1. Juli 2021

Sneak Peek: Das Zertifizierungsaudit

Von Joachim Reinke

Juli 1, 2021

Audit, Zertifizierung, Zertifizierungsaudit

Vor dem Erstzertifizierungsaudit ist man schon mal nervös. Aber keine Sorge. Es ist gar nicht so schlimm. Mehr dazu in unserem Sneak Peek: Zertifizierungsaudit!

In unserem Sneak Peek zum Zertifizierungsaudit erfahren Sie alles darüber, wie Sie stressfrei durch Ihr erstes ISO 27001-Audit kommen. (Unsere Tipps gelten übrigens für alle Managementsystem-Audits, also bspw. ISO 9001, ISO 20000-1, ISO 45001).

Schritt 1: Das Audit beginnt vor dem Audit

Ob Sie es glauben oder nicht: Die Vorbereitung auf Ihr Zertifizierungsaudit beginnt bereits bei der Auswahl des richtigen Zertifizierungspartners. Wir empfehlen Ihnen, damit 6-12 Monate vor Ihrem Wunsch-Zertifizierungstermin anzufangen. Zertifizierungsunternehmen haben manchmal volle Terminkalender. Dem möchten Sie zuvorkommen.

Wir empfehlen Ihnen, bei der Auswahl des Zertifizierungsunternehmens auch ein Telefonat (oder eine Videokonferenz) mit dem potentiellen Zertifizierungsauditor zu führen, um sicherzustellen, dass Sie eine gute Chemie aufbauen können.

Nichts ist unschöner als über mehrere Jahre auf eine Person festgelegt zu sein, zu der Sie keinen rechten "Draht" haben und die aus einer völlig anderen Welt kommt.

Der Zertifizierer wird Sie nach Ihrem Anwendungsbereich fragen. Dazu haben wir hier noch einen Artikel für Sie vorbereitet.

Übrigens: Je nachdem, wie groß Ihr Unternehmen ist, gibt es einen Zertifizierungsauditor oder ein Team (von zweien oder mehreren). Das Team kann zudem von Beobachtern (meist Auditoren in Ausbildung) begleitet werden. Diese Beobachter werden aber nicht aktiv am Audit teilnehmen.

Schritt 2: Das Stage 1-Audit

Das Zertifizierungsaudit ist in zwei Phasen geteilt: Phase 1 (meist "Stage 1") und Phase 2 (meist "Stage 2") genannt.

Im Stage 1-Audit geht es darum, dass der Zertifizierungsauditor sich anschaut, welche Regelungen Sie im Unternehmen getroffen haben, um die Anforderungen aus der ISO 27001 zu erfüllen.

Da Sie diese Regelungen meist aufgeschrieben haben, ist es üblich, einfach alles Aufgeschriebene dem Auditor zukommen zu lassen (per Zugang zu Ihrer Ablage oder per Email).

Daher wird das Stage 1-Audit auch manchmal "Dokumentenaudit" genannt.

BITTE BEACHTEN: Vor dem Stage 1-Audit sollten Sie bereits

  • ein internes Audit sowie
  • ein Management-Review durchgeführt haben sowie
  • das Statement of Applicability fertig haben.

Unterlagen dazu erwartet der Zertifizierungsauditor. Der Auditor prüft in dieser Stage vornehmlich, ob Ihre Regelungen die ISO 27001 auch wirklich wiederspiegeln.

Schritt 3: Das Stage 2-Audit

Im Stage 2-Audit prüft der Zertifizierungsauditor, ob Sie auch nach Ihren eigenen Regelungen arbeiten.

Dazu besucht der Zertifizierungsauditor Sie (und Ihr Team) an allen Liegenschaften, die Sie für das Audit angemeldet haben. (Teilweise findet das Stage 2-Audit auch remote als Videokonferenz statt). Wenn es sich um ein Auditteam handelt, kann es sich aufteilen.

Der Auditor (oder das Team) gewinnt im Stage 2-Audit Erkenntnisse v.a. über Beobachtungen und Interviews (und mit Abstrichen: durch das Lesen von Dokumenten).

Hier ein paar wichtige Tipps für das Stage 2-Audit:

Auditplan

Sie erhalten von Ihrem Zertifizierungsauditor vorab einen Auditplan. Darin ist  auf die Stunde genau enthalten, wann welches Thema "dran" ist. Fragen Sie Ihren Auditoren auch gerne zeitig (spätestens 1-2 Wochen vor Audit) nach diesem Plan, denn Sie möchten ja in der Lage sein, auch zu jedem Slot eine kompetente Person aus Ihren Reihen am Start zu haben.

Eröffnungsgespräch

Es gibt ein obligatorisches Eröffnungsgespräch mit allen Beteiligten - sowohl auf Ihrer als auch auf Seite des Auditoren(teams). Dieses Gespräch hat zwei Funktionen:

  1. Arbeitsbeziehung: Alle lernen sich kennen und bauen eine erste Beziehung zueinander auf. Der Auditor erklärt, wie das Audit ablauft.
  2. Teil des Audits: Auch das Eröffnungsgespräch ist schon (informell) Teil des Audits. Der Auditor beobachtet hier, wie Sie und Ihr Unternehmen zur ISO 27001 stehen. Ist jemand aus der Geschäftsführung mit dabei? Ist das nur ein "ferner liefen"-Thema für Sie? Wollen Sie das überhaupt? Ist die Geschäftsführung da auch wirklich hinter? Sitzt dem Auditor eine verschlafene Person gegenüber oder mehrere engagierte? Wirken Sie interessiert oder abwesend?

Sie können im Eröffnungsgespräch die Weichen in die richtige Richtung stellen. Nutzen Sie die Chance!

Interviews und Beobachtungen

Im Stage 2-Audit sammelt der Zertifizierungsauditor Erkenntnisse v.a. durch Interviews und Beobachtungen.

Für Sie bedeutet das: Sie werden viel Rede und Antwort stehen müssen. Das fühlt sich zugegebenermaßen manchmal wie eine "mündliche Abi-Prüfung" an. So ist es aber nicht gemeint. Es geht nicht darum, dass Sie alles aus dem Stegreif wissen. Sondern darum, dass der Auditor sich ein Bild darüber machen möchte, ob die Regelungen, die Sie für Ihr eigenes Unternehmen im Laufe Ihres Vorbereitungsprojekts getroffen haben, auch so funktionieren wie gedacht.

Das lässt sich einfach nur durch viel Fragerei seitens des Auditoren herausfinden.

Hier hilft es, wenn bei Ihnen alle dem Auditor gegenüber sitzenden Personen Bescheid wissen. Oder zumindest wissen, wo Sie was nachschauen können. Niemand muss alles auswendig wissen. Es ist völlig ok, wenn Sie auf eine Frage antworten "Moment, schaue ich mal gerade nach, geben Sie mir eine Minute."

Widerspruch

Es wird vorkommen, dass der Zertifizierungsauditor nicht so ganz einverstanden ist mit dem, was Sie ihm zeigen. Das bekommen Sie mit, wenn der Auditor Zweifel daran äußert, dass Ihre Umsetzung den Anforderungen der ISO 27001 entspricht.

Typischerweise reagieren auditierte Unternehmen reflexhaft mit deutlichem Widerspruch ("Das sehen Sie falsch!", "Das stimmt nicht!", "Das können Sie so nicht sagen!").

Widerspruch dieser Art bringt Sie meist nicht weiter.

Verlegen Sie sich darauf darzustellen, wieso Sie die Dinge so geregelt haben, wie Sie sie geregelt haben und wieso das für Sie angemessen und wirksam ist, sprich:

  • warum jede andere Art der Regelung für Sie nicht passen würde und
  • wieso die herrschende Regelung das tut, was sie soll (gem. ISO 27001).

Das bringt Sie viel, viel weiter!

Alternativ kann es auch helfen, wenn Sie fragen, wo genau denn das, was der Auditor vermisst, konkret in der ISO 27001 gefordert ist.

Und: der Ton macht die Musik. Ein "Achja wirklich? Wo soll das denn bitteschön stehen? Na?" bringt Sie wesentlich weniger weit als ein "Oh, da haben wir hoffentlich nichts übersehen, auf welchen Teil beziehen Sie sich da?"

Abschlussgespräch

Es gibt i.d.R. am Ende jedes Audittages ein kurzes Tagesabschlussgespräch (von 15 min oder mehr), in dem der Auditor Ihnen darstellt,

  • was er heute festgestellt hat (z.B. "Ich habe keine Regelungen für dokumentierte Informationen gefunden.") und
  • was er daraus schlussfolgert (z.B. "Dadurch ist die Anforderung aus Kapitel 7.5 leider nicht erfüllt.")

Am Ende des Audits gibt es ein Gesamtabschlussgespräch, in dem für die o.g. Inhalte noch einmal genügend Zeit zur Verfügung steht (30 min oder mehr).

Es wirkt, wenn auch hier wieder die Geschäftsführung anwesend ist. Das zeigt die Wichtigkeit des Themas und erfüllt damit Punkt 5.1 der ISO 27001 (und aller anderen Managementsystemnormen auch).

In Gesamt-Abschlussgespräch erfahren Sie, wie das Audit insgesamt gelaufen ist und ob der Auditor gegenüber der Zertifizierungsstelle empfehlen wird, Ihnen das Zertifikat auszustellen.

Sneak Peek: Zertifizierungsaudit - Fazit

Unser Fazit: Es lohnt, wenn Sie sich frühzeitig mit dem Thema Audit auseinandersetzen und sich darauf vorbereiten, was wann auf Sie zukommt!

Hier haben wir noch einen weiteren interessanten Artikel zum Thema Audits für Sie. Lesen Sie doch mal rein.

Sie haben noch Fragen zum Zertifizierungsaudit oder wollen mal eines "simulieren"? Mit richtig fiesen Fragen? Immer gerne! Nehmen Sie doch einfach Kontakt zu uns auf.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}