Fokusartikel: Audits in Corona-Zeiten

25. Jun 2020

Audits

Wenn das Zertifikat droht abzulaufen

Abhilfe können internetbasierte Remote-Audits schaffen. Bislang waren ihnen enge Grenzen gesetzt, die sich aber nach der Krise weiter verschieben könnten.

Audits in Corona-Zeiten

Remote-Audits sind nicht ganz neu, bekommen aber in der Corona-Krise eine neue Tragweite. Bereits der Leitfaden zum Auditieren von Managementsystemen (DIN EN ISO 19011:2011) hatte vor knapp neun Jahren Videokonferenzen als Alternative zum physischen Audit vor Ort aufgezeigt. Die Vorteile liegen auf der Hand: kürzere Rüstzeiten, international verteilte Betriebsstätten können simultan eingebunden werden, und Audit-Teams sind nicht durch Reisezeiten und Reisekosten limitiert. Vor dem Hintergrund vieler weltweit verzweigter Lieferketten arbeitet DEKRA bereits seit längerem an virtuellen Audit-Techniken und Abläufen, die für eine Bandbreite von Managementsystemen einsetzbar sind, von der Industrieproduktion über die Lebensmittelerzeugung bis hin zur Luftfahrt.

War der Einsatz von Informations- und Kommunikationstechnologie (IKT) im Audit bislang gedacht, die Wirksamkeit und Effizienz des Auditprozesses bei Routinen zu optimieren, geht es in der Corona-Krise vor allem um die drängendste Frage: Kann ich mit meiner betrieblichen Software und Hardware ein Audit durchführen, damit das Zertifikat seine Gültigkeit behält? Denn solange weltweite Reiseverbote gelten, Belegschaften in vorsorglicher Quarantäne und Betriebsstätten geschlossen sind, ist das Audit vor Ort auch abgesagt. In einigen Bereichen ist es daher vorläufig zulässig, Überprüfungs- oder Rezertifizierungsaudits um bis zu sechs Monate über das Ablaufdatum hinaus zu verschieben. Zudem können virtuelle Audits über Remote-Verfahren hilfsweise zur Überbrückung eingesetzt werden.

30-Prozent-Regel gelockert

Digitale Kommunikationsformen sind im Audit bislang nur begrenzt einsetzbar. Jedoch sind bei Zertifizierungen des Qualitätsmanagementsystems im Automobilsektor nach IATF 16949 Remote-Audits weiterhin unzulässig. In anderen Bereichen – wie bei Zertifizierungen von Qualitätsmanagementsystemen (ISO 9001), Zertifizierungen der Informationssicherheit (ISO 27001) oder von Luftfahrtzertifizierungen nach EN 9100 - gestattet die Akkreditierungsstelle Remote-Audits in einem gewissen Rahmen. Vor diesem Hintergrund markiert der November 2019 eine Zeitenwende. Denn die seit Jahren geltende Schwelle, wonach maximal nur 30 Prozent der geplanten Audit-Zeit auf ein virtuelles Audit verlagert werden können, ist gelockert.

Für den Ernstfall trainieren

Ein Remote-Audit ist letztlich ein Webmeeting über eine Audio- und Videoverbindung. Unternehmen, die diesen Kontaktweg mit Fernzugriff auf Dokumentationen des Managementsystems planen, müssen die IAF MD 4:2018 berücksichtigen (Verbindliches Dokument zur Verwendung von Informations- und Kommunikationstechnologien (IKT) für Audit- /Begutachtungszwecke). Demnach ist zunächst die IKT-Infrastruktur des zu auditierenden Bereichs auf Tauglichkeit zu prüfen. Anforderungen sind vor allem Sicherheit und Vertraulichkeit der Dokumenten-Zugänge, Netzstabilität sowie angemessene Kontrollen, um Missbrauch zu vermeiden, der die Integrität des Audit- oder Begutachtungsprozesses beeinträchtigen könnte. Überdies muss zwischen dem auditierten Betrieb und der Zertifizierungsstelle Einvernehmen bestehen, dass die Sicherheitsanforderungen eingehalten sind.

Auditoren und die Mitarbeiter des auditierten Unternehmens sollten sich direkt sehen und hören können, um auf alle Kommunikationssignale – auch auf die nonverbalen – flexibel reagieren zu können. Treten während des Audits dennoch IT-Störungen oder sonstige Unterbrechungen z. B. durch einen ungeübten Umgang mit der Technik auf, muss gestoppt werden. Lässt sich die Störung nicht beheben, kann das Audit nur noch physisch vor Ort beendet werden. Um einen reibungslosen Verlauf sicherzustellen, müssen zuvor die Risiken und Möglichkeiten ermittelt werden. Für ein internes Audit kann der Betrieb diese Risikoanalyse selbst übernehmen sowie die Auswahl und Nutzung der verwendeten Technologien beschreiben. Hingegen wird für ein Zertifizierungsaudits die Risikoanalyse durch die Zertifizierungsstelle auf Basis von Kundenangaben benötigt.

Durch alternative Auditmethoden verschaffen sich Unternehmen Freiräume für den Notfall, wenn die Belegschaft länger aus dem Homeoffice arbeiten muss. Das ist gleichzeitig ein gutes Training, um die digitale Infrastruktur im Unternehmen mit virtuellen Orten (z. B. Intranets) zu stärken. Schon seit Jahren empfehlen die Leitfäden zur betrieblichen Pandemieplanung bei einer Grippewelle Besprechungen vorrangig virtuell abzuhalten. Auf diesen Zusammenhang verweist auch eine aktuelle Studie der Universität Mannheim zur Verbreitung des Coronavirus. Demnach meldeten Regionen mit einem hohen Anteil an Homeoffice-fähigen Arbeitsplätzen weniger Infektionszahlen. Wissenschaftler empfehlen zur Reaktivierung der Wirtschaft den digitalen Kontakt aus dem Homeoffice so lange wie möglich aufrechtzuerhalten. Folglich dürfte die Nachfrage nach virtuellen Audits weiter steigen.

Leitet Corona eine Wende ein?

Während die Remote-Anteile im Audit bislang eine nachrangige Rolle spielten, könnte die Corona-Pandemie eine Wende einleiten. DEKRA setzt beispielsweise computergestützte Auditverfahren ergänzend bei Re-Zertifizierungen ein, wenn die Prozesse des zu prüfenden Bereichs stabil laufen, und ein Auditor nicht zwingend vor Ort anwesend sein muss. Alternative Auditmethoden eignen sich nicht nur bei virtuellen, dezentral organisierten Abläufen. Es gibt es kein generelles Verbot, auch physische Produktionsprozesse in ein Remote-Audit einzubeziehen. Gemäß IAF (International Accreditation Forum) ist die Bewertung durch eine Risikoanalyse entscheidend. So führt DEKRA in einigen Fällen bereits Überwachungsaudits zu 100 Prozent remote durch.

Insgesamt dürften die digitalen Kontaktwege mit dem Auditor – von Bildschirm zu Bildschirm – an Bedeutung zunehmen. Nach wie vor gilt aber die oberste Prämisse: der Zertifizierungsprozess darf nicht durch einen unstrukturierten Fernzugriff gefährdet oder in Krisenzeiten unterwandert werden.

Seite teilen