Interne Systemaudits – wer braucht die noch?

Am Thema Systemaudit entzünden sich in letzter Zeit heftige Diskussionen. Müssen sie als Bestandteil interner Auditprogramme weiterhin durchgeführt werden oder sind sie nur Zeitverschwendung? Die Meinungen zwischen Auditoren, Verantwortlichen in den Unternehmen oder den einzelnen Mitarbeitern gehen dabei weit auseinander. Um eine Entscheidungshilfe zu bieten, sollen im Folgenden drei Fragen näher betrachtet werden:

Systemaudit – was ist das?

Als erstes und wichtigstes Thema ist zu klären: Was sind eigentlich interne Systemaudits und wie grenzen sie sich von externen Systemaudits ab? Eine eindeutig festgelegte Definition des Begriffes gibt es nicht. In der Regel wird der Begriff Systemaudit mit der Betrachtung, Überprüfung und Bewertung eines kompletten Managementsystems verknüpft.

Das heißt, wenn wir von einem internen Systemaudit sprechen, wird dieses aus der Organisation selbst heraus durchgeführt und versteht die Auditierung aller relevanten Anforderungen an ein Managementsystem in der Organisation, wie beispielsweise Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit oder Compliance. Unterschiedliche Managementsystem-Standards lassen sich hierbei integriert oder kombiniert auditieren. Beschränken wir uns auf ein Anforderungsfeld wie zum Beispiel Qualitätsmanagement, sollte es internes QM-Systemaudit heißen. Hierbei wird die wirksame Erfüllung von Anforderungen in der Praxis nachvollzogen. Grundlage eines Systemaudits können neben gängigen QM-Normen wie beispielsweise ISO 9001, IATF 16949, EN 9100 auch weitere branchen-, behörden- oder kundenspezifische Anforderungen sein. Darüber hinaus kann die Organisation auch Selbstverpflichtungen im Zusammenhang mit dem Managementsystem formulieren (zum Beispiel Nachhaltigkeitsberichterstattung nach GRI, Science Based Targets).

Reden wir von einem externen Systemaudit, ist in der Regel die Überprüfung des xx-Managementsystems einer Organisation (zum Beispiel QM) durch Dritte gemeint, das in erster Linie der Überprüfung der Normkonformität des Managementsystems zu den Anforderungen eines oder mehrerer Managementsystemstandards dient. Ziel des externen Audits ist in der Regel eine unparteiliche Konformitätsbestätigung, die etwa in Form eines ISO-Zertifikats bescheinigt wird.

Dies ist als entscheidender Unterschied zwischen internen Systemaudit und externen Systemaudits durch Zertifizierungsgesellschaften oder Behörden zu sehen.

Berufsbild Auditor

Für die Integrität und Zuverlässigkeit von Unternehmen ist das Einhalten von gesetzlichen, behördlichen und normativen Vorgaben und Anforderungen essenziell. Neben dem Feststellen der Konformität können im Rahmen eines Audits unter anderem bewährte Praktiken erkannt, Lücken identifiziert und Optimierungspotenziale aufgedeckt werden. Auditoren können so einen entscheidenden Beitrag für das Unternehmen leisten und haben gute Karriereaussichten in den verschiedensten Branchen.
Antworten auf die wichtigsten Fragen finden Sie in unserem Berufsbild zum Auditor:

  • Welche Aufgaben betreuen Auditoren?
  • Wie werde ich Auditor?
  • Welche Weiterbildungsmöglichkeiten gibt es?
  • Was verdient ein Auditor?
  • Welche Karrieremöglichkeiten gibt es als Auditor?

Zum Berufsbild Auditor »

Sinn und Unsinn interner Systemaudits

Es wird oft argumentiert, dass die Anforderung, interne Systemaudits durchzuführen, in den normativen Vorgaben enthalten ist. Weder ISO 19011 als Anleitung für gutes Auditieren noch die wesentlichen Managementsystemnormen stellen diese Anforderung. Selbst die viel zitierte IATF 16949 definiert das Systemaudit lediglich wie folgt:

„Die Organisation muss alle Prozesse des QM-Systems im Laufe eines dreijährigen Auditzyklus auf Basis eines jährlichen Auditprogrammes auditieren“. Weiterhin „ist der prozessorientierte Ansatz anzuwenden.“ (Quelle: IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Daraus kann man folgern, dass ein internes Systemaudit die Gesamtheit aller Prozessaudits innerhalb der Organisation darstellt. Folgt man diesem Ansatz, sind interne Systemaudits für sich allein genommen schlicht und einfach nicht nötig, denn im Auditprogramm planen wir die Prozess- und ggf. Produktaudits nach den Erfordernissen der Organisation, also deren Zielen und Risiken („Gefahren und Chancen“). Die Vollständigkeit wird über die umgesetzten Auditprogramme belegt. Selbst bei dieser Herangehensweise unterstützen die Anforderungen der IATF 16949, denn „Die Häufigkeit der QM-Systemaudits für einzelne Prozesse […] muss aufgrund von internen und externen Leistungen sowie ermittelten Risiken festgelegt werden.“ (vgl. IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Da häufig in den Organisationen eine Reihe von Unterlagen existieren, die – mehr oder weniger analytisch – belegen, dass und wie Organisationen in ihren Prozessen die Anforderungen der zugrundeliegenden Standards umgesetzt haben, wird von vielen Organisationen die immer wiederkehrende Abfrage der Konformität des Systems im Rahmen der eigenen Audits als nicht mehr zielführend wahrgenommen. Die Organisationsverantwortlichen sehen keinen Nutzen darin.

Führen die Organisationen die internen Systemaudits wie in der Vergangenheit durch, folgen sie in der Regel lediglich den externen Institutionen, die meist nur die Einhaltung von vertraglichen oder normativen oder regulativen Vorgaben überprüfen. In der Folge werden in der Regel nur die Verbesserung der Vorgaben oder die Nachschulung der Durchführenden als Lösung vereinbart. Dadurch wiederum werden Organisationen nicht leistungsfähiger. Echte Verbesserungen der Prozessanwendung und -umsetzung finden nicht statt. Es kann und darf also sein, definierte Elemente des Managementsystems nicht zu auditieren und sich auf wertsteigernde, chancenbegleitende und risikomindernde Audits zu fokussieren. Auch der risikobasierte Ansatz der ISO 9001 stützt die Schwerpunktbildung. Dabei sei gesagt, dass die Anforderung beispielsweise der ISO 9001, Kapitel 9.2.1 a) 2) immer durch die gestalterische Auslegung in Kapitel 9.2.2 a) unter Berücksichtigung des Kapitel 6 erfüllt werden kann.

Hierzu sei gesagt: Es mag wohl sein, dass einzelnen externen und internen Auditoren die Themen „Prozessansatz des Auditierens“ (gem. ISO 19011 Anhang A2) sowie das „Fachmännische Urteil“ (gem. ISO 19011 Anhang A3) und der „Leistungsbezogenen Ergebnisse“ (gem. ISO 19011 Anhang A4) noch nicht ganz in Fleisch und Blut übergegangen ist, aber das ist die Herausforderung, der sich die Organisationen stellen müssen.

Was sollte nun getan werden?

Die Kompetenz der Auditoren muss umfangreich weiterentwickelt werden, denn diese sollten nicht nur:

  • die Gesamtheit der Unternehmensanforderungen gut oder – besser noch – sehr gut kennen, sowie
  • die Unterlagen der Organisation vorliegen haben, deren Struktur verstehen und natürlich die Verweise kennen, welche Anforderungen durch welche Vorgehensweisen umgesetzt werden.

Am wichtigsten erscheint uns allerdings, dass sie in der Lage sein müssen, die Wirksamkeit vorgenannter Prozesse und Prozeduren im Dialog mit den Auditpartnern bewerten zu können. Diese beinhalten mit Sicherheit mehr Anforderungen als normativ oder regulativ gefordert wird. Ganz zu schweigen von der Erreichung vereinbarter Zielvorgaben oder anderer organisationsspezifischer Festlegungen.

Schlussfolgerung der Autoren:

In einem etablierten Managementsystem führt ein internes Systemaudit zu keiner wirklichen Verbesserung der Organisation. Die Ermittlung von Chancen oder die Entdeckung und Minderung von Gefahren kommt zu kurz. Denn es handelt sich um die reine Überprüfung der Umsetzung aller Anforderungen an das Managementsystem. Es verbrennt Ressourcen, schafft keinen Mehrwert und frustriert gleichermaßen die Auditierten und Auditoren.

Unter gewissen Umständen kann es allerdings sinnvoll und notwendig sein, das interne Systemaudit, egal welcher fachlichen Ausrichtung, in Einzelfällen anzuwenden – wie beispielsweise bei Einführung einer neuen bzw. geänderten Norm, der Ein-/Ausgliederung einer neuen Organisation oder Organisationseinheit in ein bestehendes Managementsystem.

Falls ein Kunde oder eine Behörde explizit die Durchführung von internen Systemaudits verlangt, kann argumentiert werden, dass die Systemkonformität durch eben diese Prozessaudits in Verbindung mit den vorgenannten Unterlagen zur Konformität („vollständige Konformitätsanalyse“) erfolgen kann bzw. erfolgt ist. Dabei müssen die dokumentierte(n) Konformitätsanalyse(n) und die Risikoanalyse aktuell gehalten werden.

Gegen eine explizite Forderung, jedes Element (beispielsweise in der Lebensmittelindustrie ausgewählte Elemente) eines Standards jährlich zu prüfen, ist allerdings „kein Kraut gewachsen“.

Wir unterstützen Sie gerne bei der Argumentation zur Neuausrichtung Ihres Auditprogramms. Sprechen Sie uns bitte an!

 

Autoren:

Petra Nitzsche, Christoph Reusch, Mathias Wernicke
Alle Autoren sind Mitglied im DGQ-Fachkreis Audit und Assessment.

Hinweis: Der Blogbeitrag wurde erstmals am 2. August 2019 veröffentlicht und am 22. August 2023 durch die Autoren aktualisiert und um weitere Inhalte ergänzt.

 

Weiterbildungsangebote rund um die Themen Audit und Prozessmanagement

Interne Audits sind nach DIN EN ISO 13485 für Hersteller von Medizinprodukten vorgeschrieben. Im Seminar lernen Sie die Besonderheiten kennen, wie Sie interne Audits in der Medizinprodukteindustrie planen, vorbereiten, durchführen und auswerten. Jetzt anmelden »

Ebenfalls bieten wir Ihnen eine DGQ-PraxisWerkstatt zum Thema „Anders auditieren – Audit-Rituale durchbrechen, Wirksamkeit steigern“ an. In diesem Seminar erfahren Sie, wie Sie Rituale durchbrechen und wie Sie den Audits zu mehr Wirkung und Akzeptanz verhelfen. Jetzt anmelden »

In der DGQ-Weiterbildung zum Prozessmanager lernen Sie, das Prozessmanagement Ihrer Organisation zu analysieren, zu verbessern und abzustimmen. Spezialisierte Trainer führen Sie in ein systematisches Vorgehen von den ersten Prozessanalysen über die Prozessgestaltung bis hin zur Optimierung in fünf Stufen ein. Jetzt anmelden »

Rezension: Die integrierte Anwendung von Managementsystemstandards in Organisationen

Rezension mit Kommentaren zum ISO-Handbuch „The integrated use of management system standards“

Das Thema ist schon lange bekannt: Bereits in den 1990er-Jahren beschäftigten sich die Internationale Organisation für Normung (ISO) und viele andere Organisationen intensiv mit integrierten Managementsystemen. Umfragen in den unterschiedlichen Branchen hatten gezeigt: Die „Ausuferung“ (englisch „proliferation“) von Managementsystemstandards ist eine echte Herausforderung für zukünftige (Geschäfts-)Systemmanager. Aus diesem Grund bildete sich eine internationale ISO-Arbeitsgruppe, die ein Handbuch mit dem Titel „The integrated use of management system standards“ erstellte, das auch ins Deutsche übersetzt wurde.

Das Handbuch hatte nur mäßigen Erfolg: Noch immer realisieren die Unternehmen ihre (Teil-)Managementsysteme häufig nach der Struktur der Anforderungsnormen. Doch die Situation wird komplexer. Die Anzahl an Managementsystemnormen und mit ihnen die Anforderungen an Organisationen und Unternehmen steigen kontinuierlich. Aus diesem Grund hat sich das Technical Management Board (TMB) der ISO entschlossen, das Handbuch „The integrated use of management system standards“ zu revidieren und an die neuen Gegebenheiten anzupassen.

Seit dem 1. August 2017 liegt der Entwurf des revidierten Handbuchs vor. Die DGQ-Normungsexperten Matthias Wernicke und Thomas Votsmeier haben es für Sie rezensiert und die wichtigsten Erkenntnisse  zusammengefasst.

Rezension herunterladen

Das interne Audit – darauf kommt es an

Externe Audits haben zumeist einen hohen Bezug zu Normen und Standards. Interne Audits gehen dagegen in ihrem Anspruch oft darüber hinaus. Sie sollten keinesfalls nur zur Vorbereitung eines externen Audits oder der Prüfung einer Normeinhaltung dienen, sondern vor allem einen Beitrag zur Prozessverbesserung leisten. Dies gilt, aktuell in den Unternehmen zu unterstützen.

Sie möchten interne Audits professionell durchführen? In diesem Interview berichtet DGQ-Trainer Matthias Wernicke, der sich auch im Fachkreis Audit und Assessment engagiert, über die Erfolgsfaktoren.

Wichtig ist zum Beispiel, positive Formulierungen zu verwenden. Denn ungeachtet dessen, dass Auditberichte IMMER die Fakten darstellen müssen, ist es dem Auditor freigestellt, bei der Wortwahl respektvoll und konkret so zu formulieren – sodass Nichtbeteiligte am Audit nicht voreilige Schlüsse ziehen und unangemessene Sanktionen folgen lassen. Weder ISO 9001 noch ISO 19011 verlangen, dass bei Audits „Mängel“ aufzudecken oder „Versäumnisse“ zu berichten sind. Sinnvoller ist es, positive Formulierungen zu wählen die deutlich zu machen, welche Potenziale negative Ergebnisse bergen. Welche das sind, erfahren Sie in Wernickes Blogpost „Positive Formulierungen in Auditberichten“.

Gerade beim Auditieren gilt die Devise „learning by doing“. In den Audit-Trainings haben Sie die Möglichkeit, das Erlernte in die Praxis umzusetzen – z. B. im Rahmen einer Auditsimulation, bei der Sie zwei erfahrene Trainer begleiten. DGQ-Trainings zum Thema Audit anschauen

Positive Formulierungen in Auditberichten

Interne Auditoren stehen bei der Berichterstattung ihrer Audits oft vor einem Gewissenskonflikt: Auf der einen Seite wollen sie als Unterstützer bei der Prozessverbesserung und der Gewinnung von Chancen von den Auditierten wahrgenommen werden. Auf der anderen Seite sollen sie ungeschönt auch über Risiken und Nichtkonformitäten berichten, um notwendigen Maßnahmen Gewicht zu verschaffen.

Da ist der Konflikt vorprogrammiert: Beschönigen die Auditoren, werden Probleme möglicherweise nicht mit dem gebotenen Ernst angepackt. Bei zu „harter“ Gangart wird beim nächsten Audit wahrscheinlich alles getan, um unangenehme Themen zu verschleiern oder zumindest nicht als Potenzial für Verbesserungen zu benennen.

Ungeachtet dessen, dass Auditberichte IMMER die Fakten darstellen müssen, ist es dem Auditor freigestellt, bei der Wortwahl respektvoll und konkret so zu formulieren, dass Nichtbeteiligte am Audit nicht voreilige Schlüsse ziehen und unangemessene Sanktionen folgen lassen. Weder ISO 9001 noch ISO 19011 verlangen, dass bei Audits „Mängel“ aufzudecken oder „Versäumnisse“ zu berichten sind. Auch die Terminologie aus Zertifizierungsaudits ist nicht zwingend zu übernehmen.

Auditbericht: Negative Ergebnisse als Potenziale sehen

Damit die Auditierten trotz festgestellter Abweichungen eher bereit sind, auch negative Ergebnisse als Potenziale zu sehen, haben wir versucht, diese Situation mittels positiver Formulierungen zu entschärfen. Wir, das sind die Mitglieder im DGQ-Fachkreis Audit und Assessment, der sich dafür einsetzt, dass Unternehmen Audits zur Erreichung ihrer strategischen Ziele nutzen.

Berufsbild Auditor

Für die Integrität und Zuverlässigkeit von Unternehmen ist das Einhalten von gesetzlichen, behördlichen und normativen Vorgaben und Anforderungen essenziell. Neben dem Feststellen der Konformität können im Rahmen eines Audits unter anderem bewährte Praktiken erkannt, Lücken identifiziert und Optimierungspotenziale aufgedeckt werden. Auditoren können so einen entscheidenden Beitrag für das Unternehmen leisten und haben gute Karriereaussichten in den verschiedensten Branchen.
Antworten auf die wichtigsten Fragen finden Sie in unserem Berufsbild zum Auditor:

  • Welche Aufgaben betreuen Auditoren?
  • Wie werde ich Auditor?
  • Welche Weiterbildungsmöglichkeiten gibt es?
  • Was verdient ein Auditor?
  • Welche Karrieremöglichkeiten gibt es als Auditor?

Zum Berufsbild Auditor »

Folgende Formulierungen – deutsch und englisch – können Sie wählen, um deutlich zu machen, welche Potenziale negative Ergebnisse bergen:

  • Die Schulungsmaßnahmen wurden vollständig zeitnah durchgeführt. Die Befragung im operativen Umfeld ergab allerdings, dass die Umsetzung noch nicht flächendeckend (erst zu N Prozent) erfolgt ist.The training was completed in due time. It became clear during interviews with the operatives, that this was not fully (only N percent) effective.
  • Das Ergebnis erfüllt noch nicht vollständig alle Anforderungen. Es wurden N Maßnahmen zur Lösung vereinbart (bis zum…).The result does not yet fulfill all requirements. N measures were agreed to solve it (until…..).
  • Die vereinbarten Maßnahmen aus dem letzten Audit konnten aufgrund immer neuer Prioritäten (der Organisation) nicht vollständig erledigt werden. Die Bewertung der offenen Themen ergab keine besonderen Risiken. Die Auditoren empfehlen (dringend) eine zeitnahe Eskalation zum Prozessverantwortlichen bei erneutem Prioritätenkonflikt zur Vermeidung von Nachteilen (für die Organisation / die Beteiligten….)The agreed measures from last audit could not be fully completed in due time as new priorities were set (by the organisation). The evaluation of open items showed no significant risks. The auditors (urgently) recommend a timely escalation to the process responsibles next time to avoid negative consequences (for the organisation / the people involved…..)
  • Die Verantwortlichen haben N Trainings / Verbesserungsaktivitäten in den letzten N Monaten durchgeführt. Alle Trainings wurden sorgfältig dokumentiert. Die Auditoren empfehlen, einen kurzen Test nach jeder Session durchzuführen, um die Aufmerksamkeit der Teilnehmer zu steigern.The responsible persons initiated trainings / improvement sessions N times in the last N months. All trainings were carefully documented. The auditors recommend a short test after each session to enhance attentiveness of the trainees.
  • Die Prozessanforderung „Archivierung“ wird durch Verwendung eines lokalen Tools erfüllt. Um den Zugriff von anderen Orten zu ermöglichen, ist (unbedingt) das Tool „xxx“ zu verwenden.Process requirement „archiving“ is fulfilled by usage of local tools. To ensure also international access the tool „xxx“ has to be (mandatorily) used.
  • Aus Sicht der Auditierten ist die Prozessabfolge „X“ im Projekt xxx nicht wertschöpfend. Der Prozessmanager wird gebeten, dies im Sinne der Erhöhung der Effizienz zu überprüfen und – bei positiver Bewertung – diese Prozessabfolge auswählbar und nicht zwingend zu machen. (Dies könnte etwa fünf Stunden pro Vorgang einsparen).From auditees point of view the realisation of process sequence „X“ is of no value in project xxx. For efficiency reasons the process manager is requested to check and  – if in agreement – make this sequence selectable and not mandatory. (This would save 5 hours per test).
  • Um das Risiko finanzieller Folgen (Pönalen) zu minimieren, muss jeder einzelne Prozessschritt sorgfältig dokumentiert werden. Die globale Aussage „alle Tests wurden erfolgreich durchgeführt“ ist (in diesem speziellen Fall) nicht ausreichend.To minimize the risk of financial consequences (penalties) every single process step has to be carefully documented. It is not enough to give a statement „all tests performed successfully“ (for this special case).

Sicher werden die positiven Formulierungen nicht in jedem Fall und in jeder Unternehmenskultur zum Erfolg führen, aber einen Versuch ist es wert. In der Praxis sind jedenfalls damit schon gute Erfolge erzielt worden.

Welche Vorschläge haben Sie?

Haben Sie weitere Beispiele und Anregungen, wie man Auditergebnisse positiv und wertschätzend formuliert? Kommentieren Sie gern diesen Blogbeitrag. Wir sind auf Ihre Ideen gespannt.

Sind Sie DGQ-Mitglied und haben Lust, sich aktiv im Fachkreis einzubringen und sich mit Experten zu diesem Thema auszutauschen? Dann melden Sie sich bei Maria Zabel mz@dgq.de an. Wir freuen uns auf einen spannenden Austausch. Falls Sie noch kein Mitglied sind, haben Sie die Möglichkeit, die Mitgliedschaft drei Monate kostenfrei zu testen und diese und weitere Fachkreise kennenzulernen. Schnuppermitglied werden

 

Weiterbildungsangebote rund um das Thema Audit

Interne Audits sind nach DIN EN ISO 13485 für Hersteller von Medizinprodukten vorgeschrieben. Im Seminar lernen Sie die Besonderheiten kennen, wie Sie interne Audits in der Medizinprodukteindustrie planen, vorbereiten, durchführen und auswerten. Jetzt anmelden »

Die Qualifikation zum Prozessauditor gemäß VDA 6.3:2023 vermittelt eine gefragte Kompetenz im Rahmen des Qualitätsmanagements in der Automobilindustrie. Diese Schulung versetzt Sie in die Lage, Prozesse risikobasiert zu analysieren, methodisch zu bewerten und so Fehler zu vermeiden und Verbesserungspotentiale zu erkennen. Jetzt anmelden »