IAF MD 11 – Audits integrierter Managementsysteme nach ISO/IEC 17021-1

Sofern Unternehmen mindestens zwei Managementsystemnormen implementiert haben, welche auditiert und ggf. zertifiziert werden sollen (bspw. ISO 9001 und ISO/IEC 27001), ergeben sich im Rahmen der Auditvorbereitung und -durchführung für Konformitätsbewertungsstellen (wie uns) spezifische Anforderungen. Diese gehen aus dem IAF MD 11:2023 hervor.

Integriertes Managementsystem

Gemäß dem IAF MD 11:2023 ist ein integriertes Managementsystem folgendermaßen definiert:
„Ein einzelnes Managementsystem, das mehrere Aspekte organisatorischer Abläufe verwaltet, um die Anforderungen von mehr als einer Managementnorm mit einem vorgegebenen Integrationsgrad zu erfüllen. Ein Managementsystem kann von einem kombinierten System, dem voneinander getrennte Managementsysteme für jede Reihe von Auditkriterien / Normen hinzugefügt werden, bis zu einem Integrierten Managementsystem (IMS), welches sich eine einzelne Dokumentation, Managementsystem-Elemente und Verantwortlichkeiten teilt, variieren.“

Integrationsgrad

Der zentrale Begriff aus der Definition ist der „Integrationsgrad“. Dies stellt den Grad der Integration von mindestens zwei Managementsystemnormen in ein zentrales Managementsystem dar. Die Integration bezieht sich auf eben jenes zentrale Managementsystem und ob bzw. in welchem Maße dies in der Lage ist, die Dokumentation, geeignete Elemente des Managementsystems sowie Verantwortlichkeiten in Bezug auf zwei oder mehrere Reihen von Auditkriterien / Normen zu integrieren.

Bemessung des Integrationsgerades

Der Grad der Integration bemisst sich gemäß IAF MD 11:2023 u. a. an den folgenden Aspekten, welche durch den jeweiligen Mandanten eingeschätzt und bewertet werden müssen:

  1. Ein integrierter Satz an Dokumentationen, einschließlich Arbeitsanweisungen, ggf. auf einem angemessenen Entwicklungsstand,
  2. Management-Bewertungen, die die grundsätzliche Geschäftsstrategie und den Geschäftsplan der Organisation berücksichtigen,
  3. Ein integrierter Ansatz bei internen Audits,
  4. Ein integrierter Ansatz bei Politik und Zielen der Organisation,
  5. Ein integrierter Ansatz bei Systemprozessen,
  6. Ein integrierter Ansatz bei Verbesserungsmechanismen (Korrektur- und vorbeugende Maßnahmen; Messungen und kontinuierliche Verbesserung) und
  7. Integrierter Managementsupport und Verantwortlichkeiten.

Warum ist der Integrationsgrad so wichtig?

Die Höhe des Integrationsgrades hängt direkt mit der Auditzeit zusammen. Um die Auditzeit für ein Audit eines IMS zu bestimmen, das zwei oder mehrere Managementsystem-Normen / Spezifikationen abdeckt, ist die benötigte Auditzeit getrennt für jede Managementsystemnorm zu berechnen. Die Summe der jeweiligen Auditzeiten stellen den zeitlichen Aufwand für das Audit des IMS dar. Dieser Aufwand kann nun noch einmal je nach Integrationsgrad reduziert werden. Allerdings kann sich, sofern das IMS nicht ein ausreichendes Maß der Integration aufweist, die Auditzeit auch erhöhen. Von zentraler Bedeutung ist neben der Komplexität des Audits eines IMS im Vergleich zu einzelnen Managementsystemaudits, dass das Auditprogramm und die Auditpläne alle Bereiche und Tätigkeiten im Hinblick auf jede Managementsystemnorm abdecken, die vom Geltungsbereich des Audits betroffen sind.

Beispiel

Lassen Sie uns ein fiktives Rechenbeispiel nehmen. Sie planen die Zertifizierung Ihres Qualitätsmanagementsystems (nachfolgend „QMS“) nach der ISO 9001 und Ihres Informationssicherheitsmanagementsystems (nachfolgend „ISMS“) nach der ISO/IEC 27001. Der Auditzeitaufwand für das QMS beträgt 5 Tage, für das ISMS 8 Tage. Der Gesamtaufwand beträgt somit 13 Tage.

Nehmen wir nun an, dass QMS und ISMS einen sehr hohen Grad der Integration aufweisen und bereits mehrere Zyklen durchlaufen haben. Dies kann zu einer Reduzierung des Auditzeitaufwandes i. H. v. bis zu 20 % führen. Lassen Sie uns einmal von 15 % ausgehen – der Auditaufwand würde sich von 13 auf 11 Tage reduzieren.

 

Dieser Eintrag trägt kein Anspruch auf Vollständigkeit aller einzelnen Anforderungen des IAF MD 11:2023. Vielmehr versteht er sich als Zusammenfassung der zentralen Anforderungen – insbesondere aus Mandantensicht.

Zurück