"Von Jahr zu Jahr die Entwicklung meiner Kunden zu sehen, daraus schöpfe ich Kraft."

Quelle: Hüsniye Tanriver

Hüsniye Tanriver ist Beraterin und 3rd-Party Auditorin (Zertifizierungsauditorin) für Qualitätsmanagement und Informationssicherheit. Zunächst als angestellte Auditorin bei Zertifizierungsgesellschaften machte sie sich 2023 selbständig. Hüsniye bildet seit einiger Zeit für ein Trainingsinstitut Auditoren für ISMS (ISO 27001) aus. Welche Erfahrungen sie als Auditorin und als Trainerin für angehende AuditorInnen macht, erzählt sie uns hier im Interview.

Ina Westphal: Hüsniye, seit wann bist du als Auditorin tätig? Und was hat deine Leidenschaft für den Beruf entfacht?

Hüsniye Tanriver: Ich bin seit 2015 als Auditorin tätig, gerade merke ich, dass das schon 10 Jahre sind. Meine Auditoren-Ausbildung habe ich beim TÜV Rheinland absolviert, dort habe ich auch meine ersten Schritte als Auditorin gemacht. 2020 wechselte ich zu Bureau Veritas als Auditorin für die ISO 9001 und 27001 und übernahm als Produktmanagerin die Verantwortung für ISMS, KRITIS, IT Sicherheitskatalog und international TISAX. Mir waren von Beginn an die Themen Qualität, Sicherheit und Verbraucherschutz wichtig. Als Auditorin trage ich dazu bei, dass die Bevölkerung darauf vertrauen kann, dass Dinge sicher sind und von guter Qualität. Das hat mich angetrieben und tut es bis heute. 2023 habe ich den Entschluss gefasst, freiberuflich als Beraterin, Beauftragte und Auditorin zu arbeiten.

Was hat dich bewegt, den Schritt in die Selbständigkeit zu gehen?

Als Auditorin die Konformität zu bewerten ist ein Aspekt. Unternehmen bereits auf Weg zu einem Managementsystem, also zu mehr Qualität und Sicherheit zu begleiten, das hat mich gereizt. Ich wollte mehr Tiefe reinbringen, mich detaillierter mit den Unternehmen befassen zu können. Das kann man nur in der Beratungsfunktion. Mir macht es Freude, Auditorin und Beraterin zu sein. Ich wollte eben nicht nur bewerten, sondern auch – gemeinsam mit meinen Kunden – mehr umsetzen können. Und da bin ich nicht nur für die Normen ISO 9001 und 27001 im Einsatz. Hier spielen auch andere Regelwerke eine Rolle und das macht es spannend. Hinzu kommt: Als freiberufliche Auditorin darfst du zu Aufträgen auch einmal Nein sagen, z.B. wenn du merkst, dass du als Auditorin nicht zum Unternehmen passt oder umgekehrt. Als angestellte Auditorin ist das schwierig. Ich schätze aber auch die Möglichkeit, meine Zeit selbst einzuteilen und zu entscheiden, wie viele Audits im Jahr ich absolviere.

Dass du heute auch andere AuditorInnen ausbildest, kommt vermutlich nicht von ungefähr. Wie kam es dazu?

Daran ist mein Mentor, Bruno Tenhagen, nicht ganz unschuldig. Bruno kenne ich seit meiner Zeit beim TÜV Rheinland, er hat mich dort für das Thema ISMS (Informationssicherheits-Management) ausgebildet und war für mich immer ein guter Ratgeber. Ich schätze ihn und seinen Rat sehr. Er ist schon länger Trainer bei der isits AG International School of IT Security. Als er erfuhr, dass ich nun selbständig bin, hat er mich als Trainerin empfohlen. Und wenn ich einen zweiten Mentor benennen sollte, dann wäre das Thomas Lütkemeier. Auch er ist Trainer für die ISMS Lead-Auditor-Ausbildung nach ISO/IEC 27001 bei der isits und zugleich externer Auditor. Mit ihm habe ich viele Audits zusammen absolviert. Beide haben mich in meiner Entwicklung als Auditorin und Beraterin unterstützt und vorangebracht.

Quelle: isits AG International School of IT Security / Hüsniye Tanriver

Kommen wir einmal zu deinen Trainings für angehende AuditorInnen. Wie ist deine Erfahrung: Aus welchen Gründen melden sich Teilnehmende in Auditoren-Trainings an?

Nicht jeder, der einen Auditoren-Kurs besucht, möchte auch externer Auditor werden. Es gibt auch viele, ohne dass ich genauere Zahlen weiß, die möchten das Handwerk des Auditors verstehen und lernen, um es bewerten zu können. Eine zweite Gruppe sind Teilnehmende, die interne Audits durchführen möchten. Und die dritte Gruppe, die planen tatsächlich als Zertifizierungs-AuditorInnen zu arbeiten. Aber es überwiegt das Interesse daran, das Handwerkszeug eines Auditors zu kennen und selbst zu erlernen.

Viele Teilnehmende haben schon ein gewisses Normen-Basiswissen, wissen jedoch wenig über Qualifikation, Rolle und Entscheidungsbefugnisse eines Auditors. Mit Teilnehmenden arbeite ich sehr praxisorientiert. Sie fragen viel nach Fallbeispielen und wie man sich konkret verhalten soll. Routine erlangt man als Auditor erst nach und nach, man kann sich erst in Audits richtig erproben und Erfahrungen sammeln. In einem Audit kann man dem Kunden nicht in den Kopf gucken. Niemand weiß vorher, was ihn erwartet oder was auf ihn als Auditor zukommt. Das ist für viele Teilnehmende herausfordernd und anspruchsvoll – egal wie klein oder groß das Unternehmen ist. Oder die Frage, wie gut greift das Managementsystem in der Organisation? Das ist von sehr vielen Faktoren abhängig. Deshalb gibt es an meinen Praxisbeispielen und der fachlichen Diskussion großes Interesse.

Und mit welchen Themen und Problemen kommen Teilnehmende ins Seminar?

Ich höre von Teilnehmenden, dass sie die Frage umtreibt, ob sie ihrem Auditor fachlich und persönlich vertrauen können. Sie erzählen mir von Audit-Situationen, bei denen der Eindruck entsteht, der Auditor ist eher Selbstdarsteller statt Gesprächspartner. Auditoren sagen: „So und nicht anders muss es sein“. Sie lassen also keine Diskussion zu. Oder sie äußern sich despektierlich und wertend: „Das ist das schlechteste System, was ich je gesehen habe.“ Dann gibt es Auditoren, die interpretieren Normen zu eng und erzwingen bestimmte Vorgehensweisen. Manchmal höre ich: „Der vorherige Auditor, der wollte das aber genauso haben.“ Solche Situationen verunsichern natürlich. Ganz zu schweigen davon, dass Qualitäts- und Sicherheitsverantwortliche in Unternehmen meist wenig Anerkennung aber viel Druck bekommen. Nicht selten spüren sie vor dem nächsten Zertifizierungsaudit eine ungeheure Last, manche haben regelrecht Angst. Deshalb rate ich meinen Kunden und Kurs-Teilnehmenden mit dem Auditor das Gespräch zu suchen. Denn sie machen das alles nicht für den Auditor, sondern für ihre eigene Organisation. Ihr Managementsystem muss zu ihrer Organisation passen.

Da bist du bei einem interessanten Aspekt der Auditoren-Qualifikation – nämlich den überfachlichen Kompetenzen. Was brauchen aus deiner Perspektive Auditoren heute – neben Normenwissen und Methodenwissen – noch?

Im Rahmen der Erstausbildung als Auditor werden natürlich Grundlagen für die Gesprächsführung gelegt. Das reicht jedoch bei weitem nicht. Daneben brauchen Auditoren in der Praxis Anleitung und vor allem ein gutes Onboarding. Ich erlebe Auditoren-Kollegen, die sind bereits mehrere Jahre tätig und merken, dass sie zunehmend an Grenzen stoßen. Es braucht deutlich mehr Weiterbildung und Unterstützung, auch für Erfahrene. Ein Auditor braucht aus meiner Sicht Offenheit. Er sollte Neuem und neuen Ideen aufgeschlossen gegenüber sein. Er muss seine eigene Arbeit kritisch reflektieren. Er muss verhandlungssicher sein, also mit Gesprächspartnern angemessen diskutieren, deren Verhalten einschätzen können, situativ angemessen reagieren, Konflikte lösen und kritische Situationen überbrücken können. Damit das funktioniert, braucht es ein regelmäßiges Monitoring von Auditoren. Allerdings sollte nicht ein Kollege einen Kollegen einschätzen. Die Erfahrung lehrt, das funktioniert nur eingeschränkt. Aus diesem Monitoring können Verbesserungsmaßnahmen abgeleitet werden, die wiederum allen Auditoren zugutekommen.

Welche Rolle spielt in diesem Zusammenhang eine systematische Einarbeitung, ein Onboarding Prozess für Zertifizierungs-Auditoren?

Das halte ich derzeit für eine Schwachstelle. Ich würde mir wünschen, dass Auditoren in der Einarbeitung und Erstausbildung (aber natürlich auch später) viel stärker „an die Hand“ genommen werden, bevor man sie in den Kundenkontakt bringt. Es braucht mehr als Normenwissen und ein 5-tägiges Seminar, um ein Auditprozess gut zu verstehen und umzusetzen. Und es reicht nicht, eine Fülle an Dokumenten an die neuen Auditoren zu verteilen. In der Trainee-Phase gilt: Natürlich ist es anstrengend, als erfahrener Auditor noch einen Trainee an der Seite zu haben und ausbilden zu müssen. Aber wir sollten alle daran denken, dass auch wir einmal ausgebildet wurden und sich jemand für uns Zeit genommen hat.

Aus meiner Erfahrung weiß ich, es braucht für Berufserfahrene, die Auditor werden, einen Mentor. Jemanden, der erkennt, dass der Audit-Kollege auch einmal in die falsche Richtung läuft. Dann nutzt man die Gelegenheit für ein Feedback. Man spricht an, klärt auf, bietet Lösungsmöglichkeiten. Und hier zeigt sich, ob ein Auditor kritisch über sich selbst reflektiert und bereit ist, dazuzulernen. Ob er Kritik annimmt oder nicht. Ich bin vorsichtig, wenn Auditoren-Trainees auf Kritik damit reagieren, sie würden ja jetzt ihren eigenen Stil entwickeln/haben. Damit wir uns nicht falsch verstehen, Audits haben natürlich auch etwas Individuelles. Trotzdem gilt es umfangreiche Vorgaben einzuhalten und offen für Kritik und andere Sichtweisen zu bleiben. Wenn dies unter Auditoren nicht gelingt, dann wird der Auditor diese durch Kundenfeedback lernen und daran wachsen müssen. Ich ermutige Audit-Kunden, auch kritisches Feedback zu geben und sich nicht zurückzuhalten. Das ist ein wesentliches Merkmal einer guten, stabilen Kundenbeziehung. Und ein ebenso wichtiger Punkt: Interessierte, die Auditoren werde möchten, sollten den Onboarding-Prozess (gemeint ist bis zur Berufung) möglichst schnell durchlaufen. Das dauert leider meistens viel zu lange.

Hattest du aus 10 Jahren Tätigkeit als Auditorin mal so ein richtig schräges Auditerlebnis?

Ich hatte in einem Audit einen Trainee dabei. Der war fachlich exzellent und hat sich so gut eingebracht, dass ich ihn an einer Stelle einfach mal im Auditgespräch habe machen lassen. Ich selbst war von ihm und seiner Gesprächsführung beeindruckt, da konnte ich von seiner Vorgehensweise etwas für mich adaptieren. Er hat beim Kunden genau die richtigen kritischen Fragen gestellt. Das aber gefiel dem Audit-Kunden überhaupt nicht. Die Gesprächsatmosphäre kühlte sich rapide ab und schließlich stand der Kunde auf und beugte sich zu ihm über den Tisch. Da musste ich schnell eingreifen und die Situation deeskalieren.

Welches würdest du als dein schönstes Audit-Erlebnis mit einem Kunden bezeichnen?

Ehrlich gesagt kann ich gar nichts Spezielles nennen. Ich freue mich immer riesig über jeden Kunden, bei dem ich von Jahr zu Jahr die Entwicklung sehe. Wenn ich mitbekomme, wie sehr ein Audit den Antrieb zu Veränderung gegeben hat und wenn ich die Dynamik sehe. Das erfüllt mich. Da gehe ich mit Freude im nächsten Jahr wieder ins Audit. Denn dann wird klar, dass das Management-System sich entwickelt, dass es in der Organisation greift. Daraus schöpfe ich Kraft.

Der AuditorInnen-Job ist anstrengend. Lange Tage, viel Reisen. Wie sorgst du privat für Ausgleich?

Die Frage passt, denn ich bin gerade in Istanbul und absolviere hier ein Training. Ich begeistere mich für eine ganz verrückte Sportart: Mit viel Leidenschaft betreibe ich japanische Schwertkampfkunst. Es kommt bei der Sportart darauf an, sich zu fokussieren, zu konzentrieren. Du denkst daran, wie du im Augenblick die richtige Bewegung ausführst. Und du schaltest alles andere aus, denkst an nichts anderes. Das hilft mir auch in meinen Audits.

Was möchtest du Interessierten mit auf den Weg geben?

Da mein Herz für Sicherheit, Verbraucherschutz und Qualität schlägt, freue ich mich natürlich über jeden, der sich für die Auditoren-Aufgabe interessiert. Jeder kompetente und fähige Auditor ist herzlich willkommen. Und dank einer guten Ausbildung und eines zügigen Onboardings wird er hoffentlich zügig an sein Ziel kommen.

Mehr über Hüsniye Tanriver

Hüsniye Tanriver in XING

Hüsniye Tanriver in LinkedIn

Mehr zur AuditorInnen-Ausbildung der isits hier: ISMS Auditor/Lead Auditor nach ISO/IEC 27001 (IRCA) - Schulung

Cookie Einstellungen

Wir nutzen Cookies um Dir die bestmögliche Erfahrung zu bieten. Außerdem können wir damit das Verhalten der Benutzer analysieren um die Webseite stetig für Dich zu verbessern. Datenschutz

Alle annehmen Alle ablehnen Speichern