Nachteile von internen Systemaudits

In Systemaudits wird eine Managementnorm auditiert und überprüft, ob Ihr Managementsystem den Normanforderungen entspricht. Viele glauben, dies sei eine verpflichtende Tätigkeit. In diesem Artikel zeige ich Ihnen, warum dies nicht der Fall ist, und welche Möglichkeit es gibt, damit besser umzugehen.

Was ist ein Systemaudit?

Ein Systemaudit basiert auf Normforderungen. Hierbei wird eine Managementnorm wie die ISO 13485 oder ISO 9001 herangezogen, und die Prozesse werden anhand der Normanforderungen auditiert. Im Prinzip ist das das, was die Zertifizierungsstelle* macht, wenn sie Zertifizierungs- und Überwachungsaudits durchführt. Was ist nun das Problem dabei?

Der Auftrag und das Ziel der Zertifizierungsstelle sind ganz anders als die Ihres Unternehmens beim internen Audit. Die Zertifizierungsstelle will überprüfen, inwieweit eine Konformität mit der zu zertifizierenden Managementnorm vorliegt. An Stellen, wo dies nicht der Fall ist, wird eine Neben- oder Hauptabweichung ausgesprochen. Diese Abweichungen müssen behoben werden, um ein Zertifikat zu bekommen oder aufrechtzuerhalten. Es geht sogar noch weiter, denn die Standards für interne Audits und Zertifizierungsaudits sind nicht dieselben. Interne Audits orientieren sich an der ISO 19011, und auch die Managementnormen verweisen auf diese. Zertifizierungsstellen müssen sich an die Normenreihe der ISO 17021 halten, in der auch die Anforderungen an die Audits enthalten sind.

_{*Anmerkung: Aufgrund der besseren Lesbarkeit wird immer von Zertifizierungsstelle gesprochen, auch wenn in manchen Kontexten diese anders heißt. Im Medizinproduktekontext wird meistens von benannten Stellen und im AZAV-Kontext von fachkundigen Stellen gesprochen.}

Warum Systemaudits nicht vorgeschrieben sind

Meine Welt besteht überwiegend aus Systemen nach den Normen ISO 13485, ISO 9001 oder vereinzelt des AZAV-Gesetzes. Daher möchte ich auf deren Vorgaben genauer eingehen. Der Wortlaut in anderen Gesetzen und Regelwerken ist aber ähnlich.

ISO 9001 : 2015 9.2.1

„Die Organisation muss in geplanten Abständen interne Audits durchführen, um die Information darüber zu erhalten, ob das Qualitätsmanagementsystem: „…“ Die Anforderungen dieser internationalen Norm, „…“ erfüllt.“

Ihr Unternehmen muss in geplanten Abständen die Anforderungen der ISO 9001 auditieren. Das ist die Anforderungen und hier steht nichts davon, die Norm als Basis für deine Audits zu nehmen. Dein Unternehmen braucht nur einen Nachweis, dass Ihre Audits die Norm in geplanten Abständen komplett abdecken. Dies ist zum Beispiel auch über eine Zuordnungsmatrix möglich. Dazu unten mehr.

ISO 13485 : 2016 8.2.4*

„Die Organisation muss in geplanten Abständen interne Audits durchführen, um zu ermitteln, ob das Qualitätsmanagementsystem: „…“ die Anforderungen dieser Internationalen Norm „…“ erfüllt.“

Der Normtext ist fast identisch zu dem der ISO 9001:2015. Auch hier gilt, dass die Norm nicht vorschreibt, Systemaudits durchzuführen.

_{*Anmerkung: Die ISO 13485 hat in der deutschen Fassung ein Update erfahren. Hier wurde aber nur der Anhang aktualisiert. Die Norm selbst ist gleichgeblieben und international wird weiterhin die Revision 2016 verwendet.}

AZAV

Die AZAV ist im Gegensatz zu den Normen ein deutsches Gesetz für die Zulassung von Bildungsträgern. Interessanterweise schreibt dieses keine Audits vor, sondern lediglich Prozesse zur Messung und Verbesserung von Prozessen. Die meisten Bildungsträger führen aber trotzdem interne Audits durch. Die Hintergründe hierfür können vielschichtig sein. Führt dein Unternehmen als Bildungsträger keine internen Audits durch, so werdet ihr Alternativprozesse vorstellen müssen. Die Auditoren orientieren sich im AZAV-Umfeld meist an den Anforderungen der ISO 9001, auch wenn die ISO 21001 besser geeignet wäre.

Warum Sie keine internen Systemaudits durchführen sollten

Wie oben dargestellt, ist Ihr Unternehmen dazu verpflichtet, die Normanforderungen in geplanten Abständen zu auditieren. Wenn Sie ein zertifiziertes Managementsystem haben, sind Sie jedoch bereits weiter und müssen sich gar nicht täglich mit diesen Anforderungen auseinandersetzen. Sie haben die Anforderungen nämlich bei der Implementierung zusammen mit den Fachabteilungen in Form von Prozessen und Verhaltensweisen umgesetzt und den Großteil davon auch dokumentiert.

Warum wollen Sie also alljährlich wieder in die Fachabteilungen gehen und diese überprüfen, ob deren Prozesse auch den Normanforderungen entsprechen? Bei der Erstellung der Prozesse war Ihr Qualitätsmanagement schließlich involviert. Es ist zudem nicht Aufgabe der Fachabteilungen, sich bestens in den Managementnormen und deren Interpretation auszukennen. Das ist Aufgabe Ihres Qualitätsmanagements. Diese Überprüfung ist also ziemlich paradox!

Auditiert stattdessen gezielt die Prozesse und nutzen Sie das Audit, um die Kolleg:innen dazu zu bewegen, sich mit ihrer Prozessdokumentation auseinanderzusetzen und Verbesserungspotentiale aufzudecken. Dadurch haben Sie zum einen die Möglichkeit, nutzbringend Ihren Kolleg:innen gegenüber aufzutreten, und zum anderen können Sie so den Fokus mehr auf Anforderungen jenseits der Managementnorm legen, wie zum Beispiel die technischen Anforderungen oder alltäglichen Problemen. Gerade Anforderungen, die für die Produktqualität entscheidend sind, sind oft technischer Natur und werden bei einem reinen Systemaudit nur indirekt erfasst. Das ist nicht im Sinne Ihrer Kunden.

Verwenden Sie eine Zuordnungsmatrix

Mein Vorschlag: Arbeiten Sie mit einer Zuordnungsmatrix. Sie erstellen eine Zuordnungsmatrix und führen auf der einen Seite die Normanforderungen auf und auf der anderen Seite, mit welchen Prozessen und Dokumenten diese Normanforderungen erfüllt werden. Wenn Sie dann in regelmäßigen geplanten Abständen, zum Beispiel alle 3 Jahre, alle gelisteten Prozesse mindestens einmal auditiert, haben Sie die Norm komplett auditiert und sind mit dieser konform.

Von Ihren Kolleg:innen wird so nicht mehr indirekt verlangt, sich mit der Norm auseinanderzusetzen, sondern stattdessen mit ihren eigenen Prozessen. Das ist nachvollziehbar und sollte auf jeden Fall gefordert werden. Nichtkonformitäten wird es immer noch geben, wenn die Kolleg:innen gegen Prozessbeschreibungen und Arbeitsanweisungen verstoßen und damit auch gegen Normanforderungen.

Die Auditor:innen der Zertifizierungsstelle werden Ihnen diese Zuordnungsmatrix ebenfalls danken! Ihre Aufgabe ist es schließlich die Konformität mit der Norm zu überprüfen. Bieten Sie ihnen daher gleich zu Beginn des Audits die Zuordnungsmatrix an. Die Auditor:innen können sich dann entlang der Zuordnungsmatrix durch das Audit hangeln und wissen, welche Dokumente sie brauchen. Das ist auch ein Vorteil für Ihr Unternehmen, da Sie ebenfalls die Zuordnungsmatrix heranziehen können und so immer wissen, um welchen Prozess es als nächstes geht.

Einen weiteren Vorteil bietet die Zuordnungsmatrix bei Prozessänderungen. Sie haben so ein Werkzeug, das Ihnen sagt, welche Teile der Managementnorm bei der Prozessänderung betroffen sind. Diese Fähigkeit im Änderungswesen ist übrigens auch eine Normanforderung.

Für externe Auditor:innen ist dieser Ansatz manchmal noch ungewohnt. Ich habe ihn aber mehrfach bei externen Audits verteidigt und nie eine Abweichung bekommen. Selbst wenn ich eine bekommen hätte, so wäre diese nicht gerechtfertigt gewesen und ich hätte Einspruch erhoben. Ich bin zudem nicht der Einzige, der so arbeitet. Auch viele meiner Kolleg:innen bei der DGQ haben den internen Systemaudits längst abgeschworen.

Wann Systemaudits trotzdem Sinn machen

Ich will die Systemaudits nicht ganz verfluchen und wende sie auch in bestimmten Fällen selbst an. Daher möchte ich zwei Anwendungen vorstellen, wo Systemaudits wirklich Sinn machen können.

Erstes Lieferantenaudit

Ein Systemaudit kann zum Beispiel beim allerersten Audit eines Lieferanten angewendet werden. Dies macht insofern Sinn, da Sie sicherstellen müssen, dass auch Ihre Lieferanten die notwendigen Anforderungen Ihrer Norm erfüllen. Dadurch können Sie zum Beispiel überprüfen, ob ein nur nach ISO 9001 zertifizierter Lieferant auch die für Ihr Unternehmen relevanten Punkte der ISO 13485 abdeckt. Ebenfalls können Sie prüfen, ob die Zertifizierungsstelle sauber gearbeitet hat. Leider zeigt hier die Erfahrung, dass trotz Zertifikat manchmal wichtige Punkte einer Norm nur unzureichend vorhanden sind. Das kann Ihrem Unternehmen später bei Zulassungen oder wenn Sie selbst auditiert werden zum Problem werden.

Spätere Audits sollten aber nicht die Managementnorm im Fokus haben. Viel wichtiger ist es, Anforderungen aus Ihrer Qualitätssicherungsvereinbarung zu auditieren oder konkrete Fertigungsvorgaben. Das kontrolliert nämlich weniger die Zertifizierungsstelle des Lieferanten, und diese Anforderungen sind für Sie meist viel wichtiger als die Konformität mit einer Managementnorm.

Du hast in führender Position im Qualitätsmanagement neu angefangen

Nehmen wir an, Sie haben in einem Unternehmen neu angefangen und kennen sich noch nicht aus. Gleichzeitig sollen Sie aber für wichtige Teile des Qualitätsmanagementsystems verantwortlich sein. Was wäre denn passender, als in den ersten Tagen diese Prozesse gemäß den regulatorischen und normativen Anforderungen zu auditieren? Dann haben Sie zum einen eine wichtige und verpflichtende Qualitätsaufgabe erledigt und zum anderen haben Sie die Prozesse besser kennengelernt und wissen, wo die Baustellen sind.

Sie wollen Ihren Auditprozess überarbeiten oder Ihr Unternehmen braucht jemanden, der Sie bei Ihren Audits unterstützt? Schreiben Sie mir, rufen Sie an oder vereinbaren Sie ein kostenfreies Erstgespräch.