ISO 19011 - Auditprogramm im internen Audit

Wir befassen uns heute mit dem Auditprogramm im internen Audit, dabei konkret, wie die Anforderungen der ISO 9001 und der ISO 19011 harmonieren. Auf der einen Seite dürfen wir als Auditoren die Anforderungen der ISO 19011 nicht als verpflichtend einstufen und auf der anderen Seite müssen wir die Wirksamkeit der Umsetzung der intern festgelegten Maßnahmen zur Erfüllung der Anforderungen bestätigen. Organisationen müssen die Mindestanforderungen erfüllen – und für die Organisation sollte sich ein Mehrwert aus der internen Auditierung ergeben. Aus dieser Gemengelage kommen wir durchaus mit einem pragmatischen Ansatz heraus.

Leitfaden zur Auditierung von Managementsystemen

Dieser Artikel befasst sich mit konkreten Umsetzungsbeispielen zum Auditprogramm bei der internen Auditierung. . Natürlich können wir nicht jeden Spiegelstich der ISO 19011 kommentieren, aber ein paar Beispiele hart an den Normforderungen schon betrachten. Und – wir sind in der Rolle der Auditoren und nicht in der Rolle des Prozessverantwortlichen, das könnte sich schon einmal etwas vermischen.

Weitere passende Blogbeiträge:

Entdecken Sie auch unsere anderen Blogbeiträge zum Thema Audit und erhalten Sie Expertenwissen unter anderem zu diesen Themen:

ISO 19011 Kap. 5.2 Festlegen der Auditprogrammziele

Diese Frage stellt sich (hoffentlich) nicht nur der Auditor: „Was ist das Ziel der diesjährigen Auditrunde?“ Die Antwort, die man oft eher im Sinne einer Schutzbehauptung empfängt, lautet dann vielleicht: „Die Bestätigung der Erfüllung der Normforderungen.“ Ja, und das ist wahrscheinlich zu wenig. Denn die ISO 9001 Kap. 9.2.1. fordert nicht nur die Anforderungen dieser Norm zu erfüllen (ISO 9001 Kap. 9.2.1.a2), sondern auch die Anforderungen, die von der Organisation an ihr Qualitätsmanagementsystem (ISO 9001 Kap. 9.2.1.a1) gestellt werden.

Als externer Auditor gehe ich ohne diese Vorkenntnisse (ISO 9001 Kap. 9.2.1.a1) in ein Audit und muss mir die Schwerpunkte erfragen; z.B. durch einen Blick auf die Auditprogrammziele, aber natürlich auch durch ein Gespräch mit der obersten Leitung. Für den internen Auditorenkreis sollten die Auditprogrammziele ganz klar eine Fokussierung auf das Wesentliche darstellen. Im ersten Textblock des Kapitels 5.2 der ISO 19011 steht ganz pragmatisch die Formulierung: „Die Auditprogrammziele sollten im Einklang mit der strategischen Ausrichtung des Auditauftraggebers stehen, sowie die Politik und Ziele des Managementsystems unterstützen.“ Und unter 5.2 e) erfolgt die Konkretisierung mit den Leistungsindikatoren (KPI’s). Diese Kausalkette aus Sicht der ISO 9001 im Audit durchgängig zu betrachten stellt eine wahrlich gute Idee dar!

Bestimmung und Beurteilung der Auditprogramm-Risiken und -Chancen (Kap. 5.3)

Typischerweise wird eine dokumentierte Information des Auditprogramms mit Datum und Unterschrift des Auditauftraggebers (oberste Leitung) und /oder der Person, die das Auditprogramm steuert (QMB o.ä.) vorgelegt. Im ersten Textblock des Kapitels 5.3 der ISO 19011 wird ganz pragmatisch formuliert „Die Person, die das Auditprogramm steuert, sollte die Risiken und Chancen, die bei der Entwicklung des Auditprogramms und der Ressourcenanforderungen berücksichtigt wurde, ermitteln und dem Auditauftraggeber vorlegen, damit diese angemessen behandelt werden können.“ Nehmen wir zur Konkretisierung aus den aufgeführten Risiken 5.3.a) bzgl. des Versäumnisses relevante Auditziele festzulegen oder 5.3.b) bzgl. Ressourcen; nicht genügend Zeit zur Durchführung der Audits einzuräumen. Sie suchen die Anknüpfung an die ISO 9001? In Kapitel 9.2.2.a) steht „Die Organisation muss…Anforderungen an die Planung …berücksichtigen…“ Voilà.

Interessante Produkte für Sie

Kursformen

Zertifikat

Informationen

Kostenloser E-Learning Kurs - Was ist ein Audit?

Interner Auditor ISO 9001

Refresher-Training für interne Auditoren

Kostenloser Gesamtkatalog der VOREST AG zum Download

ISO 19011 Kap. 5.4 Festlegen des Auditprogramms

Schon anhand der Unterkapitel ist zu erkennen, dass das Festlegen des Auditprogramms einige Aufmerksamkeit verdient – sowohl bei der Erstellung als auch bei der Auditierung. Um den Rahmen hier nicht überzustrapazieren, möchte ich mich auf einige Anmerkungen zu Kap. 5.4.3 bzgl. des Ausmaßes des Auditprogramms beschränken. Faktoren, die das Ausmaß eines Auditprogramms beeinflussen können, sind umfangreich von a) bis m) aufgeführt. Hervorzuheben wäre z.B. b) „Managementsystem-Normen und andere anwendbare Kriterien“ – Bleiben wir bei der ISO 9001 als Managementsystem. Diese besteht in der Kapitelstruktur aus zahlreichen dezidierten Normforderungen. Wo wird nun welche Normanforderung zu betrachten sein? Ist für den internen Auditor klar was er zu tun hat, also welche Normanforderung er mindestens auditieren muss, um effektiv auditieren zu können? Ist auch klar, was Sie ggf. nicht auditieren sollen, um effizient zu auditieren? Und hat der Auditor auch Freiheiten in der Vertiefung einzelner Themen resp. Normanforderungen?

In der Theorie ist jedem bewusst, dass in der Entwicklung das Normelement 8.3 der ISO 9001 eine wesentliche Rolle spielt. Was ist mit dem Normelement 10.2 der ISO 9001? Ab wann ist in einem Entwicklungsprozess ein Fehler ein Fehler, oder besser gesagt eine Nichtkonformität? Wäre dieses Thema eine Freiheit des Auditors oder sieht das Auditprogramm diese Betrachtung hier zwingend vor? Oder eben nicht, da im laufenden Jahr die Schwerpunkte anders lagen? Hierzu wäre eine Matrix zur Gegenüberstellung der Normanforderungen mit den Prozessen zur Konkretisierung hilfreich, auch um kein Normelement bei der Auditprogrammplanung zu übersehen. „Andere anwendbare Kriterien“ finden unter b) noch Erwähnung und sollten sich aus der Kontextbetrachtung i.d.R. erschließen. Kann sich ein Auditor im Audit selbst erarbeiten, wenn er selber oder durch eine Vorgabe auf den Kontext der Organisation zu sprechen kommt. Dann vertieft man ggf. ein Kriterium, was sich anbietet.

Anders klingt eine Vorgabe zur Auditierung einer rechtlichen Vorgabe, die da beispielsweise heißen könnte „Neunte Verordnung zum Produktsicherheitsgesetz (Maschinenverordnung)“. So wäre durch die Auditprogrammplanung klar, dass – zumindest im Maschinebau – dieses Dokument externer Herkunft (ISO 9001 Kap. 7.5.3 vorletzter Absatz) auch betrachtet wird. Und die Anforderung der ISO 9001 Kap. 9.2.2.a „Die Organisation muss…die Bedeutung der betroffenen Prozesse berücksichtigen.“

Hervorzuheben wären auch d) „solche Faktoren, die die Wirksamkeit des Managementsystems beeinflussen“ . Wo liegen in der Prozesslandschaft die wesentlichen Prozesse, um einen Treiber der fortlaufenden Verbesserung, wie es die Qualitätsziele (ISO 9001 Kap. 6.2) darstellen, zu vertiefen und ggf. dort öfter ein Audit einzuplanen als in anderen Prozessen? So würde auch die Anforderung der ISO 9001 Kap. 9.2.2.a „Die Organisation muss…die Häufigkeit von Audits …berücksichtigen.“ Und viele Beispiele mehr zeigen dem Auditor auf, dass die entsprechenden Anforderungen der ISO 9001 anhand von mehr oder weniger griffigen Schlagworten der ISO 19011 wirksam nachgewiesen werden können.

ISO 19011 Kap. 5.5 Umsetzen des Auditprogramms

Auch hier erkennt man anhand der Unterkapitel, dass das Umsetzen des Auditprogramms einige Aufmerksamkeit verdient. Damit die Planung bei der Umsetzung nicht durch Zufall und Irrtum ersetzt wird. Hier möchte ich gerne einen Punkt hervorheben – 5.5.1 g) „Die Person, die das Auditprogramm steuert, sollte g) sicherstellen, dass die Audits nach dem Auditprogramm durchgeführt werden und dabei alle sich während der Umsetzung des Programms ergebenden operativen Risiken, Chancen und Themen (d.h. unerwartete Ereignisse) steuern“ Dieser Punkt ist oft etwas ernüchternd ausgeführt und ich möchte Sie ermutigen im Audit hier etwas kritischer zu sein.

Ein verschobener Audittermin ist natürlich nicht verboten. Aber, wenn die – typischerweise mündlich vorgetragene – Begründung lautet, dass im August Sommerferien sind ist das nicht valide. Erstens hätte man das bei der Festlegung des Auditprogramms erkennen müssen. Zweitens ist der Termin ggf. mit der Abwesenheit von Stammpersonal begründet und deckt evtl. ein operatives Risiko ab. Drittens bedarf es der Schriftform. Da das Auditprogramm eine dokumentierte Information mit anweisendem Charakter darstellt (ISO 9001 Kap. 4.4.2.a).

Viertens muss diese Versionsänderung wieder autorisiert werden. Sollte die oberste Leitung die Ursprungsversion freigegeben haben, wäre das nun auch guter Ton. Es wäre hier vielleicht noch nicht sofort der Moment eine Abweichung zu schreiben, da das Wort „angemessen“ (ISO 9001 Kap. 7.5.2.c) auch so ausgelegt werden kann, z.B. unterjährige Anpassungen erfolgen durch den QMB, o.ä. Und beachten Sie, dass nicht eingehaltene Termine als Nichtkonformität (ISO 9001 Kap. 10.2.1) zu betrachten sind.

Video: Ablauf Audit – so funktioniert ein Audit

Video: Welche Auditarten und Auditformen gibt es?

Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!

Überwachen, überprüfen und verbessern des Auditprogramms (Kap. 5.6 & 5.7)

Wie jeden Prozess Müssen Sie auch den Auditprozess überwachen. Im Laufe des Artikels sprachen wir schon einige Punkte an, die als Beurteilungsgrundlage angezogen werden können. Die Leistung der Auditoren (die ISO 19011 spricht von Auditteammitgliedern und Auditteamleitern) ist ein weiteres Thema, welches wir in diesem Artikel nicht weiter ausführen.

Der erste Absatz in Kap. 5.7 "Überprüfen und Verbessern des Auditprogramms" enthält in Summe die Quintessenz „Die Person, die das Auditprogramm steuert, und der Auftraggeber sollten das Auditprogramm überprüfen, um einzuschätzen, ob dessen Ziele erreicht worden sind. Lehren, die aus der Überprüfung des Auditprogramms gezogen wurden, sollten als Eingaben für die Verbesserung genutzt werden." Hierzu verweise ich auf die ISO 9001 Kap. 9.1 „Überwachung, Messung, Analyse und Bewertung“ Kap. 9.1.1 „Allgemeines“ was auch für den Prozess der internen Auditierung gilt. In den Ausführungen des Kap. 5.7 der ISO 19011 werden Anregungen gegeben, wie diese Anforderungen umgesetzt – und nachgewiesen – werden könnten. Damit schließt sich der Kreis, zumindest was das Auditprogramm angeht.