Interne Audits sind Prüfungen des Qualitätsmanagement-Systems (QM-Systems) und seiner Prozesse durch die Organisation selbst. Daher werden sie auch 1st Party Audits genannt.
Die ISO 13485 fordert interne Audits ebenso wie ihre „Schwesternorm“, die ISO 9001, und andere Normen und Regularien. Deshalb sind interne Audits auch Gegenstand der externen Audits und Voraussetzung für die QM-Zertifizierung.
Dieser Artikel hilft dabei, die normativen Anforderungen an die internen Audits präzise zu erfüllen, die sieben häufigsten Fehler zu vermeiden und die Zertifizierung erfolgreich zu bestehen.
1. Ziele interner Audits
Genauso wie die externen Audits verfolgen die internen Audits zwei wesentliche Ziele:
- Sicherstellen, dass das QM-System (die „eigenen Spielregeln“) den Forderungen der Normen genügt
- Sicherstellen, dass man sich an die eigenen Spielregeln hält
Interne Audits haben zusätzlich zum Ziel,
- durch unterjährige Prüfungen Abweichungen schneller zu finden und zu beheben sowie
- den Erfolg externer Audits zu gewährleisten.
2. Regulatorische Anforderungen
Die Anforderungen an die internen Audits legt die ISO 13485 im Kapitel 8.2.4 („Internes Audit“) und die ISO 9001 im gleichnamigen Kapitel 9.2 fest.
MDR und IVDR fordern interne Audits nicht explizit. Sie fordern jedoch (abhängig vom gewählten Konformitätsbewertungsverfahren) die interne Überprüfung der QM-Systeme:
Methoden zur Überwachung, ob das Qualitätsmanagement-System effizient funktioniert und insbesondere ob es sich zur Sicherstellung der angestrebten Auslegungs- und Produktqualität eignet
MDR /IVDR Anhang IX, Abschnitt 2.2
a) Anforderungen an ein Auditprogramm
Hersteller müssen nicht nur einzelne interne Audits planen und vorbereiten, sondern auch ein Auditprogramm aufstellen.
Festlegungen für einen Satz von einem oder mehreren Audits, die für einen spezifischen Zeitraum geplant werden und auf einen spezifischen Zweck gerichtet sind.
ISO 19011:2018, Kapitel 3.4
Der spezifische Zweck umfasst bei Medizinprodukteherstellern die Konformität des QM-Systems und der Produkte mit den regulatorischen Anforderungen und damit auch die Sicherheit der Patienten.
Mit dem Auditprogramm legen Hersteller fest, wann sie welche Bereiche (z. B. Prozesse und Organisationseinheiten) prüfen wollen. Beispielsweise könnte bei Audit 1 die Dokumentenlenkung im Fokus stehen (abteilungsübergreifend), bei Audit 2 die Produktionsabteilung mit ihren Prozessen und bei Audit 3 die Messmittel (abteilungsübergreifend).
Abhängig von den Ergebnissen einzelner Audits werden Hersteller die langfristige Planung (das Auditprogramm) adaptieren. Im Laufe der Zeit müssen alle Aspekte der ISO 13485 und das gesamte QM-System geprüft werden.
Die Definition des Begriffs Audit und mehr finden Sie unter dem Schlagwort ‚Audit‘.
Der Auditleitfaden für Software-Audits hilft Ihnen, Ihre Audits perfekt zu planen, einschließlich des Auditprogramms. Dieser Leitfaden wurde für Benannte Stellen entwickelt, die damit externe Audits durchführen.
b) Anforderungen an die Planung und Vorbereitung der internen Audits
Konform mit dem Auditprogramm müssen die Organisationen die internen Audits planen und vorbereiten.
Die Planung sollte u. a. beinhalten (s. ISO 19011:2018 Kapitel 6.3.2):
- Dauer & Zeitpunkt: Planen Sie, wann Sie die internen Audits durchführen. Das Auditprogramm gibt normalerweise nur die Zeiträume vor.
- Methoden: Planen Sie die Methoden/Verfahren, mit denen Sie auditieren möchten. Zu diesen Methoden lesen Sie weiter unten noch mehr.
- Personen: Wie viele Auditoren sind notwendig? Über welche Kompetenzen müssen diese verfügen?
- Kriterien: Abhängig von den Schwerpunkten können Sie festlegen, wann ein internes Audit bestanden ist. Welche Abweichungen wollen Sie erlauben? Zum Thema Kriterien lesen Sie weiter unten mehr.
Die Planung der internen Audits muss Bestandteil Ihres QM-Systems sein und z. B. im QM-Handbuch oder in einer Verfahrensanweisung zu internen Audits referenziert werden.
Die Themen beim spezifischen Auditplan leiten sich nicht nur aus der langfristigen Planung ab, sondern auch aus den Ergebnissen der letzten Audits: Bei internen Audits sollten Sie immer prüfen, ob die Beanstandungen aus vorangegangenen Audits umgesetzt wurden.
Im Sinne von CAPA (Corrective and Preventive Actions) sollten Sie dabei auch prüfen, ob nicht nur Fehler behoben wurden, sondern ob man daraus gelernt hat. Ob also nicht nur Korrekturen, sondern auch korrektive Maßnahmen ergriffen wurden. Planen Sie das mit ein.
Bei der Vorbereitung geht es um die Vorbereitung eines konkreten internen Audits. Zu den Aktivitäten zählen:
- Den Audittermin vereinbaren, Räume reservieren
- Zu auditierende Personen einladen
- Auditplan mit Themen und Uhrzeiten verschicken
c) Anforderungen an die Durchführung interner Audits
Internen Audits sollten nach Plan erfolgen. Abweichungen müssen dokumentiert werden. Falls beim Audit Nichtkonformitäten gefunden werden (das ist die Regel), sind die Organisationen verpflichtet, angemessene Korrekturmaßnahmen einzuleiten.
Die Norm ISO 19011 gibt eine Anleitung für QM-Audits (interne und externe Audits).
3. Interne Audits in der Praxis
a) Methoden für interne Audits
Bei internen Audits sollten Sie systematisch und methodisch vorgehen. Dazu zählen zum einen die o. g. Planungen und Vorbereitungen, aber auch die Methoden. Beispiele für den Einsatz verschiedener Methoden beim Audit sind (s. ISO 19011:2018 Anhang A.1):
- Befragung anhand von vorher festgelegten Checklisten
- Auswertung von Fehlerdatenbanken
- Exemplarische Reviews von Technischen Dokumentationen
- Kontrolle von Räumen (z. B. Sauberkeit) und Messmitteln (z. B. Datum letzter Kalibrierung)
- Dokumentation der Ergebnisse (Papier, Dokumentenmanagementsystem usw.)
- Kommunikation der Ergebnisse: Kanäle, Fristen, Empfänger
Diese Methoden lassen sich folgenden Klassen zuordnen
- Befragen
- Beobachten (von Handlungen)
- Begutachten von Nachweisen/Aufzeichnungen
b) Festlegen von Kriterien
Auch wenn gelegentlich empfohlen wird, ähnlich wie die benannten Stellen auch bei internen Audits zwischen „minor“ und „major“ Abweichungen zu unterscheiden, so sollte dennoch klar sein, dass keine Norm fordert, diese Abweichungen zu definieren. Nach ISO 19011 können aber Nichtkonformitäten risikobasiert klassifiziert werden.
Eine Kennzahl festzulegen, wie viele Abweichungen man haben darf (jeweils minor und major), kann ebenfalls kontraproduktiv sein. Die Kennzahl zu verwenden, wie viele der gefundenen Fehler nachhaltig behoben wurden, erscheint hingegen sinnvoll.
c) Anforderungen an die internen Auditoren
Die Normen stellen nicht nur Anforderungen an die internen Audits selbst, sondern auch an die Auditoren. Achten Sie darauf, dass diese die notwendigen Kompetenzen nachweisen können!
Die Schulung zum Internen Auditor vermittelt Ihnen alle notwendigen Kompetenzen. Belegen können Sie diese externen Auditoren und Ihrer Benannten Stelle gegenüber anhand der Teilnahmebescheinigung und des Leistungsnachweises.
Interne Auditoren müssen mehrere Anforderungen erfüllen:
- Kompetenz: Sie müssen nachweisen können, dass Sie über die notwendigen Kompetenzen verfügen, z. B. die Normen kennen, Auditpläne aufstellen können, Abweichungen beurteilen können usw.
- Objektivität, Unabhängigkeit: Auditoren müssen unabhängig sein, um objektiv urteilen zu können. Diese Unabhängigkeit müssen sie begründen können, beispielsweise über ein Organigramm bzw. eine Stellenbeschreibung.
- Kommunikation und Moderation: Auditoren sind aufgrund ihrer Tätigkeit nicht immer willkommen: Sie müssen den Finger in die Wunde legen und Missstände aufdecken. Daher sollten interne und externe Auditoren gute Kommunikatoren sein und in der Lage, auch schwierige Gespräche souverän zu führen.
4. Die sieben häufigsten Fehler bei internen Audits
Fehler 1: Unzureichendes Auditprogramm, falscher Fokus
Beim Auditprogramm unterlaufen den Organisationen gleich mehrere Fehler:
- Das Auditprogramm fehlt, d. h. die Firmen planen nur die einzelnen Audits, aber nicht – wie gefordert – einen Satz an Audits.
- Das Auditprogramm stellt nicht sicher, dass die Organisation das ganze QM-System mit allen Prozessen prüft, z. B. auch die ausgelagerten Prozesse.
- Das Auditprogramm wurde einmal festgelegt und wird nicht adaptiert. Das ist aber insbesonere notwendig bei „Findings“ im Rahmen interner und externer Audits, bei Zwischenfällen mit den eigenen Produkten oder auch bei sonstigen Beobachtungen.
- Das Auditprogramm zielt nur auf die Konformität mit den Anforderungen der ISO 13485. Meist sind auch andere Vorgaben zu beachten wie die Anforderungen der MDR bzw. IVDR, die Anforderungen der FDA im 21 CFR part 820 oder jenen von integrierten Managementsystemen wie ISO 27001.
Fehler 2: Falsche Frequenz
Die Normen sprechen von „geplanten Abständen“, geben aber keinen Zeitraum vor. Daher führen viele Organisationen interne Audits nur einmal pro Jahr durch. Dieser Abstand kann aber zu groß sein. Begründungen für zusätzliche Audits wären z. B. eine Prozessänderung, eine Organisationsänderung oder Maßnahmen bei schwerwiegenden Abweichungen.
Fehler 3: Mangelnde Kompetenz, falsche Personen
Die Aufgabe, interne Audits durchzuführen, sollte nicht allein beim QM-Beauftragten liegen. Diesem fehlt oft das prozessuale Wissen.
Außerdem müssen die Organisationen die Neutralität der Auditoren gewährleisten. So sollte ein QM-Beauftragter nicht den Prozess der internen Audits prüfen, wenn er selbst dafür verantwortlich zeichnet.
Fehler 4: Mangelnde Konsequenz
Möglicherweise der schlimmste Fehler ist die mangelnde Konsequenz. Die Aufgabe der Auditoren besteht darin, Fehler zu finden, auch wenn das die Auditierten nicht mögen.
Wenn Abweichungen gefunden werden, müssen die Ursachen dann auch erforscht und beseitigt werden. Im Fall von Korrekturmaßnahmen „ohne unangemessene Verzögerung“.
Wenn eine Nichtkonformität auch im Folgejahr noch besteht, liegt kein wirksames QM-System vor.
Fehler 5: Unzureichende Dokumentation
Auch die Dokumentation ist fehleranfällig:
- Was nicht dokumentiert ist, existiert nicht. Eine Dokumentation ist also erforderlich.
- Das betrifft explizit auch den Nachweis der Konformität und nicht nur den Nachweis von Nichtkonformitäten. Ein neutraler Dritte muss nachvollziehen können, was der Auditor geprüft hat und wie er oder sie zu dem Ergebnis gekommen ist.
- Die Nachweise beziehen sich in der Regel auf Aufzeichnungen, z. B. Testberichte, Wareneingangskontrollen, Review-Protokolle usw. Diese müssen eindeutig identifizierbar sein.
Die Dokumentation der internen Audits sind Aufzeichnungen, die gelenkt werden müssen.
Lesen Sie hier mehr zur Dokumentenlenkung.
Fehler 6: Verheimlichen der Ergebnisse
Es ist wenig sinnvoll, im externen Audit die bei internen Audits gefundenen Abweichungen zu verheimlichen. Vielmehr ist es ein Ausweis wirksamer interner Audits, diese Fehler zu finden, und ein Ausweis eines gelebten QM-Systems, dass diese Abweichungen schnell und konsequent beseitigt werden.
Fehler 7: Unzureichendes Commitment vom Management
Der Fisch stinkt vom Kopf her. Das gilt auch für QM-Systeme. Wenn das Management nicht hinter dem QM-System steht, haben es nicht nur die QM-Beauftragten schwer.
Ein Indikator für dieses Commitment ist, wie sehr das Management die Ergebnisse der internen Audits bei den Managementbewertungen berücksichtigt.
Lesen Sie mehr zu Managementbewertungen.
5. Fazit und Zusammenfassung
Interne Audits sind ein integraler Teil jedes QM-Systems. Mit ihnen überprüft eine Organisation auf zuvor festgelegte Weise (Auditprogramm, Auditplanung) die Wirksamkeit des Systems. Wenn der Eindruck eins „QM-Overheads“ entsteht, dann ist das ein Anzeichen falsch durchgeführter interner Audits oder einer mangelnden Qualitätskultur.
Möchten Sie sicherstellen, dass Ihr QM-System das nächste externe Audit sicher besteht und Sie Ihr Zertifikat erlangen bzw. behalten?
Das Team des Johner Instituts prüft mit Mock-Audits die Konformität Ihres QM-Systems. Mit diesen Mock-Audits erfüllen Sie gleichzeitig die Anforderungen nach internen Audits. So schlagen Sie zwei Fliegen mit einer Klappe.
Melden Sie sich, wenn Sie die nächsten Schritte gemeinsam mit uns besprechen möchten.
Änderungshistorie
- 2023-05-26: Artikel völlig überarbeitet und aktualisiert
- 2015-07-02: Erste Version veröffentlicht
Sehr geehrter Thern,
ich interessiere mich für das Seminar. Ich bin QMB einer 13485 zertifizierten AEMP.
Deshalb wollte ich fragen, ob das Seminar auf Hersteller oder auch auf QM’ler einer AEMP ausgerichtet ist?
Das letzte Seminar was ich in einer anderen Akademie besucht habe, war zu „herstellerlastig“. Das hat mir leider wenig geholfen.
Ich freue mich auf Rückmeldung.
Mit freundlichen Grüßen
Martina Ostermann
Blöde Frage: Ein Internes Audit nach ISO 13485 ist ausschließlich ein System Audit? Gleichzeitig Prozess- oder sogar Produkt Audit hat im Internen Audit Bericht nichts zu suchen?
Freundliche Grüße
Ph. Meier
Liebe/r Ph-Meier,
das ist eine super Frage!
Das Ziel des internen Audits besteht darin, die Konformität des QM-Systems zu überprüfen. Daher ist es meist ein Systemaudit. Aber manchmal schaut man sich nur einen einzelnen Prozess an. Manchmal pickt man sich ein Produkt raus, das man nachverfolgt. D.h. es könnten auch anderen Formen gewählt werden.
Während eines internen Audits prüft man aber kein Produkt z.B. auf Gebrauchstauglichkeit oder auf ein ausgewogenes Nutzen-Risiko-Verhältnis. Man prüft, ob das QM-System in der Lage ist, sicherzustellen, dass das Produkt (und alle anderen auch) gebrauchstauglich ist und über ein ausgewogenes Nutzen-Risiko-Verhältnis verfügt.
Beste Grüße in die schöne Schweiz, Christian Johner
Lieber Herr Johner,
wir fragen uns ob wir nur dann eine Interne Audit durchführen können wenn der designierte Mitarbeiter auch ein Zertifikat vorweisen kann, wäre eine Durchführung durch die Geschäftsleitung oder den QMB denn nicht möglich?
Könnte ein fehlendes Zertifikat zur Durchführung eines Internen Audits im Unternehmen zu einer Abweichung von der benannten stellen führen.
Liebe Anna,
die ISO 13485 selbst trifft keinerlei Aussage über die Qulifizierung oder Kompetenz von internen Auditoren. Sie verweist aber auf die ISO 19011.
In der ISO 19011:2018 befasst sich das komplette Kapitel 7 mit der Kompetenz von Auditoren und aus 7.2.4 „Erwerben der Auditor-Kompetenz“ geht hervor, dass es zwar verschiedene Möglichkeiten gibt, Auditoren-Kompetenz zu erwerben, aber da eine Kombination der genannten Elemente gefordert wird, kommt man um eine Schulung nicht herum.
Gibt es im Unternehmen bereits kompetente Auditoren, kann die Schulung auch durch Begeitung intern erfolgen. Ist dies nicht der fall, ist es schwierig vor der Benannten Stelle zu argumentieren, wie die entsprechende Kompetenz erworben wurde, wenn nicht eine externe Schulung besucht wurde. In der Praxis bestehen daher viele Auditoren Benannter Stellen auf entprechende Schulungsnachweise der internen Auditoren.
Herzliche Grüße,
Ulrich Hafen
Hallo Herr Hafen, könnten Sie vielleicht auch meine Frage beantworten? ich bin ein zertifizierter interner und Lieferantenauditor seit vielen Jahren. Meine Audits wurden stets von externen Auditoren sehr gut bewertet und als professionell befunden. Nun habe ich einen neuen Chef. In einem internen Meeting hat mein neuer Chef eine neue Vorgehensweise für interne Audits gefordert: eine Erfassung der im Audit betrachteten Dokumente, einschließlich Screenshots von Informationen aus internen Systemen und Kopien von Dokumenten aus auditierten Bereichen, die als Belege für den Auditbericht beigefügt werden sollten. In dem Meeting habe ich auf den Datenschutz und personenbezogene Daten hingewiesen, die fast in jedem Audit zu sehen sind (z.B. Einarbeitungspläne oder Qualifikationsnachweise). Daraufhin habe ich gesagt, dass ich die Audits unter diesen ungeklärten Datenschutzbedingungen nicht durchführen werde. Meiner Meinung nach kann ich als Auditor den Auditauftrag ablehnen, falls die Datenschutzrisiken nicht abgeklärt sind (siehe p. 6.3.2.2 der ISO 19011, in dem steht, dass die Auditplanung “Angelegenheiten, die sich auf die Vertraulichkeit und Informationssicherheit beziehen” abdecken soll). Dennoch habe ich von meinem Chef eine Abmahnung erhalten, in der mir Arbeitsverweigerung vorgeworfen wird.
Die Frage ist: Kann ein interner Auditor bei geänderter Auditführungsmethode “Nein” sagen und die Untersuchung der Auditbedingungen auf Datenschutzrisiken verlangen? Wie kann ich mich in dieser Situation schützen? Vielen dank im Voraus!
Liebe Frau Franke,
vielen Dank für Ihre sehr interessante Frage. Ich hoffe sie im Folgenden zu Ihrer Zufriedenheit zu beantworten:
Screenshots und Kopien als Auditnachweise zu dokumentieren und in einem Auditbericht zu referenzieren ist erstmal nichts Ungewöhnliches. Aus Sicht der Effizienz stellt sich dabei die Frage, ob das wirklich nötig ist, oder der Verweis auf das beim Audit gültige Dokument nicht ausreicht. Das Ziel eines internen Audits ist es schließlich nicht, Nachweise für die Konformität zu dokumentieren (das ist das Ziel des Zertifizierungsaudits), sondern auf Konformität zu prüfen und möglichst viele Schwachstellen und Verbesserungspotentiale zu identifizieren und abzustellen.
Da es sich um ein internes Audit handelt und die Auditnachweise im Normalfall nicht nach außen gegeben werden und vor unbefugten Zugriff geschützt sein sollten, ist im Einzelfall zu bewerten, ob es sich bei dem beschriebenen Vorgehen tatsächlich um einen Verstoß gegen geltendes Datenschutzrecht halten kann.
Bei Unsicherheit, ob ein potenzieller Gesetzesverstoß gegen gültiges Datenschutzrecht bei den geänderten Auditprozessen vorliegt, empfehle ich in einer ersten Stufe ihren Datenschutzbeauftragten einzuschalten und bei weiterer Unklarheit einen Fachjuristen hinzuzuziehen.
Bitte haben Sie Verständnis, dass wir Ihnen leider nicht beantworten können, inwieweit Sie die Durchführung Ihrer Aufgaben verweigern dürfen oder gar müssen. Und auch zur Rechtfertigung einer Abmahnung in Ihrem Fall, können wir leider keine Auskunft geben. Hierzu sollten Sie sich an einen ausgewiesenen Juristen mit Expertise im Arbeitsrecht wenden.
Herzliche Grüße,
Ulrich Hafen