Interne Systemaudits – wer braucht die noch?2 | 08 | 19

Am Thema Systemaudit entzünden sich in letzter Zeit heftige Diskussionen. Müssen sie als Bestandteil interner Auditprogramme weiterhin durchgeführt werden oder sind sie nur Zeitverschwendung? Die Meinungen zwischen Auditoren, Verantwortlichen in den Unternehmen oder den einzelnen Mitarbeitern gehen dabei weit auseinander. Um eine Entscheidungshilfe zu bieten, sollen im Folgenden drei Fragen näher betrachtet werden:

Systemaudit – was ist das?

Als erstes und wichtigstes Thema ist zu klären: Was sind eigentlich interne Systemaudits und wie grenzen sie sich von externen Systemaudits ab? Eine eindeutig festgelegte Definition des Begriffes gibt es nicht. In der Regel wird der Begriff Systemaudit mit der Betrachtung, Überprüfung und Bewertung eines kompletten Managementsystems verknüpft.

Das heißt, wenn wir von einem internen Systemaudit sprechen, wird dieses aus der Organisation selbst heraus durchgeführt und versteht die Auditierung aller relevanten Anforderungen in der Organisation, wie beispielsweise Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit oder Compliance. Beschränken wir uns auf ein Anforderungsfeld wie z.B. Qualitätsmanagement, sollte es internes QM-Systemaudit heißen. Hierbei werden alle Anforderungen auf Wirksamkeit überprüft, die sich aus der Umsetzung der QM-Normanforderungen in der Organisation ergeben. Dies können neben gängigen QM-Normen wie beispielsweise ISO 9001, IATF 16949, EN 9100 aber auch weitere branchen-, behörden- oder kundenspezifische Anforderungen sein. Darüber hinaus kann auch die Organisation selbst Anforderungen an das Managementsystem stellen.

Reden wir von einem externen Systemaudits, ist in der Regel die Überprüfung des gesamten Managementsystems einer Organisation durch Dritte gemeint, das in erster Linie der Überprüfung der Normkonformität eines Managementsystems dient. Dies ist als entscheidender Unterschied zwischen internen Systemaudit und externen Systemaudits durch Zertifizierungsgesellschaften oder Behörden zu benennen.

Sinn und Unsinn interner Systemaudits

Es wird oft argumentiert, dass die Anforderung, interne Systemaudits durchzuführen, in den normativen Vorgaben enthalten ist. Weder ISO 19011 als Anleitung für gutes Auditieren noch die wesentlichen Managementsystemnormen stellen diese Anforderung. Selbst die viel zitierte IATF 16949 definiert das QM-Systemaudit lediglich wie folgt:

„Die Organisation muss alle Prozesse des QM-Systems im Laufe eines dreijährigen Auditzyklus auf Basis eines jährlichen Auditprogrammes auditieren“. Weiterhin „ist der prozessorientierte Ansatz anzuwenden.“ (Quelle IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Daraus kann man folgern, dass ein internes Systemaudit letztendlich die Gesamtheit aller Audits/Prozessaudits innerhalb der Organisation darstellt. Folgt man diesem Ansatz, sind interne Systemaudits für sich allein genommen schlicht und einfach nicht nötig, denn im Auditprogramm planen wir die Prozess- und ggf. Produktaudits nach den Erfordernissen der Organisation, also deren Zielen, Risiken und Chancen. Die Vollständigkeit wird über die umgesetzten Auditprogramme belegt. Selbst bei dieser Herangehensweise unterstützen die Anforderungen der IATF 16949, denn „Die Häufigkeit der QM-Systemaudits für einzelne Prozesse […] muss aufgrund von internen und externen Leistungen sowie ermittelten Risiken festgelegt werden.“ (vgl. IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Da häufig in den Organisationen eine Reihe von Unterlagen existieren, die – mehr oder weniger analytisch – belegen, dass und wie Organisationen in ihren Prozessen die Anforderungen der zugrundeliegenden Normen umgesetzt haben, werden von vielen Organisationen die immer wiederkehrende Abfrage der Konformität des Systems im Rahmen der eigenen Audits als nicht mehr zielführend wahrgenommen. Die Organisationsverantwortlichen sehen keinen Nutzen darin.

Führen die Organisationen die internen Systemaudits wie in der Vergangenheit durch, folgen sie in der Regel lediglich den externen Institutionen, die meist nur die Einhaltung von vertraglichen oder normativen/regulativen Vorgaben überprüfen. In der Folge werden in der Regel nur die Verbesserung der Vorgaben oder die Nachschulung der Durchführenden als Lösung vereinbart. Dadurch wiederum werden Organisationen nicht leistungsfähiger, echte Verbesserungen der Prozessanwendung und -umsetzung finden nicht statt, sondern es wird lediglich die Systemintegrität angesprochen. Es kann und darf also sein, definierte Elemente des Managementsystems nicht zu auditieren und sich auf wertsteigernde, chancenbegleitende und risikomindernde Audits zu fokussieren. Auch der risikobasierte Ansatz der ISO 9001 stützt die Schwerpunktbildung.

Lassen Sie uns eine letzte Frage beantworten: „Warum beschränken Organisationen die Inhalte von internen Systemaudits auf die Konformität mit normativen oder regulativen Vorgaben?“Eine mögliche Ursache ist die Unsicherheit, ob die oben beschriebene Vorgehensweise im internen Audit auch die Anforderungen von Kunden, Zertifizierern und Behörden erfüllen kann.

Hierzu sei gesagt: Es mag wohl sein, dass einzelnen externen Auditoren das Thema des „Prozessansatzes des Auditierens“ (gem. ISO 19011 Anhang A2) sowie des „Fachmännischen Urteils“ (gem. ISO 19011 Anhang A3) und der „Leistungsbezogenen Ergebnisse“ (gem. ISO 19011 Anhang A4) noch nicht ganz in Fleisch und Blut übergegangen ist, aber das ist die Herausforderung, der sich die Organisationen stellen müssen.

Was sollte nun getan werden?

Die Kompetenz der Auditoren muss umfangreich weiterentwickelt werden, denn diese sollten nicht nur:

  • die Gesamtheit der Unternehmensanforderungen gut oder – besser noch – sehr gut kennen, sowie
  • die Unterlagen der Organisation vorliegen haben, deren Struktur verstehen und natürlich die Verweise kennen, welche Anforderungen durch welche Vorgehensweisen umgesetzt werden.

Am wichtigsten erscheint uns allerdings, dass sie in der Lage sein müssen, die Wirksamkeit vorgenannter Prozesse und Prozeduren im Dialog mit den Auditpartnern bewerten zu können. Diese beinhalten mit Sicherheit mehr Anforderungen als normativ oder regulativ gefordert wird. Ganz zu schweigen von der Erreichung vereinbarter Zielvorgaben oder anderer organisationsspezifischer Festlegungen.

Falls ein Kunde oder eine Behörde explizit die Durchführung von internen Systemaudits verlangt, sollte argumentiert werden, dass die Systemkonformität durch eben diese Prozessaudits in Verbindung mit den vorgenannten Unterlagen zur Konformität („vollständige Konformitätsanalyse“) erfolgen kann bzw. erfolgt ist. Dabei muss die dokumentierte Konformitätsanalyse natürlich aktuell gehalten werden.

Meinung der Autoren:

In einem etablierten Managementsystem führt ein internes Systemaudit zu keiner wirklichen Verbesserung der Organisation. Die Ermittlung von Chancen oder die Entdeckung und Minderung von Risiken kommt zu kurz. Denn es handelt sich um die reine Überprüfung der Umsetzung aller Anforderungen an das Managementsystem. Es verbrennt Ressourcen, schafft keinen Mehrwert und frustriert gleichermaßen die Auditierten und Auditoren.

Unter gewissen Umständen kann es trotzdem weiterhin durchaus sinnvoll sein, das interne Systemaudit, egal welcher fachlichen Ausrichtung, in Einzelfällen anzuwenden – wie beispielsweise bei Einführung einer neuen bzw. geänderten Norm oder Eingliederung einer neuen Organisation oder Organisationseinheit in das Managementsystem, um deren Kompetenz bei der Umsetzung der Normanforderungen festzustellen.

Sie sollten diese Gedanken schon morgen in Ihr Auditprogramm aufnehmen!

Autoren:

Petra Nitzsche, Christoph Reusch, Mathias Wernicke
Alle Autoren sind Mitglied im DGQ-Fachkreis Audit und Assessment.

Über den Autor:

Mathias Wernicke hat 35 Jahre Erfahrung in der Anwendung, Gestaltung und Zertifizierung von Managementsystemen. Neben interkulturellen Herausforderungen waren immer zwei Gedanken präsent: Bestehende komplexe Systeme zu vereinfachen und sie den Menschen im Unternehmen nahezubringen. Wernicke ist Trainer und Prüfer der DGQ, engagiert sich im Fachkreis Audit und Assessment, hat den Vorsitz im DIN Normenausschuss Organisationsprozesse und hält Vorlesungen zum Thema Integration von Managementsystemanforderungen an Hochschulen.

3 Kommentare bei “Interne Systemaudits – wer braucht die noch?”

  1. Kai Behrends sagt:

    Die Forderung der ISO 9001:2015 in 9.2.1 lautet
    „Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, ob das Qualitätsmanagementsystem:
    a) die Anforderungen … erfüllt;
    b) wirksam verwirklicht und aufrechterhalten wird.“
    Das ist wohl der Grund dafür, die Gesamtheit der Sammlung objektiver Nachweise für die Wirksamkeit des Systems gemeinhin auch „Systemaudit“ zu nennen. In 9.2.2 zeigt die Norm auf, dass dies durch eine Reihe (auch unterschiedlicher) Auditaktivitäten zu gewährleisten sein kann (deswegen das Auditprogramm). Entscheidend ist in der Tat nicht das Wort, sondern das externe Konformitätsaudit nicht zu doppeln, besser den Schwerpunkt auf die Wirksamkeit zu legen. Mit den echten Indikatoren, anhand derer auch an den 364 Tagen, an denen nicht internes Audit ist, die Performance wahrgenommen wird.

  2. 18f9f7d957cb79ebd12ae148bb2ea188 Almut Strathe sagt:

    Herzlichen Dank!
    Ich erlebe als Auditorin immer wieder nachgewiesene interne Audits die per Checkliste dokumentiert belegen, dass die Organisation alles hat, was gefordert wird. Das mag im ersten Jahr noch sinnvoll sein. In Ermangelung von Auditmöglichkeiten allerdings, wird es schon im zweiten Jahr sinnentleert. Dass Audits wertschöpfend sein können, ist vielfach Neuland.
    Und ja, es ist im Artikel gut benannt! Leider kann ich das auch bei Auditorenkolleg*innen wahrnehmen.

  3. a357747e2e6f08c8962c661f44db441e Roland Walden sagt:

    Vielen Dank für diese sehr treffende Einschätzung!

    Das Systemaudit um des Systemaudit-Willens wegen ist Geschichte. Mittlerweile sehen wir uns als Systemauditoren mehr in der Rolle eines „Consultant“, der Hilfestellung bei Fragen zur Einhaltung der Managementsystem-Anforderungen gibt. Aber mehr noch: Er hat den (auf höherer Flughöhe) Überblick über alle Prozesse am Standort und auch ggfs. über mehrere Standorte/Länder hinweg. Er kann also den Prozesseigner(n) durch das Systemaudit unterstützen, deren Prozesse zu verbessern, Risiken zu identifizieren und Wirksamkeiten zu bewerten mit Wissen, das den (in Ihrem Prozess sehr wissenstarken Prozesseignern) so oft nicht vorliegt. Der Systemauditor also als ein Brückenbauer und Hüter eines gesamtheitlich wirksamen Managementsystems.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.