Interne Audits & interner Auditor

Die ISO 13485 verlangt ebenso wie ihre „Schwesternorm“, die ISO 9001, interne Audits. Genauso wie die externen Audits verfolgen die internen Audits zwei wesentliche Ziele:

Sicherstellen, dass das QM-System (die „eigenen Spielregeln) den Normenforderungen genügt.
Sicherstellen, dass man sich an die eigenen Spielregeln hält.

Update: Kriterien zur Bewertung der Güte des QM-Systems

Inhaltsübersicht
Planung interner Audits »
Vorbereitung interner Audits »
Methoden »
Anforderungen an interne Auditoren »
Externe Audits »

Die Normen stellen aber nicht nur Anforderungen an die internen Audits selbst, sondern auch an die internen Auditoren. Achten Sie darauf, dass diese die notwendigen Kompetenzen z.B. durch eine Schulung zum internen Auditor nachweisen können!

Anforderungen der Norm an interne Audits

Planung der internen Audits

Sie müssen interne Audits planen und vorbereiten. Beginnen wir mit der Planung, die folgende Punkte adressieren sollte:

Häufigkeit: Planen Sie, wie oft Sie die internen Audits durchführen. Mindestens einmal pro Jahr!
Methoden: Planen Sie die Methoden, mit denen Sie auditieren möchten. Zu diesen Methoden lesen Sie weiter unten noch mehr
Personen: Wie viele Auditoren sind notwendig? Über welche Kompetenzen müssen diese verfügen? Welche Schwerpunkte sollten sie prüfen? Lesen Sie weiter unten noch mehr über Anforderungen an die Auditoren
Bereiche/Schwerpunkte: Planen Sie, im welchem Turnus Sie welche Bereiche prüfen wollen. Bereiche können Organisationseinheiten sein, aber ebenso inhaltliche Schwerpunkte. Beispielsweise könnten im Jahr eins die Dokumentenlenkung im Fokus stehen (abteilungsübergreifend), im Jahr zwei die Produktionsabteilung mit ihren Prozessen und im Jahr drei die Messmittel (abteilungsübergreifend). Abhängig von den Ergebnissen der Audits werden Sie diese langfristige Planung adaptieren.
Im Lauf der Zeit müssen Sie alles Aspekte der ISO 13485 geprüft haben.
Kriterien: Abhängig von den Schwerpunkten können Sie festlegen, wann ein internes Audit bestanden ist. Was klassifizieren Sie als kleine und was als schwerwiegende Abweichung? Wie viele kleine und schwerwiegende Abweichungen wollen Sie erlauben? Zum Thema Kriterien lesen Sie weiter unten noch mehr.

Diese Planung der internen Audits muss Bestandteil Ihres QM-Systems sein z.B. im QM-Handbuch referenziert werden.

Vorbereitung interner Audits

Bei der Vorbereitung geht es nun um die Vorbereitung eines konkreten internen Audits. Diese Vorbereitung kann umfassen:

Den Audittermin vereinbaren, Räume reservieen
Teilnehmer einladen
Auditplan mit Themen und Uhrzeiten verschicken:

Die Themen beim spezifischen Auditplan leiten sich aus der langfristigen Planung und den Ergebnissen der letzten Audits ab: Eine Frage, die Sie bei internen Audits immer beantwortet haben wollen, ist die, ob die Beanstandungen aus vorangegangenen Audits umgesetzt wurden.

Sie sollten im Sinne von CAPA (Corrective and Preventive Actions) auch prüfen, ob nicht nur die Fehler beheben wurden, sondern ob man daraus gelernt d.h. nicht nur korrektive, sondern auch präventive Maßnahmen ergriffen hat.

Übrigens: Es gibt sogar eine eigene Norm, die ISO 19011, die eine Anleitung für Qualitätsaudits (interne und externe Audits) gibt.

Auditleitfaden: Die IEC 62304 Checkliste

Der Auditleitfaden, der eine Auditcheckliste enthält, hilft Ihnen, Ihre Audits perfekt zu planen. Wir haben diesen Leitfaden überigens für einige TÜVs entwickelt, die damit externe Audits durchführen.

Auditcheckliste bestellen

Festlegen von Kriterien

Auch wenn gelegentlich empfohlen wird — ähnlich wie die benannten Stellen –, bei internen Audits zwischen „minor“ und „major“ Abweichungen zu unterscheiden, so sollte dennoch klar, dass dass in keiner Norm gefordert ist, minor und major Abweichungen zu definieren. Selbst die 19011 spricht nur vom Grad der Konformität mit dem Mgmt System.

Nur weil es die benannten Stellen diese Unterscheidung bei Audits treffen, müssen Sie dies nicht auch tun. Wir erachten es auch nicht als immer hilfreich. Der Fokus sollte auf dem Beheben des Problems liegen. Es ist schon schwierig genug, zwischen Verbesserungspotential und Abweichung zu unterscheiden.

Die Kennzahl wie viele minor oder major Abweichungen man haben darf, kann ebenfalls kontraproduktiv sein. Eine Kennzahl, wie viele der gefundenen Fehler ordentlich behoben wurden, erscheint hingegen sinnvoll.

Methoden für interne Audits

Bei internen Audits sollten Sie systematisch und methodisch vorgehen. Dazu zählen zum einen die o.g. Planungen und Vorbereitungen. Dazu zählen aber auch die Methoden bei Auditieren selbst. Beispiele für Methoden beim Audit umfassen:

Befragung anhand von vorher festgelegten Checklisten
Auswertung von Fehlerdatenbanken
Exemplarische Reviews von technischen Dokumentationen
Kontrolle von Räumen (z.B. Sauberkeit) und Messmitteln (z.B. Datum letzter Kalibrierung)
Dokumentation der Ergebnisse (Papier, Dokumentenmanagementsystem usw.)
Kommunikation der Ergebnisse: Kanäle, Fristen, Empfänger
uvm.

Diese Methoden lassen sich folgenden Klassen zuordnen

Befragen
Beobachten (von Handlungen)
Begutachten von Nachweisen / Aufzeichnungen

Anforderungen an die internen Auditoren

Interne Auditoren müssen mehrere Anforderungen erfüllen

Kompetenz: Sie müssen nachweisen können, dass Sie über die notwendigen Kompetenzen verfügen z.B. die Normen kennen, Auditpläne aufstellen können, Abweichungen beurteilen können usw. usw.
Objektivität, Unabhängigkeit: Auditoren müssen unabhängig sein, um objektiv urteilen zu können. Diese Unabhängigkeit müssen Sie begründen können beispielsweise über eine Organigramm bzw. eine Stellenbeschreibung.
Kommunikation und Moderation: Auditoren sind ob Ihrer Tätigkeit nicht immer willkommen: Sie müssen den Finger in die Wunde legen und Missstände aufdecken. Daher sollten interne und externe Auditoren gute Kommunikatoren und in der Lage sein, auch schwierige Gespräche souverän zu kommunizieren.

Interne Audits Weiterbildung mit Alexander Thern

Mit der Weiterbildung zum internen Auditor erfüllen Sie die gesetzlichen Forderungen. Der ISO 13485 Lead-Auditor Alexander Thern leitet dieses Seminar.

Seminar „interner Auditor“

Externe Audits: Die Ergebnisse der internen Audits verheimlichen?

Dürfen Benannte Stellen interne Auditberichte einsehen? Das würde doch im Widerspruch zu einem gründlichen Auditansatz stehen, fragt man mich. Schließlich möchte man sich als interner Auditor nur ungerne selbst diskreditieren. So würde die Motivation untergraben, ein gründliches internes Audit zu machen, so der Gedanke des Fragenden.

Prüfung des QM-System auf ISO 13485 Konformität

Zumindest wenn Sie Ihr Produkt nach Anhang II in Verkehr bringen, müssen Sie über ein QM-System verfügen, idealerweise über ein ISO 13485 zertifiziertes. Die ISO 13485 fordert interne Audits. Also muss der Auditor das prüfen. Anders kann er die Normenkonformität nicht feststellen. Sie benötigen also interne Auditberichte. Doch in welcher Offenheit?

Meine Tipps zu internen Audits

Ich verstehe völlig den Impuls, dass man die selbst gefundenen Fehler nicht offenbaren will. Mit diesen Fehlern hat aber ein Auditor kein Problem, solange Sie zeigen, dass Sie diese Fehler konsequent und zeitnah angehen.

Ich würde sogar einen Schritt weiter gehen: Wenn Ihr Auditor Findings hat, die Sie selbst hätten finden können, haben Sie ein doppeltes Problem: Weder haben Sie die gefundene Normenforderung erfüllt, noch scheint Ihr internes Audit wirkungsvoll zu sein. Die benannten Stellen sind ja in Europa — im Gegensatz zur FDA — auch eher Partner als Feinde.

Transparenz habe ich diesbezüglich noch nie als Nachteil erlebt.

3 Kommentare

Martina Ostermann | Donnerstag, 20. August 2020 um 04:46 Uhr - Antworten

Sehr geehrter Thern,

ich interessiere mich für das Seminar. Ich bin QMB einer 13485 zertifizierten AEMP.
Deshalb wollte ich fragen, ob das Seminar auf Hersteller oder auch auf QM’ler einer AEMP ausgerichtet ist?
Das letzte Seminar was ich in einer anderen Akademie besucht habe, war zu „herstellerlastig“. Das hat mir leider wenig geholfen.

Ich freue mich auf Rückmeldung.

Mit freundlichen Grüßen
Martina Ostermann

Ph. Meier | Montag, 15. November 2021 um 18:48 Uhr - Antworten

Blöde Frage: Ein Internes Audit nach ISO 13485 ist ausschließlich ein System Audit? Gleichzeitig Prozess- oder sogar Produkt Audit hat im Internen Audit Bericht nichts zu suchen?
Freundliche Grüße
Ph. Meier

Prof. Dr. Christian Johner | Montag, 15. November 2021 um 18:53 Uhr - Antworten

Liebe/r Ph-Meier,

das ist eine super Frage!

Das Ziel des internen Audits besteht darin, die Konformität des QM-Systems zu überprüfen. Daher ist es meist ein Systemaudit. Aber manchmal schaut man sich nur einen einzelnen Prozess an. Manchmal pickt man sich ein Produkt raus, das man nachverfolgt. D.h. es könnten auch anderen Formen gewählt werden.

Während eines internen Audits prüft man aber kein Produkt z.B. auf Gebrauchstauglichkeit oder auf ein ausgewogenes Nutzen-Risiko-Verhältnis. Man prüft, ob das QM-System in der Lage ist, sicherzustellen, dass das Produkt (und alle anderen auch) gebrauchstauglich ist und über ein ausgewogenes Nutzen-Risiko-Verhältnis verfügt.

Beste Grüße in die schöne Schweiz, Christian Johner

Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365

Interne Audits & interner Auditor