Kombinations-Audits für Security & Quality
Ob Einzelsysteme für IS und QM oder Integriertes Management – Kombi-Audits bringen verborgene Wechselwirkungen ans Licht.
Informationssicherheit nach ISO 27001 (IS) und Qualitätsmanagement nach ISO 9001 (QM) – wie gut lassen sich so unterschiedliche Normen gemeinsam auditieren? Immerhin bringen Kombi-Audits bei gezielter Vorbereitung und Planung bis zu 30 Prozent Zeitersparnis.
Langjährige Auditoren der Zertifizierungspartner CIS und Quality Austria, die auf die Durchführung von Kombinations-Audits spezialisiert sind, stehen im Interview Rede und Antwort: Herbert Filacchione und Dr. Peter Soudat.
Für welche Unternehmen sind Kombi-Audits sinnvoll? Nur für jene mit einem integrierten Gesamtsystem – oder auch für jene, die Qualitätsmanagement und Informationssicherheit separat betreiben?
Peter Soudat: Beides ist möglich. Zertifizierungs- und Überwachungsaudits können in beiden Fällen kombiniert durchgeführt werden. Denn schon bei der Auditplanung berücksichtigen wir überschneidende Inhalte und legen gemeinsam mit dem Unternehmen fest, welche Nachweise und Interviewpartner für das Audit aus beiden Systemen benötigt werden. Bei einem integrierten Managementsystem wird die Auditzeit aber kürzer ausfallen. Bei Einzelsystemen für Qualitätsmanagement und Informationssicherheit können Kombi-Audits auch eine gute Unterstützung in Richtung einer angestrebten Integration sein. In dem Fall ist die Vorbereitungsphase mit dem Kunden intensiver und die Auditoren gehen schon vorab detailliert auf die vorhandenen Prozesse aus beiden Systemen ein.
Wie viel Aufwand erspart man sich bei einem Kombi-Audit?
Herbert Filacchione: Das hängt vom Systemumfang ab. Am deutlichsten erlebt das oberste Management die Synergien, die bei einem Kombi-Audit de facto nur einen Interviewtermin haben, in dem alle Aspekte gemeinsam abgefragt werden. Insgesamt fallen kombinierte Audits um 20 bis 30 Prozent kürzer aus als vergleichbare Einzelaudits. Statt etwa 12 Audittage für zwei Systeme in einem größeren Unternehmen würden bei einem Kombi-Audit nur neun Tage benötigt werden. Eine ähnliche Zeitersparnis ergibt sich für den Kunden bei der Vorbereitung, da alle Dokumente und Interviewpartner für beide Systeme in einem Aufwaschen bereit gestellt werden. Ein inhaltlicher Benefit ist auch: Die Auditziele und Prüf-Schwerpunkte werden vorab mit dem Unternehmen anhand des Geschäftsmodells und den betrieblichen Risiken individuell vereinbart. So können die Audit-Ergebnisse zielgenau in die Verbesserung betrieblicher Abläufe einfließen. Ebenso werden die Interview-Partner für das Kombi-Audit abteilungsübergreifend gewählt, so dass wichtige Wechselwirkungen in den Organisationen zum Vorschein kommen.
Welche konkreten Inhalte der recht unterschiedlichen Normen ISO 9001 und ISO 27001 sind kombiniert auditierbar?
Peter Soudat: Die Anforderungen an die Managementsysteme überschneiden sich zu 100 Prozent, während sich bei den operativen Anforderungen je nach Branche und Geschäftstätigkeit Unterschiede ergeben. Betrachten wir dazu die Hauptkapitel der ISO 9001, beginnend mit Kapitel 4, „QM-System“: Hier schauen wir bei einem Kombi-Audit, welche QM- und IS-Prozesse im Unternehmen definiert wurden und ob die Wechselwirkungen klar sind. Auch Dokumentation und Handbücher lassen sich für beide Aspekte prüfen. Detto Kapitel 5, „Verantwortung der Leitung“: Hier können wir Qualitätspolitik und -ziele parallel mit der Information Security Policy und den IS-Zielen abfragen. Auch Kapital 6, „Management der Ressourcen“, verhält sich so: Die Punkte „Personal, Infrastruktur, Arbeitsumgebung“ lassen sich eins zu eins für QM- und IS-Aspekte überprüfen. Etwa im Bereich Human Resources könnte ein Lagerarbeiter gemäß ISO 9001 daraufhin auditiert werden, inwieweit er die Lagerhaltungssoftware fehlerfrei bedienen kann. Gemäß ISO 27001 würden wir parallel sein Sicherheitsbewusstsein bei der Datenverwaltung abfragen. Oder im Bereich Arbeitsumgebung begutachtet ein Auditor die in ISO 9001 geforderte Eignung der Geräte für die Mitarbeiter und prüft gleichzeitig Security-Maßnahmen nach ISO 27001 wie Berechtigungen und Clean-Desk-Policy.
Haben Sie Beispiele für Synergien bei den operativen Anforderungen?
Peter Soudat: Auch die operativen Hauptkapitel 7 und 8 – „Produktrealisierung“ sowie „Messung, Analyse und Verbesserung“ – bieten je nach Branche überschneidende Inhalte für Kombi-Audits. Bei einem Softwareentwickler würde der Prozess der Softwareentwicklung gemäß ISO 9001 auf Kontrollschleifen, Prozessbeschreibungen und Erfolgskriterien geprüft werden. Gleichzeitig würden wir auf IS-Aspekte nach ISO 27001 wie Secure Coding schauen. Oder nimmt man die QM-Forderung zur „Lenkung fehlerhafter Produkte“, so entspricht diese dem Incident oder Problem Management aus der Informationssicherheit. Dazu würden wir fragen, ob das Unternehmen Fehlermeldungen oder Kunden-Feedback zu entwickelten Produkten für beide Aspekte, QM und IS, auswertet und daraus Maßnahmen ableitet.
„Die Interview-Partner für das Kombi-Audit werden abteilungsübergreifend gewählt, so dass wichtige Wechselwirkungen zum Vorschein kommen.”
Herbert Filacchione
Auditor, Quality Austria und CIS
„Die Anforderungen an die Managementsysteme für Qualität und Informationssicherheit überschneiden sich zu 100 Prozent.“
Dr. Peter Soudat
Auditor, Quality Austria und CIS
Ist eine Systemintegration für ISO 9001 und ISO 27001 in jedem Fall sinnvoll oder gibt es bestimmte Voraussetzungen?
Herbert Filacchione: Bei sehr unterschiedlicher Systemreife konnte es bisher sinnvoller sein, eine zeitlang zwei getrennte Managementsysteme zu führen. Seit der Einführung der High Level Structure mit den gleichlautenden Kerntexten und einheitlicher Kapitelstruktur wird die Integration aller ISO-Managementsysteme stark vereinfacht, so dass eine Integration von ISO 9001 und ISO 27001 vor diesem Hintergrund zu jedem Zeitpunkt empfehlenswert ist. Wichtig ist aber, in der Übergangsphase zwischen den Standard-Versionen zu unterscheiden. Die aktuelle ISO 27001:2013 enthält bereits das harmonisierte Schema, während ISO 9001 mit der neuen Struktur voraussichtlich erst 2015 veröffentlicht wird.
Haben Sie Tipps für eine effektive Systemintegration für Qualität und Informationssicherheit?
Herbert Filacchione: Drei grundlegende Dinge erleichtern Betrieb und Auditierung eines Gesamtmanagementsystems: Erstens sollte eine einheitliche Datenbank für alle Ergebnisse und Erkenntnisse – aus Messungen, aus Audits, aus dem Kunden-Feedback oder aus Risikoanalysen – für die unterschiedlichen Managementthemen betrieben werden. Zweitens sollten Qualitätsmanager und Information Security Manager oder auch Gesamtsystemleiter in der Hierarchie möglichst weit oben angesiedelt sein, mit Durchgriffs- und Weisungsrecht, damit notwendige Änderungen wirklich umsetzbar sind. Derzeit ist leider ein gegenläufiger Trend zu beobachten, der sich langfristig nicht günstig auf die Güte von Managementsystemen auswirkt. Drittens empfiehlt es sich, ISO 9001 als Basis für alle anderen Systeme zu etablieren, da diese die inhaltlich breiteteste Norm ist.
Abschließend: Welchen generellen Nutzen bringen Kombi-Audits?
Peter Soudat: Da viele unserer Auditoren für zwei bis drei Standards ausgebildet sind, können die Zertifizierungsorganisationen Quality Austria und CIS als Kooperationspartner themenübergreifende Auditoren-Teams zusammenstellen. Der Vorteil von Kombi-Audits ist ganz klar die Gesamtsicht auf die Unternehmensprozesse, die sich durch die kombinierte Betrachtung aus verschiedenen Blickwinkeln ergibt.
Ing. Herbert Filacchione
Netzwerkpartner
Produktexperte Single European Sky (SES CR)
Auditor
E-Mail
Dr. Peter Soudat
Netzwerkpartner
Auditor, Trainer, Assessor
E-Mail
