BCM-Audit

Ein zielführendes sowie nachhaltiges Audit steht und fällt mit dem Wissens- und Erfahrungsschatz des Auditors...

Das Audit

Autos werden gewartet, um ohne Probleme und blinkende Kontrolllämpchen zu fahren – und sie müssen regelmäßig zum TÜV. Business-Continuity-Managementsysteme müssen genauso wie ihre BC-Pläne ebenfalls „gewartet“ werden, damit sie funktionieren. Denn nur durch regelmäßige Prüfungen ist sichergestellt, dass sie im Falle einer Störung greifen.

Nur spricht man hier natürlich nicht von Wartung, sondern – in Abhängigkeit vom Prüfgegenstand – vom Auditieren (oder englisch: Auditing). Mit Audits werden allerdings nicht nur BC-Managementsysteme überprüft, sondern auch vielerlei andere Prüfgegenstände, wie zum Beispiel, Prozesse, Finanzstatus, Projekte, andere Managementsysteme, Produkte, Software, Richtlinien und Anforderungen. Hinterfragt wird immer, ob das zu Prüfende den geforderten Standards entspricht. Anders ausgedrückt lässt sich sagen, dass ein Audit ein Soll-Ist-Vergleich ist.

Unterschieden werden Audits in ihren Durchführungsarten. Es gibt:

  • First Party Audits: Sie sind eine interne Prüfung, die durch einen Mitarbeiter durchgeführt wird. Bei First Party Audits wird beispielsweise das Qualitätsmanagement der Firma durch einen internen Auditor überprüft.

  • Second Party Audits: Diese Untersuchungsverfahren werden auch Lieferanten-Audits genannt. Bei Firmen mit bestehenden Lieferketten überprüft die einkaufende Firma zum Beispiel das Business Continuity Management seiner Lieferanten (siehe dazu auch: Supply Chain Continuity Management). Abweichungen werden besprochen und behoben – und wieder überprüft. Auch Verbesserungsvorschläge werden bei diesen Audits diskutiert und, wenn möglich, umgesetzt. Dazu wird entweder ein eigener geschulter Mitarbeiter in die zu begutachtende Firma geschickt oder ein externer Auditor beauftragt.

  • Third Party Audits: Bei diesen Audits ist eine Zertifizierung das Ziel. Eine externe Zertifizierungsstelle prüft zum Beispiel, ob ein Unternehmen der Managementsystem-Zertifizierung nach ISO 22301:2019 entspricht. Auch die danach regelmäßigen Audits zur Rezertifizierung zählen dazu.

Allen Audits gemein ist also die Überprüfung, ob bestimmte, festgelegte Standards in einem Unternehmen/einer Organisation umgesetzt werden.

Audits im Business Continuity Management unterliegen einem festen Turnus, was schon allein dem BCM-Lifecycle geschuldet ist. Empfohlen sind sie mit jährlicher Wiederholung, für zertifizierte Unternehmen sind sie in dieser Folge verpflichtend.

Ist dem Auditor das Unternehmen samt seiner Organisation bekannt und / oder sind keine Begehungen bzw. Inaugenscheinnnahmen erforderlich, können diese remote durchgeführt werden. In diesem Fall lässt sich der Auditor alle erforderlichen Dokumente schicken und führt die Audit-Interviews remote durch. Kennt der Auditor das zu prüfende Unternehmen nicht, sind Begehungen bei Durchführung einer Bedrohungsanalyse unumgänglich, um die Firmenorganisation samt aller Anlagen kennenzulernen.

Vorgehensweise

BCM-Audit durch die Controllit AG zur Überprüfung der Zertifizierungsreife – ein Überblick zur Vorgehensweise

Nach der Audit-Beauftragung und ersten Telefonaten zur inhaltlichen Abstimmung des Audits ist die Prüfung und Bewertung der Dokumentationen der erste Schritt. Zu den Dokumenten zählen zum Beispiel die Policy, das Handbuch, die BIA und BC-Pläne etc. Dazu gehört auch, dass die Methodik auf Effektivität überprüft wird. Parallel werden das Opening-Meeting und der Auditplan vorbereitet und dieser vor dem Meeting-Termin an alle Teilnehmer verschickt.

Beim Opening-Meeting wird allen Beteiligten erklärt, wie das Audit ablaufen wird, das daraufhin startet. Je nach Auditumfang (Scope) und -tiefe kann dieses einen Tag bis mehrere Wochen andauern. Während des Audits wird die Dokumentation / das Managementsystem auf den Prüfstand gestellt und es werden Interviews mit dem prozessverantwortlichen BC-Manager und weiteren Interessengruppen geführt.

Hierbei zeigt sich dann, ob alle Prozesse dokumentiert und implementiert sind. Werden in dieser Zeit Abweichungen festgestellt, wird der Auditee mit lösungsorientierten Verbesserungsvorschlägen unterstützt, um die Abweichungen möglichst schnell beheben zu können. Sind alle Abweichungen samt ihren Lösungsvorschlägen besprochen und zusammengefasst, wird das Closing Meeting vorbereitet.

In diesem geht man sämtliche Abweichungen mit allen Beteiligten noch einmal durch. Im Anschluss wird der Audit-Bericht verfasst und dem Teilnehmerkreis sowie dem Management zugeschickt. Der Bericht enthält insbesondere Empfehlungen beurteilt nach Priorität, Wirkung und Aufwand. Damit ist das Audit beendet.

Und was passiert danach in der Firma?

Ein zielführendes sowie nachhaltiges Audit steht und fällt mit dem Wissens- und Erfahrungsschatz des Auditors. Außerdem sind eine hohe Auffassungsgabe, ein Verständnis für komplexe Prozesse und Managementsysteme sowie Menschenkenntnis wichtig. Denn ein Auditor darf weder mit der Tür ins Haus fallen, wenn ihm ein Missstand aufgefallen ist, noch sich an der Nase herumführen lassen, falls ein Prozessbevollmächtigter versucht, eine Nichtkonformität, auf welche Art und Weise auch immer, zu verstecken oder aber vom Auditplan abweichen möchte.

Audits sind sehr wertvolle Teilbereiche im BCM-Lifecycle, die dabei unterstützen, Prozesse zu optimieren, um als Organisation noch erfolgreicher dazustehen.

Gibt es eine Norm?

Ja, die ISO 22301:2019. Diese Norm für Business-Continuity-Managementsysteme enthält auch eine Norm für die Durchführung von Audits (ISO 19011 „Leitfaden zur Auditierung von Managementsystemen“).Sie suchen Beratung oder Unterstützung im Bereich Auditing oder BCM? Die Controllit AG berät Sie dazu gern.