ISO 19011 Leitfaden
Die ISO 19011 ist ein Leitfaden für das „Auditieren von Managementsystemen„. Eine aktualisierte Version der ISO 19011 ist im Dezember 2018 erschienen und ersetzt die Ausgabe aus 2002 „Auditieren von Qualitäts- und Umweltmanagementsysteme“. In der aktuellen Ausgabe 2011 bezieht sich das Auditieren auf alle Managementsystem. Der Leitfaden ISO 19011:2018 ist anwendbar auf alle Organisationen die interne und/oder externe Audits von Managementsystemen (MA-Systemen) durchführen oder ein Auditprogramm erstellen müssen [extern bezieht sich in der ISO auf 2nd party, also Lieferantenaudits]. Für 3rd party Audits (Zertifizierungsaudits) gilt die Norm ISO/IEC 17021. Sie hat zwar weite Teile der ISO 19011 im Kapitel 9 übernommen aber nicht komplett (z.B. Remote Audits, risikobasierter Auditansatz).
ISO 19011: 2018: Der Leitfaden enthält Richtlinien für die Auditierung von Managementsystemen durch Erst-, Zweit- und Drittanbieter. Der Standard enthält Richtlinien zur Verwaltung eines Auditprogramm, zu Auditmethoden und zur Kompetenz des Auditors. Obwohl der Inhalt nicht obligatorisch ist, bildet der Standard die Grundlage für Managementsystemprüfungen. In vielen Managementsystemen und Sektorschemadokumenten wird ausdrücklich darauf verwiesen (siehe Hinweis in ISO 9001: 2015, Unterabschnitt 9.2 Interne Revision als Beispiel). Die Leitlinien sind auch nützlich für andere Audits wie Lieferantenbewertungen und zur Bewertung der Prozesswirksamkeit im Hinblick auf die Einhaltung gesetzlicher Vorschriften. Im Laufe der Jahre wurden viele professionelle Auditoren gemäß der vorherigen oder aktuellen Version von ISO 19011 geschult.
Es ist jedoch wichtig zu beachten, dass die ISO 19011 ein Leitfaden ist und keine Anforderung für Organisationen darstellt. Es ist Sache der Organisationen, zu entscheiden, ob sie die Richtlinien der ISO 19011 bei der Planung, Durchführung und Nachbereitung ihrer Audits anwenden möchten.
Übersicht 19011
Die in der Norm enthaltenen Richtlinien sollen flexibel sein und ihre Anwendung kann je nach Größe, Art und Komplexität einer Organisation unterschiedlich sein. In Übereinstimmung mit der Absicht, dass der Standard universell anwendbar ist, repräsentierten die Mitwirkenden an seiner Entwicklung mehrere Branchen, darunter Luft- und Raumfahrt, Erdöl, medizinische Geräte, Telekommunikation, Service und allgemeine Fertigung. Darüber hinaus haben Experten aus verschiedenen Managementsystemdisziplinen wie Umwelt, Straßenverkehrssicherheit, Arbeitsschutz und Sicherheit beigetragen. Dies stellte sicher, dass der Inhalt des Standards allgemein gehalten ist und auf jede Art von Managementsystem und Organisation anwendbar ist.
Im Kontext der Konformitätsbewertung und für externe Auditoren enthält ISO 19011 die Richtlinien für den Auditprozess und die Verwaltung des Auditprogramms. Bei der Entwicklung der Norm wurde besonderes Augenmerk darauf gelegt, dass der Text mit der Dokumentenserie ISO / IEC 17021 übereinstimmt. Dies dient dazu, die in den Teilen der ISO / IEC 17021 festgelegten Anforderungen zu verstärken, insbesondere diejenigen, die sich auf das Audit und die Kompetenz des Auditors beziehen und für jeden Managementsystemstandard definiert sind.
Organisationen sollten die Richtlinien in dem Umfang verwenden, der ihren Bedürfnissen und ihrer Relevanz für ihre eigenen Arbeitspraktiken entspricht. Wie bereits erwähnt, wird auf ISO 19011 in einem Hinweis in ISO 9001 und anderen Managementsystemstandards verwiesen. Solche Notizen sollten nicht als Anforderung missverstanden werden. Daher und insbesondere im Rahmen eines ISO 9001-Audits darf ein Auditor keine Anforderungen anführen oder Abweichungen von ISO 19011 geltend machen, da seine Anwendung durch die Organisation nicht obligatorisch ist.
Interne Auditoren sollten über Änderungen des Standards auf dem Laufenden bleiben und Änderungen und Verbesserungen in ihren Auditprozess einbeziehen (die Ausgabe 2018 ist die dritte Ausgabe). Wie bei jedem anderen Referenzdokument sollte es bei Bedarf zur Konsultation bereitgehalten werden. Die ISO 19011:2018 ist eine international anerkannte Norm, die Anleitungen zur Auditierung von Managementsystemen enthält. Im Vergleich zur vorherigen Ausgabe der Norm aus dem Jahr 2011 wurden in der Ausgabe von 2018 folgende Neuerungen eingeführt:
- Risikobasiertes Denken: Die Norm fordert nun eine stärkere Berücksichtigung von Risiken und Chancen bei der Planung und Durchführung von Audits. Insbesondere wird auf die Anwendung eines risikobasierten Ansatzes bei der Auswahl von Auditzielen und Auditmethoden sowie bei der Bewertung von Auditergebnissen hingewiesen.
- Betonung der Führungskräfte: Die Bedeutung der Führungskräfte wird in der Norm stärker betont. Insbesondere wird darauf hingewiesen, dass Führungskräfte bei der Planung und Durchführung von Audits eine wichtige Rolle spielen, indem sie sicherstellen, dass die Ziele und Verfahren des Audits mit den Unternehmenszielen und -strategien übereinstimmen.
- Berücksichtigung von Informations- und Kommunikationstechnologien: Die Norm berücksichtigt die zunehmende Bedeutung von Informations- und Kommunikationstechnologien bei der Planung und Durchführung von Audits. Insbesondere wird darauf hingewiesen, dass IT-Tools bei der Planung, Durchführung und Verfolgung von Audits eingesetzt werden können.
- Vereinfachung der Sprache: Die Norm wurde in Bezug auf die Sprache vereinfacht, um ihre Verständlichkeit und Anwendbarkeit zu verbessern.
- Betonung des Mehrwertes von Audits: Die Norm betont die Bedeutung von Audits als Instrument zur kontinuierlichen Verbesserung von Managementsystemen. Insbesondere wird darauf hingewiesen, dass Audits nicht nur zur Erfüllung von Anforderungen dienen sollten, sondern auch dazu beitragen sollten, die Effektivität und Effizienz von Managementsystemen zu verbessern.
Grundsätze des Audits
Ein Auditor sollte mit den 7 Auditgrundsätzen vertraut sein und diese auf den Auditprozess anwenden. Sie definieren einen Kompass, der das Verhalten der Auditoren steuert, um Professionalität und Objektivität sicherzustellen. In Übereinstimmung mit der verstärkten Berücksichtigung des Risikokonzepts über das gesamte Spektrum der Managementsystemstandards wurde der risikobasierte Auditansatz in die Liste für ISO 19011: 2018 aufgenommen. Die Prinzipien sind:
Die Anwendung der Auditgrundsätze trägt dazu bei, dass Prüfungen mit den höchsten Integritätsstandards durchgeführt werden, dass sie auf der Berücksichtigung von Risiken und nachprüfbaren Nachweisen beruhen und dass sie ihr beabsichtigtes Ziel erreichen.
Oberste Leitung
Die oberste Leitung hat Verantwortliche für das Management von Auditporgrammen zu benennen, da in deren Aufgabenbereich alle Aktivitäten fallen, die für Planung und Organisation notwendig sind. Diese Personen sollten Kenntnis der Auditprinzipien besitzen, die Notwendigkeit qualifizierter Auditoren verstehen und Erfahrung mit Auditmethoden haben.
Die Ressourcen werden auf Basis der notwendigen Aufgaben geplant. Die Audittätigkeiten müssen entwickelt, verwirklicht, gesteuert und verbessert werden. Dazu werden finanzielle Ressourcen benötigt. Die für die Audits notwendigen Sachkundigen und Auditoren müssen verfügbar und angemessen qualifiziert sein. Des Weiteren sind ihre Erfordernisse (Reisezeit, Unterbringung usw.) zu regeln.
Auditplan
Für die Koordination der Audittätigkeiten und deren Zeitplanung erstellt der Auditleiter einen Auditplan. Dabei werden die Verantwortlichkeiten, Prozesse, Funktionen, Standorte etc. festgelegt. Checklisten und mitgeltende Dokumente werden im Auditplan als Bezugsdokumente herangezogen. Im Auditplan kann sowohl ein Zeitplan für ein einzelnes Managementsystem als auch ein kombiniertes Audit (Umwelt, Qualität) geplant werden. Ferner werden die zu auditierenden Normkapitel bzw. Elemente angegeben. Der Auditplan sollte von der Geschäftsleitung (Oberste Leitung) freigegeben werden.
Auditprogramm
Das Auditprogramm legt fest, wann Prozesse und/oder Bereiche auditiert werden und ferner die Verantwortlichkeiten sowie die Ziele. In der neuen Revision der DIN ISO 9001 ist im Kapitel 9.2 (Internes Audit) gefordert, Ergebnisse und den Nachweis der Verwirklichung des Auditprogramms als dokumentierte Information aufzubewahren sowie die Methoden, Verantwortlichkeiten, welche Qualitätsziele, Bedeutung der betroffenen Prozesse etc. zu berücksichtigen.
Das Auditprogramm wird am Anfang des Jahres durch den/die verantwortlichen Mitarbeiter erstellt und kann aufgrund Vorkommnisse, Veränderungen jederzeit aktualisiert werden. Hierzu sollte wie bei jedem gelenkten Dokument eine Änderungshistorie nicht fehlen.
Leitfaden keine Forderung
Wichtig ist, dass es sich bei der ISO 19011:2018 um einen Leitfaden handelt und somit keine Forderungen aufstellt. Sobald Sie aber in Ihrer Audit Dokumentation Formulierungen gebrauchen wie z.B. Auditprogramme und Audits werden auf Basis der ISO 19011 durchgeführt, erheben Sie den Leitfaden zu einem Dokument, dass für Ihr Managementsystem Forderungen aufstellt.
Auditierung
Die Auditierung von Managementsystemen, gerade bei internen System Audits, sollte nicht aus der „hohlen Hand“ heraus, sondern nach einer strukturierten Prozedur erfolgen. Bei der Zertifizierung (3rd party Audit) erfolgt die Auditierung eines Management Systems nach der ISO/IEC 17021:2011 (auditieren und zertifizieren).
Die Durchführung von internen Audits zur Überprüfung eines Qualitätsmanagement Systems ISO 9001 und/oder IATF 16949 sollte gemäß der DIN ISO 19011 – Auditierung von MA-Systemen erfolgen. Der geregelte Ablauf einer Auditierung ist in der DiN ISO 19011 übersichtlich beschrieben und beinhaltet die Auditplanung, und/oder mehrere Auditprogramme, die Durchführung und Überprüfung eines Qualitätsmanagement Systems zum Beispiel der DIN ISO 9001, IATF 16949, DIN ISO 14001. Der Abschnitt 5 der ISO 19011 enthält Leitlinien zur Verwaltungsfunktion des Auditprogramms, auf die sich ein Auditor bei der Prüfung der Anforderungen des internen Audits beziehen muss. Personen, die für die Verwaltung eines Auditprogramms verantwortlich sind, sollten Folgendes sicherstellen:
Rollen und Verantwortlichkeiten
ISO 19011 enthält Anleitungen zur Planung von Audits, zur Durchführung von Audits und zur Berichterstattung über Audits. Es gibt hilfreiche Informationen zu verschiedenen Themen, darunter:
Management Auditprogramm
Die wesentlichen Aspekte eines Auditprogramms können auch übersichtlich mit einem Turtle veranschaulicht werden und ist hilfreich interne audits aktiv zu leiten und zu lenken. Die Einflussgrössen (Inputs) der Auditierung können abhängig sein von der Grösse des Unternehmens, relevante Auditkriterien, Kundenstatus (beim OEM) und den Ergebnissen aus den vorausgegangenen Audits.
Der Output der Auditierung sind die Auditprogrammziele, Verbesserungspotentiale, beseitige NON-Konformitäten und die Risiken der Organisation. Entscheidend für die Auditierung ist auch die fachliche Kompetenz der Auditoren. Die Auditoren sollten über eine fachliche, methodische Kompetenz Verfügungen und die Prozesse der Organisation kennen und die Risiken eines Auditprogramms im Vorfeld der Auditierung bewerten.
Kompetenz und Bewertung
Kompetenz ist in ISO 9000: 2015 definiert als “Fähigkeit, Wissen und Fähigkeiten anzuwenden, um die beabsichtigten Ergebnisse zu erzielen”. Die Leitlinien in ISO 19011 zur Kompetenz und Bewertung von Auditoren betonen die Bedeutung der Teamkompetenz sowie der des Einzelnen. Die Auditoren sollten über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um die beabsichtigten Ergebnisse der Prüfungen zu erzielen. Auditoren sollten sowohl über allgemeine als auch über branchenspezifische Kenntnisse und Fähigkeiten verfügen. Der Leiter des Auditteams sollten über die zusätzliche Kompetenz verfügen, das Auditteam zu führen.
Die Kompetenz sollte durch einen Prozess bestimmt werden, der das persönliche Verhalten eines Auditors und seine Fähigkeit berücksichtigt, die Kenntnisse und Fähigkeiten anzuwenden, die durch Ausbildung, Berufserfahrung, Schulung des Auditors und Prüfungserfahrung erworben wurden.
Einige Kompetenzkriterien für Auditoren können je nach Art des durchgeführten Audits (z. B. eines Zertifizierungsaudits durch Dritte) und der Branche oder Disziplin, die geprüft wird, variieren. Für externe Auditoren sind in ISO / IEC 17021-1, Abschnitt 4.3, allgemeine Anforderungen an Kompetenzkriterien definiert, wobei spezifische Kriterien in ergänzenden Dokumenten für einen bestimmten Managementsystemstandard oder -sektor definiert sind (z. B. ISO / IEC 17021-3 für Qualitätsmanagementsysteme) ). Einzelne Auditoren sollten jedoch den Inhalt von ISO / IEC 17021-1, Abschnitt 4.3, kennen, damit sie im Rahmen ihrer beruflichen Kompetenz aufrechterhalten, verbessern und arbeiten können.
Tipps zur Anwendung der ISO 19011
Die ISO 19011 ist eine Norm für Auditoren, die bei der Planung und Durchführung von Audits verwendet wird. Hier sind einige Tipps für die Verwendung dieser Norm:
- Verstehen Sie die Grundsätze des Audits: Die ISO 19011 definiert sieben Grundsätze des Audits, die die Grundlage für eine erfolgreiche Auditdurchführung bilden. Es ist wichtig, diese Grundsätze zu verstehen und bei der Planung und Durchführung von Audits anzuwenden.
- Planen Sie sorgfältig: Eine sorgfältige Planung ist entscheidend für den Erfolg eines Audits. Verwenden Sie die ISO 19011, um eine detaillierte Auditplanung durchzuführen, einschließlich der Festlegung der Ziele, des Scopes, der Ressourcen, des Zeitplans und der Methoden für die Durchführung des Audits.
- Verwenden Sie die PDCA-Methode: Die PDCA-Methode (Plan-Do-Check-Act) ist ein wichtiger Bestandteil der ISO 19011. Verwenden Sie diese Methode, um den Auditprozess zu strukturieren und sicherzustellen, dass alle notwendigen Schritte durchgeführt werden.
- Beachten Sie die relevanten Normen und Standards: Die ISO 19011 bezieht sich auf eine Vielzahl von Normen und Standards, einschließlich der ISO 9001 (Qualitätsmanagement) und ISO 14001 (Umweltmanagement). Stellen Sie sicher, dass Sie diese Normen und Standards verstehen und bei der Durchführung von Audits anwenden.
- Dokumentieren Sie Ihre Ergebnisse: Die Dokumentation von Audit-Ergebnissen ist ein wichtiger Schritt im Auditprozess. Verwenden Sie die ISO 19011, um sicherzustellen, dass Sie alle relevanten Informationen dokumentieren, einschließlich der Ergebnisse, der Feststellungen und der Empfehlungen.
- Verwenden Sie die richtigen Werkzeuge und Methoden: Es gibt eine Vielzahl von Werkzeugen und Methoden, die bei der Durchführung von Audits verwendet werden können. Verwenden Sie die ISO 19011, um sicherzustellen, dass Sie die richtigen Werkzeuge und Methoden auswählen und anwenden.
- Schulen Sie Ihr Auditoren-Team: Stellen Sie sicher, dass Ihr Auditoren-Team geschult ist und die Anforderungen der ISO 19011 versteht. Eine gute Schulung kann dazu beitragen, sicherzustellen, dass Ihre Auditoren effektiv und effizient arbeiten. Verbessern Sie kontinuierlich Ihren Auditprozess: Die ISO 19011 betont die Bedeutung der kontinuierlichen Verbesserung. Nutzen Sie die Ergebnisse Ihrer Audits, um Ihren Auditprozess zu verbessern und sicherzustellen, dass er ständig optimiert wird.