Viele weitere Artikel im Qualitäts- Umwelt-, Arbeitsschutz- und zur Informationssicherheit finden Sie in unseren Blog

Systemaudit ISO 9001

Systemaudit ISO 9001 | IATF 16949

QM Systemaudit ISO 9001

Die ISO 9001 fordert im Kapitel 9.2 „Die Organisation muss in geplanten Abständen interne Audits durchführen um die Wirksamkeit und Aufrechterhaltung gegenüber dem Regelwerk ISO 9001 zu überprüfen. Die Steuerung des internen Systemaudit IATF 16949 (Kapitel 9.2.2.2) erfolgt über das Auditprogramm. Dazu müssen für jedes einzelne Audit Auditkriterien sowie der Auditumfang festgelegt werden. Siehe auch den „Leitfaden für das auditieren von Managementsystemen ISO 19011“. Die Auditoren müssen gegenüber den auditierten Bereich Objektivität und Unparteilichkeit sicherstellen.

Was ist ein Systemaudit? Im Gegensatz zur ISO 9001 muss die Organisation gemäß den Anforderungen aus der IATF 16949 Abschnitt 9.2. über einen dokumentierten internen Auditdprozess verfügen. Das Systemaudit in der IATF 16949 muss die Entwicklung und Umsetzung für das gesamte QM System abdecken, Alle Prozesse müssen innerhalb von 3 Jahren bewertet werden. Der prozessorientierte Ansatz ist anzuwenden. Beim Systemaudit muss eine Auswahl von kundenspezifischen Forderungen in die Auditierung einbezogen werden.

Unterstützung​

Durchführung von internen Systemaudit DIN EN ISO 9001:2015 für regionale Firmen zum Vorzugspreis (Kennenlernen). Die Unternehmensprozesse aus einer anderen Sichtweise sehen. Viele interne Auditoren sind Betriebsblind und deshalb werden bei den internen Systemaudits so gut wie keine Abweichungen festgestellt. Ich mache ihnen ein unverbindliches Angebot. Sprechen Sie mich an!


QM Systemaudit mit Schulung Auditoren Festpreis

Angebot gilt für QM Systemaudit ISO 9001 oder IATF 16949

Preis auf Anfrage

  • Basisschulung ISO 9001 bzw. IATF 16949 (Schwerpunkte)
  • Durchführung QM Systemaudit mit SOLL:IST Vergleich – Schulung:Audit
  • Auditbegleitung durch max. 2 innerbetriebliche angehende Auditoren
  • Aufbau Audit Know-How firmenintern
  • Feedback und Austausch wird im Audittagesplan ausreichend berücksichtigt
  • Innerbetriebliche Auditoren können das gelernte Wissen sofort anwenden
  • Praxis Tips durch erfahrenen Lead Auditor
  • Gemeinsame Erstellung des Auditberichts gemäß dem Leitfaden ISO 19011
  • Ableiten von Verbesserungspotenzialen
  • Erstellung Maßnahmenplan mit Handlungsempfehlungen
  • Audit wird durch Zertifizierungsstellen als internes Audit anerkannt
  • 2-Tagesschulung mit max. 2 internen Auditoren

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ – Deutsche Gesellschaft für Qualität

System Audit ISO 9001​

Das interne Systemaudit ISO 9001 ist ein wirksames Werkzeug, um zu bestimmen, in welchen Maße das Qualitätsmanagement System bestimmte Anforderungen erfüllt und zeigt auf, welche Verbesserungen die Organisationsleistung erhöhen können. Es kann und darf auch mit einem Compiance Audit kombiniert werden.

Die Auditplanung, nicht zu verwechseln mit dem Auditprogramm, wird für jedes einzeln durchgeführte Systemaudit erstellt. Die Planung umfasst neben den zeitlichen Ablauf, die Auditkriterien und die zu auditierenden Bereiche und Prozesse (siehe DiN EN ISO 19011). Sie können das interne Audit auch so planen, dass sie das Audit über mehrere Monate hinweg durchführen. Im Monat Februar auditieren sie die Prozesse Entwicklung und Vertrieb. Im Monat März die Prozesse Beschaffung und Logistik – und so weiter. Das ist dann sinnvoll, wenn die erforderlichen Kennzahlen zum Beispiel nur vierteljährlich ausgewertet werden.

Es gibt keine Forderung der ISO 9001 das interne Systemaudit ISO 9001 vollständig an einem oder zwei Werktagen durchzuführen. Das können sie auch mit der Managementbewertung ebenso bewerkstelligen. Kein ISO Regelwerk fordert, die Managementbewertung an einem bestimmten Tag und/oder komplett am Stück durchzuführen.

Unterschied Auditprogramm - Auditplxan | SMCT-MANAGEMENT
Unterschied Auditprogramm – Auditplxan | SMCT-MANAGEMENT

Prozessorientiertes Systemaudit​

Was ist ein prozessorientiertes Systemaudit? Einfach erklärt bedeutet das, dass sie sich anhand der Prozessbeschreibungen durch den Prozess führen lassen. Was sind die In- und Outputs, welche Leistungskennzahlen liegen vor, Nachweise, Prüfungen im Prozess, Schnittstellen zu anderen Prozessen bzw. Standorten oder ausgelagerten Prozessen; einfach alle dokumentierten Prozessschritte gemäß der Prozessbeschreibung hinterfragen und sich mit Nachweisen belegen lassen und das gegenüber den Normforderungen verifizieren.

Wenn Sie beispielsweise Messgeräte prüfen, sollten Sie in Betracht ziehen, das Audit mit den Prozessen zu kombinieren, in denen die Messung stattfindet und in denen die Messergebnisse verwendet werden. Auf diese Weise kann die Probenentnahme durch den Messprozess mit den Ergebnissen in Beziehung gesetzt werden. Das Konzept des „internen Kunden“ sollte untersucht und die Kundenzufriedenheit zwischen internen Funktionen berücksichtigt werden (z. B. wie gut stellt die Wartungsfunktion die Betriebszeit der Geräte sicher? – Schnittstelle Wartung & Instandhaltung).

Auditoren sollten das Audit auf der Grundlage der von der Organisation festgelegten Prozesse planen und Fragen vorbereiten, um die Umsetzung des Prozessansatzes in der Organisation zu bewerten.

Der Auditor sollte die Definition des Prozesses in ISO 9000 berücksichtigen: „Reihe miteinander verbundener oder interagierender Aktivitäten, die Eingaben verwenden, um ein beabsichtigtes Ergebnis zu erzielen“ und die Beschreibung des Prozessansatzes in der Einführung zu ISO 9001. Diese Beschreibung ist rein informativ aber es ist hilfreich zu verstehen, wie der Prozessansatz im Standard implementiert wird. Das folgende Abbildung erleichtert das Verständnis eines einzelnen Prozesses.

Prozessanalyse Turtle
Prozessanalyse Turtle

Anforderung an Prozesse

In Abschnitt 4.4 von ISO 9001: 2015 werden umfassende Anforderungen an eine Organisation festgelegt, um die für ihr Qualitätsmanagementsystem erforderlichen Prozesse zu bestimmen und anzuwenden. Gleichzeitig wird der PDCA-Zyklus zur kontinuierlichen Verbesserung und Integration des risikobasierten Denkens berücksichtigt. Dementsprechend sollten Audits auf die Analyse der Prozesse der Organisation ausgerichtet sein.

Prozesse sollten analysiert, überwacht, gemessen und verbessert werden

Der Auditor sollte in der Lage sein, die Komplexität des geprüften Prozesses zu verstehen. Dies erleichtert dem Auditor das Verständnis der Verbindung zwischen den Prozessen und den wahrgenommenen Risiken. Der Grad der Überwachung, Messung und Verbesserung jedes Prozesses hängt vom Kontext der Organisation, ihrer strategischen Absicht und ihren festgelegten Risiken und Chancen ab. Auditoren sollten sich bewusst sein, dass die Anwendung des Prozessansatzes von Organisation zu Organisation unterschiedlich sein wird, abhängig von der Größe und Komplexität der Organisation und ihrer Aktivitäten.

Besondere Aufmerksamkeit sollte der Situation in kleinen und mittleren Unternehmen (KMU) gewidmet werden, in denen möglicherweise weniger Prozesse stattfinden. Auditoren sollten überprüfen, ob etablierte Leistungsindikatoren ausgewogen sind, nicht miteinander in Konflikt stehen, realistisch sind, Einblicke in die Prozessleistung bieten und im gesamten Unternehmen verstanden werden. Der Auditor sollte bewerten, ob die Leistungsindikatoren der Organisation den effektiven Betrieb und die Kontrolle ihrer Prozesse ermöglichen und ob sie sich auf die Risiken und Chancen für diese Prozesse beziehen.

Ursachenanalye​

Wichtig ist, dass das Systemaudit bzw. die Managementbewertung bei der Zertifizierung vorliegen. Es muss nur gewährleistet sein, dass die beiden Werkzeuge Managementbewertung und Systemaudit vom Tag der Zertifizierung gerechnet, nicht älter als 12 Monate zurückliegen.

Die festgestellten Abweichungen im Audit müssen durch eine Ursachenanalyse bestimmt und behoben werden. Für die Durchführung von Ursachenanalysen ist das Ishikawa Werkzeug immer noch die beste Methode. Haben sie unterschiedliche Management Systeme implementiert, können sie das interne Systemaudit ISO 9001 als „Kombi-Audit“ laufen lassen.

Identifizierung kritischer Bereiche

Bewerten Sie Ihren Ansatz zur Identifizierung kritischer Bereiche oder Prozesse sowie andere Parameter. Hat die Organisation beispielsweise folgendes identifiziert:

  • seine Prozesse, die für die Produktqualität entscheidend sind
  • seine komplexen Prozesse oder diejenigen, die besondere Aufmerksamkeit erfordern
  • seine Prozesse, die validiert werden müssen
  • seine Prozesse, bei denen Personal qualifiziert werden muss
  • seine Prozesse, die eine genaue Überwachung der Prozessparameter erfordern
  • seine Überwachungs- und Messaktivitäten, die eine häufige Kalibrierung oder Überprüfung erfordern
  • seine Aktivitäten und Prozesse, die an mehreren Standorten stattfinden oder arbeitsintensiv sind
  • Prozesse, bei denen Probleme aufgetreten sind oder in Gefahr sind
  • etablierte Prozessleistungsindikatoren, die Effektivitäts- und Effizienzmaßnahmen definieren, und stimmen diese Maßnahmen mit den allgemeinen Zielen und Vorgaben der Organisation überein?
  • Verwendet die Organisation solche Informationen, um die Prüfhäufigkeit solcher Prozesse und Aktivitäten festzulegen?

Durchführung Audit​

Die Durchführung von internen Systemaudits sollte nicht mit einem Fragenkatalog VDA Prozessaudit 6.3 durchgeführt werden. Überhaupt benötigt man für das interne Systemaudit ISO 9001 keine Checkliste oder Fragenkatalog. Sie überprüfen die Anforderungen der Norm gegenüber den dokumentierten Informationen anhand Prozessbeschreibungen, Verfahrensanweisungen und/oder Arbeitsanweisungen etc. Lassen sie sich die Umsetzung der Anforderungen gegenüber der Norm zeigen auf Papier oder im System implementierte Prozesse wie z.b. die Lieferantenbewertung.

Wichtig ist auch hier, dass die Wirksamkeit der Anforderungen aus der ISO 9001 aufgezeigt werden können, in welcher Form auch immer. Der Auditor muss natürlich die Informationen aus dem Audit dementsprechend bewerten können ob dadurch die Wirksamkeit des Qualitätsmanagement Systems auf der einen Seite und die Normforderung der ISO 9001 auf der anderen Seite erfüllt wurden. Dazu benötigt der Auditor gute Kenntnisse der Norm ISO 9001 und eventuell auch der ISO 19011.

Während eines Audits sollte der Auditor auf Hinweise achten, die auf Unzufriedenheit des Kunden hinweisen können und die von der Organisation im Rahmen der Bearbeitung von Kundenbeschwerden hätten behoben werden müssen. Gute Quellen für solche Informationen können zum Beispiel sein:

  • Vom Kunden zurückgegebene Waren
  • Garantieansprüche
  • Überarbeitete Rechnungen
  • Gutschriften
  • Artikel in den Medien
  • Direkte Beobachtung oder Kommunikation mit dem Kunden z.B. in einer Service Organisation

Der Umfang der für die Prozesse erforderlichen dokumentierten Informationen (d. H. Dokumente oder Aufzeichnungen) sollte von der Organisation in dem Umfang festgelegt werden, die erforderlich ist, um das Vertrauen in die Wirksamkeit des QMS zu schaffen. Der Standard legt weder Format noch Medien oder Inhalt der dokumentierten Informationen fest. Wenn es eine bestimmte kundenspezifische, gesetzliche oder behördliche Anforderung zur Aufrechterhaltung oder Aufbewahrung dokumentierter Informationen gibt, sollte der Auditor die Konformität mit diesen Anforderungen überprüfen. Beispiele für mögliche dokumentierte Informationen sind Prozessblätter, Prozesslandkarten, IT-Workflows und Turtle-Diagramme. Dokumentierte Informationen können auch ein wesentlicher Bestandteil von Softwareprogrammen und anderen digitalen Medien wie Testsoftware oder ERP-Systemen sein.

Wenn die Beschreibung des Prozesses vom Auditor und von der auditierten Stelle nicht in gleicher Weise interpretiert wird, sollte der Auditor versuchen, den Standpunkt der auditierten Stelle zu verstehen und seine eigene Ansicht nicht durchsetzen, es sei denn, dies ist klar und wird durch ausreichende objektive Beweise gestützt, dass die Normanforderungen nicht erfüllt sind. Gleiches gilt, wenn der Auditor der Ansicht ist, dass bestimmte Prozesse nicht korrekt identifiziert wurden oder fehlen.

Der Auditor sollte beurteilen, ob die Organisation angemessene dokumentierte Informationen erstellt hat, um sicherzustellen, dass die Prozesse in dem Umfang verstanden werden, der zur Unterstützung einer wirksamen Umsetzung ihrer Prozesse erforderlich ist. Die auditierte Stelle hat das Recht, ihre eigene Terminologie zu verwenden. Es liegt in der Verantwortung des Auditors, ein klares Verständnis der Konzepte der auditierten Stelle sicherzustellen, um zu gewährleisten, dass die Anforderungen des Standards erfüllt werden.

ISO 19011​

Sowohl die IATF 16949 als auch die DIN EN ISO 9001 verweisen in der Norm auf die DIN EN ISO 19011 als Leitlinie für die Durchführung von internen Audits. Sobald Sie den Leitfaden in der Organisation bei internen Audits und/oder Systemaudit IATF 16949 anwenden mit Verweis im internen Auditprogramm, dann wird diese Leitlinie zur Pflicht und der Leitfaden wird zu einer Anforderung. Diese gilt es dann auch umzusetzen. Im Systemaudit Bericht müssen dann auch die Regualieren der ISO 19011 angewendet werden.

Auditzeitplan

Der Auditzeitplan enthält neben den Auditkriterien auch die Auditziele, die zu auditierenden Prozesse mit Verantwortlichkeiten und den zeitlichen Ablauf der Auditierung. Auditieren sie entlang der Prozesskette anhand der vorliegenden Prozessbeschreibungen.

Die Inputs- und Outputs sowie die Prozesskennzahl(en) liefern ihnen genügend „Stoff“ um die Effizienz und Wirksamkeit des QMS zu bewerten. Was benötigt der Prozess für Eingaben? Was sind die Prozessergebnisse? Wie werden die Prozessergebnisse bewertet – Prozesskennzahl(en)?

Welche Hilfsmittel (Maschinen, Equipment, Ressourcen) werden benötigt und sind diese vorhanden? Welche Schnittstellen zu anderen Prozessen muss ich beachten? Wenn sie diese Fragen beim auditieren der Prozesse beherzigen, benötigen Sie keine Auditcheckliste oder ähnliches.

Auditfrageliste​

Die Auditfrageliste hat in der prozessorientierten Organisation nichts verloren. In der ganzen Norm DIN EN ISO 9001 finden sie keinen Hinweis auf Fragelisten bzw. Checklisten für die Durchführung der internen Audits. Die Normforderungen auf Umsetzung und Wirksamkeit zu überprüfen kann auf andere, effektivere Weise erfolgen. Voraussetzung ist allerdings, dass sie das Regelwerk interpretieren und wissen welche Prozesse in den einzelnen Normkapiteln hinterfragt werden müssen. Um das interne Systemaudit zu starten benötigen sie einen freigegebenen Auditzeitplan für die Durchführung

Zusatzforderungen Automobilindustrie​

Alle Prozesse der Produktion müssen innerhalb von 3 Kalenderjahren auditiert werden. Hierbei sind die kundenspezifischen Anforderungen bezüglich der Prozessauditansätze zu berücksichtigen. D.h., Volkswagen fordert beispielsweise, dass die Prozessaudits nach VDA 6.3 durchgeführt werden müssen.

Sofern hier keine Forderungen der Kunden vorliegen, kann die Organisation selbst entscheiden auf welcher Basis die Prozessaudits durchgeführt werden. Beachtet werden muss, dass prozessbezogenen Risikoanalysen, bspw. FMEA, Produktionslenkungspläne PLP und sonstige Dokumente in die Auditierung einbezogen werden müssen.

Beim Systemaudit IATF 16949 und/oder Prozessaudits sind die Leistungstrends von Qualitäts- und Aufzeichnungen der operativen Leistung beim Audit einzubeziehen und entsprechend zu priorisieren. Die Priorisierung kann aufgrund von Prozesskennzahlen (Leistungsindikatoren) durchgeführt werden. Schwerpunkt sind also die Prozesse, wo die Prozessleistung nicht oder nur teilweise erreicht wurde. Diese Prozesse haben eine höhere Priorität bei der Auditierung. Leistungstrends sind ein wichtiger Indikator bei der Auditierung von Prozessen.

Qualifikation Personal​

Die Qualifikation von 1st/2nd Party Auditoren für das Systemaudit IATF 16949 sind gemäß den Anforderungen im Abschnitt 7.2.3 „Kompetenz von internen Auditoren“ beschrieben. Wichtige Voraussetzungen sind bspw. das Verständnis für den prozessorientierten Ansatz der Automobilindustrie einschließlich der risikobasierten Denkweisen.

Verständnis zu den kundenspezifischen Forderungen als auch Kenntnisse über die Anforderungen der IATF 16949. Nichtsdestotrotz müssen weitreichende Kenntnisse in den Core Tools vorhanden sein. Dies betrifft vor allem die Standards MSA, APQP, FMEA, SPC sowie PPAP und das Produktions- und Freigabeverfahren PPF VDA Band 2.

Zertifizierung​

Die Zertifizierung des Qualitätsmanagement Systems durch eine unabhängige akkreditierte Gesellschaft (3rd party Audit) erfolgt in der Regel wie ein internes Systemaudit. Was bei beiden Auditarten sowohl beim internen Audit als auch beim 3rd party Audit Berücksichtigung finden muss, sind die kundenspezifischen Forderungen, soweit vorhanden.

Anders als beim Prozessaudit VDA 6.3 wo auch andere VDA Bände Gültigkeit haben, ist beim Systemaudit ISO 9001 nur die ISO Norm und vorhandene Kundenforderungen sowie die behördlichen und gesetzlichen Anforderungen an die Organisation zu berücksichtigen. Eventuell kommen noch Anforderungen von den interessierten Parteien hinzu.

Tips für’s das Systemaudit

  • Planen Sie die Verknüpfung der Prozesse um Synergien und Probleme mit den „internen Kunden“ zu untersuchen
  • Die verfügbaren dokumentierten Informationen sollten vor dem Audit überprüft werden um einerseits das Zeitmanagement besser abzuschätzen und andererseits die Entnahme von Stichproben zu verstehen
  • Verwenden Sie zurückliegende Auditergebnisse, um eventuelle Risiken zu berücksichtigen
  • Entwickeln Sie den Auditplan um die Prozesse herum und nicht um die Normforderungen
  • Verknüpfte Prozesse (Schnittstellen) sollten am besten immer vom selben Auditor überprüft werden um Abhängigkeiten besser zu verstehenVerknüpfte Prozesse (Schnittstellen) sollten am besten immer vom selben Auditor überprüft werden um Abhängigkeiten besser zu verstehen
  • Vereinbaren Sie direkt nach der Eröffnung ein Interview mit dem Top-Management, um den Kontext der Organisation, die strategische Ausrichtung, das Verständnis der relevanten interessierten Parteien und die Führung zu bewerten
  • Überlegen Sie im Vorfeld, ob Aspekte eines Systems, in denen es keinen eigenständigen Prozess gibt, im Rahmen von Beobachtungen oder Interviews geprüft werden können

Beispiele wo kein eigenständiger Prozess vorhanden ist

  • Bewusstsein für Qualitätspolitik
  • Die Effektivität und das Engagement der Führung
  • Interne und externe Kommunikation und Bewusstsein
  • Erfüllung der Ziele und Schnittstellen (Verknüpfung) mit den Gesamtzielen. Fragen Sie das Top-Management nach der Art und Weise wie sie die Ziele setzen und Verfolgen
  • Prozessumgebung und Infrastruktur – Kompetenz der Mitarbeiter am Arbeitsplatz – Verständnis für die Arbeit, die sie leisten
  • Dokumentierte Informationen – Nachweis der Kontrolle, Arten von Dokumenten usw. Diese kann dann verwendet werden, um Eingaben für den Prozess, Aufbewahrung, Archivierung und Pflege der dokumentierten Informationen zu ermitteln
nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität