IAF MD 4 – Verwendung von Informations- und Kommunikationstechnologien (IKT) im Rahmen eines Audits

Audits (Erst- oder Rezertifizierungen sowie Überwachungsaudits) zeichneten und zeichnen sich weiterhin durch einen entsprechend hohen vor-Ort-Anteil aus. Der wichtigste Aspekt, unabhängig ob vor Ort oder remote ist, dass die Wirksamkeit und Effizienz eines Auditprozesses sichergestellt, sowie die Integrität gewährleistet ist und aufrechterhalten werden kann.

Informations- und Kommunikationstechnik (IKT) kann eine Möglichkeit sein, welche im Rahmen eines Audits genutzt werden kann. Allerdings ist dies nicht durchgehend möglich. Ausgehend vom IAF sowie den ISO/IEC-Standards, welchen eine Zertifizierungsstelle unterliegt, gibt es entsprechende Vorgaben, die bei einer Entscheidung „IKT: ja/nein bzw. Remote-Audit: Ja/Nein“ berücksichtigt werden müssen.

Für die Nutzung von IKT hat das IAF in 2023 ein verpflichtend zu berücksichtigendes Dokument als Update veröffentlicht, welche die Nutzung von IKT zu Auditzwecken regelt – das IAF MD 4:2023.

Definition – Abgrenzung des Begriffs „Standort“

Im IAF MD 1:2023 (Auditierung und Zertifizierung von Managementsystemen in Organisationen mit mehreren Standorten) wird bereits differenziert u. a. zwischen permanenten, temporären und virtuellen Standorten. Auch das IAF MD 4:2023 definiert den virtuellen Standort, wobei beide Definitionen sehr ähnlich sind. Nachfolgend jene aus dem IAF MD 4:2023:

„Virtueller Ort, an dem eine Kundenorganisation Arbeiten oder Dienstleistungen in einer online Umgebung ausübt, der es Personen erlaubt, unabhängig von physischen Standorten, Prozesse auszuführen.“

Dies bedeutet: Die Nutzung von IKT kann nicht pauschal für alle Organisationen und Branchen erfolgen. Wo Prozesse eine physische Umgebung benötigen, z. B. bei Medizinprodukteherstellung, Lagerung, physikalische Prüflaboratorien, Installation von physischen Produkten, kann IKT nicht vollständig genutzt werden.

Ein Beispiel eines virtuellen Standorts ist eine Design- und Entwicklungsorganisation, in der alle Mitarbeiter ihre Arbeiten aus der Ferne erbringen und in einer Cloud-Umgebung arbeiten. Ein virtueller Standort kann aber bspw. auch das Intranet / der Sharepoint einer Organisation sein.

Was bedeutet das für zu zertifizierende Unternehmen?

Die Beurteilung, ob ein Audit bei einer Organisation unter Nutzung von IKT durchgeführt werden kann, wird von der Zertifizierungsstelle durchgeführt. Dabei werden folgende Aspekte berücksichtigt:

  • Sicherheit und Vertraulichkeit: Es muss geprüft werden, wie Sicherheit und Vertraulichkeit bei der Verwendung einer IKT eingehalten werden kann. Auch muss festgestellt werden, ob die Verwendung der IKT in Übereinstimmung mit Sicherheitsinformationen, Datensicherungsmaßnahmen und Regelungen erfolgen kann. Zudem muss sichergestellt sein, dass die Verwendung von IKT einvernehmlich erfolgt.
  • Prozessuale Anforderungen: Es müssen Risiken und Möglichkeiten betrachtet werden, die sich auf die Wirksamkeit der Audits für jede Nutzung von IKT unter denselben Bedingungen auswirken können, einschließlich der Auswahl der Technologien und wie sie verwaltet werden. Dies muss entsprechend dokumentiert werden inkl. einer Beschreibung, wie IKT eingesetzt wird, um die Wirksamkeit und Effizienz des Audits zu optimieren und gleichzeitig die Integrität des Auditprozesses aufrecht zu erhalten. Wenn IKT für Auditzwecke verwendet wird, beeinflusst dies die gesamte Auditzeit, da möglicherweise eine zusätzliche Planung notwendig ist, die sich auf die Auditdauer auswirken kann.

 

Dieser Eintrag trägt kein Anspruch auf Vollständigkeit aller einzelnen Anforderungen des IAF MD 4:2023. Vielmehr versteht er sich als Zusammenfassung der zentralen Anforderungen – insbesondere aus Kundensicht.

Zurück