Die ISO 13485 verlangt ebenso wie ihre „Schwesternorm“, die ISO 9001, interne Audits. Genauso wie die externen Audits verfolgen die internen Audits zwei wesentliche Ziele:
- Sicherstellen, dass das QM-System (die „eigenen Spielregeln) den Normenforderungen genügt.
- Sicherstellen, dass man sich an die eigenen Spielregeln hält.
Update: Kriterien zur Bewertung der Güte des QM-Systems
Die Normen stellen aber nicht nur Anforderungen an die internen Audits selbst, sondern auch an die internen Auditoren. Achten Sie darauf, dass diese die notwendigen Kompetenzen z.B. durch eine Schulung zum internen Auditor nachweisen können!
Anforderungen der Norm an interne Audits
Planung der internen Audits
Sie müssen interne Audits planen und vorbereiten. Beginnen wir mit der Planung, die folgende Punkte adressieren sollte:
- Häufigkeit: Planen Sie, wie oft Sie die internen Audits durchführen. Mindestens einmal pro Jahr!
- Methoden: Planen Sie die Methoden, mit denen Sie auditieren möchten. Zu diesen Methoden lesen Sie weiter unten noch mehr
- Personen: Wie viele Auditoren sind notwendig? Über welche Kompetenzen müssen diese verfügen? Welche Schwerpunkte sollten sie prüfen? Lesen Sie weiter unten noch mehr über Anforderungen an die Auditoren
- Bereiche/Schwerpunkte: Planen Sie, im welchem Turnus Sie welche Bereiche prüfen wollen. Bereiche können Organisationseinheiten sein, aber ebenso inhaltliche Schwerpunkte. Beispielsweise könnten im Jahr eins die Dokumentenlenkung im Fokus stehen (abteilungsübergreifend), im Jahr zwei die Produktionsabteilung mit ihren Prozessen und im Jahr drei die Messmittel (abteilungsübergreifend). Abhängig von den Ergebnissen der Audits werden Sie diese langfristige Planung adaptieren.
Im Lauf der Zeit müssen Sie alles Aspekte der ISO 13485 geprüft haben.
- Kriterien: Abhängig von den Schwerpunkten können Sie festlegen, wann ein internes Audit bestanden ist. Was klassifizieren Sie als kleine und was als schwerwiegende Abweichung? Wie viele kleine und schwerwiegende Abweichungen wollen Sie erlauben? Zum Thema Kriterien lesen Sie weiter unten noch mehr.
Diese Planung der internen Audits muss Bestandteil Ihres QM-Systems sein z.B. im QM-Handbuch referenziert werden.
Vorbereitung interner Audits
Bei der Vorbereitung geht es nun um die Vorbereitung eines konkreten internen Audits. Diese Vorbereitung kann umfassen:
- Den Audittermin vereinbaren, Räume reservieen
- Teilnehmer einladen
- Auditplan mit Themen und Uhrzeiten verschicken:
Die Themen beim spezifischen Auditplan leiten sich aus der langfristigen Planung und den Ergebnissen der letzten Audits ab: Eine Frage, die Sie bei internen Audits immer beantwortet haben wollen, ist die, ob die Beanstandungen aus vorangegangenen Audits umgesetzt wurden.
Sie sollten im Sinne von CAPA (Corrective and Preventive Actions) auch prüfen, ob nicht nur die Fehler beheben wurden, sondern ob man daraus gelernt d.h. nicht nur korrektive, sondern auch präventive Maßnahmen ergriffen hat.
Übrigens: Es gibt sogar eine eigene Norm, die ISO 19011, die eine Anleitung für Qualitätsaudits (interne und externe Audits) gibt.
Der Auditleitfaden, der eine Auditcheckliste enthält, hilft Ihnen, Ihre Audits perfekt zu planen. Wir haben diesen Leitfaden überigens für einige TÜVs entwickelt, die damit externe Audits durchführen.
Festlegen von Kriterien
Auch wenn gelegentlich empfohlen wird — ähnlich wie die benannten Stellen –, bei internen Audits zwischen „minor“ und „major“ Abweichungen zu unterscheiden, so sollte dennoch klar, dass dass in keiner Norm gefordert ist, minor und major Abweichungen zu definieren. Selbst die 19011 spricht nur vom Grad der Konformität mit dem Mgmt System.
Nur weil es die benannten Stellen diese Unterscheidung bei Audits treffen, müssen Sie dies nicht auch tun. Wir erachten es auch nicht als immer hilfreich. Der Fokus sollte auf dem Beheben des Problems liegen. Es ist schon schwierig genug, zwischen Verbesserungspotential und Abweichung zu unterscheiden.
Die Kennzahl wie viele minor oder major Abweichungen man haben darf, kann ebenfalls kontraproduktiv sein. Eine Kennzahl, wie viele der gefundenen Fehler ordentlich behoben wurden, erscheint hingegen sinnvoll.
Methoden für interne Audits
Bei internen Audits sollten Sie systematisch und methodisch vorgehen. Dazu zählen zum einen die o.g. Planungen und Vorbereitungen. Dazu zählen aber auch die Methoden bei Auditieren selbst. Beispiele für Methoden beim Audit umfassen:
- Befragung anhand von vorher festgelegten Checklisten
- Auswertung von Fehlerdatenbanken
- Exemplarische Reviews von technischen Dokumentationen
- Kontrolle von Räumen (z.B. Sauberkeit) und Messmitteln (z.B. Datum letzter Kalibrierung)
- Dokumentation der Ergebnisse (Papier, Dokumentenmanagementsystem usw.)
- Kommunikation der Ergebnisse: Kanäle, Fristen, Empfänger
- uvm.
Diese Methoden lassen sich folgenden Klassen zuordnen
- Befragen
- Beobachten (von Handlungen)
- Begutachten von Nachweisen / Aufzeichnungen
Anforderungen an die internen Auditoren
Interne Auditoren müssen mehrere Anforderungen erfüllen
- Kompetenz: Sie müssen nachweisen können, dass Sie über die notwendigen Kompetenzen verfügen z.B. die Normen kennen, Auditpläne aufstellen können, Abweichungen beurteilen können usw. usw.
- Objektivität, Unabhängigkeit: Auditoren müssen unabhängig sein, um objektiv urteilen zu können. Diese Unabhängigkeit müssen Sie begründen können beispielsweise über eine Organigramm bzw. eine Stellenbeschreibung.
- Kommunikation und Moderation: Auditoren sind ob Ihrer Tätigkeit nicht immer willkommen: Sie müssen den Finger in die Wunde legen und Missstände aufdecken. Daher sollten interne und externe Auditoren gute Kommunikatoren und in der Lage sein, auch schwierige Gespräche souverän zu kommunizieren.
Mit der Weiterbildung zum internen Auditor erfüllen Sie die gesetzlichen Forderungen. Der ISO 13485 Lead-Auditor Alexander Thern leitet dieses Seminar.
Externe Audits: Die Ergebnisse der internen Audits verheimlichen?
Dürfen Benannte Stellen interne Auditberichte einsehen? Das würde doch im Widerspruch zu einem gründlichen Auditansatz stehen, fragt man mich. Schließlich möchte man sich als interner Auditor nur ungerne selbst diskreditieren. So würde die Motivation untergraben, ein gründliches internes Audit zu machen, so der Gedanke des Fragenden.
Prüfung des QM-System auf ISO 13485 Konformität
Zumindest wenn Sie Ihr Produkt nach Anhang II in Verkehr bringen, müssen Sie über ein QM-System verfügen, idealerweise über ein ISO 13485 zertifiziertes. Die ISO 13485 fordert interne Audits. Also muss der Auditor das prüfen. Anders kann er die Normenkonformität nicht feststellen. Sie benötigen also interne Auditberichte. Doch in welcher Offenheit?
Meine Tipps zu internen Audits
Ich verstehe völlig den Impuls, dass man die selbst gefundenen Fehler nicht offenbaren will. Mit diesen Fehlern hat aber ein Auditor kein Problem, solange Sie zeigen, dass Sie diese Fehler konsequent und zeitnah angehen.
Ich würde sogar einen Schritt weiter gehen: Wenn Ihr Auditor Findings hat, die Sie selbst hätten finden können, haben Sie ein doppeltes Problem: Weder haben Sie die gefundene Normenforderung erfüllt, noch scheint Ihr internes Audit wirkungsvoll zu sein. Die benannten Stellen sind ja in Europa — im Gegensatz zur FDA — auch eher Partner als Feinde.
Transparenz habe ich diesbezüglich noch nie als Nachteil erlebt.
Datenschutzeinstellungen