Von: Dr. Oliver Kunert (GRASS-MERKUR)
Es gibt wohl heutzutage keine größere Unternehmung, die nicht mindestens eine Zertifizierung für sich oder Ihre Produkte vorweisen darf. Sei es aus eigenem Antrieb, um im Markt zu bestehen oder sei es der Compliance wegen, vom Gesetzgeber verbindlich vorgeschrieben.
Auditierungen haben eines gemeinsam: Einmal erfolgreich abgelegt, kommen sie wieder, meist jährlich, wie Geburtstage. Sie nennen sich dann Überwachungsaudits oder Re-Zertifizierungen.
Zertifizierungen sind grundsätzlich sinnvoll, können sich die Kunden und die Aufsicht doch dann auf die Einhaltung der notwendigen Standards und Qualität verlassen. Auf der Seite der auditierten Organisation ist der dafür zu kalkulierende Aufwand oft erheblich.
Unserer inzwischen langjährigen Erfahrung bei der Vorbereitung und Begleitung von Audits begegnet uns sehr häufig folgendes Muster. Mit enormer Energie, Druck vom Management und viel Aufwand wird auf die Erst-Zertifizierung hingewirkt. Alles läuft klasse. Vielleicht gibt es während des Audits die eine oder andere Abweichung. Die ist aber schnell ausgebügelt. Das Zertifikat hängt kurze Zeit danach goldgerahmt an der Wand. Die ganze Organisation ist stolz.
Und dann? Der nächste Audit-Termin ist erst einmal weit weg, ein Jahr mindestens. Wer dann nicht schon vorgedacht hat, könnte erleben, was wir in unserer Beratungs-Praxis in Kundenprojekten häufig wahrnehmen: Torschlusspanik vor dem nächsten Audit. Warum? Einige einfache Regeln wurden nicht eingehalten.
Etwas Aufwand müssen Sie schon reinstecken. Doch wenn Sie die folgenden Regeln in der Zeit zwischen den Audits beachten, dann wird die Vorbereitung auf den nächsten Audit mehr ein Spaziergang als ein Endspurt.
Hier finden Sie unsere Checkliste für eine Audit-Vorbereitung. Ohne hektische „Sprints“ in der Schlussphase.
1. Bestimmen Sie einen echten „Kümmerer“!
Eine Person, die sich selbst mit der Sache identifiziert, ist hier gesucht. Am besten eine, deren Lebensmotive Genauigkeit, Akribie und Ausdauer sind. Diese Person übernimmt die Rolle des Treibers für die Sache. Sie sorgt dafür, dass die Kugel den Berg hinauf kommt, dort bleibt und nicht zurückrollt. Suchen und ermächtigen Sie diese Person in Ihrem Unternehmen!
2. Schaffen Sie ein strukturierte Dokumenten-Ablage!
Wo steht das? Wo haben Sie das geregelt? Das ist eine der häufigsten Fragen von Auditor*innen. Oft geht dann im Audit die große Suche los. Das muss nicht sein, wenn eine gut strukturierte und gepflegte Ablage vorhanden ist. Die Technik ist hier egal, ob Papier, Tabellenkalkulation, ein Wiki oder ein hochintegriertes Softwarewerkzeug, Hauptsache strukturiert und jeder Person im Hause ist die Struktur bekannt, damit die Dokumente auch richtig zugeordnet werden und wieder auffindbar sind. Investieren Sie hier lieber mehr in eine wohldurchdachte und auf Ihre Belange zugeschnittene Struktur.
3. Führen Sie monatliche oder quartalweise Status-Meetings durch!
Regelmäßige Treffen mit fester Agenda halten die Aufmerksamkeit für das Thema Zertifizierung über das Jahr hinweg angemessen hoch. Die wichtigsten Steuerungskennzahlen, Risiken, entdeckte Abweichungen, künftige Vorhaben und Verbesserungsvorschläge sollten hier zur Sprache kommen und beschlossen werden. Die Leitung der Meetings könnte eine Führungskraft oder auch die auditbeauftragte Person haben.
4. Machen Sie interne Audits!
Einige Zertifizierungen verlangen interne Audits. Nach Plan und nach eigenen Vorgaben wird über die Zeit verteilt eine interne Kontrolle durchgeführt. Vergleichbar mit dem externen Audit werden so die ggf. gefundenen Abweichungen erkannt und korrigiert. Früh erkannt, ist der Aufwand noch gering. Bringt erst der externe Audit die Abweichungen hervor, kann dies unter Umständen das Zertifikat kosten. Planen Sie interne Audits nach einem Jahresprogramm mit Prüfkriterien ein, die sich an den Zertifikatsanforderungen orientieren. Der oben genannte „Kümmerer“ ist die geeignete Person zur Steuerung und Durchführung der internen Auditierung.
5. Bleiben Sie dran!
Diese Regel ist bei weitem die wichtigste. Das Tagesgeschäft geht vor, selbstverständlich. Und dann kann die eine oder andere Aufgabe, die für den Fortbestand des Zertifikats essentiell ist, schon mal liegen bleiben. Das kann vorkommen. Häuft sich das jedoch und wird die Aufgabe dann nicht nachgeholt, entstehen Lücken, große Lücken. So große Lücken, dass diese oft nur mit erheblichem Aufwand wieder zu schließen sind. Seien Sie deshalb unbedingt konsequent und schließen Sie kleine Lücken sofort! Geben Sie der Nachlässigkeit keine Chance!
Bewährtes aus der Praxis!
Dieses oben beschriebene Vorgehensmodell hat sich seit vielen Jahren auch in unserem Unternehmen erfolgreich bewährt.
GRASS-MERKUR hält seit 2008 durchgehend verschiedene Zertifizierungen u.a. ISO/IEC 27001, ISO 27017 und 27018 sowie ISO 50001. Hierbei sind jährliche Überwachungsaudits und alle drei Jahre eine Re-Zertifizierung Pflicht.
Mit den fünf beschriebenen Regeln sollten auch Sie dem nächsten Audit gelassen entgegen sehen können.
Von: Dr. Oliver Kunert (GRASS-MERKUR)
#GRASS-MERKUR #ISO27001 #TISAX #DasSichereZuhauseFürIhreDaten #CloudLocation