Viele weitere Artikel im Qualitäts- Umwelt-, Arbeitsschutz- und zur Informationssicherheit finden Sie in unseren Blog

Leitfaden ISO 19011

Leitfaden für das auditieren von Managementsystemen
Leitfaden ISO 19011

ISO 19011 Leitfaden​

Die ISO 19011 ist ein Leitfaden für das „Auditieren von Managementsystemen„. Eine aktualisierte Version der ISO 19011 ist im Dezember 2018 erschienen und ersetzt die Ausgabe aus 2002 „Auditieren von Qualitäts- und Umweltmanagementsysteme“. In der aktuellen Ausgabe 2011 bezieht sich das Auditieren auf alle Managementsystem. Der Leitfaden ISO 19011:2018 ist anwendbar auf alle Organisationen die interne und/oder externe Audits von Managementsystemen (MA-Systemen) durchführen oder ein Auditprogramm erstellen müssen [extern bezieht sich in der ISO auf 2nd party, also Lieferantenaudits]. Für 3rd party Audits (Zertifizierungsaudits) gilt die Norm ISO/IEC 17021. Sie hat zwar weite Teile der ISO 19011 im Kapitel 9 übernommen aber nicht komplett (z.B. Remote Audits, risikobasierter Auditansatz).

ISO 19011: 2018: Der Leitfaden enthält Richtlinien für die Auditierung von Managementsystemen durch Erst-, Zweit- und Drittanbieter. Der Standard enthält Richtlinien zur Verwaltung eines Auditprogramm, zu Auditmethoden und zur Kompetenz des Auditors. Obwohl der Inhalt nicht obligatorisch ist, bildet der Standard die Grundlage für Managementsystemprüfungen. In vielen Managementsystemen und Sektorschemadokumenten wird ausdrücklich darauf verwiesen (siehe Hinweis in ISO 9001: 2015, Unterabschnitt 9.2 Interne Revision als Beispiel). Die Leitlinien sind auch nützlich für andere Audits wie Lieferantenbewertungen und zur Bewertung der Prozesswirksamkeit im Hinblick auf die Einhaltung gesetzlicher Vorschriften. Im Laufe der Jahre wurden viele professionelle Auditoren gemäß der vorherigen oder aktuellen Version von ISO 19011 geschult.

Übersicht 19011

Die in der Norm enthaltenen Richtlinien sollen flexibel sein und ihre Anwendung kann je nach Größe, Art und Komplexität einer Organisation unterschiedlich sein. In Übereinstimmung mit der Absicht, dass der Standard universell anwendbar ist, repräsentierten die Mitwirkenden an seiner Entwicklung mehrere Branchen, darunter Luft- und Raumfahrt, Erdöl, medizinische Geräte, Telekommunikation, Service und allgemeine Fertigung. Darüber hinaus haben Experten aus verschiedenen Managementsystemdisziplinen wie Umwelt, Straßenverkehrssicherheit, Arbeitsschutz und Sicherheit beigetragen. Dies stellte sicher, dass der Inhalt des Standards allgemein gehalten ist und auf jede Art von Managementsystem und Organisation anwendbar ist.

Im Kontext der Konformitätsbewertung und für externe Auditoren enthält ISO 19011 die Richtlinien für den Auditprozess und die Verwaltung des Auditprogramms. Bei der Entwicklung der Norm wurde besonderes Augenmerk darauf gelegt, dass der Text mit der Dokumentenserie ISO / IEC 17021 übereinstimmt. Dies dient dazu, die in den Teilen der ISO / IEC 17021 festgelegten Anforderungen zu verstärken, insbesondere diejenigen, die sich auf das Audit und die Kompetenz des Auditors beziehen und für jeden Managementsystemstandard definiert sind.

Organisationen sollten die Richtlinien in dem Umfang verwenden, der ihren Bedürfnissen und ihrer Relevanz für ihre eigenen Arbeitspraktiken entspricht. Wie bereits erwähnt, wird auf ISO 19011 in einem Hinweis in ISO 9001 und anderen Managementsystemstandards verwiesen. Solche Notizen sollten nicht als Anforderung missverstanden werden. Daher und insbesondere im Rahmen eines ISO 9001-Audits darf ein Auditor keine Anforderungen anführen oder Abweichungen von ISO 19011 geltend machen, da seine Anwendung durch die Organisation nicht obligatorisch ist.

Third Party Auditoren sollten über Änderungen des Standards auf dem Laufenden bleiben und Änderungen und Verbesserungen in ihren Auditprozess einbeziehen (die Ausgabe 2018 ist die dritte Ausgabe). Wie bei jedem anderen Referenzdokument sollte es bei Bedarf zur Konsultation bereitgehalten werden. Der Standard ist in eine Reihe von Abschnitten unterteilt, wie im Folgenden beschrieben:

Grundsätze des Audits

Ein Auditor sollte mit den 7 Auditgrundsätzen vertraut sein und diese auf den Auditprozess anwenden. Sie definieren einen Kompass, der das Verhalten der Auditoren steuert, um Professionalität und Objektivität sicherzustellen. In Übereinstimmung mit der verstärkten Berücksichtigung des Risikokonzepts über das gesamte Spektrum der Managementsystemstandards wurde der risikobasierte Auditansatz in die Liste für ISO 19011: 2018 aufgenommen. Die Prinzipien sind:

  • Integrität
  • Sachliche Darstellung
  • Angemessene berufliche Sorgfalt
  • Vertraulichkeit
  • Unabhängigkeit
  • Faktengestützter Ansatz
  • Risikobasierter Ansatz


Die Anwendung der Auditgrundsätze trägt dazu bei, dass Prüfungen mit den höchsten Integritätsstandards durchgeführt werden, dass sie auf der Berücksichtigung von Risiken und nachprüfbaren Nachweisen beruhen und dass sie ihr beabsichtigtes Ziel erreichen.

Interne Audits | SMCT-MANAGEMENT
Interne Audits | SMCT-MANAGEMENT

Oberste Leitung​

Die oberste Leitung hat Verantwortliche für das Management von Auditporgrammen zu benennen, da in deren Aufgabenbereich alle Aktivitäten fallen, die für Planung und Organisation notwendig sind. Diese Personen sollten Kenntnis der Auditprinzipien besitzen, die Notwendigkeit qualifizierter Auditoren verstehen und Erfahrung mit Auditmethoden haben.

Die Ressourcen werden auf Basis der notwendigen Aufgaben geplant. Die Audittätigkeiten müssen entwickelt, verwirklicht, gesteuert und verbessert werden. Dazu werden finanzielle Ressourcen benötigt. Die für die Audits notwendigen Sachkundigen und Auditoren müssen verfügbar und angemessen qualifiziert sein. Des Weiteren sind ihre Erfordernisse (Reisezeit, Unterbringung usw.) zu regeln.

GAP Analyse | SMCT-MANAGEMENT
GAP Analyse | SMCT-MANAGEMENT

Auditplan​

Für die Koordination der Audittätigkeiten und deren Zeitplanung erstellt der Auditleiter einen Auditplan. Dabei werden die Verantwortlichkeiten, Prozesse, Funktionen, Standorte etc. festgelegt. Checklisten und mitgeltende Dokumente werden im Auditplan als Bezugsdokumente herangezogen. Im Auditplan kann sowohl ein Zeitplan für ein einzelnes Managementsystem als auch ein kombiniertes Audit (Umwelt, Qualität) geplant werden. Ferner werden die zu auditierenden Normkapitel bzw. Elemente angegeben. Der Auditplan sollte von der Geschäftsleitung (Oberste Leitung) freigegeben werden.

Auditprogramm​

Das Auditprogramm legt fest, wann Prozesse und/oder Bereiche auditiert werden und ferner die Verantwortlichkeiten sowie die Ziele. In der neuen Revision der DIN ISO 9001 ist im Kapitel 9.2 (Internes Audit) gefordert, Ergebnisse und den Nachweis der Verwirklichung des Auditprogramms als dokumentierte Information aufzubewahren sowie die Methoden, Verantwortlichkeiten, welche Qualitätsziele, Bedeutung der betroffenen Prozesse etc. zu berücksichtigen.

Das Auditprogramm wird am Anfang des Jahres durch den/die verantwortlichen Mitarbeiter erstellt und kann aufgrund Vorkommnisse, Veränderungen jederzeit aktualisiert werden. Hierzu sollte wie bei jedem gelenkten Dokument eine Änderungshistorie nicht fehlen.

Unterschied Auditprogramm - Auditplxan | SMCT-MANAGEMENT
Unterschied Auditprogramm – Auditplxan | SMCT-MANAGEMENT

Auditierung

Die Auditierung von Managementsystemen, gerade bei internen System Audits, sollte nicht aus der „hohlen Hand“ heraus, sondern nach einer strukturierten Prozedur erfolgen. Bei der Zertifizierung (3rd party Audit) erfolgt die Auditierung eines Management Systems nach der ISO/IEC 17021:2011 (auditieren und zertifizieren).

Die Durchführung von internen Audits zur Überprüfung eines Qualitätsmanagement Systems ISO 9001 und/oder IATF 16949 sollte gemäß der DIN ISO 19011 – Auditierung von MA-Systemen erfolgen. Der geregelte Ablauf einer Auditierung ist in der DiN ISO 19011 übersichtlich beschrieben und beinhaltet die Auditplanung, und/oder mehrere Auditprogramme, die Durchführung und Überprüfung eines Qualitätsmanagement Systems zum Beispiel der DIN ISO 9001, IATF 16949, DIN ISO 14001. Der Abschnitt 5 der ISO 19011 enthält Leitlinien zur Verwaltungsfunktion des Auditprogramms, auf die sich ein Auditor bei der Prüfung der Anforderungen des internen Audits beziehen muss. Personen, die für die Verwaltung eines Auditprogramms verantwortlich sind, sollten Folgendes sicherstellen:

  • Das Auditprogramm wird erstellt und geplant
  • Risiken und Chancen des Auditprogramms werden identifiziert
  • Auditprogrammziele werden definiert
  • Die Kompetenz eines Auditteams entspricht dem Auditumfang und -ziel für jedes Audit im Auditprogramm
  • Für alle Audits im Auditprogramm stehen ausreichende Ressourcen zur Verfügung
  • Einzelne Audits werden zur Bewertung und Verbesserung des Auditprogramms überwacht

Rollen und Verantwortlichkeiten

ISO 19011 enthält Anleitungen zur Planung von Audits, zur Durchführung von Audits und zur Berichterstattung über Audits. Es gibt hilfreiche Informationen zu verschiedenen Themen, darunter:

  • Rollen und Verantwortlichkeiten des Auditteams
  • Durchführung der Eröffnungs- und Abschlusssitzungen
  • Dokumentierte Informationen überprüfen
  • Sammeln und Überprüfen von Nachweisen
  • Auditergebnisse
  • Auditberichterstattung
  • In einigen Fällen finden Sie im Anhang zu ISO 19011 genauere Einzelheiten und zusätzliche Leitlinien.

Management Auditprogramm​

Die wesentlichen Aspekte eines Auditprogramms können auch übersichtlich mit einem Turtle veranschaulicht werden und ist hilfreich interne audits aktiv zu leiten und zu lenken. Die Einflussgrössen (Inputs) der Auditierung können abhängig sein von der Grösse des Unternehmens, relevante Auditkriterien, Kundenstatus (beim OEM) und den Ergebnissen aus den vorausgegangenen Audits.

Der Output der Auditierung sind die Auditprogrammziele, Verbesserungspotentiale, beseitige NON-Konformitäten und die Risiken der Organisation. Entscheidend für die Auditierung ist auch die fachliche Kompetenz der Auditoren. Die Auditoren sollten über eine fachliche, methodische Kompetenz Verfügungen und die Prozesse der Organisation kennen und die Risiken eines Auditprogramms im Vorfeld der Auditierung bewerten.

Kompetenz und Bewertung

Kompetenz ist in ISO 9000: 2015 definiert als „Fähigkeit, Wissen und Fähigkeiten anzuwenden, um die beabsichtigten Ergebnisse zu erzielen“. Die Leitlinien in ISO 19011 zur Kompetenz und Bewertung von Auditoren betonen die Bedeutung der Teamkompetenz sowie der des Einzelnen. Die Auditoren sollten über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um die beabsichtigten Ergebnisse der Prüfungen zu erzielen. Auditoren sollten sowohl über allgemeine als auch über branchenspezifische Kenntnisse und Fähigkeiten verfügen. Der Leiter des Auditteams sollten über die zusätzliche Kompetenz verfügen, das Auditteam zu führen.

Die Kompetenz sollte durch einen Prozess bestimmt werden, der das persönliche Verhalten eines Auditors und seine Fähigkeit berücksichtigt, die Kenntnisse und Fähigkeiten anzuwenden, die durch Ausbildung, Berufserfahrung, Schulung des Auditors und Prüfungserfahrung erworben wurden.

Einige Kompetenzkriterien für Auditoren können je nach Art des durchgeführten Audits (z. B. eines Zertifizierungsaudits durch Dritte) und der Branche oder Disziplin, die geprüft wird, variieren. Für externe Auditoren sind in ISO / IEC 17021-1, Abschnitt 4.3, allgemeine Anforderungen an Kompetenzkriterien definiert, wobei spezifische Kriterien in ergänzenden Dokumenten für einen bestimmten Managementsystemstandard oder -sektor definiert sind (z. B. ISO / IEC 17021-3 für Qualitätsmanagementsysteme) ). Einzelne Auditoren sollten jedoch den Inhalt von ISO / IEC 17021-1, Abschnitt 4.3, kennen, damit sie im Rahmen ihrer beruflichen Kompetenz aufrechterhalten, verbessern und arbeiten können.

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität