IKT im Audit oder der Begutachtung

Moderne Informationstechnologien in Audits und Begutachtungen korrekt anwenden!

Digitale Transformation von Managementsystemen und die umfassende Verfügbarmachung audit- und begutachtungsrelevanter Daten in digitaler Form sind zentrale Voraussetzungen für eine ressourceneffiziente Zukunft. Audit- und Begutachtungsprozesse sollen dabei für alle beteiligten Stakeholder (Auditierende und Auditierte, Begutachtende und Begutachtete, Akkreditierungsstelle, Zertifizierungsstelle und Konformitätsbewertungsstelle etc.) so effektiv und effizient wie möglich verlaufen.

Informations- und Kommunikationstechnologien (IKT) als festen Bestandteil einer Audit- oder Begutachtungsmethodik im Rahmen einer Fernbegutachtung zu nutzen, macht insbesondere Systemaudits und Systembegutachtungen sehr viel effizienter. Jeder, der im Laufe der Covid-19-Pandemie eine Fernbegutachtung mit Hilfe von Dokumentenkameras und anderen Übertragungsmedien mitgemacht hat, der weiß, welche Vorteile in der digitalen Verfügbarkeit von audit- und begutachtungsrelevanten Daten liegen.

Die Zeiten, in denen „Papier-Managementsysteme“ eine Herausforderung für eine Fernbegutachtung waren, sind – hoffentlich – vorbei!

Im Rahmen von AUDITTRAILS-Projekten werden wir immer wieder gefragt, ob die Akkreditierungs- bzw. Zertifizierungsstellen die digital transformierte Informationsbereitstellung auch akzeptieren – und falls ja, welche Regeln dabei gelten.

Die klare Antwort: „Ja, die digital transformierte Nutzung von Informations- und Kommunikationstechnologien wird ganz klar unterstützt!“ In diesem Artikel beleuchten wir mithilfe der deutschen Übersetzung der hierbei relevanten „IAF MD 4:2018“ des INTERNATIONAL ACCREDITATION FORUM, INC., was es zu beachten gilt!

Warum wir behaupten können, dass Akkreditierungsstellen die Nutzung von IKT in Audits- und Begutachtungen unterstützen? Naja, das o.g. Dokument gilt sowohl für Akkreditierungs- als auch Zertifizierungsstellen; und wir selbst haben im Rahmen unseres eigenen Zertifizierungsaudits von unserer Zertifizierungsstelle nebenstehendes Feedback erhalten.

Manfred Grühn

„Ich habe schon viele Lösungen für die digitale Abbildung von Managementsystemen gesehen, aber was Ihr da gebaut habt, ist echt sehr praxisorientiert. Ich habe mich als Zertifizierungs-Auditor durch die gute, normbasierte Strukturierung sofort zurecht gefunden, sodass die Dokumentprüfung sehr einfach möglich war. Der temporäre Zugriff auf das Managementsystem hat für mich als Auditor durch die ermöglichte Remote-Dokumentprüfung sehr zur Effizienz des Audits beigetragen.“

Manfred Grühn, Zertifizierungs-Auditor DIN EN ISO/IEC 27001 der DEKRA

Natürlich gilt: Der Einsatz von IKT im Audits und Begutachtungen ist keine Pflicht. Kommen IKT aber zum Einsatz, so ist das Dokument IAF MD 4:2018 verbindlich einzuhalten. Wie wir aus der jüngsten Akkreditierungskonferenz AKKKO 2023 wissen, gelten für IKT, die im Audit zur Veranschaulichung konformitätsbewertungsrelevanter Daten genutzt werden, die Anforderungen an Informationssicherheit (Hierzu wurde von uns bereits ein Artikel veröffentlicht).

Was versteht man unter Informations- und Kommunikationstechnologien, die für Audit- und Begutachtungszwecke eingesetzt werden?

Moderne, anspruchsvolle Informations- und Kommunikationstechnologien (IKT) leisten in unserem beruflichen Alltag einen erheblichen Beitrag zur Effektivität und Effizienz von Unternehmensprozessen aller Art. Es ist deshalb unerlässlich, dass solche Technologien auch im Audit- oder Begutachtungsprozess eingesetzt werden, um diesen effizient zu gestalten und dessen Integrität zu unterstützen bzw. aufrecht zu erhalten. Wir setzen moderne IKT ein, um Informationen zu erfassen, zu speichern, wiederzufinden, zu verarbeiten, zu analysieren und zu übertragen. Dies beinhaltet Software und Hardware gleichermaßen, z.B. Smartphones, Tablets, Notebooks, Laptops, Desktop-Computer, Drohnen, Videokameras, tragbare Technologien (sog. Wearables), künstliche Intelligenz uvm.

Einige Beispiele:

  • Videokonferenz-Software für Meetings
  • Fernaudit und Fernbegutachtung von Dokumenten und Aufzeichnungen, sowohl synchron (in Echtzeit mit dem Auditierten bzw. dem Begutachteten) oder asynchron (alleinige Dokumentprüfung durch Auditierende oder Begutachtende bei Bedarf)
  • Begutachtung von Dokumenten und Aufzeichnungen mittels Videostandbild, Video- oder Audioaufzeichungen
  • Bereitstellung eines Fernzugangs zu entfernten oder potentiell gefährlichen Orten.

Dabei soll sichergestellt werden, dass:

  • herkömmliche Audit- und Begutachtungsprozesse optimiert werden
  • durch kontrollierte Zugriffe die Integrität gewahrt bleibt und Missbrauch vermieden wird
  • die Prinzipien der Nachhaltigkeit und Sicherheit unterstützt werden

Welche Anforderungen gelten hinsichtlich Sicherheit und Vertraulichkeit, wenn Sie IKT im Audit einsetzen wollen?
  • Die Anwendungen von IKT im Audit- oder Begutachtungsprozess müssen einvernehmlich zwischen der Stelle, die auditiert bzw. begutachtet wird, und der Stelle, die auditiert bzw. begutachtet, in Übereinstimmung mit Sicherheitsinformationen, Datensicherungsmaßnahmen und weiteren in den Stellen geltenden Regelungen vereinbart werden. Solche Maßnahmen können sein:
    • Konfigurationsmöglichkeiten dedizierter Auditoren- / Begutachterrollen zum Fernzugriff mit expliziten Leserechten
    • Aufrechterhaltung von Schutzklassen (vertraulich, streng vertraulich) dokumentierter Information im Audit oder in der Begutachtung
    • Personalisierter, zeitlich begrenzter Zugriff
    • Log-in Protokolle
    • ggf. Mehrfaktor-Authentifizierung
    • Vereinbarung zur Unterlassung von Bildschirmfotografien, Audio- und Videomitschnitten
    • uvm.
  • Sollten entsprechende Maßnahmen nicht eingehalten werden können oder keine Einigung erzielt werden, so muss die auditierende / begutachtende Stelle auf andere Audit- / Begutachtungsmethoden zurückgreifen.
  • Die auditierte / begutachtete Stelle identifiziert und dokumentiert Risiken, die sich auf die Wirksamkeit von Audits / Begutachtungen auswirken können.
  • Wenn die Verwendung von IKT vorgeschlagen wird, muss die Antragsprüfung eine Überprüfung beinhalten, dass beide Stellen die notwendige Infrastruktur vorhalten können.
  • In Zuge der Auditplanung/Begutachtungsplanung soll unter Berücksichtigung der ermittelten Risiken dargelegt werden, wie IKT im Audit / in der Begutachtung eingesetzt werden, um die Wirksamkeit und Effizienz des Audits / der Begutachtung zu optimieren und gleichzeitig die Integrität aufrecht zu erhalten.
  • Bei der Nutzung von IKT müssen Auditoren bzw. Begutachter und andere Beteiligte über die Kompetenz sowie Fähigkeit verfügen, die eingesetzten IKT zu verstehen und zu nutzen. Alle Beteiligten müssen sich über die Risiken und Möglichkeiten der eingesetzten IKT sowie über die Auswirkungen, die sie auf Validität und Objektivität der gesammelten Informationen haben können, bewusst sein.
  • Sollten IKT eingesetzt werden, ist möglicherweise zusätzliche Auditplanung sowie Kompetenzaufbau notwendig.
  • In den Audit- / Begutachtungsberichten ist anzugeben, in welchem Umfang IKT eingesetzt wurden und welchen Einfluss dies auf die Effektivität zur Erreichung der Audit-/Begutachtungsziele hatte.
  • Sofern IKT im Audit/in der Begutachtung eingesetzt werden, gilt das Dokument IAF MD 4:2018 verbindlich.

Folgende Aspekte tragen dazu bei, die Effizienz und Effektivität in Audits und Begutachtungen zu steigern, wenn Sie das digitale Managementsystem-Framework AUDITTRAILS als IKT auch in Audits und Begutachtungen einsetzen.
  • Die AUDITTRAILS Networks GmbH ist zertifiziert nach DIN EN ISO/IEC 27001 und bietet im digitalen Managementsystem-Framework „security-by-design“ an.
  • Sie generieren dedizierte Rollen für Externe: Dies können Auditoren und Begutachter sein, die gemäß ihren Rollen nur Leserechte haben und diese für die Dokumentprüfung oder Prüfung anderer Sachverhalte nutzen können
  • Sie geben Externen gemäß Ihrer Rollen zeitlich begrenzten Zugriff, der automatisiert in Log-in-Protokollen dokumentiert wird.
  • Auf Wunsch kann der Fernzugriff mit einer Mehrfaktor-Authentifizierung konfiguriert werden.
  • AUDITTRAILS gibt Ihnen die Möglichkeit einer nachvollziehbaren Risikobewertung zur Verwendung von IKT.
  • Prozessfestlegungen zu Fernbegutachtungen mittels IKT sind auf Wunsch Teil ihrer gelenkten Managementsystemdokumentation.
  • AUDITTRAILS hat die wesentlichen Prozesse für ein wirksames Managementsystem standardisiert – dadurch müssen Sie sich im Audit / in der Begutachtung weniger mit Grundsatzfragen auseinandersetzen, um die Normkonformität nachzuweisen, da alle Auditoren / Begutachter, die AUDITTRAILS bereits einmal auditiert / begutachtet haben, die gleichen Prozessdefinitionen auffinden. Einige Beispiele hierfür:
    • Dokumentmanagement und -lenkung
    • Personal- und Kompetenzmanagement
    • Prüfmittelmanagement und Nachweisführung zur metrologischen Rückführung
    • Management von Räumlichkeiten und Umgebungsbedingungen
    • Risiko- und Chancenmanagement
    • Management von Beschwerden, Nichtkonformitäten und nichtkonformer Arbeit
    • Maßnahmenplanung
    • Wirksamkeitskontrolle
    • uvm.

Die einheitliche Prozessgestaltung entlang eines normkonformen, standardisierten Datenmodells hilft dabei, den Zeitbedarf für Systemaudits auf ein Minimum zu reduzieren. Dadurch entsteht ein klarer Fokus auf wertschöpfende Tätigkeiten im Labor bei gleichzeitig höchster Qualität des eigenen Managementsystems!

Unser Tipp: Haben Sie den Mut und sprechen Sie Ihren Verfahrensmanager und Ihre Zertifizierungs- oder Akkreditierungsstelle direkt an. Sie werden die Anwendung von IKT für einen deutlichen Effizienzgewinn gerne annehmen.

Lesen Sie auch:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner