Interne Systemaudits – wer braucht die noch?22 | 08 | 23

Am Thema Systemaudit entzünden sich in letzter Zeit heftige Diskussionen. Müssen sie als Bestandteil interner Auditprogramme weiterhin durchgeführt werden oder sind sie nur Zeitverschwendung? Die Meinungen zwischen Auditoren, Verantwortlichen in den Unternehmen oder den einzelnen Mitarbeitern gehen dabei weit auseinander. Um eine Entscheidungshilfe zu bieten, sollen im Folgenden drei Fragen näher betrachtet werden:

Systemaudit – was ist das?

Als erstes und wichtigstes Thema ist zu klären: Was sind eigentlich interne Systemaudits und wie grenzen sie sich von externen Systemaudits ab? Eine eindeutig festgelegte Definition des Begriffes gibt es nicht. In der Regel wird der Begriff Systemaudit mit der Betrachtung, Überprüfung und Bewertung eines kompletten Managementsystems verknüpft.

Das heißt, wenn wir von einem internen Systemaudit sprechen, wird dieses aus der Organisation selbst heraus durchgeführt und versteht die Auditierung aller relevanten Anforderungen an ein Managementsystem in der Organisation, wie beispielsweise Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit oder Compliance. Unterschiedliche Managementsystem-Standards lassen sich hierbei integriert oder kombiniert auditieren. Beschränken wir uns auf ein Anforderungsfeld wie zum Beispiel Qualitätsmanagement, sollte es internes QM-Systemaudit heißen. Hierbei wird die wirksame Erfüllung von Anforderungen in der Praxis nachvollzogen. Grundlage eines Systemaudits können neben gängigen QM-Normen wie beispielsweise ISO 9001, IATF 16949, EN 9100 auch weitere branchen-, behörden- oder kundenspezifische Anforderungen sein. Darüber hinaus kann die Organisation auch Selbstverpflichtungen im Zusammenhang mit dem Managementsystem formulieren (zum Beispiel Nachhaltigkeitsberichterstattung nach GRI, Science Based Targets).

Reden wir von einem externen Systemaudit, ist in der Regel die Überprüfung des xx-Managementsystems einer Organisation (zum Beispiel QM) durch Dritte gemeint, das in erster Linie der Überprüfung der Normkonformität des Managementsystems zu den Anforderungen eines oder mehrerer Managementsystemstandards dient. Ziel des externen Audits ist in der Regel eine unparteiliche Konformitätsbestätigung, die etwa in Form eines ISO-Zertifikats bescheinigt wird.

Dies ist als entscheidender Unterschied zwischen internen Systemaudit und externen Systemaudits durch Zertifizierungsgesellschaften oder Behörden zu sehen.

Sinn und Unsinn interner Systemaudits

Es wird oft argumentiert, dass die Anforderung, interne Systemaudits durchzuführen, in den normativen Vorgaben enthalten ist. Weder ISO 19011 als Anleitung für gutes Auditieren noch die wesentlichen Managementsystemnormen stellen diese Anforderung. Selbst die viel zitierte IATF 16949 definiert das Systemaudit lediglich wie folgt:

„Die Organisation muss alle Prozesse des QM-Systems im Laufe eines dreijährigen Auditzyklus auf Basis eines jährlichen Auditprogrammes auditieren“. Weiterhin „ist der prozessorientierte Ansatz anzuwenden.“ (Quelle: IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Daraus kann man folgern, dass ein internes Systemaudit die Gesamtheit aller Prozessaudits innerhalb der Organisation darstellt. Folgt man diesem Ansatz, sind interne Systemaudits für sich allein genommen schlicht und einfach nicht nötig, denn im Auditprogramm planen wir die Prozess- und ggf. Produktaudits nach den Erfordernissen der Organisation, also deren Zielen und Risiken („Gefahren und Chancen“). Die Vollständigkeit wird über die umgesetzten Auditprogramme belegt. Selbst bei dieser Herangehensweise unterstützen die Anforderungen der IATF 16949, denn „Die Häufigkeit der QM-Systemaudits für einzelne Prozesse […] muss aufgrund von internen und externen Leistungen sowie ermittelten Risiken festgelegt werden.“ (vgl. IATF 16949 SI Nr.14, Kap. 9.2.2.2)

Da häufig in den Organisationen eine Reihe von Unterlagen existieren, die – mehr oder weniger analytisch – belegen, dass und wie Organisationen in ihren Prozessen die Anforderungen der zugrundeliegenden Standards umgesetzt haben, wird von vielen Organisationen die immer wiederkehrende Abfrage der Konformität des Systems im Rahmen der eigenen Audits als nicht mehr zielführend wahrgenommen. Die Organisationsverantwortlichen sehen keinen Nutzen darin.

Führen die Organisationen die internen Systemaudits wie in der Vergangenheit durch, folgen sie in der Regel lediglich den externen Institutionen, die meist nur die Einhaltung von vertraglichen oder normativen oder regulativen Vorgaben überprüfen. In der Folge werden in der Regel nur die Verbesserung der Vorgaben oder die Nachschulung der Durchführenden als Lösung vereinbart. Dadurch wiederum werden Organisationen nicht leistungsfähiger. Echte Verbesserungen der Prozessanwendung und -umsetzung finden nicht statt. Es kann und darf also sein, definierte Elemente des Managementsystems nicht zu auditieren und sich auf wertsteigernde, chancenbegleitende und risikomindernde Audits zu fokussieren. Auch der risikobasierte Ansatz der ISO 9001 stützt die Schwerpunktbildung. Dabei sei gesagt, dass die Anforderung beispielsweise der ISO 9001, Kapitel 9.2.1 a) 2) immer durch die gestalterische Auslegung in Kapitel 9.2.2 a) unter Berücksichtigung des Kapitel 6 erfüllt werden kann.

Hierzu sei gesagt: Es mag wohl sein, dass einzelnen externen und internen Auditoren die Themen „Prozessansatz des Auditierens“ (gem. ISO 19011 Anhang A2) sowie das „Fachmännische Urteil“ (gem. ISO 19011 Anhang A3) und der „Leistungsbezogenen Ergebnisse“ (gem. ISO 19011 Anhang A4) noch nicht ganz in Fleisch und Blut übergegangen ist, aber das ist die Herausforderung, der sich die Organisationen stellen müssen.

Was sollte nun getan werden?

Die Kompetenz der Auditoren muss umfangreich weiterentwickelt werden, denn diese sollten nicht nur:

  • die Gesamtheit der Unternehmensanforderungen gut oder – besser noch – sehr gut kennen, sowie
  • die Unterlagen der Organisation vorliegen haben, deren Struktur verstehen und natürlich die Verweise kennen, welche Anforderungen durch welche Vorgehensweisen umgesetzt werden.

Am wichtigsten erscheint uns allerdings, dass sie in der Lage sein müssen, die Wirksamkeit vorgenannter Prozesse und Prozeduren im Dialog mit den Auditpartnern bewerten zu können. Diese beinhalten mit Sicherheit mehr Anforderungen als normativ oder regulativ gefordert wird. Ganz zu schweigen von der Erreichung vereinbarter Zielvorgaben oder anderer organisationsspezifischer Festlegungen.

Schlussfolgerung der Autoren:

In einem etablierten Managementsystem führt ein internes Systemaudit zu keiner wirklichen Verbesserung der Organisation. Die Ermittlung von Chancen oder die Entdeckung und Minderung von Gefahren kommt zu kurz. Denn es handelt sich um die reine Überprüfung der Umsetzung aller Anforderungen an das Managementsystem. Es verbrennt Ressourcen, schafft keinen Mehrwert und frustriert gleichermaßen die Auditierten und Auditoren.

Unter gewissen Umständen kann es allerdings sinnvoll und notwendig sein, das interne Systemaudit, egal welcher fachlichen Ausrichtung, in Einzelfällen anzuwenden – wie beispielsweise bei Einführung einer neuen bzw. geänderten Norm, der Ein-/Ausgliederung einer neuen Organisation oder Organisationseinheit in ein bestehendes Managementsystem.

Falls ein Kunde oder eine Behörde explizit die Durchführung von internen Systemaudits verlangt, kann argumentiert werden, dass die Systemkonformität durch eben diese Prozessaudits in Verbindung mit den vorgenannten Unterlagen zur Konformität („vollständige Konformitätsanalyse“) erfolgen kann bzw. erfolgt ist. Dabei müssen die dokumentierte(n) Konformitätsanalyse(n) und die Risikoanalyse aktuell gehalten werden.

Gegen eine explizite Forderung, jedes Element (beispielsweise in der Lebensmittelindustrie ausgewählte Elemente) eines Standards jährlich zu prüfen, ist allerdings „kein Kraut gewachsen“.

Wir unterstützen Sie gerne bei der Argumentation zur Neuausrichtung Ihres Auditprogramms. Sprechen Sie uns bitte an!

 

Autoren:

Petra Nitzsche, Christoph Reusch, Mathias Wernicke
Alle Autoren sind Mitglied im DGQ-Fachkreis Audit und Assessment.

Hinweis: Der Blogbeitrag wurde erstmals am 2. August 2019 veröffentlicht und am 22. August 2023 durch die Autoren aktualisiert und um weitere Inhalte ergänzt.

 

Weiterbildungsangebote rund um die Themen Audit und Prozessmanagement

Interne Audits sind nach DIN EN ISO 13485 für Hersteller von Medizinprodukten vorgeschrieben. Im Seminar lernen Sie die Besonderheiten kennen, wie Sie interne Audits in der Medizinprodukteindustrie planen, vorbereiten, durchführen und auswerten. Jetzt anmelden »

Ebenfalls bieten wir Ihnen eine DGQ-PraxisWerkstatt zum Thema „Anders auditieren – Audit-Rituale durchbrechen, Wirksamkeit steigern“ an. In diesem Seminar erfahren Sie, wie Sie Rituale durchbrechen und wie Sie den Audits zu mehr Wirkung und Akzeptanz verhelfen. Jetzt anmelden »

In der DGQ-Weiterbildung zum Prozessmanager lernen Sie, das Prozessmanagement Ihrer Organisation zu analysieren, zu verbessern und abzustimmen. Spezialisierte Trainer führen Sie in ein systematisches Vorgehen von den ersten Prozessanalysen über die Prozessgestaltung bis hin zur Optimierung in fünf Stufen ein. Jetzt anmelden »

Über den Autor: Mathias Wernicke

Mathias Wernicke hat 35 Jahre Erfahrung in der Anwendung, Gestaltung und Zertifizierung von Managementsystemen. Neben interkulturellen Herausforderungen waren immer zwei Gedanken präsent: Bestehende komplexe Systeme zu vereinfachen und sie den Menschen im Unternehmen nahezubringen. Wernicke ist Trainer und Prüfer der DGQ, engagiert sich im Fachkreis Audit und Assessment, hat den Vorsitz im DIN Normenausschuss Organisationsprozesse und hält Vorlesungen zum Thema Integration von Managementsystemanforderungen an Hochschulen.

5 Kommentare bei “Interne Systemaudits – wer braucht die noch?”

  1. Anonymous sagt:

    Die Forderung der ISO 9001:2015 in 9.2.1 lautet
    „Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, ob das Qualitätsmanagementsystem:
    a) die Anforderungen … erfüllt;
    b) wirksam verwirklicht und aufrechterhalten wird.“
    Das ist wohl der Grund dafür, die Gesamtheit der Sammlung objektiver Nachweise für die Wirksamkeit des Systems gemeinhin auch „Systemaudit“ zu nennen. In 9.2.2 zeigt die Norm auf, dass dies durch eine Reihe (auch unterschiedlicher) Auditaktivitäten zu gewährleisten sein kann (deswegen das Auditprogramm). Entscheidend ist in der Tat nicht das Wort, sondern das externe Konformitätsaudit nicht zu doppeln, besser den Schwerpunkt auf die Wirksamkeit zu legen. Mit den echten Indikatoren, anhand derer auch an den 364 Tagen, an denen nicht internes Audit ist, die Performance wahrgenommen wird.

  2. Anonymous sagt:

    Herzlichen Dank!
    Ich erlebe als Auditorin immer wieder nachgewiesene interne Audits die per Checkliste dokumentiert belegen, dass die Organisation alles hat, was gefordert wird. Das mag im ersten Jahr noch sinnvoll sein. In Ermangelung von Auditmöglichkeiten allerdings, wird es schon im zweiten Jahr sinnentleert. Dass Audits wertschöpfend sein können, ist vielfach Neuland.
    Und ja, es ist im Artikel gut benannt! Leider kann ich das auch bei Auditorenkolleg*innen wahrnehmen.

  3. a357747e2e6f08c8962c661f44db441e Anonymous sagt:

    Vielen Dank für diese sehr treffende Einschätzung!

    Das Systemaudit um des Systemaudit-Willens wegen ist Geschichte. Mittlerweile sehen wir uns als Systemauditoren mehr in der Rolle eines „Consultant“, der Hilfestellung bei Fragen zur Einhaltung der Managementsystem-Anforderungen gibt. Aber mehr noch: Er hat den (auf höherer Flughöhe) Überblick über alle Prozesse am Standort und auch ggfs. über mehrere Standorte/Länder hinweg. Er kann also den Prozesseigner(n) durch das Systemaudit unterstützen, deren Prozesse zu verbessern, Risiken zu identifizieren und Wirksamkeiten zu bewerten mit Wissen, das den (in Ihrem Prozess sehr wissenstarken Prozesseignern) so oft nicht vorliegt. Der Systemauditor also als ein Brückenbauer und Hüter eines gesamtheitlich wirksamen Managementsystems.

  4. 6217692b8b4abf9e21e28cf76cac354e Anonymous sagt:

    Da wir uns in der Firma mit dem Thema ‚anders auditieren‘ beschäftigen, habe ich die Statements mit Begeisterung gelesen. Ich frage mich auch, ob das wir nicht noch weiter denken sollten. Letztendlich bis zu einer Abschaffung der Audits bzw. deren Erstz durch etwas „Neues“. Ich erkenne auch bei anderen Audittypen und deren Formalismen wenig bis keinen Nutzen (mehr) – insofern das Managementsystem etabliert ist. Wie schon oben erwähnt mag es Sinn machen bei Einführung eines Managementsystems. Danach erkenne ich vornehmlich die formale Einhaltung einer formalen Anforderung.

  5. 79cc5422a38d59e0f5efe4c507c806b9 Anonymous sagt:

    Guten Tag,

    zum Thema Internes Systemaudit habe ich noch folgende Frage:
    Nach einem internen Systemaudit wurden mir von der Auditierten Organisation innerhalb der in den IATF Rules 5th Edition geforderten 60 Kalendertagen ab dem Abschlussgespräch (bei Nebenabweichungen) keine Nachweisezu den Punkten a-d wie in Kapitel 5.11.2 gefordert übermittelt.
    Dies wurde mir so mitgeteilt, da die IATF Rules 5th Edition nicht für interne Audits gelten würde (Aussage der Organisation).
    Stimmt das so?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert