
Ressourcen
bestimmen und
Verfügbarkeit
sicherstellen

Abfolge und Wechselwirkungen mit anderen Prozessen festlegen

Anwendung Abschnitt 4.4.1 ISO 9001:2015

1
Verantwortungen & Befugnisse (e)
(Eignerschaft)
1. Erkenntnis

Beginnen Sie mit der „Verantwortung“ und den

„Befugnissen“.

Stellen-/Funktionsbeschreibungen oder andere

„dokumentierte Informationen“ sind nicht zwingend
gefordert.

Organigramme, Prozessdarstellungen und Gespräche mit

anderen Mitarbeitern können diesem Zweck aber dienen.
Anwendung Abschnitt 4.4.1 ISO 9001:2015
2. Erkenntnis

Es ist wichtig, den Prozess zu verstehen.

Dann werden Fragen nach der Lenkung, den

Ergebnissen, den Leistungsindikatoren und
der Art der Messung gestellt.
Anwendung Abschnitt 4.4.1 ISO 9001:2015
3. Erkenntnis

Wenn eine Bewertung stattfindet, ob die

Ergebnisse des Prozesses erreicht
wurden, so ist ein Teil der
Normforderung erfüllt.

Aber wie sieht es mit den möglichen

Prozess-Verbesserungen aus?
Anwendung Abschnitt 4.4.1 ISO 9001:2015
4. Erkenntnis

Erreicht der Prozess sein Ziel, das

erwartete Ergebnis, ist die Normforderung
erfüllt.
Anwendung Abschnitt 4.4.1 ISO 9001:2015
5. Erkenntnis
Das erwartete Prozess-Ergebnis ist
erreicht. Aber was ist mit Chancen und
Risiken?

 Diese müssen aktiv und nachvollziehbar

„identifiziert“ und „bewertet“ werden.

 „Maßnahmen müssen umgesetzt“, deren

„Wirksamkeit bewertet“ werden.
Anwendung Abschnitt 4.4.1 ISO 9001:2015
6. Erkenntnis

Es liegen nicht robuste/schwankende

Prozessergebnisse vor. Im Audit werden daher
folgende Aspekte beleuchtet:

 „Prozess-Eingaben“
 „Prozess-Ressourcen“
 „Methoden / Tools / Werkzeuge“
 „Qualifikation und Wissen des Personals“ und

 „dokumentierte Information“
Anwendung Abschnitt 4.4.1 ISO 9001:2015
7. Erkenntnis
Die Betrachtung der Wechselwirkungen
der Unternehmens-Prozesse führt in der
Regel zurück auf das Thema „Chancen und
Risiken“.

Der Blick wird auf „unerwünschte

Auswirkungen“ und „unerwünschte
Ergebnisse“ gelenkt.

Und hier setzt die Vorbeugung ein.

Prozessorientiertes Auditieren
3a
7
Risiken & Chancen,
1 Unerwünschte Auswirkungen,
Ereignisse (f)
Verantwortungen & Befugnisse (e)
(Eignerschaft)

Erforderliche
Eingabe (a1) 5 2 Erwartetes Ergebnis (a2)

Ergebnisse, Messungen,
4 Aktivitäten, Methoden
Aufzeichnungen,
3
Dokumentierte Informationen,
Einbezogene Personen (c) Leistungsindikatoren,
Ressourcen (d) Prozesslenkung (c) Bewertung (g);
Verbesserungsmöglichkeiten
(h)

6
Wechselwirkungen mit anderen Prozessen (b)
Extern bereitgestellte Produkte, Prozesse, Dienstleistungen (8.4)
Aufgreifen von aktuellen Trends und
Entwicklungen
Beispiele für das Aufgreifen neuer
Trends (1)
A.15 c) (neu) Virtuelle Tätigkeiten
▪ Sicherstellen, dass das Auditteam vereinbarte Fernzugriffs („Remote“)-
Protokolle einschließlich angeforderter Geräte, Software usw.
verwendet;
▪ falls Kopien von Dokumenten jeglicher Art in Form von Screenshots
angefertigt werden, im Voraus um Genehmigung bitten und
Vertraulichkeits- sowie Sicherheitsfragen berücksichtigen und
Aufzeichnungen von Personen ohne deren Zustimmung vermeiden;
▪ falls während des Fernzugriffs ein Vorfall auftritt, sollte der
Auditteamleiter die Situation zusammen mit der auditierten Organisation
und, falls notwendig, mit dem Auditauftraggeber überprüfen und eine
Einigung darüber erzielen, ob das Audit unterbrochen, verschoben oder
fortgesetzt werden sollte;
▪ Grundrisse/Diagramme des Fernstandorts als Referenz verwenden;
▪ Im Anhang A.16 weitere Erläuterungen zum Thema Auditieren von
virtuellen Aktivitäten oder Standorten.
Beispiele für das Aufgreifen neuer
Trends (2); Kombi-Audit Lebensweg
Integration von Forderungen zweier verschiedener Norm-
Grundlagen.

ISO 14001:2015, Kapitel 8.1, Betriebliche Planung und Steuerung

ISO 9001:2015, Kapitel 8.5.5, Tätigkeiten nach der Lieferung

Auditoren sollten folgende Aspekte berücksichtigen:

▪ Die Nutzungsdauer des Produktes/der Dienstleistung.
▪ Den Einfluss des Unternehmens auf die „Lieferkette“ (A.12).
▪ Die Länge (Akteure) der „Lieferkette“ (A.12).
▪ Die technologische Komplexität des Produktes.

ISO 9001:2015, 8.5.5:

ANMERKUNG Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von
Gewährleistungsbestimmungen, vertraglichen Pflichten, wie Instandhaltung und
ergänzenden Dienstleistungen wie Wiederverwertung oder Entsorgung einschließen.
Beispiele für das Aufgreifen neuer
Trends (3); Kombiaudit Compliance
Integration von Forderungen zweier verschiedener Norm-
Grundlagen.

ISO 14001:2015, u.a. Kapitel 4.2, 4.3, 5.2, 6.1.3 und 9.1.2
ISO 9001:2015, u.a. Kapitel 4.1, 4.2, 8.2.2, 8.3.3, 8.4.2 und 8.5.5

Das Auditteam sollte in Betracht ziehen, ob wirksame Verfahren für

folgende Aspekte vorliegen:

a) die gesetzlichen und aufsichtsrechtlichen Anforderungen und

sonstigen Anforderungen, zu denen sich das Unternehmen
verpflichtet hat, werden identifiziert;

b) Aktivitäten, Produkte und Dienstleistungen sind darauf aus-

gerichtet, die Einhaltung dieser Anforderungen zu erreichen;

c) die Bewertung des „Compliance-Status“ erfolgt.

Fazit
Fazit zum Profil als interner Auditor
▪ Wissen, Kenntnisse und Fertigkeiten rund um das
Fachthema „Internes Audit“ mit Auditplanung,
Durchführung und Nachbereitung
▪ Prozesskenntnisse
▪ Sicherheit im Umgang mit neuen Medien
▪ Fachliches Urteil sicher anwenden
▪ Methodensicherheit
▪ Persönliche Ausstrahlung/Auftreten
▪ Direkter Kontakt zu Fach- und Führungskräften und der
obersten Leitung
▪ Botschafter/in für das Managementsystem sein
▪ Überzeugungskraft und Ideenreichtum zur
Weiterentwicklung des Managementsystems
Fazit zum aktuellen Stand der Revision
▪ Das Ergebnis ist keine grundlegend neue, aber fundiert
weiterentwickelte und an den Stand der Technik der aktuellen
Managementsystemnormen angepasste Version.

▪ Aktuelle Trends und Entwicklungen wurden aufgegriffen.

▪ ISO 19011:2018 enthält zu allen auditrelevanten Fragen

wertvolle Hinweise, insbesondere viele praktische
Erläuterungen zum Auditieren im Anhang A.

▪ Jeder Auditor sollte den Inhalt kennen, um nutzbringend für

einen nachhaltigen Unternehmenserfolg auditieren zu können.
 Herzlichen Dank für Ihr Interesse
und Ihre Aufmerksamkeit!

Andreas Ritter
DQS Auditor, Moderator und Trainer
DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen