einfachISO
ISO 27001

Abweichung im ISO 27001-Audit: Was ist eine Nichtkonformität?

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
Was ist eigentlich eine Abweichung?

Was ist eine Abweichung im ISO-Audit?

Im Audit sprechen Auditoren oft von einer Abweichung. Gemeint ist damit in der Regel eine Nichtkonformität.

Die einfache Übersetzung lautet: Eine Anforderung wurde nicht erfüllt. Genau so wird der Begriff im ISO-Umfeld beschrieben. Entscheidend ist also nicht, ob dem Auditor etwas "nicht gefällt", sondern ob er zeigen kann, welche konkrete Anforderung verletzt wurde.

Das gilt nicht nur bei ISO 27001, sondern genauso auch bei anderen Managementsystemen wie ISO 9001, ISO 14001 oder TISAX®.

Abweichung und Nichtkonformität: Was ist der Unterschied?

Im Alltag sagen viele einfach Abweichung. Der fachlich präzisere Begriff ist Nichtkonformität. Der Begriff stammt aus der ISO 9000 und bedeutet "Fehler - Nichterfüllung einer Anforderung".

ISO-9000-Nichtkonformitaet

ISO 9000 Nichtkonformität

Wichtig ist dabei: Eine Abweichung liegt nicht schon dann vor, wenn etwas nur unsauber aussieht oder ein Auditor eine persönliche Vorliebe hat. Eine echte Nichtkonformität liegt erst dann vor, wenn sich klar benennen lässt, welche Anforderung nicht eingehalten wurde. Ohne diese Anforderung kann ein Auditor keine Nichtkonformität sauber erheben.

Woher kann diese Anforderung kommen?

Genau hier wird es in der Praxis interessant. Die verletzte Anforderung kann aus verschiedenen Quellen stammen:

  • aus der Norm selbst;
  • aus Ihrem eigenen Managementsystem;
  • aus gesetzlichen oder regulatorischen Vorgaben;
  • aus Kundenanforderungen.

Das ist wichtig, weil viele Unternehmen nur an den ersten Fall denken: "Wir haben gegen die Norm verstoßen." In Wirklichkeit entstehen Abweichungen im Audit oft auch dadurch, dass ein Unternehmen sich selbst Regeln gegeben hat, die dann nicht eingehalten werden.

Ein typisches Beispiel

Nehmen wir an, Ihre Organisation hat intern festgelegt, dass neue Sicherheitsmaßnahmen immer durch die Geschäftsleitung freigegeben werden müssen. Im Alltag wird diese Freigabe dann aber regelmäßig von einem Teamleiter vorgenommen.

Dann kann daraus eine Abweichung werden, auch wenn die Norm nicht ausdrücklich genau diese interne Freigabelogik verlangt. Das Problem ist dann nicht die Norm, sondern dass Ihre eigene Vorgabe nicht eingehalten wurde. Genau solche selbst erzeugten Abweichungen sind im Audit erstaunlich häufig.

Was ein Auditor für eine saubere Abweichung braucht

Eine sauber formulierte Nichtkonformität besteht im Kern aus drei Teilen:

  • dem Nachweis bzw. Evidenz (bspw. "eingesehene Vorgehensweise zur Freigabe von Sicherheitsmaßnahmen");
  • der daraus folgenden Auditfeststellung (bspw. "Freigabe erfolgt durch die Geschäftsführung");
  • der Bewertung (bspw. "Im Unternehmen geben auch Teamleiter Sicherheitsmaßnahmen frei, obwohl das Unternehmen sich selbst die Regel gegeben hat, dass dies nur die Geschäftsführung macht.");
  • der konkret verletzten Anforderung (in diesem Fall stammt die Anforderung nicht aus der ISO 27001, sondern aus der Vorgehensweise des Unternehmens selbst);
  • der klar formulierten Nichtkonformität (in diesem Fall: "Das Unternehmen hält sich nicht an seine eigene Vorgehensweise zur Freigabe.").

Das ist mehr als Wortklauberei. Wenn diese  Teile sauber benannt sind, kann das Unternehmen die Ursache gezielt analysieren und passende Korrekturmaßnahmen festlegen. Wenn sie unsauber sind, entsteht oft nur Diskussion statt Verbesserung.

Hauptabweichung und Nebenabweichung

In der Praxis teilen viele Zertifizierer Abweichungen nach ihrem Schweregrad ein.

Hauptabweichung

Eine Hauptabweichung (auch: "schwere Nichtkonformität") liegt vor, wenn die Wirksamkeit oder Integrität des Managementsystems ernsthaft infrage steht. In der Zertifizierungspraxis bedeutet das in der Regel: Es kann kein Zertifikat erteilt werden, bis die Abweichung wirksam behoben ist. Das britische BSI beschreibt "Major Non-Conformances" als Feststellungen, bei denen die Integrität des Managementsystems beeinträchtigt ist und die vor Zertifikatserteilung bereinigt werden müssen.

Nebenabweichung

Eine Nebenabweichung ist weniger gravierend. Sie zeigt einen Mangel, aber keinen so grundlegenden Zusammenbruch des Systems. Sie ist trotzdem ernst zu nehmen, nur eben nicht auf derselben Ebene wie eine Hauptabweichung. Das britische BSI beschreibt Minor Non-Conformances als eher isolierte Fälle der Nichtkonformität.

Hinweis

Zusätzlich arbeiten viele Auditoren noch mit Hinweisen (auch "OfI - Opportunity for Improvement"). Das ist dann keine eigentliche Nichtkonformität, sondern eher ein Punkt, den das Unternehmen beachten oder verbessern sollte. Auch diese Kategorie taucht in Zertifizierungsberichten häufig auf.

Wovon hängt der Schweregrad ab?

Nicht jede Abweichung ist automatisch eine Hauptabweichung. Entscheidend ist unter anderem:

  • wie wesentlich die verletzte Anforderung ist;
  • ob es sich um einen Einzelfall oder ein systematisches Problem handelt;
  • ob die Wirksamkeit (Funktion) des Managementsystems dadurch grundsätzlich infrage steht;
  • ob mehrere kleinere Feststellungen zusammen auf ein größeres Problem hindeuten.

Gerade der letzte Punkt ist wichtig: Mehrere kleine Mängel können zusammengenommen zeigen, dass ein Thema im Unternehmen nicht wirklich beherrscht wird.

Typische Beispiele für Abweichungen

Im ISO 27001-Umfeld könnten das zum Beispiel sein:

  • es wurde kein internes Audit durchgeführt (ist verpflichtend);
  • es gibt keinen nachvollziehbaren Umgang mit Informationssicherheitsrisiken;
  • beschlossene Maßnahmen wurden nicht umgesetzt;
  • eine interne Vorgabe zur Freigabe oder Prüfung wird regelmäßig nicht eingehalten (s.o.);
  • ein dokumentierter Prozess sieht etwas vor, das in der Praxis anders gemacht wird.

Der gemeinsame Nenner ist immer derselbe: Es gibt eine Anforderung, und die tatsächliche Praxis passt nicht dazu.

Der häufigste Fehler: zu viel selbst festlegen

Viele Unternehmen bauen sich unnötig eigene Stolperfallen.

Sie schreiben Prozesse, Freigaben und Prüfwege zu detailliert auf, obwohl die Norm das gar nicht verlangt. Im Alltag halten sie diese Konstruktion dann nicht konsequent ein. Das Ergebnis: Die Abweichung entsteht nicht, weil das Unternehmen zu wenig geregelt hätte, sondern weil es sich zu viel und zu kompliziert selbst auferlegt hat.

Deshalb ist ein schlankes Managementsystem fast immer die bessere Wahl.

Wie man mit Abweichungen sinnvoll umgeht

Wenn ein Auditor eine Abweichung feststellt, bringt Diskussion meist wenig. Viel sinnvoller ist diese Reihenfolge:

  1. genau verstehen, welche Anforderung verletzt wurde;
  2. prüfen, ob die Feststellung sachlich zutrifft;
  3. Ursache sauber analysieren;
  4. Korrektur und Korrekturmaßnahme festlegen;
  5. vermeiden, dass dieselbe Abweichung wieder auftaucht.

Abweichungen sind unangenehm, aber sie sind nicht automatisch ein Drama. Häufig zeigen sie schlicht, wo das System in der Praxis noch nicht sauber greift.


Wenn Sie Abweichungen vermeiden und Ihr Managementsystem so aufsetzen wollen, dass es im Audit nicht an unnötigen Eigenkonstruktionen scheitert, vereinbaren Sie gerne einen unverbindlichen Termin mit uns.

Häufig gestellte Fragen

Ist jede Abweichung automatisch schlimm?
Nein. Aber jede Abweichung zeigt, dass eine Anforderung nicht erfüllt wurde. Deshalb sollte sie ernst genommen werden.
Bedeutet eine Abweichung automatisch, dass das Audit nicht bestanden ist?
Nein. Das hängt vom Schweregrad ab. Eine Hauptabweichung kann die Zertifikatserteilung verhindern oder verzögern, bis sie behoben ist. Eine Nebenabweichung führt nicht automatisch zum Scheitern, muss aber ebenfalls bearbeitet werden.
Kann eine Abweichung auch gegen eine eigene interne Regel entstehen?
Ja. Genau das ist in der Praxis sogar häufig der Fall. Anforderungen können ausdrücklich auch aus dem eigenen Managementsystem stammen.
Reicht es, wenn der Auditor nur sagt, etwas sei "nicht optimal"?
Nein. Für eine echte Nichtkonformität muss klar benannt werden, welche konkrete Anforderung nicht erfüllt wurde.
Was ist besser: sehr detaillierte Prozesse oder schlanke Regeln?
In den meisten Fällen sind schlanke, klare und tatsächlich gelebte Regeln besser. Zu detaillierte Vorgaben erzeugen oft unnötige Abweichungen.

Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.