Audits der ISO 9001:2015: Vorgehensweise beim risikobasierten Ansatz
Die neue Norm arbeitet nicht im selben Maße wie die alte mit vorgefertigten Checklisten, die durchgegangen werden. Schwerpunkt ist der risikobasierte Ansatz, der Wert legt auf die Erfassung komplexer Zusammenhänge – und dies hat einen großen Einfluss auf die Audits. Das beginnt mit den vier zentralen Punkten, aus denen dieser Ansatz besteht:
- Interne und externe Themen der Organisation
- Relevante und interessierte Parteien
- Relevante Anforderungen dieser interessierten Parteien
- Risiken und Chancen innerhalb der Prozesse
Um diese Punkte optimal erfassen zu können, muss das Audit darauf abgestimmt sein. So soll das Audit deutlich verdeutlichen und belegen, dass die jeweiligen Verantwortlichen der Prozesse diese Ansätze verstanden und implementiert haben.
Ein Tipp für die Praxis: Anstelle der bislang üblichen stichprobenartigen Vorgehensweise im Audit empfiehlt sich eine enge Verknüpfung dieser Punkte mit den zu auditierenden Prozessen. Das ergibt ein wesentlich aussagekräftigeres und runderes Bild. Je gründlicher anfangs auditiert und unterstützt wird, desto besser verläuft die Gewöhnung der Prozessbeteiligten und das QMS wird sicher und verlässlich etabliert.
Die Vorbereitung
Die ISO 9001:2015 macht es unerlässlich, sich gezielt auf sie und ihre Neuerungen vorzubereiten. Entsprechend sehen die Fragen anders aus und könnten beispielsweise lauten:
- Sind in den vergangenen zwei Monaten auf interner oder externer Basis neue Themen entstanden, die Einfluss auf Ihre Prozesse nehmen und die Sie entsprechend behandeln müssen?
- Auf welche Weise erfolgte die Information und Kommunikation im Unternehmen?
- Es kann vorkommen, dass keine Themen erwähnt werden. Dies liegt in der Regel daran, dass die betreffenden Personen mit der neuen Norm noch nicht vertraut sind. Der Auditor sollte in diesem Fall jene Themen, die er im Vorfeld ermittelt hat, ansprechen und ihre wahrscheinlichen Auswirkungen nennen.
- Werden jedoch Themen genannt, wird im Audit überprüft, wie die Prozessverantwortlichen mit ihnen umgegangen sind. Dazu eignen sich z.B. folgende Fragen:
- Sind sämtliche Ressourcen, die für die Planung notwendig sind, ermittelt?
- Sind schon Maßnahmen definiert worden und sind sie und ihr Zeitrahmen realitätsnah?
- Wie steht es um die Verfügbarkeit der notwendigen Ressourcen?
- Ist hinsichtlich des Risikoprozesses festgestellt worden, welchen Einfluss das betreffende Thema auf die Effektivität des Prozesses und auf die Produktkonformität hat?
- Inwieweit sind die definierten Maßnahmen bezüglich des Risikos angemessen?
Ein Tipp für die Praxis: Es ist ratsam, einen Prozess vom Anfang bis zum Ende vollständig zu auditieren. Bei einem Produktionsdurchgang sind also der Einkauf, die Vorbereitung, die Herstellung selbst, die Qualitätssicherung und die Auslieferung Bestandteil des Audits. Beispiel für ein neues Thema wäre hier die Einführung einer neuen Produktnorm, die bald gelten wird. Hier wird im Audit geprüft, in welchem Umfang diese neue Norm Einfluss auf den Produktionsdurchgang nehmen wird und welche Maßnahmen in welchem Bereich zu treffen sind. Auch sollte geschaut werden, ob alle Prozessbeteiligten ausreichend informiert wurden und die Gelegenheit haben, sich auf die Veränderung einzustellen. Dies gilt ebenso für die Kunden, die hiervon betroffen sein werden. Wird im Audit festgestellt, dass Informationslücken bestehen, muss die Kommunikation genau überprüft werden.
Die interessierten Parteien
Hier wird im Audit geprüft, ob die jeweiligen Prozessverantwortlichen ihre interessierten Parteien und deren Anforderungen kennen und in ihr Handeln einbeziehen. Im Produktionsdurchgang wären das beispielsweise die Lieferanten und die Auslieferer. Ihr Ausfall hätte einen großen Einfluss auf die Produktion, wäre also ein Risiko für den Prozess. Entsprechend sollte es einen Maßnahmenkatalog für diesen Fall geben, um die Qualität und Kontinuität der Produktion zu wahren. Das führt zu einer besseren Risikobewertung für diesen Prozess.
Beispiele für Fragen im Audit bezüglich interessierter Parteien:
- Welche Parteien sind in Ihrem Unternehmen als prozessrelevant eingestuft worden?
- Welche Anforderungen der Parteien spielen für Sie eine große Rolle und wie wird gewährleistet, dass diese Anforderungen erfüllt werden?
- Existiert ein Risiko, dass den Anforderungen nicht entsprochen werden kann?
- In welchen zeitlichen Intervallen finden Bewertungen der interessierten Parteien statt?
Risiken und Chancen im Prozess
Ein weiteres Kapitel im Audit sind andere mögliche Risiken des Prozesses, die u.a. auf folgende Weise erfragt werden können:
- Auf welche Weise erfolgte die Bewertung Ihrer Prozessrisiken und -chancen?
- Welche Risiken und Chancen sind definiert und auf welche Weise sind sie bewertet worden?
- Auf welche Art wird mit den definierten Chancen umgegangen?
- Welche Maßnahmen sind für welche Risiken festgelegt worden und wie erfolgt ihre Überwachung?
- Auf welche Weise wird die nächste Risikobewertung nach Ende der ersten Maßnahmen durchgeführt?
- Wie wird Ihre Vorgehensweise dokumentiert?
Um das Audit sehr prozessbezogen und individuell zu gestalten, empfiehlt sich eine konkrete Befragung eines realen Prozesses bzw. Prozessdetails. Welches Detail dies sein kann, ergibt sich aus dem Auditverlauf.
Die oberste Leitung
Die ISO 9001:2015 fordert nicht, dass die oberste Leistung zu jedem Prozess befragt wird. Jedoch ergibt eine Befragung zu einigen relevanten Themen ein vollständigeres Bild und die Leitung erhält die Gelegenheit, sich zum risikobasierten Ansatz zu äußern. So wird außerdem deutlich, ob die Leitung begreift, wo der Nutzen des Ansatzes liegt. Dies lässt sich z.B. mit diesen Fragen klären:
- Welchen Nutzen sehen Sie in diesem Ansatz?
- Welche äußeren Bedingungen zu diesem Ansatz sind von Ihnen festgelegt worden?
- Wer in Ihrem Unternehmen ermittelt und bewertet die Risiken, prüft die Maßnahmen?
Ratsam ist es hierbei, es nicht bei theoretischen Fragen zu belassen, sondern praktische Beispiele auszuwählen, anhand derer die Leitung auditiert wird. Am wirksamsten und aussagekräftigsten ist es, wenn ein Prozess mit einem hohen Risikopotential ausgewählt wird. So könnte gefragt werden:
wann aktuelle Risikobewertungen der Leitung vorgelegt werden auf welche Weise dies geschieht und was mit diesen Informationen gemacht wird
Optimalerweise ergibt das Audit bei der obersten Leitung ein gut ausgeprägtes Risikobewusstsein, gepaart mit einem ausführlichen Maßnahmenkatalog, der das immer vorhandene Restrisiko so gering wie möglich hält. Die Leitung hat schließlich für alle Risiken die Verantwortung und sollte den risikobasierten Ansatz als effektives Instrument zur Minimierung jedes Risikos betrachten. Für jedes Restrisiko, das bestehen bleibt, lässt sich dann eine entsprechende Vorsorge treffen, etwa eine finanzielle Rücklage oder eine Versicherung.
Zum Abschluss
Wenn im Zuge der ISO 9001:2015 von Risiken besprochen wird, sind damit nicht wirtschaftliche oder finanzielle Risiken gemeint, sondern Risiken – und auch Chancen – hinsichtlich der Produkt- bzw. Leistungskonformität. Auch die Steigerung der Kundenzufriedenheit fällt unter diese Definition. Somit ist der risikobasierte Ansatz ein umfassend und komplex angelegtes Thema, das eine gut ausgeprägte Informations- und Kommunikationskultur im Unternehmen erfordert.
Interne Audits: Läuft alles rund?
Mit einem internen Audit werden im Unternehmen die Prozesse überprüft:
- Entsprechen die Prozesse den QM-Dokumenten?
- Wo gibt es Problemfelder und Optimierungspotential?
Durchgeführt werden diese Audits durch eigene Mitarbeiter – aber um Neutralität und Professionalität zu wahren, kann das interne Audit auch von einem externen QM-Berater durchgeführt werden.
Arten interner Audits:
Produktaudits | Hier wird das fertige Produkt auditiert |
Prozessaudits | Einzelne Prozesse werden auditiert |
Systemaudits | Das gesamte Unternehmen wird auditiert |
Von der ISO 9001 gefordert ist das interne Audit, das die Wirksamkeit des eingeführten QM-Systems überprüft, verbessert.
In der Norm ist festgelegt, interne Audits zur planen, durchzuführen und auszuwerten ist. Generell setzt der interne Auditor eine vorbereitete Frageliste ein, die er abarbeitet. Im Auditverlauf kann er jedoch individuell auf Situationen reagieren, freie Fragen stellen und ein mögliches Problem präzise einkreisen.
Die anderen Auditarten beziehen sich auf jene Bereiche, die in ihrer Bezeichnung enthalten sind:
- Produktaudits auf bestimmte Produkte, bei denen eventuell Schwierigkeiten aufgetreten sind, oder wo der gesamte Herstellungsvorgang konkret nachvollzogen werden soll – dies kann auch für die Produkthaftung sinnvoll sein
- Prozessaudits auf komplexere Prozesse: Sind sie wirksam und normenkonform? Lassen sie sich weiter verbessern?