Auditierung

Aus SicherheitsWiki

Wechseln zu: Navigation, Suche
Sponsored Links

CIM Business Risk Consulting
Vertrauen ist gut, Kontrolle ist besser - CIM Sicherheits-Audits
www.ci-m.eu/sicherheitsaudits

Hier könnte Ihre Anzeige stehen »»»

Der Begriff Auditierung bzw. Audit beschreibt die Bewertung (Assessment) eines Aspektes des Unternehmens (Auditobjekt). Dabei orientiert sich ein Audit meist an speziellen Audit-Vorgaben und dient der Qualitätssicherung. Bei einem Audit handelt es sich konkret um ein Instrument für die systematische, unabhängige und dokumentierte Untersuchung zur objektiven Feststellung qualitätsbezogener Tätigkeiten und deren Auswertung anhand der geplanten Anforderungen und Ziele (Auditkritierien). Für einen erfolgreichen Abschluss des Audit müssen bestimmte Merkmale vorhanden und bestimmte Forderungen erfüllt sein. Dabei orientiert sich das Audit allgemein an den DIN-Normen ISO 9000 bis 9004. Dies beinhaltet nicht nur die Definition des Begriffes nach DIN EN 9000ff („Audit ist die Beurteilung der Wirksamkeit des Qualitätssicherungssystems oder seiner Elemente.“), sondern legt auch die entsprechenden Regularien zur Ausstellung eines Zertifikat mit einer Gültigkeit von drei Jahren bei „Gutbefund“ fest.

In sicherheitsrelevanten Bereichen würde man als Auditierung (Audit) die Überprüfung und qualitative Bewertung bereits bestehender Sicherheitsmaßnahmen bezeichnen.


Formen der Auditierung

In der Regel wird zwischen

  • Produkt- und Leistungsaudit (Inspektion der Produkt- bzw. Leistungsqualität auf Übereinstimmung mit Kundenanforderungen und technischen Spezifikationen)
  • Prozessaudit (Beurteilung von Vorgehensweisen, Vorgängen und Verfahren)
  • Systemaudit (Gesamtbetrachtung eines einzelnen Managementsystems, wie Qualitäts- oder Umweltmanagementsystem, oder eines integrierten Managementsystems)

unterschieden.

Darüber hinaus gewinnen Umweltaudits, Qualitätsaudits, Performanceaudits, Lieferantenaudits und Finanzaudits zunehmend an Bedeutung.

Klassische Betrachtungsweise der Auditierung

Die Problematik besteht darin, dass meist nur das externe Audit durch eine Zertifizierungsstelle Beachtung findet. Dass ein Audit nicht zwangsläufig von Externen erfolgen muss, sondern, wie bsp. bei einer internen Revision im Unternehmen, die Prüfung in Abhängigkeit von Ziel oder Zweck der Maßnahme, auch von Internen durchgeführt werden kann, gerät dabei schnell in Vergessenheit.

Demnach wird die Auditierung häufig als genaue Überprüfung, ob bestehende Richtlinien und vorgegebene Verfahrensweisen eingehalten werden, verstanden. Dies liegt vor allem daran, dass die DIN EN ISO 10011, der Leitfaden für das Audit von Qualitätssicherungssystemen, entsprechende Normengrundlagen definiert und gezielt die Auditdurchführung, Qualifikationskriterien für Auditoren und das Management von Auditprogrammen beschreibt und daher ein Audit allein auf die Sichtweise als Prüfungsverfahren (nach ISO und EMAS) reduziert.

So wird zwar genauestens untersucht, ob das Unternehmen in den betrieblichen Abläufen bestimmte überbetrieblich festgelegte Standards einhält bzw. ob das firmeninterne Qualitätsmanagement nach DIN EN ISO 9001 normkonform ist. Allerdings wird auf diese Weise meist nur noch die Beurteilung einer Teildisziplin durch eine externe Organisation gemäß einem international vereinbarten Verfahren betrachtet, wodurch der Begriff (und damit das Ziel) einer schnelllebigen Zertifizierung in den Mittelpunkt gerät. Der Aspekt der „Nachhaltigkeit“ geht somit verloren und wird nur durch wiederkehrende Überwachungsaudits (jährliche Prüfungen sollen motivieren, den erreichten Stand „zu halten“) sichergestellt.

Das heißt auch, dass Mitarbeiter keine Fehler machen dürfen und Fehler die dennoch passieren zu analysieren und entsprechende Maßnahmen zu treffen sind. Mit dieser Auffassung gerät man allerdings leicht in eine Schiene der Schuldzuweisung („Wer ist schuld?“). Sinnvoller ist es aber, die Frage nach möglichen Optionen zum Umgang mit Fehlern zu stellen („Was kann getan werden, um solche Fehler zu vermeiden?“), um offensichtliche Fehler die durch Routine und mangelndes Pflichtbewusstsein entstehen können, im Vornherein zu verhindern. Mangelt es an einer ordnungsmäßen und regelmäßigen Weiterentwicklung von Maßnahmen und Abläufen und auch an einer Weiterbildung der Mitarbeiter, so verfällt das Personal in einen „Dienst nach Vorschrift“ und macht somit jegliche getroffene Sicherheitsvorkehrungen und ­vorschriften obsolet.

Auditierung als dynamischer Prozess

Weitaus gefährlicher als Wiederholungsfehler (also Fehler die sich wiederholen), sind Routinefehler, die aufgrund von Wiederholungen entstehen. Die dynamische Auditierung reduziert sich nicht auf eine statische und unflexible „Handbuchprüfung“ mit eindeutigem Prüfungscharakter, bei der die Dokumentation aller Prozessschritte (ein Qualitätssicherungs-Handbuch, das praktisch alle Handgriffe in einem Unternehmen erfasst hat, vorausgesetzt) den Erfordernissen einer Norm entsprechend geprüft wird, sondern stellt Auditierung als dynamischen Prozess dar. D.h., es wird nicht im klassischen Sinne geprüft, ob die dargestellten Vorgangsweisen auch tatsächlich im Unternehmen so gehandhabt werden. Viel mehr findet einer gezielte Überprüfung des Systems auf Lücken und Unzulänglichkeiten hin statt.

Vorteile einer dynamischen Auditierung

Die Betrachtung der Auditierung als reine Maßnahme zur Ausstellung eines Zertifikates ist unvollständig und für ein gutes Sicherheitsmanagement nicht ausreichend. Bei einer Auditierung zur Prävention bzw. zur Nachbereitung einer Krise, geht es nicht darum, stur Sicherheitskonzepte abzuklopfen, sondern Schwachstellen sensibler sicherheitsrelevanter Bereiche innerhalb der Organisation und deren Strukturen, sowie innerhalb wiederkehrender Prozesse und Vorgänge zu analysieren. In diesem Zusammenhang können konkrete Probleme aufgezeigt und die Wirksamkeit getroffener Maßnahmen geprüft und bewertet werden. Das Unternehmen wird so vor aus Routine resultierenden Nachlässigkeiten die ein System gefährden bewahrt.

Dynamische Auditierung untersucht klare Problemfelder auf Schwachstellen und berücksichtigt dabei nicht nur das reine Vorhandensein bestimmter Maßnahmen.

Es geht also um die Feststellung der Wirksamkeit und der Leistungsfähigkeit bestimmter Sicherheitssysteme. Diese bedeutet allerdings nicht die Durchführung bsp. eines IT-Audits. In den sicherheitsrelevanten Bereichen mangelt es zwar nicht an den notwendigen Anforderungs- und Maßnahmenkatalogen (z.B. die IT-Sicherheit betreffend stellt der BSI umfangreiche Richtlinien zur Sicherstellung des IT-Grundschutzes zur Verfügung), allerdings an der Überprüfung der Einhaltung der festgesetzten Zielvereinbarungen bzw. –vorstellungen.

Es reicht daher nicht aus, entsprechende Vorkehrungen getroffen zu haben, zur klaren Risikoprävention müssen diese auch Anwendung finden.

Auch eine dynamische Auditierung hält sich an den strategischen Ablauf einer klassischen Auditierung:

  • Vorbereitung (Audit-Planung)
  • Durchführung der Auditierung inklusive Bewertung
  • Nachbereitung (Umsetzung der Korrekturmaßnahmen und Überwachung der Umsetzung und Wirksamkeit)

Die Konzeption der dynamischen Auditierung kann somit als Evaluation bezeichnet werden. Einerseits als klassische Nachbereitung einer überwundenen Krise, andererseits als präventive Überprüfung und damit individuelle und konsequente Auseinandersetzung mit den für die Sicherheit des Unternehmens relevanten Bereichen.

Wichtig ist hierbei nicht nur, ob die Durchführung letztendlich den geplanten Maßnahmen entspricht (diese also ordnungsgemäß verwirklicht werden), sondern auch, ob die Maßnahmen geeignet sind, das gewünschte Ziel der Risikoprävention zu erreichen.

Weblinks

Literatur

  • Horst Wildemann: Gegenseitige Auditierung. Leitfaden zum Selbstcontrolling und Lerntransfer für Unternehmen, Zulieferanten und Vertriebsorganisationen ISBN 3-929918-56-0, München, 2010
  • Klaus Wübbelmann: Management Audit. Unternehmenskontext, Teams und Managerleistung systematisch analysieren ISBN 3-409-11795-4, Wiesbaden, 2001
  • Dipl.-Ing. Michael Cassel: Qualitätsmanagement nach ISO 9001: 2008 ISBN 978-3-446-41871-4, München, 2009
  • Dr. Alexander Pischon, Prof. Dr. Dietfried G. Liesgang (Hrsg.): Integrierte Managementsysteme für Qualität, Umweltschutz und Arbeitssicherheit ISBN 3-540-65407-0, Berlin, 1999
  • Prof. Dr. Ing. Gerd F. Kamiske (Hrsg.): Managementsysteme. Begutachtung, Auditierung und Zertifizierung ISBN 978-3-939707-02-8, Düsseldorf, 2008

Siehe auch