Interne Systemaudits – wer braucht die noch?22 | 08 | 23

Am Thema Systemaudit entzünden sich in letzter Zeit heftige Diskussionen. Müssen sie als Bestandteil interner Auditprogramme weiterhin durchgeführt werden oder sind sie nur Zeitverschwendung? Die Meinungen zwischen Auditoren, Verantwortlichen in den Unternehmen oder den einzelnen Mitarbeitern gehen dabei weit auseinander. Um eine Entscheidungshilfe zu bieten, sollen im Folgenden drei Fragen näher betrachtet werden:

Systemaudit – was ist das?

Als erstes und wichtigstes Thema ist zu klären: Was sind eigentlich interne Systemaudits und wie grenzen sie sich von externen Systemaudits ab? Eine eindeutig festgelegte Definition des Begriffes gibt es nicht. In der Regel wird der Begriff Systemaudit mit der Betrachtung, Überprüfung und Bewertung eines kompletten Managementsystems verknüpft.

Das heißt, wenn wir von einem internen Systemaudit sprechen, wird dieses aus der Organisation selbst heraus durchgeführt und versteht die Auditierung aller relevanten Anforderungen an ein Managementsystem in der Organisation, wie beispielsweise Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit oder Compliance. Unterschiedliche Managementsystem-Standards lassen sich hierbei integriert oder kombiniert auditieren. Beschränken wir uns auf ein Anforderungsfeld wie zum Beispiel Qualitätsmanagement, sollte es internes QM-Systemaudit heißen. Hierbei wird die wirksame Erfüllung von Anforderungen in der Praxis nachvollzogen. Grundlage eines Systemaudits können neben gängigen QM-Normen wie beispielsweise ISO 9001, IATF 16949, EN 9100 auch weitere branchen-, behörden- oder kundenspezifische Anforderungen sein. Darüber hinaus kann die Organisation auch Selbstverpflichtungen im Zusammenhang mit dem Managementsystem formulieren (zum Beispiel Nachhaltigkeitsberichterstattung nach GRI, Science Based Targets).

Reden wir von einem externen Systemaudit, ist in der Regel die Überprüfung des xx-Managementsystems einer Organisation (zum Beispiel QM) durch Dritte gemeint, das in erster Linie der Überprüfung der Normkonformität des Managementsystems zu den Anforderungen eines oder mehrerer Managementsystemstandards dient. Ziel des externen Audits ist in der Regel eine unparteiliche Konformitätsbestätigung, die etwa in Form eines ISO-Zertifikats bescheinigt wird.

Dies ist als entscheidender Unterschied zwischen internen Systemaudit und externen Systemaudits durch Zertifizierungsgesellschaften oder Behörden zu sehen.

Sinn und Unsinn interner Systemaudits

Es wird oft argumentiert, dass die Anforderung, interne Systemaudits durchzuführen, in den normativen Vorgaben enthalten ist. Weder ISO 19011 als Anleitung für gutes Auditieren noch die wesentlichen Managementsystemnormen stellen diese Anforderung. Selbst die viel zitierte IATF 16949 definiert das Systemaudit lediglich wie folgt:

„Die Organisation muss alle Prozesse des QM-Systems im Laufe eines dreijährigen Auditzyklus auf Basis eines jährlichen Auditprogrammes auditieren“. Weiterhin „ist der prozessorientierte Ansatz anzuwenden.“ (Quelle: IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Daraus kann man folgern, dass ein internes Systemaudit die Gesamtheit aller Prozessaudits innerhalb der Organisation darstellt. Folgt man diesem Ansatz, sind interne Systemaudits für sich allein genommen schlicht und einfach nicht nötig, denn im Auditprogramm planen wir die Prozess- und ggf. Produktaudits nach den Erfordernissen der Organisation, also deren Zielen und Risiken („Gefahren und Chancen“). Die Vollständigkeit wird über die umgesetzten Auditprogramme belegt. Selbst bei dieser Herangehensweise unterstützen die Anforderungen der IATF 16949, denn „Die Häufigkeit der QM-Systemaudits für einzelne Prozesse […] muss aufgrund von internen und externen Leistungen sowie ermittelten Risiken festgelegt werden.“ (vgl. IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Da häufig in den Organisationen eine Reihe von Unterlagen existieren, die – mehr oder weniger analytisch – belegen, dass und wie Organisationen in ihren Prozessen die Anforderungen der zugrundeliegenden Standards umgesetzt haben, wird von vielen Organisationen die immer wiederkehrende Abfrage der Konformität des Systems im Rahmen der eigenen Audits als nicht mehr zielführend wahrgenommen. Die Organisationsverantwortlichen sehen keinen Nutzen darin.

Führen die Organisationen die internen Systemaudits wie in der Vergangenheit durch, folgen sie in der Regel lediglich den externen Institutionen, die meist nur die Einhaltung von vertraglichen oder normativen oder regulativen Vorgaben überprüfen. In der Folge werden in der Regel nur die Verbesserung der Vorgaben oder die Nachschulung der Durchführenden als Lösung vereinbart. Dadurch wiederum werden Organisationen nicht leistungsfähiger. Echte Verbesserungen der Prozessanwendung und -umsetzung finden nicht statt. Es kann und darf also sein, definierte Elemente des Managementsystems nicht zu auditieren und sich auf wertsteigernde, chancenbegleitende und risikomindernde Audits zu fokussieren. Auch der risikobasierte Ansatz der ISO 9001 stützt die Schwerpunktbildung. Dabei sei gesagt, dass die Anforderung beispielsweise der ISO 9001, Kapitel 9.2.1 a) 2) immer durch die gestalterische Auslegung in Kapitel 9.2.2 a) unter Berücksichtigung des Kapitel 6 erfüllt werden kann.

Hierzu sei gesagt: Es mag wohl sein, dass einzelnen externen und internen Auditoren die Themen „Prozessansatz des Auditierens“ (gem. ISO 19011 Anhang A2) sowie das „Fachmännische Urteil“ (gem. ISO 19011 Anhang A3) und der „Leistungsbezogenen Ergebnisse“ (gem. ISO 19011 Anhang A4) noch nicht ganz in Fleisch und Blut übergegangen ist, aber das ist die Herausforderung, der sich die Organisationen stellen müssen.

Was sollte nun getan werden?

Die Kompetenz der Auditoren muss umfangreich weiterentwickelt werden, denn diese sollten nicht nur:

• die Gesamtheit der Unternehmensanforderungen gut oder – besser noch – sehr gut kennen, sowie
• die Unterlagen der Organisation vorliegen haben, deren Struktur verstehen und natürlich die Verweise kennen, welche Anforderungen durch welche Vorgehensweisen umgesetzt werden.

Am wichtigsten erscheint uns allerdings, dass sie in der Lage sein müssen, die Wirksamkeit vorgenannter Prozesse und Prozeduren im Dialog mit den Auditpartnern bewerten zu können. Diese beinhalten mit Sicherheit mehr Anforderungen als normativ oder regulativ gefordert wird. Ganz zu schweigen von der Erreichung vereinbarter Zielvorgaben oder anderer organisationsspezifischer Festlegungen.

Schlussfolgerung der Autoren:

In einem etablierten Managementsystem führt ein internes Systemaudit zu keiner wirklichen Verbesserung der Organisation. Die Ermittlung von Chancen oder die Entdeckung und Minderung von Gefahren kommt zu kurz. Denn es handelt sich um die reine Überprüfung der Umsetzung aller Anforderungen an das Managementsystem. Es verbrennt Ressourcen, schafft keinen Mehrwert und frustriert gleichermaßen die Auditierten und Auditoren.

Unter gewissen Umständen kann es allerdings sinnvoll und notwendig sein, das interne Systemaudit, egal welcher fachlichen Ausrichtung, in Einzelfällen anzuwenden – wie beispielsweise bei Einführung einer neuen bzw. geänderten Norm, der Ein-/Ausgliederung einer neuen Organisation oder Organisationseinheit in ein bestehendes Managementsystem.

Falls ein Kunde oder eine Behörde explizit die Durchführung von internen Systemaudits verlangt, kann argumentiert werden, dass die Systemkonformität durch eben diese Prozessaudits in Verbindung mit den vorgenannten Unterlagen zur Konformität („vollständige Konformitätsanalyse“) erfolgen kann bzw. erfolgt ist. Dabei müssen die dokumentierte(n) Konformitätsanalyse(n) und die Risikoanalyse aktuell gehalten werden.

Gegen eine explizite Forderung, jedes Element (beispielsweise in der Lebensmittelindustrie ausgewählte Elemente) eines Standards jährlich zu prüfen, ist allerdings „kein Kraut gewachsen“.

Wir unterstützen Sie gerne bei der Argumentation zur Neuausrichtung Ihres Auditprogramms. Sprechen Sie uns bitte an!

Autoren:

Petra Nitzsche, Christoph Reusch, Mathias Wernicke
Alle Autoren sind Mitglied im DGQ-Fachkreis Audit und Assessment.

Hinweis: Der Blogbeitrag wurde erstmals am 2. August 2019 veröffentlicht und am 22. August 2023 durch die Autoren aktualisiert und um weitere Inhalte ergänzt.

Weiterbildungsangebote rund um die Themen Audit und Prozessmanagement

Interne Audits sind nach DIN EN ISO 13485 für Hersteller von Medizinprodukten vorgeschrieben. Im Seminar lernen Sie die Besonderheiten kennen, wie Sie interne Audits in der Medizinprodukteindustrie planen, vorbereiten, durchführen und auswerten. Jetzt anmelden »

Ebenfalls bieten wir Ihnen eine DGQ-PraxisWerkstatt zum Thema „Anders auditieren – Audit-Rituale durchbrechen, Wirksamkeit steigern“ an. In diesem Seminar erfahren Sie, wie Sie Rituale durchbrechen und wie Sie den Audits zu mehr Wirkung und Akzeptanz verhelfen. Jetzt anmelden »

In der DGQ-Weiterbildung zum Prozessmanager lernen Sie, das Prozessmanagement Ihrer Organisation zu analysieren, zu verbessern und abzustimmen. Spezialisierte Trainer führen Sie in ein systematisches Vorgehen von den ersten Prozessanalysen über die Prozessgestaltung bis hin zur Optimierung in fünf Stufen ein. Jetzt anmelden »

Über den Autor: Mathias Wernicke

Mathias Wernicke hat 35 Jahre Erfahrung in der Anwendung, Gestaltung und Zertifizierung von Managementsystemen. Neben interkulturellen Herausforderungen waren immer zwei Gedanken präsent: Bestehende komplexe Systeme zu vereinfachen und sie den Menschen im Unternehmen nahezubringen. Wernicke ist Trainer und Prüfer der DGQ, engagiert sich im Fachkreis Audit und Assessment, hat den Vorsitz im DIN Normenausschuss Organisationsprozesse und hält Vorlesungen zum Thema Integration von Managementsystemanforderungen an Hochschulen.