Inhaltsverzeichnis
3 Mythen um interne Audits
Es ist immer wieder erstaunlich, welcher Formalismus rund um das Thema „interne Audits“ im Rahmen von Audits (Zertifizierungsaudits, Kundenaudits) gefordert wird. Auch bei manchen Schulungen oder in der Fachliteratur findet man Interpretationen zur Norm, die nicht zwingend so zu verstehen sind.
Ein triftiger Grund, mit den drei hartnäckigsten Auditmythen aufzuräumen.
Mythos 1: Auditprogramm
Oft wird man mit der Frage konfrontiert, wie man sicherstellt, dass in einem Zeitraum x (meist ein bis drei Jahre) alle Anforderungen der ISO 9001 oder alle Prozesse der Organisation auditiert werden.
Korrekte Antwort: Gar nicht 😮 😀 👍 ❗
Es gibt zwei haltlose Ursachen für diesen hartnäckigen Mythos.
Ursache 1: Normtext
Auszug aus der ISO 9001:2015: „Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, ob das Qualitätsmanagementsystem die Anforderungen
· der Organisation an ihr Qualitätsmanagementsystem
· dieser internationalen Norm erfüllt.“
An dieser Stelle erklärt die Norm lediglich, mit welchem Ziel interne Audits durchzuführen sind. Neben den Anforderungen der Organisation sollten bei internen Audits auch die Anforderungen der ISO 9001 betrachtet werden. Klingt für mich logisch.
Es nicht der Nachweis gefordert, dass alle Normanforderungen auditiert wurden. Wenn das eine Anforderung wäre, würde dies so in der Norm stehen.
Die Anforderungen zu einem Auditprogramm findet man im weiteren Text der Norm:
„Die Organisation muss eines oder mehrere Auditprogramme planen […], welche
- die Bedeutung der betroffenen Prozesse,
- Änderungen mit Einfluss auf die Organisation und
- die Ergebnisse vorheriger Audits berücksichtigen müssen.“
Mit anderen Worten: Bedeutende Prozesse sollten bei der Auditprogrammplanung mehr Beachtung finden, als Prozesse, die sich weniger auf die Kundenzufriedenheit auswirken könnten oder die nachweislich robust funktionieren. Wo sich viel verändert hat, sollte eher über ein internes Audit nachgedacht werden. Wurden in vergangenen Audits Defizite aufgezeigt, so könnten Folgeaudits den aktuellen Status hinterfragen.
* Worterklärung: In vielen Organisationen wird das „Auditprogramm“ als „Auditjahresplan“ bezeichnet. Das ist zulässig und sinnvoll, da der Begriff „Programm“ in unserem Sprachgebrauch anders genutzt wird. „Jahresplan“ ist hingegen selbsterklärend.
Ursache 2 – Zertifizierungsstandards
Insbesondere Zertifizierungsauditor*innen neigen dazu, die Anforderungen an Zertifizierungsaudits (ISO 17021 „Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren“) auf interne Audits zu projizieren.
Tatsächlich müssen im Rahmen von 3rd-Party Erst- oder Re-Zertifizierungsaudits alle Normanforderungen und alle relevanten Bereiche der Organisation nachweislich auditiert werden. Dafür gibt es schließlich ein teures Zertifikat. Im Rahmen der beiden Überwachungsaudits müssen ebenfalls in Summe alle Anforderungen der ISO 9001 und alle normrelevanten Organisationsbereiche betrachtet werden.
Schlussfolgerung zum Auditprogramm
Es muss weder die komplette Norm noch die komplette Prozesslandschaft innerhalb eines festgelegten Zeitraums intern auditiert werden. Das Auditprogramm (besser der Auditjahresplan) muss festgelegt werden. Als Grundlage dient der risikobasierte Ansatz mit Blick auf die „Bedeutung der betroffenen Prozesse“, „Änderungen mit Einfluss“ und „Ergebnisse vorheriger Audits“.
Auditprogramm
Es muss weder die komplette Norm, noch die komplette Prozesslandschaft innerhalb eines festgelegten Zeitraums intern auditiert werden.
Mythos 2: Auditplan
Ein Zertifizierungsauditor hat meinem Kunden einen Hinweis formuliert, da zu den internen Audits keine Auditpläne vorliegen würden. Leider war ich bei diesem Audit nicht anwesend.
Meine Antwort wäre gewesen: Brauchen wir auch nicht 😮 😀 👍 ❗
Tatsächlich taucht das Wort „Auditplan“ in der ISO 9001 nicht auf. Somit kann das auch keine Anforderung sein.
Hier ist wahrscheinlich mal wieder die ISO 17021 schuld. Tatsächlich wird bei Zertifizierungsaudits ein Auditplan gefordert.
Bei internen Audits machen dann Auditpläne Sinn, wenn man in großen Organisationen über längere Zeiträume Audits durchführt oder wenn man Lieferanten auditiert. In diesen Fällen hilft ein Auditplan (Thema, Abteilung, Uhrzeit) bei der Umsetzung, damit z. B. gewünschte Ansprechpartner:innen bereitstehen.
Schlussfolgerung zum Auditplan
Es ist demnach nicht falsch, einen Auditplan aufzustellen, jedoch ist das keine Pflicht.
Auditpläne können für die eigene Zeitplanung und zur Vorbereitung der auditierten Bereiche hilfreich sein. Gleichzeitig gibt es keine Normanforderung zur Erstellung von Auditplänen. Die Sinnhaftigkeit möge siegen.
Auditplan
Auditpläne können für die eigene Zeitplanung und zur Vorbereitung der auditierten Bereiche hilfreich sein.
Gleichzeitig gibt es keine Normanforderung zur Erstellung von Auditplänen.
Mythos 3: Auditbericht
Vor kurzem schrieb mir ein QMB die Frage, wie man im Auditbericht die Kapitel der Norm am besten zuordnen kann.
Korrekte Antwort: Am liebsten gar nicht 😮 😀 👍 ❗
Neben der bereits (gähn) bekannten ISO 17021, bilden hier Schulungsunterlagen und Sekundärliteratur die Hauptursache für diesen Mythos. Scheinbar schreiben einige Autoren und Folienersteller lieber voneinander ab, anstatt die Norm zu lesen und die Anforderungen der ISO 9001 verstehen zu wollen.
Die ISO 9001 fordert lediglich, dass man „dokumentierte Informationen als Nachweis der Verwirklichung des Auditprogramms und der Ergebnisse der Audits aufbewahren“ muss.
Das Wort Auditbericht wird an keiner Stelle erwähnt.
So könnte eine Organisation z. B. auf die Idee kommen, alle Maßnahmen aus Audits direkt in einer Datenbank einzutragen und somit komplett auf Auditberichte verzichten. Nach meinem Geschmack würden dann leider die positiven Feststellungen in Berichtsform fehlen, jedoch hätte diese innovative Organisation ggf. auch hierfür eine Lösung.
Schlussfolgerung zum Auditbericht
In Auditberichten gibt es keine Pflicht, die zugrunde liegenden Normkapitel zuzuordnen.
Ich sehe in der Zuordnung keinerlei Mehrwert oder Sinn für die Organisation. Also weg damit.
Auditbericht
In Auditberichten gibt es keine Pflicht, die zugrunde liegenden Normkapitel zuzuordnen.
Ich sehe in der Zuordnung keinerlei Mehrwert oder Sinn für die Organisation. Also weg damit.
Interne Audits sollen Nutzen liefern
Organisationen sind gut beraten, sich über den Nutzen interner Audits Gedanken zu machen.
Es gibt viele gute Gründe für interne Audits:
· Bewertung der Wirksamkeit eines Managementsystems
· Ermittlung der Prozessfähigkeit (inkl. Risiken und Chancen)
· Motivation der Mitarbeiter:innen und der Führung (kollegialer Dialog)
· Dokumentation der Sorgfaltspflicht (dokumentierter Nachweis)
· Ständige Verbesserung der Aufbau- und Ablauforganisation
· Frühzeitige Erkennung von Schwachstellen
· Verringerung der Fehleranteile und -kosten
· Einführung neuer Produkte und Verfahren (Validierung)
· Kundensicht (interessierte Parteien) einnehmen
· Bewertung von (Korrektur-) Maßnahmen
· Verbesserungsideen (zumindest) erfassen und festhalten
· …
Schließlich investieren Organisationen viel Zeit in interne Audits (Ausbildung des Auditteams, Vorbereitung, Durchführung, Ergebnisdokumentation, Ableitung von Maßnahmen). Da sollte dann im Ergebnis mehr herauskommen, als lediglich die Feststellung, dass alle Normanforderungen erfüllt seien.
Interne Audits als kollegialer Dialog
Da Audits in vielen Köpfen negativ assoziiert werden, verwende ich gerne den Begriff des „kollegialen Dialogs“. Denn bei aller Liebe zur Unabhängigkeit von Auditor:innen zum auditierten Bereich kommunizieren im internen Audit Kolleg:innen miteinander.
Wie wäre es mit der folgenden Einleitung zum internen Audit: „Hallo Simone, wir haben jetzt Zeit, um über Themen zu sprechen, die im stressigen Arbeitsalltag schnell untergehen. Hierfür habe ich ein paar Stichpunkte vorbereitet, über die ich gerne mit Dir reden möchte. Sollen wir loslegen?“
Fazit
Unternehmen sollten sich sorgfältig Gedanken zum Ziel von internen Audits machen. Wenn dieses klar ist, dann finden sich geeignete Methoden, um dieses Ziel zu erreichen. Lautet das Ziel lediglich „Normanforderung erfüllen“, dann sollte zumindest darauf geachtet werden, dass durch interne Audits keine Kollateralschäden entstehen und Blindleistungen vermieden werden.
Ein schöneres Ziel als die „Normbefriedigung“ könnte z. B. lauten: „In internen Audits erhalten Mitarbeiter:innen Gehör, um im kollegialen Dialog Verbesserungspotenziale zu identifizieren.“
Andere Beiträge zu internen Audits
- Pawlowsche Audits
- Auditpanik
- Interne Audis sinnvoll nutzen
- Auditkompromiss, ja oder nein?
- Unparteilichkeit im Audit
Wenn Du lernen möchtest, wie Du die Anforderungen der ISO 9001 sinnvoll interpretieren kannst, dann schaue Dir die „Ausbildung zum/zur QM-Beauftragten ISO 9001:2015“ der Lev-Akademie an.
