Eine Ursache für Anforderungen ohne Normgrundlage

In 25 Jahren Berufserfahrung im Qualitätsmanagement bin ich vielen angeblichen Anforderungen an interne Audits begegnet. Vieles davon basiert jedoch nicht auf der ISO 9001, sondern auf der ISO 17021 für Zertifizierungsaudits, den zugehörigen MDs (Mandatory Documents) der IAF (International Accreditation Forum) sowie deren Interpretation durch Akkreditierer und Zertifizierungsgesellschaften.

Wer heute als Zertifizierungsauditor:in unterwegs ist, hat mit einer Menge Formalismen zu kämpfen. Der Aufwand für Rückfragen von Reviewer:innen (Menschen, die bei Zertifizierungsstellen Auditberichte prüfen) ist enorm – und wird meist nicht bezahlt. Gleichzeitig ist die Angst vor Abweichungen bei Akkreditierungen groß.

Deshalb der Hinweis: Viele vermeintliche Anforderungen an interne Audits entstehen aus der persönlichen Praxis von Zertifizierungsauditor:innen – und werden im schlimmsten Fall sogar fälschlich als Abweichung gewertet. Mit den tatsächlichen Anforderungen der ISO 9001 an interne Audits hat das jedoch oft wenig zu tun.

Was die ISO 9001 NICHT fordert

Hier ein Überblick über Aussagen, die keine Grundlage in der ISO 9001 haben:

• Es müsse zu jedem Audit ein Auditplan erstellt werden.
• Der Auditbericht müsse zu jedem Thema einen Normbezug enthalten.
• Alle Prozesse der Organisation müssten innerhalb von drei Jahren auditiert werden.
• Alle Normanforderungen der ISO 9001 müssten im Dreijahreszyklus abgedeckt sein.
• Ohne Ausbildung dürften Mitarbeiter:innen keine internen Audits durchführen.
• Kernprozesse müssten jährlich auditiert werden.

Alle diese Aussagen sind faktisch falsch – aber nicht immer sinnlos!

Sinnhaftigkeit statt Normideologie

Nur weil die ISO 9001 etwas nicht fordert, heißt das nicht, dass es unsinnig ist, sich damit zu beschäftigen.

Beispiel 1: Auditplan

Ein Auditplan ist laut ISO 9001 nicht zwingend vorgeschrieben. Interne Auditor:innen dürften theoretisch spontan auftauchen und Mitarbeitende unangekündigt befragen.

Aber: Wenn du bestimmte Personen sprechen willst – z. B. Prüfmittelbeauftragte oder Führungskräfte – ist eine Terminabstimmung oft sinnvoll. Vor allem dann, wenn Standorte besucht werden und die Reise vergeblich wäre, weil Gesprächspartner:innen nicht da sind.

Ob ein Auditplan Sinn ergibt, hängt ab von:

• Auditziel: Wollen wir „auf frischer Tat ertappen“ oder „Dialoge auf Augenhöhe“ führen
• Flexibilität: Sind wir auf bestimmte Gesprächspartner:innen angewiesen?
• Kultur: Passen unangekündigte Audits zum Stil der Organisation?
• Kompetenz: Können Auditor:innen auf Änderungen reagieren, ohne das Auditziel aus den Augen zu verlieren?

Beispiel 2: Ausbildung für interne Auditor:innen

Die ISO 9001 verweist auf die ISO 19011 – einen Leitfaden zur Auditierung von Managementsystemen. Dieser enthält keine MUSS-Anforderungen.  Oft orientiert sich die ISO 19011 zu stark an Zertifizierungsaudits (ISO 17021) und wirkt für interne Audits teils zu bürokratisch und einschränkend.

Jedenfalls findet man in diesem Leitfaden man auch ein ideales Kompetenzprofile für Auditor:innen.

Nutzt man statt der ISO 19011 den gesunden Menschenverstand, kommt man schnell zu dem Schluss, dass es unklug ist, jemanden ohne jede Vorkenntnis in ein internes Audit zu schicken.

Ich empfehle ausdrücklich eine angemessenen Qualifizierung interner Auditor:innen. Diese kann intern oder mit externer Unterstützung erfolgen. Ein offizielles Zertifikat ist jedenfalls nicht erforderlich, jedoch wertschätzend für die internen Auditor:innen.

Die Inhalte für eine In-House-Ausbildung ergeben sich oft aus folgende Fragen:

• Was wollen wir mit internen Audit erreichen? Liegt der Fokus auf Kontrolle, Konformitätsbewertung, Ideenfindung, Chancenerkennung oder eine gesunde Mischung?
• Welche Auditmethoden (Checklisten, Offene Fragen, Stichpunkte, Turtle, Freistil …) sollen eingesetzt werden?
• Wie komplex sind die zu bewertenden Tätigkeiten?
• Wird das Managementsystem gelebt oder fristet es ein Existenzminimum?
• Was sieht der festgelegte Auditprozess vor und was davon müssen Auditor:innen eigenständig leisten?
• Werden neue Auditor:innen ins kalte Wasser geworfen oder werden sie eingearbeitet?
• Werden Audits im Team oder allein durchgeführt?
• Wie sollten Auditor:innen mit herausfordernden Situationen umgehen?
• Welche Kommunikationskompetenzen könnten Auditor:innen unterstützen?

Inhouse-Schulungen laufen bei mir sehr unterschiedlich ab – Inhalte und Umfang richten sich immer nach den Zielen meiner Kunden.

Beispiel 2: Ausbildung für interne Auditor:innen

Die ISO 9001 verweist auf die ISO 19011 – einen Leitfaden zur Auditierung von Managementsystemen. Dieser enthält keine MUSS-Anforderungen.  Oft orientiert sich die ISO 19011 zu stark an Zertifizierungsaudits (ISO 17021) und wirkt für interne Audits teils zu bürokratisch und einschränkend.

Jedenfalls findet man in diesem Leitfaden man auch ein ideales Kompetenzprofile für Auditor:innen.

Nutzt man statt der ISO 19011 den gesunden Menschenverstand, kommt man schnell zu dem Schluss, dass es unklug ist, jemanden ohne jede Vorkenntnis in ein internes Audit zu schicken.

Ich empfehle ausdrücklich eine angemessenen Qualifizierung interner Auditor:innen. Diese kann intern oder mit externer Unterstützung erfolgen. Ein offizielles Zertifikat ist jedenfalls nicht erforderlich, jedoch wertschätzend für die internen Auditor:innen.

Die Inhalte für eine In-House-Ausbildung ergeben sich oft aus folgende Fragen:

• Was wollen wir mit internen Audit erreichen? Liegt der Fokus auf Kontrolle, Konformitätsbewertung, Ideenfindung, Chancenerkennung oder eine gesunde Mischung?
• Welche Auditmethoden (Checklisten, Offene Fragen, Stichpunkte, Turtle, Freistil …) sollen eingesetzt werden?
• Wie komplex sind die zu bewertenden Tätigkeiten?
• Wird das Managementsystem gelebt oder fristet es ein Existenzminimum?
• Was sieht der festgelegte Auditprozess vor und was davon müssen Auditor:innen eigenständig leisten?
• Werden neue Auditor:innen ins kalte Wasser geworfen oder werden sie eingearbeitet?
• Werden Audits im Team oder allein durchgeführt?
• Wie sollten Auditor:innen mit herausfordernden Situationen umgehen?
• Welche Kommunikationskompetenzen könnten Auditor:innen unterstützen?

Inhouse-Schulungen laufen bei mir sehr unterschiedlich ab – Inhalte und Umfang richten sich immer nach den Zielen meiner Kunden.

Freiheit für interne Audits

Lies die ISO 9001 so, dass du verstehst, was gefordert wird – und was nicht. Nutze dieses Wissen, um den Auditprozess so zu gestalten, dass er euren Qualitätszielen wirklich dient.

Im Podcast „QM-Impulse“ spreche ich mit Jan Jörgensmann in Episode Nr. 61 über Varianten zur Durchführung interner Audits. Jan berichtet von internen Audits im Workshopformat. Ich fand die Idee erfrischend und begründe in der Podcast-Episode, warum diese Vorgehensweise normkonform ist. Eine Zertifizierungsauditorin wollte darin eine Abweichung sehen – kam damit aber nicht durch.

Unkonventionelle Wege erfordern ein wenig Mut, Rückgrat, Offenheit und Normkompetenz.

Es lohnt sich jedoch, den bestehen Auditprozess regelmäßig zu hinterfragen.

Der Beitrag Interne Audits nach ISO 9001 sinnvoll nutzen wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Es war ein verschneiter Dezemberabend, als der Auditor Manfred Mayer von der DAkkS akkreditierten Zertifizierungsstelle „X-Mas Zert“ mit seinem berühmten Klemmbrett unter dem Arm bei Familie Engel anklopfte. Seine Mission? Ein Qualitätsaudit für das Weihnachtsfest – schließlich musste alles seine Ordnung haben.

Familie Engel nahm es mit Humor. „Kommen Sie rein, Herr Mayer“, sagte Frau Engel freundlich, während die Kinder mit großen Augen auf den ernst dreinblickenden Mann mit Klemmbrett starrten.

Externe Anbieter

Kaum hatte Manfred das Wohnzimmer betreten, fiel sein Blick auf den Weihnachtsmann, der gerade damit beschäftigt war, Geschenke unter den Baum zu legen. Doch statt eines „Hohoho!“ kam von Manfred nur: „Ihr Schlitten – ist der TÜV-geprüft? Und wie steht es um die CE-Kennzeichnung Ihrer Spielzeuge?“

Der Weihnachtsmann kratzte sich am Bart, zog einen dicken Ordner hervor und reichte Manfred mit einem gequälten Lächeln die Lieferpapiere.

Nach zehn Minuten Kopfschütteln und intensivem Blättern nickte Manfred schließlich zufrieden. „Das Lieferantenmanagement ist akzeptabel. Weiter im Prozess!“

Prozessumgebung

Der Weihnachtsbaum funkelte in allen Farben – zumindest bis Manfred die Lichterkette genauer unter die Lupe nahm. Mit ernster Miene holte er ein kleines Gerät aus seiner Tasche.

„Hier fehlt die Prüfetikette. Ich prüfe schnell die elektrische Sicherheit gemäß DGU-V3. Wenn hier nicht alles korrekt ist, könnten die Lametta-Funken einen Brandschaden verursachen!“

Die Familie hielt den Atem an, während Manfred den Stecker und die Mehrfachsteckdose inspizierte. Schließlich brummte er zufrieden: „Die Lichterkette erfüllt die Vorschriften. Gute Arbeit. Aber nächstes Jahr wäre ein Prüfprotokoll Ihres Elektrikers wünschenswert. Eigentlich sollte ich nur auditieren.“

Der Einwand vom Weihnachtsmann, dass man nur ein Qualitätsaudit und kein Arbeitssicherheitsaudit beauftragt habe, wurde schlichtweg überhört.

Erwartungen interessierter Parteien

Beim Duft von frisch gebackenen Zimtsternen und Vanillekipferln begann sogar Manfreds eiserne Professionalität zu bröckeln – doch er war noch nicht fertig. Ehe sich jemand versehentlich ein Plätzchen schnappen konnte, zückte er einen frisch kalibrierten Messschieber.

„Die Dicke der Zimtsterne variiert zwischen 4,2 und 5,1 Millimetern. Die Prozessfähigkeit lässt zu wünschen übrig“ stellte er nüchtern fest. „Und wo sind die Deklarationen der Zusatzstoffe? Es könnte jemand eine Zimtunverträglichkeit haben!“

Frau Engel seufzte. „Herr Mayer, das sind handgemachte Plätzchen.“ Doch Manfred notierte nur stumm etwas in seinem Bericht, bevor er schließlich zugab: „Der Geschmack gleicht vieles aus. Aber nächstes Jahr bitte mit gut sichtbarer Kennzeichnung der Zusatzstoffe.“

Bescherung

Trotz der strengen Kontrollen kam es schließlich zur Bescherung. Die Familie saß im Schein der funkelnden Lichter zusammen, die Kinder packten voller Freude ihre Geschenke aus, und selbst Manfred legte sein Klemmbrett beiseite.

„Wissen Sie“, sagte er plötzlich, während zum Lebkuchen griff, „bei all den Standards, die ich überprüfe, ist eines klar: Weihnachten ist am besten, wenn es harmonisch ist. Perfekt oder nicht.“

Da lachte die ganze Familie, und Manfred – ja, sogar Manfred – stimmte mit ein. Jaja, Auditoren sind auch nur Menschen.

Frohe Weihnachten

Der Beitrag Audit beim Weihnachtsmann wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Episode 80 der QM-Impulse mit Daisy Bahn

Daisy Bahn ist Zertifizierungsauditorin und Beraterin für Managementsysteme.

In dieser QM-Podcast Episode verraten Daisy und ich, wie QM-Systeme sinnvoll eingeführt werden können und nicht zum Schattensystem verkommen. Welche Rolle nehmen dabei Führungskräfte ein und was sind ihre Aufgaben im QM-Kontext? Machen Führungskräfte oft QM, ohne es zu wissen?

Wir teilen Geschichten über unangenehme Auditsituationen, unfaire Praktiken, Angst vor Abweichungen und die Folgen des Silo-Denkens. Auch motivierende Aspekte des Qualitätsmanagements kommen nicht zu kurz: Was hat ISO 9001 mit dem Streben nach gutem Unternehmertum zu tun?

Viel Spaß beim Hören

Vernetze Dich mit  Daisy und mir auf LinkedIn:
Daisy Bahn Stephan Joseph

Takeaways aus der Episode

Dank KI erstellt meine Podcast-Software automatisch eine Liste von Takeaways. Diese möchte ich Dir an dieser Stelle nicht vorenthalten:

• QM sollte von allen Mitarbeitern und insbesondere von Führungskräften gelebt werden.
• Gute Führungskräfte betreiben oft unbewusst QM, ohne es zu wissen.
• Unternehmensziele und Qualitätsziele sollten klar kommuniziert und von allen Mitarbeitern unterstützt werden.
• Mitarbeiterbeteiligung und Feedback sind wichtig, um eine Qualitätskultur zu fördern.
• Kennzahlen spielen eine wichtige Rolle bei der Messung der Effizienz und Leistung von Prozessen.
• Die ISO-Normen geben keine spezifischen Kennzahlen oder Dokumentationsanforderungen vor, Unternehmen können ihre eigenen Kennzahlen und Prozesse festlegen.
• Schnittstellenmanagement und das Überdenken von Silo-Denken sind entscheidend für eine effektive Zusammenarbeit.
• Visuelle Tools und Methoden können Führungskräften helfen, Qualitätsmanagement effektiv umzusetzen.
• Führungskräfte spielen eine wichtige Rolle bei der Verbesserung von Prozessen und der Lösung von Problemen.
• Kundenbeschwerden sind eine wertvolle Quelle für Verbesserungen und sollten als Chance zur Steigerung der Kundenzufriedenheit betrachtet werden.
• Partnerschaftliche und faire Auditoren können das Audit angenehmer gestalten
• Abweichungen sind normal und dienen dazu, das Unternehmen zu verbessern
• Die Motivation für Qualitätsmanagement sollte nicht nur das Zertifikat sein, sondern das Streben nach gutem Unternehmertum
• Es ist hilfreich, sich auf einzelne Schwerpunktthemen zu konzentrieren und iterativ vorzugehen

Werde ISO 9001 Expertin bzw. Experte

Werde Qualitätsmanagement-Beauftragte:r ISO 9001 mit Zertifikat.

Der Auftrag an Qualitätsbeauftragte besteht meist darin, eine erfolgreiche ISO 9001 Zertifizierung vorzubereiten und in den folgenden Jahren aufrechtzuerhalten. Das gelingt umso besser, wenn das Qualitätsmanagementsystem optimal auf das Unternehmen abgestimmt ist und sowohl Führungskräften als auch Mitarbeiter:innen einen spürbaren Mehrwert bietet.

In der Online-QMB-Ausbildung der Lev-Akademie erhältst Du notwendige Kenntnisse und Fähigkeiten, um:

ISO 9001 Anforderungen passend für Dein Unternehmen zu interpretieren,
Qualitätsmanagementsysteme zu entwickeln und zu pflegen,
Führungskräfte und Mitarbeiter:innen einzubeziehen und
einen echten Mehrwert für das Unternehmen zu schaffen, statt „nur“ ein Zertifikat zu erhalten.

Der Beitrag Faire Audits und gutes Unternehmertum mit Daisy Bahn wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Es ist immer wieder erstaunlich, welcher Formalismus rund um das Thema „interne Audits“ im Rahmen von Audits (Zertifizierungsaudits, Kundenaudits) gefordert wird. Auch bei manchen Schulungen oder in der Fachliteratur findet man Interpretationen zur Norm, die nicht zwingend so zu verstehen sind.

Ein triftiger Grund, mit den drei hartnäckigsten Auditmythen aufzuräumen.

Mythos 1: Auditprogramm

Oft wird man mit der Frage konfrontiert, wie man sicherstellt, dass in einem Zeitraum x (meist ein bis drei Jahre) alle Anforderungen der ISO 9001 oder alle Prozesse der Organisation auditiert werden.

Korrekte Antwort: Gar nicht 

Es gibt zwei haltlose Ursachen für diesen hartnäckigen Mythos.

Ursache 1: Normtext

Auszug aus der ISO 9001:2015: „Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, ob das Qualitätsmanagementsystem die Anforderungen

·        der Organisation an ihr Qualitätsmanagementsystem

·        dieser internationalen Norm erfüllt.“

An dieser Stelle erklärt die Norm lediglich, mit welchem Ziel interne Audits durchzuführen sind. Neben den Anforderungen der Organisation sollten bei internen Audits auch die Anforderungen der ISO 9001 betrachtet werden. Klingt für mich logisch.

Es nicht der Nachweis gefordert, dass alle Normanforderungen auditiert wurden. Wenn das eine Anforderung wäre, würde dies so in der Norm stehen.

Die Anforderungen zu einem Auditprogramm findet man im weiteren Text der Norm: 

„Die Organisation muss eines oder mehrere Auditprogramme planen […], welche

• die Bedeutung der betroffenen Prozesse,
• Änderungen mit Einfluss auf die Organisation und
• die Ergebnisse vorheriger Audits berücksichtigen müssen.“

Mit anderen Worten: Bedeutende Prozesse sollten bei der Auditprogrammplanung mehr Beachtung finden, als Prozesse, die sich weniger auf die Kundenzufriedenheit auswirken könnten oder die nachweislich robust funktionieren. Wo sich viel verändert hat, sollte eher über ein internes Audit nachgedacht werden. Wurden in vergangenen Audits Defizite aufgezeigt, so könnten Folgeaudits den aktuellen Status hinterfragen.

* Worterklärung: In vielen Organisationen wird das „Auditprogramm“ als „Auditjahresplan“ bezeichnet. Das ist zulässig und sinnvoll, da der Begriff „Programm“ in unserem Sprachgebrauch anders genutzt wird. „Jahresplan“ ist hingegen selbsterklärend.

Ursache 2 – Zertifizierungsstandards

Insbesondere Zertifizierungsauditor*innen neigen dazu, die Anforderungen an Zertifizierungsaudits (ISO 17021 „Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren“) auf interne Audits zu projizieren.

Tatsächlich müssen im Rahmen von 3rd-Party Erst- oder Re-Zertifizierungsaudits alle Normanforderungen und alle relevanten Bereiche der Organisation nachweislich auditiert werden. Dafür gibt es schließlich ein teures Zertifikat. Im Rahmen der beiden Überwachungsaudits müssen ebenfalls in Summe alle Anforderungen der ISO 9001 und alle normrelevanten Organisationsbereiche betrachtet werden.

Schlussfolgerung zum Auditprogramm

Es muss weder die komplette Norm noch die komplette Prozesslandschaft innerhalb eines festgelegten Zeitraums intern auditiert werden. Das Auditprogramm (besser der Auditjahresplan) muss festgelegt werden. Als Grundlage dient der risikobasierte Ansatz mit Blick auf die „Bedeutung der betroffenen Prozesse“, „Änderungen mit Einfluss“ und „Ergebnisse vorheriger Audits“.

Auditprogramm

Es muss weder die komplette Norm, noch die komplette Prozesslandschaft innerhalb eines festgelegten Zeitraums intern auditiert werden.

Mythos 2: Auditplan

Ein Zertifizierungsauditor hat meinem Kunden einen Hinweis formuliert, da zu den internen Audits keine Auditpläne vorliegen würden. Leider war ich bei diesem Audit nicht anwesend.

Meine Antwort wäre gewesen: Brauchen wir auch nicht 

Tatsächlich taucht das Wort „Auditplan“ in der ISO 9001 nicht auf. Somit kann das auch keine Anforderung sein.

Hier ist wahrscheinlich mal wieder die ISO 17021 schuld. Tatsächlich wird bei Zertifizierungsaudits ein Auditplan gefordert.

Bei internen Audits machen dann Auditpläne Sinn, wenn man in großen Organisationen über längere Zeiträume Audits durchführt oder wenn man Lieferanten auditiert. In diesen Fällen hilft ein Auditplan (Thema, Abteilung, Uhrzeit) bei der Umsetzung, damit z. B. gewünschte Ansprechpartner:innen bereitstehen. 

Schlussfolgerung zum Auditplan

Es ist demnach nicht falsch, einen Auditplan aufzustellen, jedoch ist das keine Pflicht.

Auditpläne können für die eigene Zeitplanung und zur Vorbereitung der auditierten Bereiche hilfreich sein. Gleichzeitig gibt es keine Normanforderung zur Erstellung von Auditplänen. Die Sinnhaftigkeit möge siegen.

Auditplan

Auditpläne können für die eigene Zeitplanung und zur Vorbereitung der auditierten Bereiche hilfreich sein.

Gleichzeitig gibt es keine Normanforderung zur Erstellung von Auditplänen.

Mythos 3: Auditbericht

Vor kurzem schrieb mir ein QMB die Frage, wie man im Auditbericht die Kapitel der Norm am besten zuordnen kann.

Korrekte Antwort: Am liebsten gar nicht 

Neben der bereits (gähn) bekannten ISO 17021, bilden hier Schulungsunterlagen und Sekundärliteratur die Hauptursache für diesen Mythos. Scheinbar schreiben einige Autoren und Folienersteller lieber voneinander ab, anstatt die Norm zu lesen und die Anforderungen der ISO 9001 verstehen zu wollen.

Die ISO 9001 fordert lediglich, dass man „dokumentierte Informationen als Nachweis der Verwirklichung des Auditprogramms und der Ergebnisse der Audits aufbewahren“ muss.

Das Wort Auditbericht wird an keiner Stelle erwähnt.

So könnte eine Organisation z. B. auf die Idee kommen, alle Maßnahmen aus Audits direkt in einer Datenbank einzutragen und somit komplett auf Auditberichte verzichten. Nach meinem Geschmack würden dann leider die positiven Feststellungen in Berichtsform fehlen, jedoch hätte diese innovative Organisation ggf. auch hierfür eine Lösung.

Schlussfolgerung zum Auditbericht

In Auditberichten gibt es keine Pflicht, die zugrunde liegenden Normkapitel zuzuordnen.

Ich sehe in der Zuordnung keinerlei Mehrwert oder Sinn für die Organisation. Also weg damit.

Auditbericht

In Auditberichten gibt es keine Pflicht, die zugrunde liegenden Normkapitel zuzuordnen.

Ich sehe in der Zuordnung keinerlei Mehrwert oder Sinn für die Organisation. Also weg damit.

Interne Audits sollen Nutzen liefern

Organisationen sind gut beraten, sich über den Nutzen interner Audits Gedanken zu machen.

Es gibt viele gute Gründe für interne Audits:

·        Bewertung der Wirksamkeit eines Managementsystems

·        Ermittlung der Prozessfähigkeit (inkl. Risiken und Chancen)

·        Motivation der Mitarbeiter:innen und der Führung (kollegialer Dialog)

·        Dokumentation der Sorgfaltspflicht (dokumentierter Nachweis)

·        Ständige Verbesserung der Aufbau- und Ablauforganisation

·        Frühzeitige Erkennung von Schwachstellen

·        Verringerung der Fehleranteile und -kosten

·        Einführung neuer Produkte und Verfahren (Validierung)

·        Kundensicht (interessierte Parteien) einnehmen

·        Bewertung von (Korrektur-) Maßnahmen

·        Verbesserungsideen (zumindest) erfassen und festhalten

·        …

Schließlich investieren Organisationen viel Zeit in interne Audits (Ausbildung des Auditteams, Vorbereitung, Durchführung, Ergebnisdokumentation, Ableitung von Maßnahmen). Da sollte dann im Ergebnis mehr herauskommen, als lediglich die Feststellung, dass alle Normanforderungen erfüllt seien.

Interne Audits als kollegialer Dialog

Da Audits in vielen Köpfen negativ assoziiert werden, verwende ich gerne den Begriff des „kollegialen Dialogs“. Denn bei aller Liebe zur Unabhängigkeit von Auditor:innen zum auditierten Bereich kommunizieren im internen Audit Kolleg:innen miteinander.

Wie wäre es mit der folgenden Einleitung zum internen Audit: „Hallo Simone, wir haben jetzt Zeit, um über Themen zu sprechen, die im stressigen Arbeitsalltag schnell untergehen. Hierfür habe ich ein paar Stichpunkte vorbereitet, über die ich gerne mit Dir reden möchte. Sollen wir loslegen?“

Fazit

Unternehmen sollten sich sorgfältig Gedanken zum Ziel von internen Audits machen. Wenn dieses klar ist, dann finden sich geeignete Methoden, um dieses Ziel zu erreichen. Lautet das Ziel lediglich „Normanforderung erfüllen“, dann sollte zumindest darauf geachtet werden, dass durch interne Audits keine Kollateralschäden entstehen und Blindleistungen vermieden werden.

Ein schöneres Ziel als die „Normbefriedigung“ könnte z. B. lauten: „In internen Audits erhalten Mitarbeiter:innen Gehör, um im kollegialen Dialog Verbesserungspotenziale zu identifizieren.“

Andere Beiträge zu internen Audits

• Pawlowsche Audits
• Auditpanik
• Interne Audis sinnvoll nutzen
• Auditkompromiss, ja oder nein?
• Unparteilichkeit im Audit

Wenn Du lernen möchtest, wie Du die Anforderungen der ISO 9001 sinnvoll interpretieren kannst, dann schaue Dir die „Ausbildung zum/zur QM-Beauftragten ISO 9001:2015“ der Lev-Akademie an.

Der Beitrag 3 Mythen um interne Audits wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

In dieser Episode „Auditpanik“ geht es um die Vorbereitung auf Zertifizierungsaudits. Damit Ihr nicht alles mitschreiben müsst, könnt Ihr meine Checkliste für ISO 9001:2015 Zertifizierungsaudits kostenlos und unkompliziert herunterladen.

So vermeiden Sie Auditpanik

Hier gibt es die Checkliste zum Download:

Herunterladen

Ganz einfach herunterzuladen, ohne Verpflichtungen.

Wer mag, kann gerne meinen quartalswiese Newsletter abonnieren.

Diesen findet Ihr unter: www.stephanjoseph.de

Ergänzung vom 07.06.2022

In meinem Artikel „3 Mythen um interne Audits“ erhältst Du tiefergehende Norminterpretationen zum Thema.

Der Beitrag Auditpanik wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Ein Auditkompromiss kann allen helfen

Wer meinen Blog QM-Impulse kennt, kennt auch meine Grundhaltung: „Bis auf den Anwendungs- oder Geltungsbereich dokumentieren wir NICHTS für die Auditor*innen!“ Grundsätzlich sollte es auch so sein.

Es gibt jedoch Fälle, bei denen man sich als Unternehmen, Geschäftsführung oder QMB keinen Zacken aus der Krone bricht, wenn man ein wenig Kompromissbereitschaft zeigt.

In dieser Episode hören sowohl Beispiele, bei denen es sinnvoll ist, „für die Auditoren“ etwas zu dokumentieren und auch Fälle, bei denen Sie Ihr QM-System mit Haut und Haaren verteidigen sollten.

Schlussendlich gibt es kein RICHTIG oder FALSCH, gleichzeitig darf man sich sein QM-System nicht kaputt machen lassen.

Audits in Anwesenheit von Berater*innen

Tatsächlich werden Berater*innen sehr oft für die Audittage gebucht. Die Beweggründe können recht unterschiedlich sein:

• Angst vor (eventuell unfairen) Zertifizierungsauditor*innen.
• Fehlende Normkompetenz (das lässt sich ändern!).
• „Berater*in hat das QM-System aufgebaut und soll nun auch die Verantwortung übernehmen.“
• Berater*in ist externe*r QMB (was in kleinen Unternehmen absolut OK ist).

Bedenklich finde ich Auditsituationen, wo Führungskräfte befragt werden und QMB oder Berater*in zur Antwort einspringen. In diesen Situationen zeigt sich der schizophrene Wahnsinn beim Thema Zertifizierungsaudits bzw. Kundenaudits.

Der Beitrag Auditkompromiss, ja oder nein? wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

In den meisten Fällen werden diese so durchgeführt, wie die Beauftragten (QMB, UMB, …) oder deren externe Beratung das festlegen. Die Form wird selten infrage gestellt.

Erschwert wird das Ganze, wenn Kunden die Form von Audits vorgeben (z.B. VDA 6.3).

Hören Sie in dieser Episode, warum die oberste Leitung alternative Vorgehensweisen kennen sollte und warum messbare Auditerfolge nicht zwingen Erfolge im Sinne der Qualität sind.

Viel Spaß beim Hören dieser Episode des Impuls-Blog-Podcasts.

Ergänzung vom 07.06.2022

In meinem Artikel „3 Mythen um interne Audits“ erhältst Du tiefergehende Norminterpretationen zum Thema.

Der Beitrag Pawlowsche Audits wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Hier gibt es eine aktuelle Stellungnahme der DAkkS:

Maßnahmenpaket der DAkkS

Alles Relevante über Zertifizierungsaudits trotzt Corona hören Sie in der folgenden Podcast-Episode.
Viel Spaß beim Hören.

Der Beitrag Zertifizierungsaudits trotzt Corona wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Ich hoffe das Zuhören macht so viel Spaß, wie das Interview an sich.

Der Beitrag Interview mit Michael Rath wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Die Unsicherheiten vielen Unternehmen bei der Bewertung und Umsetzung der neuen EU-weiten Datenschutzanforderungen könnten bald ein Ende haben. Beratungs- und Zertifizierungsunternehmen rüsten sich für einen umfassenden Check. Einerseits können die Unternehmen damit ihre Strukturen und Prozesse durchforsten, ob diese den Anforderungen entsprechen, andererseits kann den Kunden und der Öffentlichkeit mit einem „Zertifikat“ bestätigt werden, dass man alle Anforderungen an den Datenschutz auch einhält. So kann der erforderliche Aufwand sogar noch in einen „Vertrauensbonus“ nutzbringend umgesetzt werden.
Die Zertifizierung des Datenschutzes hatte der europäische Gesetzgeber gleich mit in die EU-DSGVO hineingeschrieben. Im Abschnitt 5 dieser Richtlinie sind die Anforderungen an eine Zertifizierung im Rahmen eines „Datenschutzaudits“ genau festgelegt, auch die Anforderungen an die Zertifizierer und das Zertifizierungsverfahren.

Dennoch hörte man bisher nichts von einem entstehenden Zertifizierungsangebot. Die Zertifizierer hatten erkannt, dass bei der momentanen hohen Verunsicherung der Schwerpunkt eher bei der Beratung und Umsetzung, und nicht so sehr bei der Zertifizierung liegt.
Das scheint sich aber gerade jetzt zu ändern. Eine Gruppe von Zertifizierungsstellen, allesamt von der DAkkS akkreditiert und in diesen Bereichen kompetent, hat sich zusammengetan und entwickelt ein marktgängiges Zertifizierungsprogramm, speziell für klein- und mittelständische Betriebe (KMU). Mit dabei ist der VQZ Bonn, der durch seine Nähe zu den Rechtsanwaltskanzleien Deutschlands, er ist einer der Marktführer im Bereich der Kanzleizertifizierungen, über besondere Expertise auch im Bereich Compliance und Datenschutz verfügt. Reinhard Wanzek, Geschäftsführer des VQZ Bonn: „Derzeit müssen viele Zertifizierungsgesellschaften noch darüber nachdenken, wo der Unterschied zwischen dem eher technischen Bereich Datensicherheit zum eher juristischen Feld des Datenschutzes liegt. Unsere Kunden verlangen aber eher eine Unterstützung im Bereich Datenschutz. Aufgrund unseres Schwerpunktes haben wir schon viele Auditoren mit juristischem Background, wir suchen aber auch noch die Zusammenarbeit mit Kanzleien, die im Datenschutz versiert sind und entweder als Berater oder als Auditoren mit uns zusammenarbeiten wollen.“

Schon im nächsten Jahr will der VQZ Bonn ein Zertifikat „Zertifizierter Datenschutz“ anbieten können, dass dann internationale Anerkennung genießen wird. Nach einem erfolgreichen Datenschutzaudit bekommt das Unternehmen ein drei Jahre gültiges Zertifikat, das nach außen allen Interessierten und Kunden das Vertrauen geben kann, dass hier mit seinen personenbezogenen Daten rechtskonform umgegangen wird.
Mitarbeiterinnen und Mitarbeiter aber auch Freiberufler mit Kenntnissen im Bereich Datenschutz, z.B. aus Kanzleien, die Interesse haben, können sich per E-Mail beim VQZ Bonn melden: wanzek@vqz-bonn.de

Der Beitrag Das Datenschutz-Audit kommt wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

Im Namen der ISO 9001 wurde seit Anfang der 90er Jahre viel Papier vernichtet bzw. Datenmüll generiert. Dafür gibt es mehrere Ursachen:

• Berater*innen haben ihren Kunden Musterhandbücher verkauft und glaubten damit ein Managementsystem etabliert zu haben.
• Die Norm wurde falsch gelesen: Wenn nach ISO 9001 etwas festzulegen oder zu bestimmen ist, dann muss das nicht zwangsläufig in dokumentierter Form erfolgen.
• Einige Zertifizierungsauditor*innen behaupten, dass sie nur etwas auditieren können, was auch dokumentiert sei.

In Gesprächen mit Mitarbeiter*innen bei meinen Kunden höre ich immer wieder, dass Dinge teilweise nur dokumentiert werden, weil ein Berater oder Zertifizierungsauditor das so verlangt hat. Ich rege mich insbesondere dann auf, wenn es dafür an jeglicher Grundlage fehlt.

Angeblich auf Grundlage der Normrevision ISO 9001:2015 wird von einigen Zertifizierungsauditoren verlangt, dass z.B. ein Risikoprozess zu beschreiben sei oder dass eine Liste der interessierten Parteien zu erstellen sei. Beides ist NICHT von der ISO 9001:2015 gefordert!

Dass Kunden unsicher werden und zur Befriedigung der Auditor*innen solche Dokumente erstellen ist schade, jedoch nachvollziehbar. Erschreckend ist, dass Menschen, die sich hauptberuflich mit der ISO 9001:2015 auseinandersetzen (Zertifizierungsauditor*innen, Mitarbeiter*innen der Zertifizierungsstellen, QM-Berater*innen) immer wieder Dokumente einfordern, zu denen jegliche Grundlage fehlt.

Je nach Art und Größe einer Organisation kann zum Beispiel eine Auflistung der interessierten Parteien und eine detaillierte Analyse deren Anforderungen eine gute Übung sein. Wenn ein entsprechendes Dokument existiert, zeigt man dieses auch den Auditor*innen. Es darf jedoch nicht automatisch eine Abweichung geben, wenn keine dokumentierte Information zu den interessierten Parteien vorhanden ist.

Anders sieht es bei Dokumenten oder Nachweisen aus, die von der ISO 9001:2015 als „dokumentierte Information“ gefordert sind. Hier muss ich als zertifizierte Organisation den Auditor*innen Dokumente bzw. Nachweise zeigen oder nachvollziehbar begründen, warum diese nicht erforderlich sind.

Ich werde hin und wieder mit der Frage konfrontiert: „Wie sollen denn die Auditor*innen Themen auditieren, die nicht dokumentiert sind?“ Die Antwort liegt im Auditbegriff selbst. Die Auditor*innen sollen Fragen stellen und zuhören (audire) und nicht nachlesen (legere). Ginge es um die Prüfung von Dokumenten, dann hätten wir Legetor*innen und nicht Auditor*innen.

Dokumentiert oder nicht, bereit für’s Audit?

Nutze die ISO 9001 Checkliste, um Panik vor Audits zu vermeiden oder zumindest zu reduzieren.

Checkliste Auditvorbereitung ISO 9001

Größe: 8,36 MB

Version: 1

Published: 22.04.2022

Herunterladen

Der Beitrag Was nicht dokumentiert ist … wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung

So ist zum Beispiel die Frage: „Welchen Revisionsstand hat Ihr Organigramm?“ von Zertifizierungsauditoren keine Seltenheit. Wenn ein Unternehmen ein Organigramm hat, dann zeigt man diese gerne im Audit und Zertifizierungsauditor*innen machen sich eine Notiz.

Kritischer wird es, wenn Unternehmen kein Organigramm haben und Zertifizierungsauditor*innen dennoch danach verlangen. Das entbehrt jeder Grundlage! Die ISO 9001 fordert keine Darstellung der Aufbauorganisation.

Gemäß ISO 9001 müssen die Verantwortlichkeiten und Befugnisse für relevante Rollen festgelegt und gelebt werden. Hierzu benötigt man nicht zwangsläufig ein Organigramm.

Das Organigramm Beispiel ist vergleichsweise harmlos. Seit der Revision ISO 9001:2015 beobachte ich neue, nicht haltbare Anforderungen von Zertifizierungsauditoren zum Thema risikobasierter Ansatz.

Teilweise stelle ich mir bei einigen Zertifizierungsauditor*innen die Frage, ob diese die Norm jemals gelesen haben. Aktuell stehen oftmals die Anforderungen aus dem Abschnitt „Maßnahmen zum Umgang mit Risiken und Chancen“ im Mittelpunkt der Diskussion in Zertifizierungsaudits.

Auditor*innen müssen die Abgrenzung zum Risikomanagementsystem kennen

Der Leitfaden „Anleitung zum Übergang ISO 9001:2015“ der Deutsche Akkreditierungsstelle liefert Hinweise für die Umstellung der akkreditierten Zertifizierungsstellen (Quelle). Der Anhang A regelt die Qualifizierung von Zertifizierungsauditoren. Demnach müssen die Auditoren u.a. geschult werden zu: „Verständnis des risikobasierten Denkens im Kontext des PDCA-Prozesses als wesentlicher neuer Bestandteil des QMS, Grundverständnis Risikodefinition / Prozessrisiken, Abgrenzung zum Risikomanagementsystem (z. B. nach ISO 31000, Methoden)“.

Das Wort Abgrenzung scheinen einige Auditor*innen nicht verstanden zu haben und prompt taucht im Zertifizierungsaudit die Frage auf „Wie haben Sie Ihr Risikomanagementsystem dokumentiert?“

Diese Frage enthält gleich zwei Fehler. Erstens fordert die ISO 9001:2015 kein formelles Risikomanagement und zweitens werden ermittelte Risiken nicht als dokumentierte Information gefordert.

Risikobasierter Ansatz ist KEIN Risikomanagement!

Ein Auditor meinte daraufhin zu mir: „Wie soll ich denn die Risiken bewerten, wenn diese nicht dokumentiert sind?“

Ist es meine Aufgabe, einem Zertifizierungsauditor seinen Job zu erklären?

Ersten ist es nicht die Aufgabe der Zertifizierungsauditoren die Risiken zu bewerten und zweitens bekommen gute Zertifizierungsauditor*innen im Laufe des Audits ein Gespür dafür, ob der risikobasierte Ansatz in einer Organisation gelebt wird.

Ich fürchte, dass viele bunte Risikomatrizen die QM-Dokumentation verzieren werden und dass diese in Zertifizierungsaudits gelobt werden. Das hätte zur Folge, dass die Organisationen meinen, alles richtig gemacht zu haben und letztendlich spricht sich herum, dass eine Risikomatrix oder ähnliches von der ISO 9001 gefordert wäre.

Ich stehe einem Risikomanagementsystemen nicht feindlich gegenüber! Es gibt Themen, bei denen Methoden des Risikomanagements sehr hilfreich sind. Allerdings fordert die ISO 9001:2015 kein Risikomanagementsystem, weshalb es mich ärgert, wenn das Thema falsch auditiert wird.

Risikobasierter Ansatz … was ist zu tun?

Da ich nicht nur meckern möchte, gehe ich nun auf die eigentliche Normanforderung „Maßnahmen zum Umgang mit Risiken und Chancen“ ein.

Ein Qualitätsmanagementsystem an sich ist ein System zu Vermeidung von Qualitätsrisiken.

Die ISO 9001 enthält zahlreiche Themen, bei denen Risiken entdeckt werden und zu denen teilweise dokumentierte Informationen gefordert sind. Zum Beispiel können interne Audits Schwachstellen aufdecken, Kennzahlen können als Frühwarnsystem verstanden werden und durch die Lieferantbewertung sollten Risiken im Einkaufsprozess frühzeitig erkannt werden.

Bereits in vorherigen Versionen der ISO 9001 gab es den Abschnitt „Vorbeugungsmaßnahmen“. Anders als bei der Revision 2015, musste damals sogar ein dokumentiertes Verfahren eingeführt werden, um potenzielle Fehler zu ermitteln.

Im Rahmen von Zertifizierungsaudits wurde das Thema „Vorbeugungsmaßnahmen“ oft nur im Kontext von „Fehlermanagement“ auditiert, da im 8d-Report praktischerweise das Wort „Vorbeugungsmaßnahme“ schon enthalten ist. Als Verfahren diente die Reklamationsbearbeitung und ausgefüllte 8d-Reports als Aufzeichnungen.

Mit der Revision 2015 wollten die Normschreiber den risikobasierten Ansatz als grundlegendes Paradigma für Managementsysteme in den Vordergrund stellen.

Jeder Prozess, jede Tätigkeit und sogar das Unterlassen von Handlungen kann Risiken enthalten. Mit dem risikobasierten Ansatz lädt die Norm dazu ein, sich nicht nur im Kontext von Reklamationen über Vorbeugungsmaßnahmen zur Vermeidung eines Wiederauftretens Gedanken zu machen. Die Norm lädt zu einem proaktiverem Handeln ein.

Beispiel

Eine Führungskraft agiert risikobasiert, wenn sie hin und wieder das Tagesgeschäft verlässt, um zum Beispiel

• auf lateraler Führungsebene Schnittstellen zu Nahtstellen zu verbinden.
• die Rahmenbedingungen zu reflektieren und Fehlerquellen zu eliminieren.
• Kompetenzlücken zu identifizieren und Mitarbeitende für die Bedeutung von Qualität zu sensibilisieren.
• interne oder externe Veränderungen zu erkennen, die Einfluss auf das Arbeitsleben haben.
• aussagefähige Kennzahlen zu ermitteln, um Veränderungen bewerten zu können.
• den Bedarf an Hilfestellungen (z.B. Arbeitsanweisungen) zu ermitteln und diese bereitzustellen.
• … im Grunde die Themen aus dem Turtle-Diagramm zu managen.

Wenn diese Führungskraft diese Themen alle dokumentieren müsste, käme sie nicht zur viel wichtigeren Umsetzung.

Daher ist Revision der ISO 9001:2015 ist die Anforderung an ein dokumentiertes Verfahren weggefallen. Inhaltlich hat sich jedoch gegenüber den Vorbeugungsmaßnahmen der Vorgängernorm nichts Grundlegendes verändert. Die Normschreiber haben das Thema „Vorbeugung“ auf breitere Füße gestellt.

Es kann als „neu“ betrachtet werden, dass bei der Ermittlung von Risiken der Kontext der Organisation berücksichtigt werden muss. Wenn eine Organisation die Führungskräfte und Mitarbeiter für ein zielgerichtetes, risikobasiertes Denken gewinnen möchte, dann ist das nur logisch!

Fazit

Wäre es nicht himmlisch, wenn alle Mitarbeiter einer Organisation die Anforderungen von Kunden und interessierten Parteien kennen und stets nach Möglichkeiten suchen, diese Anforderungen optimal umzusetzen. Aus diesem Grunde erwähnt die ISO 9001 nicht nur Risiken, sondern auch Chancen. Es geht nicht darum, alles aufzuschreiben und zu bewerten.

Ziel eines gelebten QM-Systems ist, auf allen Managementebenen die richten Schlüsse zu ziehen und passende Maßnahmen zur Qualitätsverbesserung abzuleiten.

Das Thema „Maßnahmen zum Umgang mit Risiken und Chancen“ kann demnach nicht als isoliertes Thema auditiert werden. Vielmehr ist es die Gesamtbetrachtung der Organisation, inwieweit die Summe aller Maßnahmen zur (Qualitäts-) Verbesserung der Organisation beitragen.

Dieser Artikel erschien in leicht anderer Fassung im unabhängigen Fachmagazin Quality Engineering Ausgabe 03.2016.
Haben Sie schon ein Abonnement? Infos unter www.quality-engineering.industrie.de.

Der Beitrag Risikobasierter Ansatz im Zertifizierungsaudit wurde zuerst auf Joseph-Beratung.de veröffentlicht:
Joseph Beratung