Die Einschätzung der Cyber Academy
Lead Auditor ist das PECB-Credential für Praktiker, die Drittpartei- oder interne Audits eines Managementsystems planen und leiten können. Fünftägiger Kurs auf Basis von ISO 19011. Einstiegspunkt für eine Karriere als Auditor bei einer akkreditierten Zertifizierungsstelle. Andere Denkweise als beim Lead Implementer: Nachweise, Stichproben, Berichterstattung, Interviewtechnik.
Was die Qualifikation Lead Auditor zertifiziert
Lead Auditor ist die PECB-Zertifizierung für Praktiker, die ein Audit eines Managementsystems planen, leiten und darüber berichten können, sei es ein Zertifizierungsaudit durch eine dritte Partei, ein Lieferantenaudit oder ein umfangreiches internes Audit. Der Kurs erstreckt sich über fünf Tage und baut unmittelbar auf ISO 19011 auf, der Leitnorm für das Auditieren von Managementsystemen. Was Sie am Ende zertifizieren, ist nicht, dass Sie eine Norm wie ISO 27001 abstrakt verstehen, sondern dass Sie ein Auditteam dagegen führen können: den Auftrag abgrenzen, Nachweise stichprobenartig prüfen, Interviews führen, Feststellungen formulieren, die einer Anfechtung standhalten, und das Audit zu einer belastbaren Schlussfolgerung bringen.
Die Qualifikation besteht aus einem konkreten beruflichen Grund. Sie ist der anerkannte Einstieg, um akkreditierter Auditor einer Zertifizierungsstelle zu werden, also die Person, die im Auftrag einer Zertifizierungsstelle entscheidet, ob eine Organisation ihr Zertifikat erhält oder behält. Zertifizierungsstellen arbeiten nach ISO/IEC 17021-1 und benötigen Auditoren, die die in ISO 19011 beschriebene Kompetenz nachgewiesen haben. Lead Auditor ist die Art und Weise, wie Sie signalisieren, dass Sie über diese Kompetenz und die Führungsfähigkeiten verfügen, um das Team zu leiten, nicht nur daran teilzunehmen.
Eine andere Denkweise als beim Lead Implementer
Die häufigste Verwechslung besteht darin, Lead Auditor und Lead Implementer als zwei Spielarten derselben Qualifikation zu behandeln. Sie sind entgegengesetzte Haltungen. Der Implementierer baut das Managementsystem auf: Er verfasst die Richtlinien, gestaltet die Maßnahmen, führt die Risikobeurteilung durch und bereitet die Organisation auf die Zertifizierung vor. Der Auditor beurteilt unabhängig, ob das, was aufgebaut wurde, tatsächlich existiert und funktioniert. Dieselbe Person sollte nicht beides am selben System tun, weil der Implementierer seine eigene Arbeit nicht glaubwürdig absichern kann. Diese Unabhängigkeit ist der einzige Grund, weshalb die Rolle des Auditors überhaupt existiert.
In der Praxis dreht sich die Denkweise des Auditors um Nachweise, nicht um Beratung. Wo der Implementierer fragt, wie eine Maßnahme wirksam gemacht werden kann, fragt der Auditor, welcher Nachweis belegt, dass die Maßnahme wie beschrieben funktioniert, wie repräsentativ die Stichprobe ist und ob die Feststellung Bestand hat, wenn der Auditierte Widerspruch einlegt. Der Lead-Auditor-Kurs verwendet den Großteil seiner Energie auf diese Fähigkeiten statt auf die Norm selbst:
- Stichprobenziehung: Nachweise auswählen, die das Ganze fair abbilden, und nicht die Teile, die zufällig gut aussehen.
- Interviewtechnik: herausarbeiten, wie die Arbeit tatsächlich erledigt wird, ohne den Befragten zu beeinflussen.
- Feststellungen und Berichterstattung: Nichtkonformitäten einstufen, sie objektiv und nachvollziehbar formulieren und zu einer Schlussfolgerung gelangen.
- Auditleitung: ein Auditteam, die Eröffnungs- und Abschlussbesprechungen sowie die Beziehung zum Auditierten steuern.
Wo der Lead Auditor unter den benachbarten Qualifikationen steht
Der Lead Auditor lässt sich am besten neben den Qualifikationen verstehen, mit denen Praktiker ihn vergleichen. Innerhalb der PECB- und ISO-Welt bildet er mit dem Lead Implementer als Assurance-Gegenstück ein Paar. Gegenüber ISACA zertifiziert auch die Qualifikation CISA Auditkompetenz, doch handelt es sich um eine breite IT-Audit-Qualifikation, die an die ISACA-Domänen gebunden ist, und nicht um eine Qualifikation zum Auditieren eines bestimmten benannten Managementsystems nach ISO 19011.
| Qualifikation | Haltung | Was sie zertifiziert |
|---|---|---|
| Lead Auditor | Unabhängige Assurance | Ein Audit eines Managementsystems nach ISO 19011 planen und leiten |
| Lead Implementer | Aufbauen und betreiben | Ein Managementsystem mit Blick auf die Zertifizierung gestalten und betreiben |
| CISA | IT-Audit-Assurance | Breites Audit von Informationssystemen über die ISACA-Domänen hinweg |
Die Wahl zwischen beiden richtet sich nach der Arbeit, die Sie ausüben wollen. Wenn Ihre Zukunft im Durchführen von Zertifizierungs- oder Lieferantenaudits oder im Leiten eines strengen internen Auditprogramms liegt, ist Lead Auditor der direkte Weg. Wenn Ihre Aufgabe darin besteht, das Managementsystem selbst aufzubauen und zu verbessern, passt Lead Implementer besser. Viele erfahrene Praktiker halten beide, denn zu verstehen, wie ein System aufgebaut wird, macht Sie zu einem schärferen Auditor, und zu verstehen, wie es auditiert wird, macht Sie zu einem besseren Implementierer.
Frequently asked questions
01Was ist der Unterschied zwischen Lead Auditor und Lead Implementer?
Lead Auditor zertifiziert, dass Sie ein Managementsystem unabhängig auditieren können, mit Schwerpunkt auf Nachweisen, Stichprobenziehung und Berichterstattung. Lead Implementer zertifiziert, dass Sie dieses System aufbauen und betreiben können. Es sind entgegengesetzte Rollen, und dieselbe Person sollte kein System auditieren, das sie implementiert hat.
02Welche Norm vermittelt der Lead-Auditor-Kurs?
Die Auditmethode stammt aus ISO 19011, die für alle Managementsysteme generisch ist. Der Kurs ist dann an eine bestimmte Norm gebunden, etwa ISO 27001, sodass Sie sich sowohl auf die Auditdisziplin als auch auf die Anforderungen des Systems zertifizieren, das Sie auditieren wollen.
03Muss ich Lead Auditor sein, um interne Audits durchzuführen?
Nicht zwingend: Interne Audits können von kompetenten internen Auditoren durchgeführt werden. Doch die Qualifikation Lead Auditor weist die Führungs- und Nachweisfähigkeiten nach, um ein Audit zu planen und zu leiten, und sie ist der anerkannte Weg, um akkreditierter Auditor einer Zertifizierungsstelle zu werden.
04Ist Lead Auditor nur für ISO 27001?
Nein. PECB bietet Lead-Auditor-Zertifizierungen für viele Managementsystemnormen an, darunter Qualität, Umwelt und Betriebskontinuität. Der Auditansatz nach ISO 19011 ist gemeinsam, während sich die Anforderungen, gegen die Sie auditieren, mit der Norm ändern.
05Wie lange dauert der Lead-Auditor-Kurs?
Es ist ein fünftägiger Kurs, der die Tiefe der praktischen Fähigkeiten widerspiegelt, die er abdeckt: Auditplanung, Stichprobenziehung, Interviewtechnik, Einstufung von Nichtkonformitäten und das Führen eines Auditteams bis zu einer belastbaren Schlussfolgerung.