IAF MD 1 - Auditierung und Zertifizierung von Managementsystemen in Organisationen mit mehreren Standorten

Sofern Unternehmen mindestens einen weiteren Standort neben Ihrer Zentrale haben und sich dieses Unternehmen zertifizieren lassen möchte, ergeben sich spezifische Anforderungen und Aspekte, die im Rahmen der Zertifizierung zu beachten sind. Vorgaben dazu finden sich neben den jeweiligen Standards für die zu zertifizierende Norm (wie die DIN EN ISO 27006 für die ISO/IEC 27001) im IAF MD 1:2023 und sind verpflichtend zu berücksichtigen.

Bei einer solchen Organisation spricht man von sog. Multi-Site-Audits oder Matrixzertifizierungen. Dabei handelt es sich um eine Organisation mit einem einzigen Managementsystem (sei es bspw. ein Qualitätsmanagementsystem nach der ISO 9001, ein Informationssicherheitsmanagementsystems nach der ISO/IEC 27001 oder ein integriertes Managementsystem nach ISO 9001 und ISO/IEC 27001), die eine festgelegte Zentrale hat (nicht notwendigerweise der Hauptsitz der Organisation), in der bestimmte Prozesse / Tätigkeiten geplant und kontrolliert werden, sowie eine Reihe von Standorten, an denen solche Prozesse / Tätigkeiten vollständig oder teilweise ausgeführt werden.

Definition Zentrale sowie Standorte und Auswirkungen auf die Zertifizierung

IAF MD 1 differenziert zwischen der Zentrale sowie permanenten, temporären und virtuellen Standorten. Eine Differenzierung ist deshalb wichtig, da die Anzahl der Standorte Auswirkungen auf die Auditzeit hat und im Vorfeld sichergestellt werden muss, dass die vollständige Anzahl der Standorte erhoben ist.

Die Zentrale ist diejenige Stelle, von der aus die betriebliche Kontrolle und Befugnisse der sog. obersten Leitung (Management) der Organisation auf jeden Standort ausgeübt werden. Also die Stelle, die für das Managementsystem verantwortlich ist und zentral kontrolliert. Dabei ist es nicht notwendig, dass sich die Zentrale an einem Standort befindet.

Merke: Die Anzahl der Standorte hat eine Auswirkung auf den Auditumfang und die Auditdauer.

Anforderungen an eine Multi-Site-Organisation

„Eine Multi-Standort-Organisation muss keine einzelne Rechtsperson sein. Allerdings müssen alle Standorte eine rechtliche oder vertragliche Bindung mit der Zentrale der Organisation haben, und einem gemeinsamen Managementsystem unterliegen, das durch die Zentrale festgelegt und eingerichtet wird und der regelmäßigen Überwachung sowie interner Audits durch die Zentrale unterliegt. Das bedeutet, dass die Zentrale das Recht besitzt, von den Standorten zu fordern, Korrekturmaßnahmen umzusetzen, wenn dies an einem Standort erforderlich ist.“

Die Eignung einer Multi-Site-Organisation für die Zertifizierung muss im Vorfeld durch die Zertifizierungsstelle überprüft werden. Die RSM Certification GmbH hat dazu ein separates Dokument vorbereitet, welches durch die zu zertifizierende Organisation im Vorfeld ausgefüllt werden muss.

Merke: Nicht jede Organisation eignet sich für eine Matrixzertifizierung.

Welche Standorte werden geprüft? Stichprobenverfahren: Anwendbar oder nicht?

Bei einer Multi-Standort-Organisation, bei der jeder Standort sehr ähnliche Prozesse / Tätigkeiten ausführt, können angemessene Stichproben gezogen werden (z. B. eine Kette von Franchise-Läden). Ist dies nicht der Fall und bspw. alle Standorte führen im Wesentlichen unterschiedliche Prozesse / Tätigkeiten durch, die mit dem Geltungsbereich des Managementsystems in Verbindung stehen, so ist ein Stichprobenverfahren nicht anwendbar und alle relevanten Standorte sind zu prüfen.

Es gibt aber auch Organisationen, bei denen einige Standorte ähnliche Prozesse / Tätigkeiten ausführen, wohingegen andere Standorte sehr spezifische Prozesse ausüben, die sonst in der Organisation nicht durchgeführt werden. Hier wäre eine sachgerechte Stichprobe von Standorten auf die Standorte beschränkt, die sehr gleichartige Prozesse / Tätigkeiten durchführen und die zum Geltungsbereich zu der Organisation gehören.

Fall 1: Stichprobenverfahren anwendbar

Die Festlegung der Stichproben muss zum Teil selektiv und zum Teil nach dem Zufallsprinzip erfolgen. Sie muss im Ergebnis eine repräsentative Auswahl der unterschiedlichen Standorte gewährleisten und sicherstellen, dass alle im Zertifizierungsumfang enthaltenen Prozesse auditiert werden. Mindestens 25 % der Stichproben sind nach dem Zufallsprinzip auszuwählen. Unter Berücksichtigung der nachstehend genannten Bestimmungen ist der Rest so auszuwählen, dass die Unterschiede der Standorte, die über den Gültigkeitszeitraum des Zertifikats ausgewählt werden, so groß wie möglich sind.

Bei der Auswahl der Standorte müssen u. a. folgende Aspekte beachtet werden:

  • Ergebnisse interner Audits an den Standorten und Managementbewertungen oder frühere Zertifizierungsaudits,
  • Aufzeichnungen zu Beschwerden und anderen relevanten Aspekten zu Korrektur- und vorbeugenden Maßnahmen,
  • signifikante Unterschiede in der Größe der Standorte,
  • Abweichungen in Schichtmodellen und Arbeitsverfahren,
  • Komplexität des Managementsystems und der Prozesse, die an den Standorten durchgeführt werden,
  • geografische Standortverteilung und
  • handelt es sich um permanente, temporäre oder virtuelle Standorte.

Die Mindestanzahl der pro Audit zu prüfenden Standorte, welche die Anforderungen an eine Stichprobe erfüllen, wird wie folgt ermittelt:

  • Erstzertifizierung: Der Umfang der Stichprobe muss die Quadratwurzel der Anzahl der Standorte sein: (y=√x), gerundet auf die höhere ganze Zahl, wobei y = die Anzahl an Standorten ist, die in die Stichprobe aufzunehmen sind und x = die Gesamtanzahl an Standorten.
  • Überwachungsaudit: Der Umfang der jährlichen Stichprobe muss die Quadratwurzel der Anzahl der Standorte sein, multipliziert mit dem Faktor von 0,6 als Koeffizient (y=0,6 √x), aufgerundet auf die nächste ganze Zahl.
  • Rezertifizierungsaudit: Der Umfang der Stichprobe muss der gleiche sein, wie bei einem Erstzertifizierungsaudit. Dennoch kann, wenn sich das Managementsystem über den Zertifizierungszeitraum als effektiv erwiesen hat, der Umfang der Stichprobe reduziert werden auf y=0,8 √x, aufgerundet auf die nächste ganze Zahl.

Die Zentrale muss während jeder Erstzertifizierung, jedem Rezertifizierungsaudit und mindestens einmal pro Kalenderjahr als Teil der Überwachung auditiert werden. Der Umfang oder die Häufigkeit der Stichprobe wird erhöht, wenn die Risikoanalyse der Zertifizierungsstelle für den Prozess oder die Tätigkeit, die unter das zu zertifizierende Managementsystem fällt, besondere Umstände in Bezug auf Faktoren erkennen lässt wie bspw. die Größe der Standorte und die Anzahl der Mitarbeiter, die Komplexität oder der Risikograd des Prozesses / der Tätigkeit und des Managementsystems sowie Aufzeichnungen zu Beschwerden und anderen relevanten Aspekten zu Korrektur- und vorbeugenden Maßnahmen.

Fall 2: Stichprobenverfahren nicht anwendbar

Ist das Stichprobenverfahren nicht anwendbar, muss ein Erst- und Rezertifizierungsaudit an allen Standorten vorgenommen werden. Bei Überwachungsaudits sind 30 % aller Standorte, gerundet auf die nächste ganze Zahl, in einem Kalenderjahr zu auditieren.

Fall 3: Stichprobenverfahren anwendbar und es werden weitere Standorte in das Managementsystem aufgenommen

Bei Beantragung der Aufnahme neuer Standorte oder einer neuen Gruppe von Standorten in eine bestehende zertifizierte Multi-Standort-Organisation muss die Zertifizierungsstelle die erforderlichen Tätigkeiten festlegen, bevor der/die neue(n) Standort(e) in das Zertifikat aufgenommen werden kann/können. Dazu gehört die Erwägung, ob der/die neue(n) Standort(e) zu auditieren ist/sind oder nicht. Nach der Aufnahme des neuen Standorts/der neuen Standorte in das Zertifikat, muss der Umfang der Stichprobe für zukünftige Überwachungs- oder Rezertifizierungsaudits festgelegt werden.

Merke: Je nachdem, wie hoch die Anzahl der Standorte im zu zertifizierenden Managementsystem ist und ob ein Stichprobenverfahren möglich ist, variiert der Auditumfang und damit die Auditdauer.

Auditumfang und Auditdauer

Der Auditumfang und damit die Auditdauer bei Multi-Site-Organisationen hängt somit von den verschiedensten Faktoren ab, die im Vorfeld zu berücksichtigen sind. Ein wesentliches Kriterium bei Organisationen mit mehreren Standorten stellt die Anwendbarkeit eines Stichprobenverfahrens und damit die Anzahl der zu auditierenden Standorte dar.

Bei der Festlegung der standortspezifischen Auditzeit ist das zentrale Kriterium, dass ausreichend Vertrauen in die Wirksamkeit und Effektivität des zu auditierenden Managementsystems geschaffen werden muss. Dazu ist ggf. auch eine Übertragung von Auditzeit zwischen verschiedenen Standorten möglich. In Ausnahmefällen kann auf Basis einer Risikoanalyse eine weitere Reduzierung der Auditzeit an Standorten erfolgen. Dies ist entsprechend zu dokumentieren.

Neben den Anforderungen aus der IAF MD 1:2023 existieren weitere spezifische Anforderungen für die verschiedenen zu auditierenden Standards, die verpflichtend zu berücksichtigen sind und Einfluss auf Auditumfang und -dauer haben. Bspw. im Bereich der Informationssicherheit die DIN EN ISO 27006 oder im Qualitäts- sowie Umweltmanagement das IAF MD 5:2023.

Dieser Eintrag trägt kein Anspruch auf Vollständigkeit aller einzelnen Anforderungen des IAF MD 1:2023. Vielmehr versteht er sich als Zusammenfassung der zentralen Anforderungen – insbesondere aus Kundensicht.

 

 

Zurück