Die Einschätzung der Cyber Academy
Eine Nichtkonformität ist der Befund des Auditors, dass eine Anforderung nicht erfüllt wird. Schwerwiegende NCs gefährden das Zertifikat; geringfügige NCs erfordern einen Korrekturmaßnahmenplan mit einer Frist. Wiederholt auftretende geringfügige NCs im selben Bereich können beim nächsten Überwachungsaudit zu schwerwiegenden NCs eskalieren. Das Ziel ist nicht die Abwesenheit von NCs, sondern eine ehrliche und nachvollziehbare Korrekturmaßnahme.
Was eine Nichtkonformität tatsächlich ist
Eine Nichtkonformität dokumentiert eine Lücke zwischen dem, was eine Anforderung verlangt, und dem, was ein Auditor in der Praxis vorfindet. Die Anforderung kann aus der Norm selbst stammen (zum Beispiel aus einem Abschnitt der ISO/IEC 27001), aus einer Maßnahme, die Sie in Ihrer Erklärung zur Anwendbarkeit als anwendbar erklärt haben, oder aus Ihrer eigenen dokumentierten Richtlinie. Wenn Sie es niedergeschrieben und sich dazu verpflichtet haben, kann ein Auditor Sie daran festhalten. Genau dieser letzte Punkt überrascht Teams: zu viel in einer Richtlinie zu versprechen, schafft Nichtkonformitäten, die die Norm allein nie erzeugt hätte.
Eine Nichtkonformität ist nicht dasselbe wie eine Beobachtung oder eine Verbesserungsmöglichkeit. Eine Beobachtung weist auf etwas hin, das der Auditor festhalten möchte, ohne zu behaupten, dass eine Anforderung verletzt wird. Eine Nichtkonformität ist eine eindeutige Feststellung, dass eine Anforderung nicht erfüllt ist, gestützt auf objektive Nachweise wie eine Aufzeichnung, ein Interview oder ein fehlendes Artefakt. Die Unterscheidung ist wichtig, weil nur Nichtkonformitäten eine formale Reaktion erzwingen.
Schwerwiegend gegenüber geringfügig, und wie geringfügige eskalieren
Auditoren bewerten Feststellungen nach ihrer Auswirkung auf das Managementsystem, nicht danach, wie sehr sie sie ärgern. Eine schwerwiegende Nichtkonformität bedeutet, dass eine Anforderung grundlegend fehlt oder dass ein Versagen so weit verbreitet ist, dass es das Vertrauen in das Funktionieren des Systems untergräbt. Schwerwiegende gefährden die Zertifizierungsentscheidung und müssen in der Regel geschlossen werden, bevor die Zertifizierung oder Rezertifizierung fortgesetzt werden kann. Eine geringfügige Nichtkonformität ist ein vereinzelter Lapsus in einem ansonsten funktionierenden Prozess: eine einzelne fehlende Überprüfung, eine Aufzeichnung, die nicht unterschrieben wurde.
Die Falle besteht darin, geringfügige als harmlos zu behandeln. Dieselbe geringfügige Feststellung im selben Bereich, Audit für Audit, sagt dem Auditor, dass Ihre Korrekturmaßnahme die Grundursache nie behoben hat. Beim nächsten Überwachungsaudit kann dieses Muster als schwerwiegend neu eingestuft werden, denn eine Maßnahme, die immer wieder auf dieselbe Weise versagt, funktioniert in Wirklichkeit nicht.
| Aspekt | Geringfügige NC | Schwerwiegende NC |
|---|---|---|
| Umfang | Vereinzelter, eingegrenzter Lapsus | Systemisches oder vollständiges Fehlen einer Anforderung |
| Auswirkung auf das Zertifikat | Das Zertifikat läuft normalerweise weiter | Kann die Zertifizierung blockieren oder aussetzen |
| Erforderliche Reaktion | Korrekturmaßnahmenplan mit einer Frist | Oft Korrektur sowie erneute Prüfung vor Ort oder per Nachweis |
| Bei Wiederholung | Kann beim nächsten Mal zu schwerwiegend eskalieren | Bereits an der Spitze der Skala |
Was Praktiker tatsächlich damit machen
Eine Nichtkonformität gut zu schließen ist ein Prozess, keine Entschuldigung. Das anerkannte Muster lautet Korrektur, dann Korrekturmaßnahme, dann Wirksamkeitsverifizierung. Die Korrektur ist die unmittelbare Behebung des konkreten Falls, den der Auditor gefunden hat. Die Korrekturmaßnahme ist der tiefergehende Schritt: eine Grundursachenanalyse, die erklärt, warum die Lücke bestand, und eine Änderung, die ihr erneutes Auftreten verhindert. Die Verifizierung bestätigt, mit Nachweisen und nachdem genügend Zeit vergangen ist, dass die Änderung tatsächlich Bestand hatte.
Jeder dieser Schritte gehört in einen Korrekturmaßnahmenplan mit einem Verantwortlichen und einer realistischen Frist, der der Auditor zustimmt. Die Nachweise, die Sie einreichen, sollten es jemandem, der nicht im Raum war, ermöglichen, zu rekonstruieren, was geschehen ist, und zu bestätigen, dass es geschlossen ist. Hier zahlt sich Ehrlichkeit aus: ein Auditor sieht lieber eine kleine Anzahl gut nachverfolgter Korrekturmaßnahmen als einen sauber wirkenden Bericht, der einer Prüfung nicht standhält.
Frequently asked questions
01Was ist der Unterschied zwischen einer Nichtkonformität und einer Beobachtung?
Eine Beobachtung notiert etwas Festhaltenswertes, ohne zu behaupten, dass eine Anforderung verletzt wird. Eine Nichtkonformität ist eine eindeutige Feststellung, gestützt auf objektive Nachweise, dass eine Anforderung nicht erfüllt ist und daher eine formale Korrekturmaßnahme verlangt.
02Verhindert eine geringfügige Nichtkonformität, dass wir zertifiziert werden?
In der Regel nicht für sich allein. Die Zertifizierung läuft normalerweise weiter, sobald Sie einen akzeptierten Korrekturmaßnahmenplan mit einer Frist einreichen. Die schwerwiegende Nichtkonformität ist diejenige, die das Zertifikat blockieren oder aussetzen kann.
03Kann eine geringfügige Nichtkonformität zu einer schwerwiegenden werden?
Ja. Dieselbe geringfügige Feststellung, die über mehrere Audits hinweg im selben Bereich wiederkehrt, signalisiert, dass Ihre Korrekturmaßnahme die Grundursache nie erreicht hat, sodass der Auditor sie beim nächsten Überwachungsaudit als schwerwiegend neu einstufen kann.
04Was ist nötig, um eine Nichtkonformität zu schließen?
Die Korrektur des konkreten Falls, eine Korrekturmaßnahme, die die Grundursache angeht, damit sie nicht erneut auftritt, und die Verifizierung mit Nachweisen, dass die Behebung tatsächlich Bestand hatte. Alle drei gehen in einen Korrekturmaßnahmenplan mit einem Verantwortlichen und einer Frist ein.
05Sollten wir null Nichtkonformitäten anstreben?
Nein. Eine kleine Anzahl ehrlich identifizierter Feststellungen, jede mit einer nachverfolgbaren Korrekturmaßnahme, ist ein gesünderes Signal als ein makelloser Bericht. Null Feststellungen bedeutet oft, dass das System nicht wirklich auf die Probe gestellt wird.