Was fordert die ISO 9001:2015 zu den internen Audits?
Die ISO 9001 fordert von zertifizierten Unternehmen, dass diese in geplanten Abständen interne Audits durchführen. Diese internen Audits sollen dazu dienen zu überprüfen, ob das Qualitätsmanagementsystem im Unternehmen wirksam umgesetzt wird und ob das Unternehmen die Anforderungen der ISO 9001 und die selbst gesteckten Anforderungen einhält.
Doch was fordert die ISO 9001 für interne Audits genau?
Die Anforderungen der Norm in Bezug auf interne Audits sind im Abschnitt 9.2 der ISO 9001:2015 festgehalten. Im Kapitel 9.2.1 wird gefordert, in geplanten Abständen interne Audits durchzuführen. Die Norm gibt jedoch nicht vor, in welchen Abständen die Audits durchzuführen sind.
Im Kapitel 9.2.2 werden dann die Detailforderungen an die Auditplanung und an die Audits an sich formuliert.
So heißt es dort zum Beispiel, dass ein oder mehrere Auditprogramme geplant, aufgebaut umgesetzt und aufrechterhalten werden müssen. Das ist der Punkt, den die meisten Unternehmen mit einem Auditjahresplan umsetzen. Teilweise gibt es auch Unternehmen, die einen Plan für die nächsten 3 Jahre erstellen. Doch dabei ist Vorsicht geboten, denn innerhalb dieser 3 Jahre sollten alle Normkapitel mindestens einmal auditiert werden.
Diese Auditprogramme sollten nach Normvorgabe folgende weitere Punkte enthalten bzw. berücksichtigen:
- Häufigkeit von Audits
- Methoden
- Verantwortlichkeiten
- Anforderungen an die Planung
- Anforderungen an die Berichterstattung
- Bedeutung der betroffenen Prozesse
- Änderungen mit Einfluss auf das Unternehmen
- und die Ergebnisse vorheriger Audits.
Außerdem muss das Unternehmen für jedes Audit die Auditkriterien und den Auditumfang festlegen.
Doch auch an die Auditoren gibt es in der ISO 9001 Vorgaben. So müssen Auditoren so ausgewählt werden, dass die Objektivität und Unparteilichkeit des Auditprozesses sichergestellt ist. Sie müssen also unabhängig sein und objektive Urteile fällen. Entsprechend darf ein Auditor oder eine Auditorin den eigenen Bereich nicht auditieren. Einige externe Auditoren gehen an diesem Punkt noch weiter und verlangen zum Beispiel, dass interne Auditoren auch über einen Nachweis der Befähigung diesbezüglich verfügen. Also einen entsprechenden Kurs besucht haben und ein Zertifikat darüber vorlegen können. Gerade kleine Unternehmen, in denen jeder Mitarbeiter fast alles macht und in denen es keine ausgebildeten Auditoren gibt, stellt diese Forderung vor eine Herausforderung. Abhilfemaßnahe hierbei könnte zum Beispiel sein, dass sich „befreundete“ Unternehmen gegenseitig auditieren. Der QMB von Firma 1 auditiert die Firma 2 und umgekehrt. Unter Umständen ist dies gerade auch bei dem Thema oberste Leitung sehr hilfreich. Denn welcher interne Auditor möchte seinem Geschäftsführer im internen Audit eine Abweichung schreiben, weil zum Beispiel die Qualitätspolitik im Unternehmen nicht vermittelt wurde?
Ebenfalls eine Normforderung ist, dass die Ergebnisse der Audits der zuständigen Leitung berichtet wird. In größeren Unternehmen bedeutet dies, dass dies zum Beispiel den Abteilungsleitern mitgeteilt werden muss. Schon einfach aus dem profanen Grund, dass diese nicht ändern können, wenn sie nicht wissen, wo etwas schiefläuft. In einem kleinen Unternehmen und die Hierarchiestufe der Abteilungsleiter wäre dies dann unter Umständen der Geschäftsführer bzw. die Geschäftsführerin. Doch auch hier wird nur gefordert, dass diese Ergebnisse berichtet werden und nicht wann und somit auch nicht sofort. Hier kann man dann auf den Punkt der Managementbewertung zurückgreifen, in der ja gefordert wird, dass die Ergebnisse von Audits als Eingaben zu betrachten sind.
Weiterhin fordert die Norm, dass Korrekturen und Korrekturmaßnahmen ohne gerechtfertigte Verzögerung umgesetzt werden. Doch auch hier Vorsicht – die Norm fordert nicht sofort! Und teilweise dauert die Ermittlung und Umsetzung einer geeigneten Korrekturmaßnahme einen gewissen Zeitraum. Und hier geht dann auch Qualität vor Schnelligkeit. Die Empfehlung hier lautet ganz einfach, sich dafür die wirklich benötigte Zeit zu nehmen und nicht als Schnellschuss etwas als Korrekturmaßnahme zu deklarieren nur, um dem Audit einen möglichst vollständig mit abgearbeiteten Korrekturmaßnahmen ausgefüllten Maßnahmenplan vorlegen zu können. Die Auditabweichungen und / oder Verbesserungspotentiale haben auch Einfluss auf das nächste Audit, weil hier dann geprüft wird, ob Maßnahmen diesbezüglich umgesetzt wurden.
Weiterhin und als Abschluss fordert die Norm, dass dokumentierte Informationen als Nachweis aufbewahrt werden müssen und aus diesen dokumentierten Informationen muss hervorgehen, dass das Auditprogramm verwirklicht wurde und was das Ergebnis des Audits gewesen ist. Hier greift ein beliebter Spruch von externen Auditoren – was nicht mit Aufzeichnungen nachgewiesen werden kann, hat im Zweifelsfall nicht stattgefunden. Und gerade an diesem Punkt wird der externe Auditor genau hinschauen. Die Begründung „Das Audit wurde ohne Abweichungen abgeschlossen und daher haben wir das Auditprotokoll vernichtet.“ zieht hier ganz einfach nicht. Allerdings sind Sie dann auch an dieser Stelle komplett frei, in welcher Form Sie diese dokumentierten Nachweise führen. So kann zum Beispiel die Planung des Audittages dadurch nachgewiesen werden, dass Sie im Outlookkalender dementsprechende Einladungen verschickt haben. Ebenso müssen Sie dann zum Beispiel auch nicht den Auditbericht in ausgedruckter Form vorliegen haben. Ein Exemplar in der EDV ist dabei völlig ausreichend. Ebenso sieht es dann mit den Maßnahmen aus – ich kenne so gut wie kein Unternehmen, welches noch über einen ausgeruckten Maßnahmenplan verfügt. In der Regel wird dieser mit Excel oder einem der zahlreichen anderen Tools aus diesem Bereich geführt.
Fazit
Zusammenfassend lässt ich an dieser Stelle sagen, dass die Norm im Bereich der internen Audits eine ganze Reihe an (nicht unbedingt ungerechtfertigten) Anforderungen aufmacht, die allesamt beachtet werden müssen. Werden diese nicht beachtet, so kann es im externen Audit zu einer Abweichung kommt, die die Zertifizierung oder die Aufrechterhaltung des Zertifikates gefährdet.
Qualitätsmanagementbeauftragter werden – So gelingt der Berufseinstieg
Zitat von Ihnen: Doch dabei ist Vorsicht geboten, denn innerhalb dieser 3 Jahre sollten alle Normkapitel mindestens einmal auditiert werden.
Guten Tag Herr Thode,
woher kommt diese Anforderung. In keiner Norm wird das gefordert. Warum wird das nicht in die Norm geschrieben, wenn es sein muss. Wir erfahren diese Forderung auch immer wieder von den Zertifizierungsauditoren.
Wenn z.B. eine Zertifizierungsstelle das fordert, dann bitteschön eine schriftliche Vorgabe. Ohne diese Vorgabe finde ich die Forderung sinnlos.
Und was bedeutet alle alle Normkapitel?
Wir hatten beim letzten Zertifizierungsaudit die Forderung aller Normpunkte.
Somit also insgesamt 28 Normpunkte!!!
Dazu die Forderung alle Prozesse intern zu auditieren.
Da wir auch eine Zertifizierung nach ATEX-Richtlinie 2014/34/EU haben müssen fordert der Zertifizierungsauditor auch die interne Auditierung aller Ergänzungen nach DIN EN/IEC 80079-34. Also nochmals 23 Norm-Ergänzungen. Und das alles innerhalb 3 Jahren.
Wir sind ein Unternehmen mit 11 Beschäftigten. Einen solchen Aufwand zu betreiben ist unbezahlbar bei der Größe unseres Betriebes.
Wie ist Ihre Meinung zu 28 Normpunkte nach ISO 9001?
Bin auf Ihre Meinung sehr gespannt.
Viele Grüße aus Osterburken am Limes
Wolfgang Hageleit
Moin Herr Hageleit,
vielen Dank für Ihren Kommentar und entschuldigen Sie bitte meine verspätete Antwort, aber ich bin im Urlaub gewesen.
Ich kann Ihnen leider auch nicht sagen, wo die Forderung nach der internen Auditierung aller Normkapitel innerhalb von 3 Jahren herrührt. Auch wenn sich dies (meiner Meinung nach berechtigt) durchgesetzt hat, so kann ich Ihnen dafür keine wirkliche Quelle aufgeben.
Die 28 Normpunkte nach ISO 9001 höre ich zum ersten Mal. Ich gehe mal davon aus, da hat jemand mal alle Forderung der ISO 9001 zusammengezählt und ist dann auf diese Zahl gekommen. Wenn man da mal andere Kriterien bei der Zählung ansetzt, dann kommt man auf mehr oder weniger Normforderungen.
Für mich am relevantesten sind die Punkte, an denen die ISO 9001 dokumentierte Informationen fordert: https://www.loesungsfabrik.de/dokumentationsanforderungen-iso-9001-2015
Und bezüglich des internen Auditaufwands kann ich bei der ATEX keine Beurteilung abgeben, da ich damit nur am Rande zu tun gehabt habe, bei einem meiner Kunden.
Bei der ISO 9001 würde ich Ihnen widersprechen: Für Ihr Unternehmen mit 11 Mitarbeitern lässt sich ein 3-Jahres-Auditplan erstellen, in dem innerhalb dieses Zeitraumes alle Normkapitel bzw. unternehmensinterne Prozesse auditiert werden. Dann für jedes interne Audit (also pro Jahr) einen Audittag einplanen (mit Vor- und Nachbereitung sind das dann ca, 1,5 Tage Aufwand pro Jahr). Diesen sehe ich noch als überschaubar an.
Falls Sie noch Fragen haben, melden Sie sich gerne jederzeit.
Viele Grüße aus Heidelberg
Michael Thode
Moin,
zu diesem Thema kann ich nur sagen, dass die IATF 16949 dieses 3-jährige Audit-Intervall für alle Prozesse fordert (vielleicht tun dies auch andere branchenspezifische Varianten der ISO 9001 … das entzieht sich aktuell meiner Kenntnis).
Ich schätze mal, dass man sich im Umfeld der Auditdienstleistung davon inspirieren lässt (was ok ist), dies dann aber (potentiellen) Kunden als unumgänglichen Fakt verkauft (was mehr als diskussionswürdig ist).