ISO 50001:2018 Eine Fallstudie zum Umstieg - aktuellen Revisionen - DQS GmbH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Das Fachmagazin der DQS für Managementsysteme und impulsstarke Audits
Nr. II 2018
ge n z u de n
Mit Beitr ä
R ev is io n en
aktuellen
ISO 50001:2018
Eine Fallstudie zum Umstieg
NE U :
Online-DiD
Jetzt zum
Newsletter anm
elden !
S .17
Nr. II 2018
2014
Nachhaltiges Wachstum durch
bessere Energieeffizienz
Die Revision aus Sicht der Wirksames Energiemanagement ist eine wesentliche Voraussetzung für akti-
DQS-Auditorin ven Klimaschutz, Schonung von Ressourcen und spürbare Kosteneinsparun-
gen – und zwar längst nicht nur für energieintensiv produzierende Konzerne.
Den Rahmen für die Implementierung eines Energiemanagementsystems
zur Verbesserung der Energieeffizienz bietet seit dem Jahr 2011 die Ener-
giemanagementnorm ISO 50001. Um ihre Anwendbarkeit zu verbessern und
eine Anpassung an die gemeinsame ISO-Grundstruktur vorzunehmen, wurde
die Norm nun eingehend überarbeitet und am 21. August 2018 – früher als
einst erwartet – als ISO 50001:2018 in englischer Sprache neu veröffentlicht;
inzwischen ist die Norm auch auf Deutsch erhältlich.
Mehr Effizienz und Harmonisierung ßerei gefertigt werden. Dort arbeiten ca. 200
DQS-Auditorin Seit 2016 wurde an der Revision von ISO Mitarbeiter im Produktionsprozess (Gießerei
Sigrun Steiner
50001 gearbeitet, und dies nicht nur zur ca. 35, Teilebearbeitung ca. 165) mit einem
Wollte man die Revision von ISO Anpassung an die gemeinsame Grundstruk- Output von ca. 1000 t geschmolzenem Eisen
50001 auf den Punkt bringen, tur der ISO-Managementsystemnormen (High (monatlich) im Bereich der Gießerei sowie einer
dann etwa so: Die neue Ener- Level Structure – HLS), sondern auch um Anzahl daraus gefertigter Bauteile wie Zahnrä-
giemanagementnorm punktet Schwachstellen zu beseitigen, die sich in den der, Schwungräder etc. in der Teilebearbeitung
mit gemeinsamer Grundstruktur,
ersten fünf Jahren in der Praxis nach und nach im Mehrschichtbetrieb. Welche wesentlichen
präziseren Anforderungen und
gezeigt hatten. Während die Umstellung auf die Änderungen kommen auf ein solches Unterneh-
gleichbleibendem Kernkonzept!
HLS geprägt war von der Einführung gemeinsa- men beim Umstieg auf ISO 50001:2018 zu?
Sie bringt eine erfrischende Lo-
gik besonders in das Herzstück: mer Normkapitel, Managementansätze, Text-
in die energetische Bewertung bausteine und Begriffe, wurden bei den ener- Energetische Bewertung
und damit zusammenhängen- giespezifischen (technischen) Themen z. B. Die energetische Bewertung, die von der neuen
de Themen wie Kennzahlen, Ver- bei der „energetischen Bewertung“ oder der Energienorm als „taktischer“ Teil des Energie-
besserung der Leistung und Da- Bildung und Beurteilung von Kennzahlen kon- planungsprozesses bezeichnet wird (Bild A.2 im
tenerfassung! Sie ist die Kombi- krete Verbesserungen vorgenommen und die Anhang der Norm), ist nun definiert als „Ana-
nation aus konkreteren Anforde- entsprechenden Anforderungen präziser for- lyse der Energieeffizienz, des Energieeinsat-
rungen unter dem Freistellen von muliert. Das grundsätzliche Konzept der Norm zes und des Energieverbrauchs (das sind die
mehr Freiheitsgraden – insbeson- ist hingegen erhalten geblieben. Welche Ände- messbaren Ergebnisse der energiebezogenen
dere solche, die technisch sinn-
rungen sich aus der HLS ergeben, können Sie Leistung), basierend auf Daten und anderer
haft sind!
auf Seite 3 nachlesen, die wesentlichen ener- Information, die zur Identifizierung von SEUs
energie@dqs.de giespezifischen Neuerungen, und was diese für und von Möglichkeiten zur Verbesserung der
ein Unternehmen bedeuten, stellen wir Ihnen in energiebezogenen Leistung führt“ (Begriffe,
der folgenden Fallstudie vor. 3.5.5). Die englische Abkürzung „SEU“ (signi-
ficant energy use) meint auf Deutsch „wesent-
Fallstudie zum Umstieg – was ist wichtig? licher Energieeinsatz“. SEU steht dabei für die
Wir denken uns ein mittelständisches Unter- Bereiche, in denen der wesentliche Energie-
nehmen, beispielweise aus der Stahlbran- einsatz stattfindet; gemeint sind z. B. „Anla-
che. Das Unternehmen liefert Bauteile für die gen, Systeme, Prozesse oder Einrichtungen“.
Motorenherstellung, die in der eigenen Gie- Die Forderung nach Betrachtung der SEU ist
2
ISO 50001:2018
Änderungen im Überblick
dabei expliziter geworden. So müssen nun für muss als Teil der energetischen Bewertung zur
die nach bisherigem Verfahren identifizierten Nachweisführung dokumentiert werden.
Die wichtigsten Änderungen
wesentlichen Bereiche (SEU) genau betrach- Die Änderung des Ablaufs der energetischen
in ISO 50001:2018 gegenüber
tet werden. Für jeden SEU muss Folgendes Bewertung besteht im Wesentlichen darin,
der Vorgängerversion von
bestimmt werden: dass in der alten Normversion zuerst der 2011 im Überblick:
Personen mit Energierelevanz künftige Energieeinsatz und Energieverbrauch
dessen Energieeffizienz (als Kennzahl) einzuschätzen war und dann erst Möglichkeiten
zur Verbesserung der energiebezogenen allgemein
relevante Variablen
Leistung identifiziert und priorisiert werden Einführung der gemeinsamen
Die Ergebnisse der energetischen Bewertung mussten – nun ist es sinnvollerweise umgekehrt, Grundstruktur (HLS)
werden zur Betrachtung von Risiken und Chan- wie aus den Unterpunkten d) bzw. e) von Kapitel über den ganzen Norm-Text
cen herangezogen (Kap. 6.1), gehen in den 6.3 (energetische Bewertung) hervorgeht. hinweg klarer formulierte
Energieplanungsprozess ein (Kap. 6.2) und Der Grund leuchtet ein: Es ist tatsächlich Anforderungen
liefern Informationen für den Kontext der Orga- sinnvoll, den künftigen Energieeinsatz und Neuordnung / Aktualisierung von
nisation (Kap. 4.1). Wichtig ist, die Bereiche Energieverbrauch erst dann abzuschätzen, wenn Kap. 3, Begriffe
genauer zu beleuchten und Kennzahlen sowie die identifizierten Verbesserungsmöglichkeiten
Variablen für diese Bereiche abzubilden. Dies berücksichtigt werden können. Änderungen aus der HLS
Betrachtung des Kontextes der
Organisation, Kap. 4.1, und
der relevanten interessierten
Parteien, Kap. 4.2
Hervorhebung der Rolle der
Änderungen durch gemeinsame Grundstruktur obersten Leitung, Kap. 5.1
Die grundlegenden inhaltlichen Änderungen durch die Anpassung an die gemeinsame Grundstruk- Einführung des risikobasierten
tur sind bereits aus ISO 9001:2015 (Qualität) und ISO 14001:2015 (Umwelt) bekannt. Neben der Ansatzes, Kap. 6.1
ebenfalls grundlegenden Anforderung nach vollumfänglicher Einbindung des Energiemanagement- Einführung „dokumentierte
systems (EnMS) in die Strategie und die Geschäftsprozesse eines Unternehmens stehen weitere Information“, Kap. 7.5
zentrale Themen im Vordergrund, wie:
• Kontext der Organisation (Kap. 4.1): Zentrale Anforderung ist die Bestimmung interner und ex- energiespezifische
terner Themen, die sich auf die energiebezogene Leistung bzw. das EnMS auswirken könnten. Änderungen
Externe Themen können Zuverlässigkeit der Energieversorgung, Energiekosten, Klimapolitik oder Klarstellung zum „Ausschluss
Umweltauswirkungen sein. Interne Themen sind z. B. Unternehmensziele und -strategie, Reife von Energiearten“
des EnMS, technische Voraussetzungen, Nachhaltigkeitsziele, finanzielle Einschränkungen, etc. Klarstellung zur „energetischen
• Bestimmen und Verstehen der Erfordernisse und Erwartungen der interessierten Parteien (Kap. Bewertung“
4.2): Gemeint sind interessierte Parteien mit Relevanz für bzw. Einfluss auf die energiebezoge- Konzept der Normalisierung von
ne Leistung und das EnMS. Energieleistungskennzahlen
(EnPIs) nebst zugehöriger ener-
• Führung und Verpflichtung (Kap. 5.1): Übernahme von Verantwortung für die Verbesserung der
getischer Ausgangsbasen
energiebezogenen Leistung und des EnMS durch die oberste Leitung. Die Absicht ist u. a. Un-
Ergänzungen zum „Plan für die
terstützung auf allen Ebenen bei der Einführung von Verbesserungsprojekten und Erhöhung der
Energiedatensammlung“ und
Akzeptanz und Effektivität des EnMS. Außerdem geht es um die Bereitstellung von Ressour-
verbundenen Anforderungen
cen, aber auch um die Verteilung von Rollen und Befugnissen (Kap. 5.3). Neu ist, dass ledig-
Klarstellung des Textes zu
lich die Bildung eines Energiemanagement-Teams gefordert wird, der Beauftragte des Manage-
Energieleistungskennzahlen
ments fällt als Anforderung weg. Das Team kann aber nach wie vor aus einer Person bestehen. EnPIs und zu den energetischen
• Risikobasierter Ansatz (Kap. 6.1): Hier geht es um das Bestimmen und Betrachten von Risiken Ausgangsbasen EnBs
und Chancen und um die Planung von Maßnahmen zu deren Behandlung, u. a. mit Blick auf
die beabsichtigten Ergebnisse des EnMS. Dabei werden zunächst interne und externe Themen
sowie weitere Interessengruppen berücksichtigt. Die Bestimmung von Risiken und Chancen
erfolgt anhand der Ergebnisse der energetischen Bewertung und dient als Eingabe in den
nachfolgenden Energieplanungsprozess. Ein eigener Prozess für die Bestimmung von Risiken und
Chancen ist – wie bei ISO 9001:2015, aber anders als bei ISO 14001:2015 – nicht gefordert.
• Dokumentierte Information (Kap. 7.5): Diese dient u. a. als Nachweis für die Verbesserung der
energiebezogenen Leistung. Die Anforderungen sind an die anderen Regelwerke angepasst
und konkretisiert worden, z. B. mit Blick auf Gültigkeit, Versionsstand und Erstellungsdatum
der Dokumente.
Nr. II 2018
DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS 3
Nr. II 2018
2014
Das Regelwerk:
Historie ISO 50001:2018
Die Energiemanagementnorm Was heißt das für das Unternehmen? Für SEU müssen Energieleistungs-
hat ihre Wurzeln in dem euro- Das Unternehmen hat zunächst den gesam- kennzahlen (EnPI) gebildet werden
päischen Regelwerk EN 16001 ten Energieverbrauch mit allen Energiear- (Begriffe, 3.4.4).
(nicht zu verwechseln übrigens ten bestimmt (Strom ca. 28 GWh p. a., Gas Die EnPI müssen auf Plausibilität und
mit der Norm ISO 16001, die 2,6 GWh p. a., Fernwärme 2GWh p. a.). Bei Abhängigkeit geprüft werden.
sich mit Objekterkennungssys- der Überlegung, wieviel Energie zu welchen Bei der Bildung von EnPI müssen relevante
temen für Erdbaumaschinen Teilen wo im Unternehmen eingesetzt wird, Variablen und Einflussfaktoren berücksich-
konnte ermittelt werden, dass auf die elekt- tig und die EnPI ggf. modifiziert werden;
risch betriebene Schmelze mit Induktionsöfen dieser Vorgang wird als „Normalisierung“
knapp 37 % der Gesamtmenge an Energie, bezeichnet (Begriffe, 3.4.10).
vorwiegend aber Strom (ca. 10 GWh p. a.) ent-
fällt. Damit wurde auf der Basis der eigenen Was ist mit Blick auf die SEU zu beachten?
Kriterien (hier ab 10 % Anteil am Gesamtver- Es ist wichtig zu differenzieren, dass die vari-
brauch) der Bereich „Schmelze“ als wesentli- ablen Einflüsse im Schwerpunkt bei den SEU
cher Bereich (SEU) ermittelt. und deren Kennzahlen zu berücksichtigen sind
Für den Bereich „Schmelze“ sind nun (Kap. 6.3 ff). Die statischen Faktoren jedoch
Julian König folgende Punkte zu definieren: Personal mit können bei einer Änderung zur Anpassung
DQS-Auditor
Einfluss auf den Energieverbrauch und die Effi- der energetischen Ausgangsbasis (EnB) füh-
befasst), das im Jahr 2009 er- zienz der Schmelze (vorzugsweise Entschei- ren. Wenn beispielsweise ein neues Gebäude
schien, aber schon 2011 von der), eine Energieleistungskennzahl EnPI (z. B. errichtet, ein völlig neues Produkt in das Port-
ISO 50001 abgelöst wurde. Der kWh Strom pro geschmolzene Tonne Eisen) folio aufgenommen und gefertigt wird (z. B. Alu-
wesentliche Unterschied zur eu- und relevante Variablen. Das Unternehmen miniumkomponenten) oder eine Fertigungslinie
ropäischen Norm war die Einfüh- beleuchtet also den Schmelzbereich und über- nach dem neuesten Stand der Technik umge-
rung neuer Begriffe, wie „ener-
legt gemeinsam, welche sich verändernden rüstet wird, so firmiert diese Änderung eines
getische Bewertung“ oder „ener-
Einflussfaktoren die Schmelzleistung beein- statischen Faktors unter Umständen unter
getische Ausgangsbasis“ (letzte
flussen könnten (z. B. gefahrener Produktmix, einer wesentlichen Änderung im Unternehmen
gab es in EN 16001 nicht), aber
auch konkretere Anforderungen also effektiv produzierte Stahlqualitäten, Jah- und führt damit zu einer Anpassung der EnB
an ein EnMS. Verzichtet wurde reszeiten etc.). für den entsprechenden Bereich. Dabei ist es
hingegen u. a. auf die sog. Ver- weiterhin zulässig, mehrere Ausgangsbasen
öffentlichungsvorgabe und den Einflussfaktoren – relevante Variablen innerhalb einer Organisation zu bilden.
externen Benchmark. Als ISO und statische Faktoren Wichtige Aufgaben in der Praxis sind
50001 im Jahr 2011 erschien, ISO 50001:2018 unterscheidet zwischen zwei besonders die Berücksichtigung der Variablen
war die heute als Standard be- Arten von Einflussfaktoren. Relevante Varia- bei der Kennzahlenbildung und deren Verifi-
kannte „gemeinsame Grund- blen sind quantifizierbare (erfassbare, mess- zierung. Variablen mit wesentlichem Einfluss
struktur“ der ISO-Management- bare) Faktoren mit wesentlichem Einfluss auf müssen erfasst und deren Daten weiterverar-
systemnormen (HLS) noch in
die energiebezogene Leistung und der Eigen- beitet werden. Das bedeutet im Hinblick auf
der Entwicklung, und konnte in
schaft, sich ändern zu können (variabel zu die Datenerfassung, dass im Sinne des Ener-
der neuen Energiemanagement-
sein), z. B. Produktionsmengen, Wetter, Innen- giemanagementsystems weitere Betriebsda-
norm noch keine Anwendung fin-
den. Solche ISO-Normen werden temperaturen etc. Auch statische Faktoren ten herangezogen werden müssen, um aussa-
jedoch alle fünf Jahre auf evtl. beeinflussen wesentlich die energiebezogene gekräftige Ergebnisse zu bekommen.
notwendige Anpassungen über- Leistung, sind aber, wie der Begriff bereits So könnte es sein, dass die EnPI „Energie-
prüft, was ab 2016 zu der nun nahelegt, vergleichsweise unveränderlich und verbrauch in kWh bezogen auf Betriebsstun-
abgeschlossenen Revision und gelten als bereits ermittelt, z. B. Einrichtungs- den“ für das eine Unternehmen aussagekräftig
der Herausgabe der neuen Ver- größen, Portfolio, Ausrüstung, Gebäude etc. ist, für ein anderes aber nur unter Berücksich-
sion als ISO 50001:2018 ge- (Kap. 3.4.8 / 3.4.9). Die dazugehörigen Anfor- tigung des Produktmixes und der Auftragslage
führt hat. Welche Änderungen derungen in Kurzform: eine effektive Aussage über die energiebe-
und Verbesserungen die Revisi- zogene Leistung bietet. Die Aussagekraft der
Die relevanten Variablen mit Einfluss auf
on mit sich gebracht hat und was
die SEU müssen ermittelt werden. Kennzahl und die Abhängigkeit von bestimm-
Sie mit Blick auf den Übergang
Wo möglich müssen Daten zu allen ten Variablen muss bewiesen und dokumen-
auf die neue Norm zu beach-
Einflussfaktoren ermittelt werden. tiert werden, um die Verbesserung der ener-
ten haben, finden Sie auf diesen
Seiten. Relevante Variablen und Einflussfaktoren giebezogenen Leistung nachweisen zu können.
müssen bei der Bildung von Kennzahlen
berücksichtigt werden.
Ihre Fragen beantworten wir
gerne. Schreiben Sie an
energie@dqs.de
4
Verbesserung der energiebezogenen Leistung Nach ISO 50003 ist eine Verbesserung der energiebezo-
Der Nachweis über die Verbesserung der energiebezo- genen Leistung bei jedem geplanten Audit nachzuweisen,
genen Leistung muss gemäß Zertifizierungskriterien (ISO also jährlich. Die Reduzierung des Gesamtverbrauchs ist
50003) erbracht werden. Eine Auswahl von Möglichkeiten als Nachweis nur akzeptabel, wenn sich die Rahmenbe-
in Anlehnung an ISO 50006 steht hier zur Verfügung, z. B. dingungen nicht oder nur unwesentlich geändert haben.
Senken des Gesamtverbrauchs unter Es ist aber möglich, sowohl für das gesamte Unternehmen
gleichbleibenden Bedingungen als auch im Rahmen von Einzelmaßnahmen eine Leis-
Verbesserung der Energieeffizienz (Darstellung über tungssteigerung als Verbesserung anzubringen. Dies soll
eine verifizierte Kennzahl) im Bezug zum Basisjahr verhindern, dass Effizienzmaßnahmen wie das Umrüsten
der spezifische Verbrauch eines SEU sinkt in Bezug einer Anlage oder die geänderte Steuerung von Kompres-
zum Basisjahr soren gegenüber einer Steigerung der Auftragslage und
Fortschritte bei der Erreichung eines Energieziels damit einer Erhöhung des Gesamtverbrauchs innerhalb
des Unternehmens verlorengehen. Nach den Erläuterun-
Verbesserung nachweisbar in einer durchgeführten
gen im Anhang können auch Fortschritte bei der Energie-
Einzelmaßnahme (Darstellung z. B. über
Projektkennzahl) zielerreichung angeführt werden; was nicht automatisch
die Zielerreichung bedingt, sich aber auf längerfristig lau-
Trendwertbestimmungen über organisatorische Maß-
fende Projekte, Tätigkeiten und Maßnahmen und der bis
nahmen (z. B. Einführung einer koordinierten Instand-
haltung, Leckage-Begehungen etc.) dato erreichten Verbesserung beziehen kann.
Innovation (BHKW, BAT etc.)
Was bedeutet die Verbesserung konkret?
Besondere Beachtung gilt dabei der rückwirkenden Sobald also die Verbesserung beispielsweise durch die
Betrachtung. Findet z. B. ein Audit im Jahr 2019 statt, Umrüstung oder durch die Kompressoren-Steuerung
muss ein Unternehmen bis dahin eine Verbesserung quantifizierbar nachgewiesen werden kann (z. B. durch
bereits für das Jahr 2018 nachweisen können. Die Anfor- Steigerung der Effizienz / Wirkungsgrade der Kompresso-
derung nach dem Nachweis fortlaufender Verbesserung ren im Verbund), kann dies bei entsprechender Verhältnis-
steht in Kap. 10.2 und wird als „wiederkehrende Tätig- mäßigkeit ebenso als Verbesserung der energiebezogenen
keit zum Steigern der Leistung“ definiert (3.4.12). Der Leistung herangezogen werden. Zugleich kommt es bei der
Anhang (A.4) erläutert, dass der Nachweis der fortlaufen- Verhältnismäßigkeit darauf an, auch die zuvor bestimmten
den Verbesserung der energiebezogenen Leistung nicht SEUs im Blick zu behalten.
alle EnPI-Werte einschließen muss, es reicht also, wenn
eine Verbesserung mit Blick auf den gesamten Anwen- Sigrun Steiner
dungsbereich vorliegt. Nach Anhang A.10 sollen Verbes- DQS-Auditorin
serungen periodisch erfolgen, Häufigkeit, Umfang und
Zeitrahmen der Maßnahmen orientieren sich am Kontext,
an wirtschaftlichen Faktoren und anderen Umständen.
ISO 50001:2018 – Timeline
ISO 50001:2018 ist am 21. August 2018 erschienen. Die Übergangszeit für bestehende Zertifikate beträgt drei Jahre (20.
August 2021). Zertifizierungsgesellschaften – so auch die DQS – dürfen nach dem 20. Februar 2020, also 18 Monate nach
dem Veröffentlichungsdatum, keine Audits nach der „alten“ Version von 2011 mehr durchführen. Zertifizierte Unternehmen
müssen also entsprechend planen. Sie sollten so bald wie möglich mit den Vorbereitungen für den Umstieg beginnen, um ei-
nen reibungslosen Übergangsprozess zu gewährleisten.
2016 2017 2018 2019 2020 2021
Beginn der 08.2016 08.2017 05.2018 21.08.2018 20.02.2020 20.08.2021
Revision CD ISO/DIS ISO/FDIS Veröffentlichung keine Audits nach Ende Übergangsfrist
der Norm der alten Norm
Nr. II 2018
DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS 5
Nr. II 2018
2014
Sehr geehrte Leserin, sehr geehrter Leser,
2018, eines der arbeitsreichsten, aber auch erfolgreichsten Jahre in unserer Geschichte, geht zu Ende.
Der hohe Aufwand war einerseits eine Folge der großen Revisionen der ISO 9001 und der ISO 14001:
Viele Unternehmen hatten sich den Umstieg auf die neuen Normen für 2018 vorgenommen und wir
mussten diesen gemeinsam bis zum 14. September geschafft haben.
Rückblickend können wir mit Stolz sagen: Alle Zertifikate wurden erfolgreich umgestellt! Und dabei
freut es mich persönlich ganz besonders, dass wir das mit einer gleichbleibend hohen Qualität reali-
siert haben. Ein herzlicher Dank an dieser Stelle an all unsere Kunden für ihr Vertrauen in die DQS, wie
auch an unsere Auditoren und Mitarbeiter, die in diesem Jahr mit ihrem unermüdlichen Einsatz oft an
die Belastungsgrenze gegangen sind.
Gleichzeitig haben wir uns in 2018 auch intern enorm weiterentwickelt: Wir haben den Zertifizierungs-
prozess umgestaltet, wir haben weiter an unseren Prozessen gefeilt und wir sind dabei, unsere Kom-
munikation neu auszurichten – in Zukunft werden wir Informationen überwiegend online zur Verfügung
stellen. Deshalb wird Sie auch unser Kundenmagazin im neuen Jahr in digitaler Form über die neues-
ten Entwicklungen und Themen aus der Welt der Managementsysteme informieren. Mehr darüber auf
Seite 17 der heutigen Ausgabe.
LEITGEDANKEN
Und 2019? 5G-Mobilfunknetz, Internet of Things und Industrie 4.0, Cyber Security, Telemedizin, DS-
GVO … Digitalisierung macht vor keiner Branche Halt, und auch für uns werden Informationssicherheit
und Datenschutz die zentralen Themen sein. Des Weiteren wird uns die neue Norm beim Arbeitsschutz
(ISO 45001:2018) und die Revision im Energiemanagement (ISO 50001:2018) verstärkt beschäftigen.
In diesem Zusammenhang eine gute Nachricht: Immer mehr Unternehmen profitieren von der inzwi-
schen vertrauten gemeinsamen Grundstruktur, der sogenannten „High Level Structure“, die die Integ-
ration der Managementsysteme effizienter gestaltet.
Ich wünsche Ihnen und Ihren Angehörigen frohe Festtage und ein glückliches wie auch erfolgreiches
Jahr 2019!
Ihr Markus Bleher
Geschäftsführer DQS GmbH
INHALT HLS: Die lang ersehnte
ISO 45001 –
Rechtliche Verpflichtungen 8 zwangsläufige Notwendigkeit
und andere Anforderungen
ISO 19011:2018 –
Impulse für modernes Auditieren 10 Jetzt sind sie vollzählig: Mit der Veröffentlichung der Energie-
managementnorm ISO 50001:2018 Ende August ist nun auch
die letzte der „großen“ ISO-Managementnormen mit der
ISO 27001 –
erste Schritte zu 12 gemeinsamen Grundstruktur, der sog. „High Level Structure“
Informationssicherheit (HLS) ausgestattet worden. Die HLS wurde erstmals im Jahr
ISA+ –
Informations-Sicherheits-Analyse 14 2012 eingesetzt und ist das Grundgerüst aller überarbeiteten
oder neu herausgegebenen ISO-Managementsystemnormen.
Die Entwicklung dieser Struktur gilt seither als Meilenstein
DS-GVO: Unsicherheiten
bei der Umsetzung 16 für die Normierung von Managementsystemen.
6
Als im Jahr 2013 die Informationssicherheitsnorm ISO 27001
erschien, war diese zwar die erste der bedeutenderen ISO-Normen,
die auf der HLS basierte. Aber erst mit der großen Revision von ISO
9001 (Qualität) und ISO 14001 (Umwelt) im Jahr 2015 wurde die
HLS auch wirklich einem breiteren Anwenderkreis bekannt. Und auch
wenn es anfangs einige skeptische Kommentare gab: Nachdem die
Umstellungsfrist auf ISO 9001:2015 und ISO 14001:2015 seit etwa
einem Vierteljahr abgelaufen ist, kann man sagen: Die gemeinsame
Grundstruktur hat sich bewährt, und zwar uneingeschränkt.
Besonders für Unternehmen mit einem integrierten Manage-
mentsystem ist diese Neuerung von großem Nutzen. Der kommt
allerdings nur dann zum Tragen, wenn die grundlegende und über-
greifende Anforderung aller angewendeten Regelwerke erfüllt wird:
nämlich die vollumfängliche Integration der jeweiligen Normanforde-
rungen in das bestehende Managementsystem und damit in die all-
STANDPUNKT
gemeinen Geschäftsprozesse eines Unternehmens.
Die HLS ist dabei nicht einfach nur eine äußere Struktur, die
lediglich identische Grundanforderungen, Textbausteine und Begriffe
einführt. Es ist vor allem auch der Inhalt dieser Grundanforderungen,
der die Integration in das Unternehmen praktisch unausweichlich
macht, oder – positiv ausgedrückt – intensiv fördert. Stichwörter sind:
Kontext der Organisation, Führung und Verpflichtung, interessierte
Parteien, Prozessorientierung und der risikobasierte Ansatz.
Zwar hatten die einschlägigen Managementsystemnormen ISO
9001, ISO 14001, ISO 27001 und ISO 50001 bereits früher gewisse
Gemeinsamkeiten in Aufbau und Inhalt vorzuweisen. Aber erst mit
der HLS wurde eine Struktur geschaffen, die die Integration von
Anforderungen unterschiedlicher Regelwerke bis in die letzten Winkel
eines Unternehmens wesentlich erleichtert, wenn nicht überhaupt erst
ermöglicht.
Besonders beim Thema Sicherheit und Gesundheit bei der Arbeit
(SGA) sollte sich das in naher Zukunft zeigen. Hier dominierte seit vielen
Jahren die britische Arbeitsschutznorm BS OHSAS 18001, zuletzt im
Jahr 2007 überarbeitet, den internationalen Markt. Aber auch wenn sich
der Standard in gewisser Weise an den alten Versionen der gängigen
ISO-Managementsystemnormen orientiert, was in der Branche übrigens
stets als positives Merkmal hervorgehoben wurde, fristet das Thema
SGA in den meisten Unternehmen mit einem SGA-Managementsystem
doch ein eher isoliertes Dasein, als dass es zum Nutzen aller Beteilig-
ten ausreichend in die Geschäftsprozesse integriert wäre. BS OHSAS
18001 läuft aus und wird von der im Jahr 2018 erstmals erschienenen
SGA-Norm ISO 45001 mittelfristig ersetzt werden – die HLS wird der
überfälligen Integration und damit auch der Bedeutung von SGA-The-
men für ein Unternehmen einen deutlichen Schub verleihen.
Frank Graichen
Leiter Auditorenmanagement & Kompetenz
frank.graichen@dqs.de
Nr. II 2018
DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS 7
Nr. II 2018
2014
ISO 45001 – Bestimmung rechtlicher
FACHMAGAZIN
Verpflichtungen und anderer Anforderungen
SGA-Rechtssicherheit: Bewertung der Compliance
spürt Lücken auf
Die Einhaltung rechtlicher Verpflichtungen ist eine absolute Grundbedingung für
seriöses und dauerhaft erfolgreiches Wirtschaften. Dies gilt auch für jede Art von
Verpflichtung, die ein Unternehmen jenseits rechtlicher Zwänge eingegangen ist.
Die Voraussetzung dafür ist die Identifizierung all dieser Verpflichtungen und eine
konsequente Bewertung der Compliance. ISO 45001 konzentriert sich dabei auf
Themen, die für Sicherheit und Gesundheit bei der Arbeit (SGA) relevant sind.
ISO 45001 fordert in Kapitel 6.1.3 von einem Gleichwohl: Mit Blick auf ein integriertes Manage-
Sie haben Interesse an
Unternehmen, Prozesse festzulegen, umzusetzen mentsystem bzw. die von ISO 45001 geforderte
weiteren Themen zu
ISO 45001?
und aufrechtzuerhalten, und zwar zur Integration aller SGA-Themen in die allgemeinen
Bestimmung aller rechtlichen Verpflichtungen Geschäftsprozesse ist es ohnehin notwendig,
Mit unserer sechsteiligen
Beitragsreihe verschaffen und anderen Anforderungen mit Blick auf umfassende Compliance sicherzustellen.
Sie sich einen wertvollen Gefährdungen, SGA-Risiken und das SGA-
Wissensvorsprung. Managementsystem Mögliche Beispiele liefert der Anhang
Mehr unter Bestimmung ihrer Anwendung im Unternehmen Beispiele für SGA-relevante rechtliche Verpflich-
www.dqs.de/audits/iso-45001 und des daraus resultierenden Kommunikati- tungen und andere Anforderungen finden sich im
onsbedarfes Anhang von ISO 45001 unter A.6.1.3. Rechtliche
Berücksichtigung bei der Festlegung, Verwirkli- Verpflichtungen können u. a. sein: Gesetze und
chung, Aufrechterhaltung und fortlaufenden Ver- Verordnungen, Richtlinien, behördliche Auflagen,
besserung des SGA-Managementsystems Genehmigungen, Lizenzen, Verwaltungserlasse,
Das Kapitel schließt mit der Anforderung nach Abkommen oder Tarifverträge. Unter anderen
dokumentierter Information über die rechtlichen Anforderungen ist z. B. Folgendes zu verstehen:
Verpflichtungen und anderen Anforderungen. Diese Anforderungen eines Unternehmens an sich selbst,
Dokumentation muss aufrechterhalten, aufbewahrt Vertragsbedingungen, Regelungen aus Arbeitsver-
und – um eventuelle Änderungen zu verdeutlichen trägen, Betriebsvereinbarungen, Vereinbarungen
– aktualisiert werden. mit interessierten Parteien (z. B. mit Gesundheits-
behörden), nichtbehördliche bzw. vereinbarte Nor-
Nur SGA-relevante Verpflichtungen bestimmen men, allgemeine Verfahrensregeln, technische
In Kapitel 6.1.3 geht es explizit um die Bestimmung Spezifikationen und Selbstverpflichtungen.
SGA-relevanter Verpflichtungen etc., während
in Kapitel 9.1.2 „Bewertung der Compliance“ Bewertung der Compliance
und an anderen Stellen der Norm (z. B. in 0.3 Alle Compliance-Verpflichtungen müssen regelmä-
„Erfolgsfaktoren“) ganz allgemein von „Compliance“ ßig bewertet werden. Dies erlaubt es der Organi-
die Rede ist. Auf den ersten Blick also auch sation, ihre Compliance-Verpflichtungen zu erfül-
hinsichtlich solcher Themen, die nicht SGA-relevant len und mögliche rechtliche Schritte oder Klagen
sind – und die gibt es bekanntlich in Hülle und Fülle. ihrer interessierten Parteien zu minimieren. ISO
Dass sich die Bewertung der Compliance aber 45001 fordert dazu in Kapitel 9.1.2 die Festlegung,
tatsächlich nur auf SGA-relevante Verpflichtungen Umsetzung und Aufrechterhaltung von Prozessen
etc. bezieht, geht aus einem knappen (Rück-) zur Bewertung der Compliance der gemäß Kapitel
Verweis in Kapitel 9.1.2 auf Kapitel 6.1.3 hervor. 6.1.3 bestimmten rechtlichen Verpflichtungen und
Es ist also nicht zu erwarten, dass in einem anderen Anforderungen eines Unternehmens. Dazu
reinen SGA-Audit auch die Bewertung der Compli- müssen die Häufigkeit der Compliance-Bewer-
ance mit anderen Verpflichtungen thematisiert wird. tungen und die dafür angewandten Methoden
8
bestimmt sowie die Compliance bewertet werden. hang darauf, dass der betriebliche Arbeitsschutz „in
Bei Bedarf sind entsprechende Maßnahmen zu europäischen und nationalen Regelungen, Geset-
ergreifen. Die zum Compliance-Status gewonnenen zen und/oder Verordnungen sowie dem Regelwerk
Erkenntnisse müssen aufrechterhalten werden und der gesetzlichen Unfallversicherungsträger festge-
dokumentierte Information über die Ergebnisse der legt“ ist, und dass ISO 45001 insofern nur eine
Bewertung muss aufbewahrt werden. „ergänzende Rolle“ zukommt. Damit wird sie dem
Als Anhaltspunkt für die Häufigkeit bzw. den Umstand gerecht, dass die nationalen Arbeits-
Zeitpunkt von Compliance-Bewertungen können schutzgesetze im weltweiten Vergleich durchaus
u. a. folgende Kriterien herangezogen werden: Je von unterschiedlicher Statur sind.
wichtiger eine Verpflichtung resp. Anforderung ist,
desto häufiger sollte eine Bewertung stattfinden. Andreas Ritter
Ändern sich die Betriebsbedingungen oder rele- DQS-Experte
arbeitsschutz@dqs.de
vante Verpflichtungen, bedarf es einer erneuten
Bewertung. Dies kann auch der Fall sein, wenn eine
Abweichung von der SGA-Leistung absehbar oder
möglich ist.
Hat ein Unternehmen seine SGA-relevanten
rechtlichen Verpflichtungen und anderen Anforde- Was heißt eigentlich Compliance?
rungen einmal vollumfänglich bestimmt, bewer- Compliance ist ein englisches/französisches Wort mit lateini-
tet und ggf. entsprechende Korrekturmaßnahmen schen Wurzeln (complere = auffüllen → erfüllen). Compliance
ergriffen, reicht eine turnusmäßige Bewertung zur hat heute zwar – je nach Branche oder Fachgebiet – recht un-
Aktualisierung des Compliance-Status in der Regel terschiedliche Bedeutungen, eine gewisse Sinnverwandtschaft
aus. Diese Bewertung kann durch Überwachen, bleibt dabei jedoch stets erhalten. In der Medizin z. B. be-
Messen, Analysieren und Überprüfen der Unterneh- deutet Compliance in erster Linie „Kooperation eines Patien-
mensleistung gegen bestehende Verpflichtungen ten mit seinem Arzt“. Eine weitere Bedeutung ist „Dehnbar-
erfolgen, dies z. B. anhand von Ergebnissen aus keit von Gewebe“ – wenn man so will ein Hinweis darauf, dass
internen und externen Audits. Welche Methoden es bisweilen einer gewissen Anstrengung und Flexibilität be-
zur Compliance-Bewertung und zum Verständnis darf, „etwas“ tatsächlich vollumfänglich einzuhalten. Womit wir
über den Compliance-Status angewendet werden, bei der für unser Thema relevanten Bedeutung von Compli-
entscheidet jedes Unternehmen für sich. ance wären: „Regeltreue“ oder auch „Regelkonformität“, was
im betriebswirtschaftlich-rechtlichen Kontext die allgemein üb-
Was tun bei Nicht-Compliance? liche Übersetzung des Wortes ins Deutsche ist.
Sollte bei der Bewertung eine Nicht-Compliance
Was versteht die SGA-Norm unter Compliance? ISO 45001
aufgedeckt werden, bedarf es zur Korrektur geeig-
selbst liefert keine Definition für das Wort und übersetzt es
neter Maßnahmen, möglichst unter Anwendung
zumindest im Anforderungsteil nicht. Allerdings existiert eine
des von ISO 45001 geforderten Prozesses zum
Stelle im Anhang der Norm, an der Compliance schließlich
Umgang mit Nichtkonformitäten bzw. Korrektur-
doch noch eine deutsche Übersetzung erfährt: Unter A.7.2
maßnahmen (Kap. 10.2). Im Einzelfall besteht
„Kompetenz“ wird die Fügung „compliance and noncompli-
evtl. Kommunikationsbedarf mit der Stelle, von
ance“ ins Deutsche übertragen, und zwar für Normverhältnis-
der die Einhaltung der Verpflichtung verlangt wird,
se ungewöhnlich knapp mit „Einhaltung und Nichteinhaltung
z. B. einer Behörde. Gegebenenfalls bedarf es auch
von Verpflichtungen“. In ganzer Ausführlichkeit sollte Compli-
weiterer Vereinbarungen, deren Inhalt sich auf kon-
ance aber, um die korrekte Auslegung der Anforderungen der
krete Maßnahmen beziehen sollte.
SGA-Norm sicherzustellen, als „Einhaltung rechtlicher Ver-
pflichtungen und anderer Anforderungen“ aufgefasst werden.
Fazit
Denn genau darum geht es in den beiden relevanten Kapiteln
Die Einhaltung rechtlicher Verpflichtungen ist eine
6.1.3 und 9.1.2: Bestimmung rechtlicher Verpflichtungen und
zentrale Anforderung von ISO 45001. Die SGA-
anderer Anforderungen mit der Bewertung, ob bzw. in wel-
Norm versteht sich selbst jedoch nicht als „Norm,
chem Maß sie eingehalten werden.
die den betrieblichen Arbeitsschutz regelt“, wie
es in ihrem Vorwort heißt. Sie versteht sich als
„Managementsystemnorm, die (ggf. zusammen
mit anderen ISO-Managementsystemnormen) in
die betriebliche Praxis integriert werden kann“. Die
Norm-Autoren verweisen in diesem Zusammen-
Nr. II 2018
DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS 9
Nr. II 2018
2014
Impulse für modernes Auditieren
ISO 19011:2018 – Leitfaden zur Auditierung von
Managementsystemen erschienen
Viele „neue“ Managementaspekte, die heute in aller Munde sind, wie Kontext der Organisation, Prozess-
orientierung oder risikobasierter Ansatz, haben genau genommen schon einige Jahre auf dem Buckel. Aber
erst seit der Revision von ISO 9001 im Jahr 2015 halten sie auch flächendeckend Einzug in Strategie und
Alltag von Unternehmen. Das forderte freilich auch, den weltweit maßgeblichen Leitfaden zur Auditierung
von Managementsystemen, ISO 19011, dieser Entwicklung anzupassen. Die überarbeitete Version liegt
nun seit Oktober dieses Jahres als ISO 19011:2018 in deutscher Sprache vor.
Der neue Leitfaden ist gewachsen: Er hat (alternative) Auditmethoden z.B. Risiko- und prozessorientiertes (Gesamt-)Kompetenz und
vor Ort, virtuell, aus der Ferne,
mehr Seiten (!) als ISO 9001:2015 und Audit-Workshop
Auditieren Fähigkeiten der Auditoren
enthält jede Menge Experten-Know-how!
Was sich bewährt hat, blieb dabei erhal-
AUDIT-INPUT
ten, u. a. und vor allem das auf den PDCA- Strategie AUDIT-OUTPUT
Zyklus gestützte Auditieren. Das Umfeld Ziele Objektive u. zielorien-
der Audits hat sich jedoch geändert. Interessierte tierte Feststellungen
So mussten einerseits die neuen, oben Parteien Audits nach ISO 19011:2018 Impulse für wirksame
Risiken und Maßnahmen
bereits genannten Managementthemen in Chancen Verbesserung
ISO 19011 berücksichtigt werden, ande- Komplexität und von Audits
rerseits ist längst auch die Digitalisierung Standorte
in den Audits angekommen. Stichwörter
sind z. B. „Remote-Audits“, also Audits, Ziele für das Auditprogramm
und die einzelnen Audits
Audit-Risiken und -Chancen
u. a. Effizienz, Wirksamkeit von
Objektive Nachweise und
fachmännisches Urteil
die aus der Ferne geführt werden, oder als „roter Faden“ Audits, Digitalisierung
„virtuelle Standorte“, was die Nutzung
einer Online-Umgebung meint, die das
Ausführen von Prozessen unabhängig soll die Auditplanung, Durchführung und Auditprogramm steuern
vom physikalischen Standort des Aus- Berichterstattung von Audits maßgeb- Das Kapitel „Auditprogramm“ wurde neu
führenden ermöglicht. Dieser Wandel im lich beeinflussen. Die Idee dahinter: die strukturiert. Bemerkenswert ist hier die
Audit-Umfeld hat sich im neuen Leitfaden Audits stärker auf die für den Auditauf- Fokussierung der Norm auf das, worauf
niedergeschlagen, und zwar in Form vieler traggeber und für die Erreichung der Ziele es letztlich ankommt: Audits dienen nicht
lesenswerter Erläuterungen, Ergänzungen des Auditprogramms relevanten Themen nur zur Konformitätsbestätigung, sondern
und Anpassungen. Der Leitfaden legt wei- auszurichten. Dieser Ansatz ist nach den vor allem auch zur Weiterentwicklung der
terhin den Schwerpunkt auf die Durchfüh- Revisionen der klassischen Management- Organisation und ihrer Prozesse. Bereits
rung interner und Lieferantenaudits. Aber systemnormen zwar nicht mehr neu; die beim Auditprogramm liegt der Bezug stär-
auch für externe Auditoren aus der Zer- relevanten (Norm-)Anforderungen müs- ker auf der strategischen Ausrichtung
tifizierungsbranche ist der neue Leitfaden sen in der Organisation aber auch audi- der Organisation – auf ihrem Kontext,
äußerst nützlich, wenn auch nicht verbind- tiert werden. Dieser Ansatz gilt auch für ihren Zielen und den identifizierten Risi-
lich. Er kann für alle Managementsysteme den Auditprozess selbst. Ein Risiko kann ken und Chancen. Die Anwendung eines
und deren Prozesse, oder auch in Kom- sein, nicht genügend qualifizierte Audi- Prozessansatzes ist eine Voraussetzung
bination mit verschiedenen Normen, z. B. toren bereitzustellen, um die Auditziele für alle Managementsystemnormen. Es
ISO 9001, ISO 14001, ISO 27001 etc., zu erreichen. Chancen können sich evtl. müssen also alle relevanten Prozesse und
verwendet werden. durch die Auditierung aktueller Themen ihre Interaktionen auditiert werden. Dies
der Geschäftsführung ergeben, z. B. mit sollten besonders die Auftraggeber der
Risiken und Chancen auf der Spur Blick auf die Umsetzung von Umstruktu- Audits wissen (z. B. die oberste Leitung),
Das siebte Auditprinzip lautet: Der „risiko- rierungen in der Organisation oder auf den um klare Aufträge zu vergeben. Eine
basierte Ansatz“ ist ein Auditansatz, der Umgang mit der DS-GVO (Datenschutz- angemessene Planung soll u. a. Komplexi-
Risiken und Chancen berücksichtigt. Er Grundverordnung). tät, Standorte (ggf. mit Besonderheiten),
10Ausgliederungen sowie Anforderungen an sie für den Auditablauf effizient sind, z. B. die Begleitung von Sachverständigen etc.
Informationssicherheit und Vertraulichkeit was Schrift- und Spracherkennung, Fotos Diese Kompetenz zielt auch auf Fähigkei-
berücksichtigen. In der Praxis ist es heute oder Videos (dies mit Einwilligung) anbe- ten, wie den Einsatz von Auditmethoden,
bereits üblich, die Planung für das Audit- langt. Zum anderen existieren inzwischen das Verständnis und die Anwendung des
programm flexibler zu gestalten und nicht immer mehr virtuelle Standorte. Beispiele prozess- und risikoorientierten Ansatzes
unbedingt fix, z. B. über 3 Jahre. Dabei dafür sind Homeoffice-Arbeitsplätze oder im Audit bzw. auf Art und Grad von Risi-
sollten Prozesse mit höheren Risiken bzw. Online-Shops etc. Diese Standorte kön- ken und Chancen, also nicht nur auf rei-
niedrigerem Leistungsniveau ausgewählt nen aus der Ferne („remote“) auditiert nes Wissen und Fertigkeiten. Gefragt ist
und aktuelle Unternehmensthemen mit werden. Remote-Audits werden aber auch auch Kommunikationskompetenz, z. B.
Audits begleitet werden. bei physischen Standorten immer häufiger das wirksame Zusammenarbeiten, Selbst-
angewendet. So lassen sich große Ent- sicherheit, souveränes Verhalten bei Mei-
Einzelnes Audit durchführen fernungen durch Videokonferenzen etc. nungsverschiedenheiten oder sicherer
Der risikobasierte Ansatz sollte die Pla- einfach überbrücken – was Zeit und Geld Umgang mit Informations- und Kommuni-
nung, Durchführung und Berichterstat- spart. Wichtig dabei ist jedoch, auch die kations-Technik. Auditteamleiter müssen
tung von Audits maßgeblich beeinflussen, möglichen Schnittstellen der physischen zudem delegieren können, also Auditauf-
besonders mit Blick auf die Effizienz der Standorte zu berücksichtigen. Die Anwen- gaben nach spezifischer Kompetenz der
Audittätigkeiten, die Erreichung der Audit- dung von Remote-Audits muss immer einzelnen Auditoren zuweisen, sie müs-
ziele und die Bewertung von Feststellun- sorgfältig abgewogen werden, da nicht sen das Management auditieren können,
gen in Bezug auf Risiken und Chancen. jede Situation über die Distanz angemes- d. h. Besprechung strategischer Themen
Auditziele sind in der Norm nichts Neues. sen beurteilt werden kann. Oft sind es die unter Einbezug von Risiken und Chancen
Sie werden aber in der Praxis vielfach kleinen Dinge, das Umfeld eines Arbeits- mit der obersten Leitung, und sie müssen
nicht ausreichend genutzt, obwohl sie platzes oder einzelne Arbeitsschritte in führen können, also die Mitglieder des
neben den Auditkriterien den „roten der Produktion, die für eine angemessene Auditteams, inkl. Auditoren in Ausbildung,
Faden“ für das Audit vorgeben. Auditziele Bewertung notwendig sind. leiten und lenken – kurzum: Sie müssen
sollten fokussiert sein auf Vorbild sein.
den Reifegrad des Lesenswerter Anhang
Managementsystems, der Prozesse Im Anhang der Norm gibt es 18 „Mini- Fazit
und weitere Auditkriterien, Leitfäden“ mit Erläuterungen zum Vorge- Der neue Leitfaden wurde systematisch
die Wirksamkeit des hen im Audit. Die Hälfte davon ist neu verbessert. Das Ergebnis ist keine grund-
Managementsystems und dessen und daher zum Lesen empfohlen, z. B. legend neue, aber fundiert weiterentwi-
beabsichtigte Ergebnisse, z. B. mit Prozessansatz des Auditierens ckelte, an die aktuellen Managementsys-
Bezug auf die Prozessziele, temnormen angepasste Version. Durch
Auditieren von Führung und
die Ermittlung von Chancen zur Verpflichtung den strategischen Bezug sollten klare
möglichen Verbesserung, z. B. mit Auditziele formuliert werden, um so den
Auditieren von Risiken und Chancen
Blick auf Effizienz und Digitalisierung, Auditnutzen weiter zu steigern. Feststel-
Lebenszyklus
die Eignung, Angemessenheit und lungen beziehen sich nicht nur auf Kon-
Fähigkeit des Managementsystems Fachmännisches Urteil formität, sondern auch auf Verbesse-
in Bezug auf den (sich wandelnden) Leistungsbezogene Ergebnisse rungspotenziale und bewährte Praktiken.
Kontext und die strategische Auditieren von Compliance innerhalb In der Praxis ist dies nicht immer selbst-
Ausrichtung (z. B. Anwendung von eines Managementsystems verständlich. Nutzen Sie den überarbeite-
Methoden) der Organisation. ten Leitfaden deshalb als Impulsgeber für
Neue Wege mit Remote-Audits Auditoren-Kompetenz Ihren Auditprozess, für Methoden und die
Mit ISO 19011:2018 ist auch die Digitali- Die Empfehlungen zur Ermittlung der Kom- erforderliche Auditkompetenz.
sierung in den Audits angekommen. Dies petenz von Auditoren wurden erweitert.
betrifft zum einen das Audit selbst, in dem So gilt es, die Beurteilung der Kompetenz Christian Ziebe
immer häufiger ein Tablet oder Notebook der am Auditprozess Beteiligten sicherzu- DQS-Auditor
iso19011@dqs.de
zum Einsatz kommt. Diese Geräte müssen stellen, z. B. mit Blick auf ausreichende
jedoch gut daraufhin geprüft werden, ob (Gesamt-)Kompetenz im Auditteam oder
Nr. II 2018
DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS 11Nr. II 2018
2014
Erster Schritt zu Informationssicherheit
Informationssicherheitsrisiken im Blick:
mit einem wirksamen Update des risikobasierten Ansatzes
In einer Zeit, als Werte noch eher gegenständlich waren, wurde großer Aufwand betrieben, um sie „auch
ja“ zu erhalten. Davon zeugt nicht zuletzt die sprichwörtliche Vorsicht beim Umgang mit Porzellankisten.
Heute sind Werte zwar weniger zerbrechlich, dafür umso angreifbarer. Im Zeitalter der Digitalisierung sind
es vor allem wertvolle Informationen, die es zu bewahren respektive zu schützen gilt – für Unternehmen
ist Informationssicherheit damit ein Muss. Ein unbedingtes Muss, wenn man bedenkt, dass laut Bitkom-
Studie 2018* sieben von zehn deutschen Industrieunternehmen in den vergangenen zwei Jahren Opfer
von Datendiebstahl, Industriespionage oder Sabotage geworden sind.
Das Thema „Informationssicherheit“ ist Mit ISO 9001 hin zu „Mit ihren Weltmarktführern
nichts Neues. Die Gefahren, die der Informationssicherheit ist die deutsche Industrie
umfangreichen Informationslandschaft in Zunächst muss festgehalten werden, besonders interessant für
Unternehmen drohen, sind lange bekannt. dass ISO 9001 zwar normübergreifend
Allein: Die Sicherheit von Unternehmens- einen risikobasierten Ansatz fordert, die
Kriminelle. Wer nicht in
informationen wird noch immer vernach- Umsetzung dieser Anforderung aber weit- IT-Sicherheit investiert,
lässigt. Beim Umgang mit Informationen gehend dem Unternehmen überlässt. So handelt fahrlässig und
fehlt es vielerorts an der nötigen Vorsicht ist beispielsweise kein eigener Prozess für gefährdet sein Unternehmen.“
und Voraussicht, und auch das Bewusst- die Risikobetrachtung gefordert, was mit
Achim Berg, Bitkom-Präsident, Berlin 2018
sein über die Folgen von Datenklau & Co. Blick auf Informationssicherheit aber frag-
ist längst nicht überall ausreichend entwi- los zu wenig ist. Dennoch kann die Risi-
ckelt. Mancherorts wird auch der Aufwand kobetrachtung für die Belange des Quali- fortlaufender Verbesserung. Mit Bezug
gescheut, den Unternehmen für einen tätsmanagementsystems auf das Thema auf Informationssicherheit sind dies u. a.
effektiven Schutz ihrer Informationen Informationssicherheit erweitert werden. folgende Stichwörter: Verlust der Vertrau-
betreiben müssten. Dabei muss dieser Dazu schauen wir uns an, welche Anforde- lichkeit, Integrität und Verfügbarkeit der
Aufwand gar nicht so groß sein. rungen ISO 27001 an die Ermittlung und Information. Die Norm stellt dazu in Kapi-
Die Botschaft lautet: Viele Unterneh- den Umgang mit Informationssicherheits- tel 6.1.1 folgende Anforderungen:
men müssen gar nicht – quasi auf einen risiken stellt. Die meisten Aspekte können Bestimmen von Risiken und Chancen
Schlag – die große Keule ausfahren, um von Anwendern der ISO 9001-Norm mit Planen von Maßnahmen zum Umgang
vollumfängliche Informationssicherheit vertretbarem Aufwand umgesetzt wer- mit den ermittelten Risiken und
herzustellen, wie es z. B. für kritische Inf- den – als erster Schritt auf dem Weg zu Chancen
rastrukturen inzwischen gefordert wird. vollumfänglicher Informationssicherheit, Planen zur Integration und Umsetzung
Organisationen können auch Schritt für wohlgemerkt. von Maßnahmen in die Prozesse der
Schritt vorgehen. Das heißt: Die Ein- Organisation
führung eines Informationssicherheits- Risiken und Chancen
Managementsystems (ISMS) gemäß ISO ISO 27001 behandelt die dafür relevanten In den nächsten beiden Kapiteln wird
27001 sollte zwar das Fernziel sein. Der Themen (genau wie ISO 9001) in Kapi- jeweils die Festlegung und Anwendung
Anfang kann aber, zumindest in Unterneh- tel 6.1 „Maßnahmen zum Umgang mit eines Prozesses gefordert:
men, die über ein Qualitätsmanagement- Risiken und Chancen“. Im Kern geht es
system nach ISO 9001 verfügen, auch ein darum, drei wesentliche Aspekte sicher- Kap. 6.1.2 fordert das Festlegen und
Update des seit der Revision von 2015 zustellen: das Erzielen der von der Orga- Anwenden eines Prozesses zur Beurtei-
geforderten risikobasierten Ansatzes sein nisation beabsichtigten Ergebnisse, das lung des Informationssicherheitsrisikos:
– aber bereits mit Blick auf entsprechende Verhindern bzw. Verringern unerwünsch- Dieser Prozess muss Kriterien für das
Anforderungen von ISO 27001. ter Auswirkungen und das Erreichen Informationssicherheitsrisiko festlegen
* Studienbericht 2018: Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie, www.bitkom.org
12und aufrechterhalten, darunter die Kri- Die Vorteile auf einen Blick
terien für die Risikoakzeptanz (a.1) und Ein Prozess, der die Informationssi-
für die Durchführung von Informations- cherheitsrisiken grundlegend betrach-
sicherheitsrisikobeurteilungen (a.2). Der tet, kann als erster, wichtiger Schritt
Prozess muss sicherstellen, dass „wie- hin zu einem umfänglichen ISMS, z. B.
derholte Informationssicherheitsrisiko- Der Anhang A von ISO 27001 hat aus- gemäß ISO 27001 dienen.
beurteilungen zu konsistenten, gültigen drücklich normativen Charakter. Er kann Mit der Implementierung eines sol-
und vergleichbaren Ergebnissen führen“, als Checkliste verstanden werden, die chen Prozesses stärkt ein Unterneh-
wie es in der Norm heißt (b.1). Folgende Maßnahmenziele und Maßnahmen ent- men das Bewusstsein für Informati-
Unterpunkte könnten mit Blick auf einen hält. Ein Unternehmen kann anhand onssicherheit auf allen Ebenen.
ersten Schritt zentral sein: dieser Liste sicherstellen, dass es keine Ein Unternehmen hat mit der gezielten
Identifizierung der wichtigen Maßnahmen zur Behandlung Betrachtung von Informationssicher-
Informationssicherheitsrisiken des Informationssicherheitsrisikos über- heitsrisiken die Möglichkeit, Hand-
sehen hat. Anspruch auf Vollständigkeit lungsbedarf aufzudecken und ent-
Analyse der sprechende Maßnahmen zu ergreifen
Informationssicherheitsrisiken wird dabei jedoch nicht erhoben.
(orientiert an Anhang A).
Bewertung der ISO 27001 fordert zwar zwei getrennte
Prozesse für die Beurteilung und für die Die um Informationssicherheit erwei-
Informationssicherheitsrisiken terte Risikobetrachtung stärkt den risi-
Behandlung des Informationssicherheits-
kobasierten Ansatz des Unternehmens
Kap. 6.1.3 verlangt das Festlegen und risikos. Diese Prozesse könnten für den
insgesamt.
Anwenden eines Prozesses zur Behand- „ersten Schritt“ jedoch in einem Prozess
Sowohl der finanzielle als auch der
lung des Informationssicherheitsrisikos. zusammengefasst werden, der die Risiko-
personelle Aufwand für die Implemen-
Mithilfe dieses Prozesses soll Folgendes betrachtung des Qualitätsmanagement-
tierung und die Wirksamkeitsprüfung
erreicht werden: systems eines Unternehmens entlang der des Prozesses ist überschaubar.
Auswahl angemessener Optionen für genannten Anforderungen gezielt um den
die Behandlung des Informationssi- Aspekt der Informationssicherheit erwei-
cherheitsrisikos, und zwar hinsichtlich tert. Wie tiefgreifend ein solcher Prozess Gert Krüger
der Ergebnisse der Risikobeurteilung die einzelnen Anforderungen letztlich Leiter Competence Center Informationen.
Daten.Sicherheit.
Festlegung aller Maßnahmen, die zur behandelt, hängt unmittelbar von der informationssicherheit@dqs.de
Umsetzung der gewählten Optionen Komplexität der Informationslandschaft
für die Behandlung des Informations- des Unternehmens ab.
sicherheitsrisikos notwendig sind
Vergleich der festgelegten Maßnah- So oder so: Es ist auf jeden Fall ratsam,
men mit den in Anhang A der Norm die Wirksamkeit eines solchen Prozesses
genannten Maßnahmen in einem externen Voraudit überprüfen
Erstellung einer Erklärung zur Anwend- zu lassen, z. B. im Zuge eines ohnehin
barkeit mit Blick auf die Gründe für die geplanten Audits gemäß ISO 9001.
(Nicht-)Einbeziehung von Maßnahmen
aus Anhang A (d).
Formulierung eines Planes für die
Behandlung des Informationssicher-
heitsrisikos
Einholen der Genehmigung und
Akzeptanz dieses Plans bei den Risi-
koeigentümern
Nr. II 2018
DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS 13Nr. II 2018
2014
ISA+Informations-Sicherheits-Analyse
Bedarf an Informationssicherheit wird weithin unterschätzt
Laut einer Forsa-Umfrage vom April 2018 unter deutschen Mittelständlern (KMU) zum Thema Informations-
sicherheit glauben rund 75 % der Antwortenden, dass das Risiko von Cyber-Attacken für den Mittelstand
hierzulande sehr hoch ist. Dass sie selbst Opfer von Angriffen werden könnten, hält jedoch nur ein Drittel für
wahrscheinlich. Angesichts dieser Diskrepanz drängt sich die Frage auf, ob der eigene Bedarf an Informati-
onssicherheit von Unternehmen immer richtig eingeschätzt wird. Mit ISA+ kann dieser Bedarf ermittelt und
die erfolgreiche Umsetzung von Handlungsempfehlungen von der DQS mit einem Zertifikat bestätigt werden.
Die ISA+Informations-Sicherheits-Analyse
Schritt für Schritt zur z. B. Informationssicherheits-
(kurz: ISA+) wurde vom Bayerischen IT-
Sicherheitscluster e. V. entwickelt, einem Informationssicherheit Managementsysteme für
die Automobilindustrie
Zusammenschluss von Unternehmen, angepasste Lösungen für alle Unter-
Hochschulen, Forschungs- und Weiterbil- nehmensgrößen und Branchen
dungseinrichtungen und Juristen, deren stufenweiser Aufbau bis zur reifen
gemeinsames Interesse der Informations- Informationssicherheit
sicherheit gilt. Das Verfahren sieht vor,
zunächst den Informationssicherheitsbe- Informationssicherheits-
darf eines Unternehmens anhand eines Managementsystem
speziellen Fragenkatalogs zu ermitteln.
Ein akkreditierter Berater gleicht dabei
Informationssicherheit
die zu jeder Frage gegebenen Handlungs- in 12 Schritten
empfehlungen mit den Antworten des
Unternehmens ab, und zwar anhand von
Reifegraden in vier Stufen. Daraus ergibt Informations-
Sicherheits-Analyse © DQS GmbH
sich der aktuelle Ist-Zustand und Grad
der Informationssicherheit mit Stärken
und Schwächen. Auf dieser Basis zeigt Zielgruppe KMU Auf ISA+ lässt sich aufbauen
der Berater anschließend notwendige Das vor allem für KMU gedachte Verfah- Mit dem ersten Schritt zu ISA+ schafft
Maßnahmen auf. Als Nachweis für die ren erleichtert den Einstieg in die Informa- ein Unternehmen auf jeden Fall ein gutes
Wirksamkeit des Prozesses kann sich tionssicherheit durch eine übersichtliche Schutz-Niveau. Und: Es kann sich ent-
das Unternehmen von der DQS, dem und leicht verständliche Herangehens- scheiden, wie es sich für die Zukunft auf-
Zertifizierungspartner des Bayerischen IT- weise, die teilnehmenden Unternehmen stellen möchte, ob es bei ISA+ bleibt oder
Sicherheitsclusters, nach ISA+ zertifizie- keine tiefgreifenden Kenntnisse zur Infor- ob eine Weiterentwicklung sinnvoll ist.
ren lassen. Der Fragenkatalog umfasst 50 mationstechnik abverlangt. Eine ganze Dafür gibt es mehrere Optionen: entwe-
Fragen, unterteilt in Reihe von KMU hat sich bereits für ISA+ der die Einführung des Regelwerks ISIS12,
entschieden, darunter auch der Zweck- das ebenfalls vom Bayerischen IT-Sicher-
allgemeine Themen: Unternehmens-
verband der Abfallwirtschaft Kempten heitscluster für KMU entwickelt wurde,
größe, Anzahl der Mitarbeiter etc.
(ZAK). eine Implementierung des BSI IT-Grund-
Organisation: Richtlinien, Anweisungen, Das Unternehmen wurde jüngst von schutzes oder aber der direkte Einstieg in
Schulung, Verantwortlichkeit etc.
der DQS an zwei Tagen auditiert. Am ers- die Welt der ISO-Normen mit Einführung
Technik: vorhandene IT-Systeme, ten Tag nahm DQS-Auditor Johann Grün- und Zertifizierung eines Informationssi-
Datensicherung, Notfallvorsorge etc. auer zunächst eine Akteneinsicht vor, mit cherheits-Managementsystems (ISMS)
Recht: Compliance, Leistungen Dritter der bereits 33 Fragen des Katalogs abge- nach ISO 27001. Welcher Weg auch
etc. deckt wurden. Am zweiten Tag folgte eine beschritten wird: Das stufenweise Vorge-
Begehung der drei Standorte mit Inter- hen berücksichtigt alle bereits umgesetz-
views (14 Fragen) und Beobachtungen ten Maßnahmen und erlaubt es, exakt auf
(3 Fragen). dem bereits Erreichten aufzusetzen.
14Sie können auch lesen
