Interne Audits: Die 7 häufigsten Fehler vermeiden

Interne Audits sind Prüfungen des Qualitätsmanagement-Systems (QM-Systems) und seiner Prozesse durch die Organisation selbst. Daher werden sie auch 1st Party Audits genannt.

Die ISO 13485 fordert interne Audits ebenso wie ihre „Schwesternorm“, die ISO 9001, und andere Normen und Regularien. Deshalb sind interne Audits auch Gegenstand der externen Audits und Voraussetzung für die QM-Zertifizierung.

Dieser Artikel hilft dabei, die normativen Anforderungen an die internen Audits präzise zu erfüllen, die sieben häufigsten Fehler zu vermeiden und die Zertifizierung erfolgreich zu bestehen.

1. Ziele interner Audits

Genauso wie die externen Audits verfolgen die internen Audits zwei wesentliche Ziele:

Sicherstellen, dass das QM-System (die „eigenen Spielregeln“) den Forderungen der Normen genügt
Sicherstellen, dass man sich an die eigenen Spielregeln hält

Beim Audit wird die Konformität mit den eigenen Vorgaben sowie mit den normativen und gesetzlichen Anforderungen geprüft — Abb. 1 Externe und interne Auditoren prüfen sowohl, ob das QM-System die normativen Anforderungen einhält, als auch, ob die Organisation sich an die Vorgaben des QM-Systems gehalten hat.

Interne Audits haben zusätzlich zum Ziel,

durch unterjährige Prüfungen Abweichungen schneller zu finden und zu beheben sowie
den Erfolg externer Audits zu gewährleisten.

2. Regulatorische Anforderungen

Die Anforderungen an die internen Audits legt die ISO 13485 im Kapitel 8.2.4 („Internes Audit“) und die ISO 9001 im gleichnamigen Kapitel 9.2 fest.

MDR und IVDR fordern interne Audits nicht explizit. Sie fordern jedoch (abhängig vom gewählten Konformitätsbewertungsverfahren) die interne Überprüfung der QM-Systeme:

Methoden zur Überwachung, ob das Qualitätsmanagement-System effizient funktioniert und insbesondere ob es sich zur Sicherstellung der angestrebten Auslegungs- und Produktqualität eignet
MDR /IVDR Anhang IX, Abschnitt 2.2

a) Anforderungen an ein Auditprogramm

Hersteller müssen nicht nur einzelne interne Audits planen und vorbereiten, sondern auch ein Auditprogramm aufstellen.

Definition Auditprogramm

Festlegungen für einen Satz von einem oder mehreren Audits, die für einen spezifischen Zeitraum geplant werden und auf einen spezifischen Zweck gerichtet sind.

ISO 19011:2018, Kapitel 3.4

Der spezifische Zweck umfasst bei Medizinprodukteherstellern die Konformität des QM-Systems und der Produkte mit den regulatorischen Anforderungen und damit auch die Sicherheit der Patienten.

Mit dem Auditprogramm legen Hersteller fest, wann sie welche Bereiche (z. B. Prozesse und Organisationseinheiten) prüfen wollen. Beispielsweise könnte bei Audit 1 die Dokumentenlenkung im Fokus stehen (abteilungsübergreifend), bei Audit 2 die Produktionsabteilung mit ihren Prozessen und bei Audit 3 die Messmittel (abteilungsübergreifend).

Abhängig von den Ergebnissen einzelner Audits werden Hersteller die langfristige Planung (das Auditprogramm) adaptieren. Im Laufe der Zeit müssen alle Aspekte der ISO 13485 und das gesamte QM-System geprüft werden.

Weiterführende Informationen

Die Definition des Begriffs Audit und mehr finden Sie unter dem Schlagwort ‚Audit‘.

Der Auditleitfaden für Software-Audits hilft Ihnen, Ihre Audits perfekt zu planen, einschließlich des Auditprogramms. Dieser Leitfaden wurde für Benannte Stellen entwickelt, die damit externe Audits durchführen.

Auditleitfaden bestellen

Auditleitfaden: Die IEC 62304 Checkliste — Der Auditleifaden des Johner Institut hilft, Auditprogramme zu erstellen und Audits normenkonform zu planen und durchzuführen.

b) Anforderungen an die Planung und Vorbereitung der internen Audits

Konform mit dem Auditprogramm müssen die Organisationen die internen Audits planen und vorbereiten.

Die Planung sollte u. a. beinhalten (s. ISO 19011:2018 Kapitel 6.3.2):

Dauer & Zeitpunkt: Planen Sie, wann Sie die internen Audits durchführen. Das Auditprogramm gibt normalerweise nur die Zeiträume vor.
Methoden: Planen Sie die Methoden/Verfahren, mit denen Sie auditieren möchten. Zu diesen Methoden lesen Sie weiter unten noch mehr.
Personen: Wie viele Auditoren sind notwendig? Über welche Kompetenzen müssen diese verfügen?
Kriterien: Abhängig von den Schwerpunkten können Sie festlegen, wann ein internes Audit bestanden ist. Welche Abweichungen wollen Sie erlauben? Zum Thema Kriterien lesen Sie weiter unten mehr.

Tipps zur Planung

Die Planung der internen Audits muss Bestandteil Ihres QM-Systems sein und z. B. im QM-Handbuch oder in einer Verfahrensanweisung zu internen Audits referenziert werden.

Die Themen beim spezifischen Auditplan leiten sich nicht nur aus der langfristigen Planung ab, sondern auch aus den Ergebnissen der letzten Audits: Bei internen Audits sollten Sie immer prüfen, ob die Beanstandungen aus vorangegangenen Audits umgesetzt wurden.

Im Sinne von CAPA (Corrective and Preventive Actions) sollten Sie dabei auch prüfen, ob nicht nur Fehler behoben wurden, sondern ob man daraus gelernt hat. Ob also nicht nur Korrekturen, sondern auch korrektive Maßnahmen ergriffen wurden. Planen Sie das mit ein.

Bei der Vorbereitung geht es um die Vorbereitung eines konkreten internen Audits. Zu den Aktivitäten zählen:

Den Audittermin vereinbaren, Räume reservieren
Zu auditierende Personen einladen
Auditplan mit Themen und Uhrzeiten verschicken

c) Anforderungen an die Durchführung interner Audits

Internen Audits sollten nach Plan erfolgen. Abweichungen müssen dokumentiert werden. Falls beim Audit Nichtkonformitäten gefunden werden (das ist die Regel), sind die Organisationen verpflichtet, angemessene Korrekturmaßnahmen einzuleiten.

Tipp

Die Norm ISO 19011 gibt eine Anleitung für QM-Audits (interne und externe Audits).

3. Interne Audits in der Praxis

a) Methoden für interne Audits

Bei internen Audits sollten Sie systematisch und methodisch vorgehen. Dazu zählen zum einen die o. g. Planungen und Vorbereitungen, aber auch die Methoden. Beispiele für den Einsatz verschiedener Methoden beim Audit sind (s. ISO 19011:2018 Anhang A.1):

Befragung anhand von vorher festgelegten Checklisten
Auswertung von Fehlerdatenbanken
Exemplarische Reviews von Technischen Dokumentationen
Kontrolle von Räumen (z. B. Sauberkeit) und Messmitteln (z. B. Datum letzter Kalibrierung)
Dokumentation der Ergebnisse (Papier, Dokumentenmanagementsystem usw.)
Kommunikation der Ergebnisse: Kanäle, Fristen, Empfänger

Diese Methoden lassen sich folgenden Klassen zuordnen

Befragen
Beobachten (von Handlungen)
Begutachten von Nachweisen/Aufzeichnungen

b) Festlegen von Kriterien

Auch wenn gelegentlich empfohlen wird, ähnlich wie die benannten Stellen auch bei internen Audits zwischen „minor“ und „major“ Abweichungen zu unterscheiden, so sollte dennoch klar sein, dass keine Norm fordert, diese Abweichungen zu definieren. Nach ISO 19011 können aber Nichtkonformitäten risikobasiert klassifiziert werden.

Eine Kennzahl festzulegen, wie viele Abweichungen man haben darf (jeweils minor und major), kann ebenfalls kontraproduktiv sein. Die Kennzahl zu verwenden, wie viele der gefundenen Fehler nachhaltig behoben wurden, erscheint hingegen sinnvoll.

c) Anforderungen an die internen Auditoren

Die Normen stellen nicht nur Anforderungen an die internen Audits selbst, sondern auch an die Auditoren. Achten Sie darauf, dass diese die notwendigen Kompetenzen nachweisen können!

Tipp: Seminar zum internen Auditor

Die Schulung zum Internen Auditor vermittelt Ihnen alle notwendigen Kompetenzen. Belegen können Sie diese externen Auditoren und Ihrer Benannten Stelle gegenüber anhand der Teilnahmebescheinigung und des Leistungsnachweises.

Interne Auditoren müssen mehrere Anforderungen erfüllen:

Kompetenz: Sie müssen nachweisen können, dass Sie über die notwendigen Kompetenzen verfügen, z. B. die Normen kennen, Auditpläne aufstellen können, Abweichungen beurteilen können usw.
Objektivität, Unabhängigkeit: Auditoren müssen unabhängig sein, um objektiv urteilen zu können. Diese Unabhängigkeit müssen sie begründen können, beispielsweise über ein Organigramm bzw. eine Stellenbeschreibung.
Kommunikation und Moderation: Auditoren sind aufgrund ihrer Tätigkeit nicht immer willkommen: Sie müssen den Finger in die Wunde legen und Missstände aufdecken. Daher sollten interne und externe Auditoren gute Kommunikatoren sein und in der Lage, auch schwierige Gespräche souverän zu führen.

4. Die sieben häufigsten Fehler bei internen Audits

Fehler 1: Unzureichendes Auditprogramm, falscher Fokus

Beim Auditprogramm unterlaufen den Organisationen gleich mehrere Fehler:

Das Auditprogramm fehlt, d. h. die Firmen planen nur die einzelnen Audits, aber nicht – wie gefordert – einen Satz an Audits.
Das Auditprogramm stellt nicht sicher, dass die Organisation das ganze QM-System mit allen Prozessen prüft, z. B. auch die ausgelagerten Prozesse.
Das Auditprogramm wurde einmal festgelegt und wird nicht adaptiert. Das ist aber insbesonere notwendig bei „Findings“ im Rahmen interner und externer Audits, bei Zwischenfällen mit den eigenen Produkten oder auch bei sonstigen Beobachtungen.
Das Auditprogramm zielt nur auf die Konformität mit den Anforderungen der ISO 13485. Meist sind auch andere Vorgaben zu beachten wie die Anforderungen der MDR bzw. IVDR, die Anforderungen der FDA im 21 CFR part 820 oder jenen von integrierten Managementsystemen wie ISO 27001.

Fehler 2: Falsche Frequenz

Die Normen sprechen von „geplanten Abständen“, geben aber keinen Zeitraum vor. Daher führen viele Organisationen interne Audits nur einmal pro Jahr durch. Dieser Abstand kann aber zu groß sein. Begründungen für zusätzliche Audits wären z. B. eine Prozessänderung, eine Organisationsänderung oder Maßnahmen bei schwerwiegenden Abweichungen.

Fehler 3: Mangelnde Kompetenz, falsche Personen

Die Aufgabe, interne Audits durchzuführen, sollte nicht allein beim QM-Beauftragten liegen. Diesem fehlt oft das prozessuale Wissen.

Außerdem müssen die Organisationen die Neutralität der Auditoren gewährleisten. So sollte ein QM-Beauftragter nicht den Prozess der internen Audits prüfen, wenn er selbst dafür verantwortlich zeichnet.

Fehler 4: Mangelnde Konsequenz

Möglicherweise der schlimmste Fehler ist die mangelnde Konsequenz. Die Aufgabe der Auditoren besteht darin, Fehler zu finden, auch wenn das die Auditierten nicht mögen.

Wenn Abweichungen gefunden werden, müssen die Ursachen dann auch erforscht und beseitigt werden. Im Fall von Korrekturmaßnahmen „ohne unangemessene Verzögerung“.

Wenn eine Nichtkonformität auch im Folgejahr noch besteht, liegt kein wirksames QM-System vor.

Fehler 5: Unzureichende Dokumentation

Auch die Dokumentation ist fehleranfällig:

Was nicht dokumentiert ist, existiert nicht. Eine Dokumentation ist also erforderlich.
Das betrifft explizit auch den Nachweis der Konformität und nicht nur den Nachweis von Nichtkonformitäten. Ein neutraler Dritte muss nachvollziehen können, was der Auditor geprüft hat und wie er oder sie zu dem Ergebnis gekommen ist.
Die Nachweise beziehen sich in der Regel auf Aufzeichnungen, z. B. Testberichte, Wareneingangskontrollen, Review-Protokolle usw. Diese müssen eindeutig identifizierbar sein.

Die Dokumentation der internen Audits sind Aufzeichnungen, die gelenkt werden müssen.

Weiterführende Informationen

Lesen Sie hier mehr zur Dokumentenlenkung.

Fehler 6: Verheimlichen der Ergebnisse

Es ist wenig sinnvoll, im externen Audit die bei internen Audits gefundenen Abweichungen zu verheimlichen. Vielmehr ist es ein Ausweis wirksamer interner Audits, diese Fehler zu finden, und ein Ausweis eines gelebten QM-Systems, dass diese Abweichungen schnell und konsequent beseitigt werden.

Fehler 7: Unzureichendes Commitment vom Management

Der Fisch stinkt vom Kopf her. Das gilt auch für QM-Systeme. Wenn das Management nicht hinter dem QM-System steht, haben es nicht nur die QM-Beauftragten schwer.

Ein Indikator für dieses Commitment ist, wie sehr das Management die Ergebnisse der internen Audits bei den Managementbewertungen berücksichtigt.

Weiterführende Informationen

Lesen Sie mehr zu Managementbewertungen.

5. Fazit und Zusammenfassung

Interne Audits sind ein integraler Teil jedes QM-Systems. Mit ihnen überprüft eine Organisation auf zuvor festgelegte Weise (Auditprogramm, Auditplanung) die Wirksamkeit des Systems. Wenn der Eindruck eins „QM-Overheads“ entsteht, dann ist das ein Anzeichen falsch durchgeführter interner Audits oder einer mangelnden Qualitätskultur.

Unterstützung

Möchten Sie sicherstellen, dass Ihr QM-System das nächste externe Audit sicher besteht und Sie Ihr Zertifikat erlangen bzw. behalten?

Das Team des Johner Instituts prüft mit Mock-Audits die Konformität Ihres QM-Systems. Mit diesen Mock-Audits erfüllen Sie gleichzeitig die Anforderungen nach internen Audits. So schlagen Sie zwei Fliegen mit einer Klappe.

Melden Sie sich, wenn Sie die nächsten Schritte gemeinsam mit uns besprechen möchten.

Änderungshistorie

2023-05-26: Artikel völlig überarbeitet und aktualisiert
2015-07-02: Erste Version veröffentlicht

5 Kommentare

Martina Ostermann sagt:

20. August 2020 um 04:46 Uhr

Sehr geehrter Thern,

ich interessiere mich für das Seminar. Ich bin QMB einer 13485 zertifizierten AEMP.
Deshalb wollte ich fragen, ob das Seminar auf Hersteller oder auch auf QM’ler einer AEMP ausgerichtet ist?
Das letzte Seminar was ich in einer anderen Akademie besucht habe, war zu „herstellerlastig“. Das hat mir leider wenig geholfen.

Ich freue mich auf Rückmeldung.

Mit freundlichen Grüßen
Martina Ostermann

Antworten
Ph. Meier sagt:

15. November 2021 um 18:48 Uhr

Blöde Frage: Ein Internes Audit nach ISO 13485 ist ausschließlich ein System Audit? Gleichzeitig Prozess- oder sogar Produkt Audit hat im Internen Audit Bericht nichts zu suchen?
Freundliche Grüße
Ph. Meier

Antworten
- Prof. Dr. Christian Johner sagt:
  
  15. November 2021 um 18:53 Uhr
  
  Liebe/r Ph-Meier,
  
  das ist eine super Frage!
  
  Das Ziel des internen Audits besteht darin, die Konformität des QM-Systems zu überprüfen. Daher ist es meist ein Systemaudit. Aber manchmal schaut man sich nur einen einzelnen Prozess an. Manchmal pickt man sich ein Produkt raus, das man nachverfolgt. D.h. es könnten auch anderen Formen gewählt werden.
  
  Während eines internen Audits prüft man aber kein Produkt z.B. auf Gebrauchstauglichkeit oder auf ein ausgewogenes Nutzen-Risiko-Verhältnis. Man prüft, ob das QM-System in der Lage ist, sicherzustellen, dass das Produkt (und alle anderen auch) gebrauchstauglich ist und über ein ausgewogenes Nutzen-Risiko-Verhältnis verfügt.
  
  Beste Grüße in die schöne Schweiz, Christian Johner
  
  Antworten
Anna sagt:

23. November 2022 um 10:14 Uhr

Lieber Herr Johner,
wir fragen uns ob wir nur dann eine Interne Audit durchführen können wenn der designierte Mitarbeiter auch ein Zertifikat vorweisen kann, wäre eine Durchführung durch die Geschäftsleitung oder den QMB denn nicht möglich?
Könnte ein fehlendes Zertifikat zur Durchführung eines Internen Audits im Unternehmen zu einer Abweichung von der benannten stellen führen.

Antworten
- Ulrich Hafen sagt:
  
  23. November 2022 um 10:43 Uhr
  
  Liebe Anna,
  die ISO 13485 selbst trifft keinerlei Aussage über die Qulifizierung oder Kompetenz von internen Auditoren. Sie verweist aber auf die ISO 19011.
  In der ISO 19011:2018 befasst sich das komplette Kapitel 7 mit der Kompetenz von Auditoren und aus 7.2.4 „Erwerben der Auditor-Kompetenz“ geht hervor, dass es zwar verschiedene Möglichkeiten gibt, Auditoren-Kompetenz zu erwerben, aber da eine Kombination der genannten Elemente gefordert wird, kommt man um eine Schulung nicht herum.
  Gibt es im Unternehmen bereits kompetente Auditoren, kann die Schulung auch durch Begeitung intern erfolgen. Ist dies nicht der fall, ist es schwierig vor der Benannten Stelle zu argumentieren, wie die entsprechende Kompetenz erworben wurde, wenn nicht eine externe Schulung besucht wurde. In der Praxis bestehen daher viele Auditoren Benannter Stellen auf entprechende Schulungsnachweise der internen Auditoren.
  
  Herzliche Grüße,
  Ulrich Hafen
  
  Antworten

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Matomo
Anbieter	Johner Institut
Zweck	Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://www.johner-institut.de/datenschutz/
Cookie Name	_pk_.
Cookie Laufzeit	13 Monate

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

1. Ziele interner Audits