Die ISO 13485 verlangt ebenso wie ihre „Schwesternorm“, die ISO 9001, interne Audits. Genauso wie die externen Audits verfolgen die internen Audits zwei wesentliche Ziele:
- Sicherstellen, dass das QM-System (die „eigenen Spielregeln) den Normenforderungen genügt.
- Sicherstellen, dass man sich an die eigenen Spielregeln hält.
Update: Kriterien zur Bewertung der Güte des QM-Systems
| Inhaltsübersicht |
|---|
| Planung interner Audits » |
| Vorbereitung interner Audits » |
| Methoden » |
| Anforderungen an interne Auditoren » |
| Externe Audits » |
Die Normen stellen aber nicht nur Anforderungen an die internen Audits selbst, sondern auch an die internen Auditoren. Achten Sie darauf, dass diese die notwendigen Kompetenzen z.B. durch eine Schulung zum internen Auditor nachweisen können!
Anforderungen der Norm an interne Audits
Planung der internen Audits
Sie müssen interne Audits planen und vorbereiten. Beginnen wir mit der Planung, die folgende Punkte adressieren sollte:
- Häufigkeit: Planen Sie, wie oft Sie die internen Audits durchführen. Mindestens einmal pro Jahr!
- Methoden: Planen Sie die Methoden, mit denen Sie auditieren möchten. Zu diesen Methoden lesen Sie weiter unten noch mehr
- Personen: Wie viele Auditoren sind notwendig? Über welche Kompetenzen müssen diese verfügen? Welche Schwerpunkte sollten sie prüfen? Lesen Sie weiter unten noch mehr über Anforderungen an die Auditoren
- Bereiche/Schwerpunkte: Planen Sie, im welchem Turnus Sie welche Bereiche prüfen wollen. Bereiche können Organisationseinheiten sein, aber ebenso inhaltliche Schwerpunkte. Beispielsweise könnten im Jahr eins die Dokumentenlenkung im Fokus stehen (abteilungsübergreifend), im Jahr zwei die Produktionsabteilung mit ihren Prozessen und im Jahr drei die Messmittel (abteilungsübergreifend). Abhängig von den Ergebnissen der Audits werden Sie diese langfristige Planung adaptieren.
Im Lauf der Zeit müssen Sie alles Aspekte der ISO 13485 geprüft haben. - Kriterien: Abhängig von den Schwerpunkten können Sie festlegen, wann ein internes Audit bestanden ist. Was klassifizieren Sie als kleine und was als schwerwiegende Abweichung? Wie viele kleine und schwerwiegende Abweichungen wollen Sie erlauben? Zum Thema Kriterien lesen Sie weiter unten noch mehr.
Vorbereitung interner Audits
Bei der Vorbereitung geht es nun um die Vorbereitung eines konkreten internen Audits. Diese Vorbereitung kann umfassen:
- Den Audittermin vereinbaren, Räume reservieen
- Teilnehmer einladen
- Auditplan mit Themen und Uhrzeiten verschicken:
Die Themen beim spezifischen Auditplan leiten sich aus der langfristigen Planung und den Ergebnissen der letzten Audits ab: Eine Frage, die Sie bei internen Audits immer beantwortet haben wollen, ist die, ob die Beanstandungen aus vorangegangenen Audits umgesetzt wurden.
Sie sollten im Sinne von CAPA (Corrective and Preventive Actions) auch prüfen, ob nicht nur die Fehler beheben wurden, sondern ob man daraus gelernt d.h. nicht nur korrektive, sondern auch präventive Maßnahmen ergriffen hat.
Übrigens: Es gibt sogar eine eigene Norm, die ISO 19011, die eine Anleitung für Qualitätsaudits (interne und externe Audits) gibt.
Festlegen von Kriterien
Auch wenn gelegentlich empfohlen wird — ähnlich wie die benannten Stellen –, bei internen Audits zwischen „minor“ und „major“ Abweichungen zu unterscheiden, so sollte dennoch klar, dass dass in keiner Norm gefordert ist, minor und major Abweichungen zu definieren. Selbst die 19011 spricht nur vom Grad der Konformität mit dem Mgmt System.
Nur weil es die benannten Stellen diese Unterscheidung bei Audits treffen, müssen Sie dies nicht auch tun. Wir erachten es auch nicht als immer hilfreich. Der Fokus sollte auf dem Beheben des Problems liegen. Es ist schon schwierig genug, zwischen Verbesserungspotential und Abweichung zu unterscheiden.
Die Kennzahl wie viele minor oder major Abweichungen man haben darf, kann ebenfalls kontraproduktiv sein. Eine Kennzahl, wie viele der gefundenen Fehler ordentlich behoben wurden, erscheint hingegen sinnvoll.
Methoden für interne Audits
Bei internen Audits sollten Sie systematisch und methodisch vorgehen. Dazu zählen zum einen die o.g. Planungen und Vorbereitungen. Dazu zählen aber auch die Methoden bei Auditieren selbst. Beispiele für Methoden beim Audit umfassen:
- Befragung anhand von vorher festgelegten Checklisten
- Auswertung von Fehlerdatenbanken
- Exemplarische Reviews von technischen Dokumentationen
- Kontrolle von Räumen (z.B. Sauberkeit) und Messmitteln (z.B. Datum letzter Kalibrierung)
- Dokumentation der Ergebnisse (Papier, Dokumentenmanagementsystem usw.)
- Kommunikation der Ergebnisse: Kanäle, Fristen, Empfänger
- uvm.
Diese Methoden lassen sich folgenden Klassen zuordnen
- Befragen
- Beobachten (von Handlungen)
- Begutachten von Nachweisen / Aufzeichnungen
Anforderungen an die internen Auditoren
Interne Auditoren müssen mehrere Anforderungen erfüllen
- Kompetenz: Sie müssen nachweisen können, dass Sie über die notwendigen Kompetenzen verfügen z.B. die Normen kennen, Auditpläne aufstellen können, Abweichungen beurteilen können usw. usw.
- Objektivität, Unabhängigkeit: Auditoren müssen unabhängig sein, um objektiv urteilen zu können. Diese Unabhängigkeit müssen Sie begründen können beispielsweise über eine Organigramm bzw. eine Stellenbeschreibung.
- Kommunikation und Moderation: Auditoren sind ob Ihrer Tätigkeit nicht immer willkommen: Sie müssen den Finger in die Wunde legen und Missstände aufdecken. Daher sollten interne und externe Auditoren gute Kommunikatoren und in der Lage sein, auch schwierige Gespräche souverän zu kommunizieren.
Externe Audits: Die Ergebnisse der internen Audits verheimlichen?
Dürfen Benannte Stellen interne Auditberichte einsehen? Das würde doch im Widerspruch zu einem gründlichen Auditansatz stehen, fragt man mich. Schließlich möchte man sich als interner Auditor nur ungerne selbst diskreditieren. So würde die Motivation untergraben, ein gründliches internes Audit zu machen, so der Gedanke des Fragenden.
Prüfung des QM-System auf ISO 13485 Konformität
Zumindest wenn Sie Ihr Produkt nach Anhang II in Verkehr bringen, müssen Sie über ein QM-System verfügen, idealerweise über ein ISO 13485 zertifiziertes. Die ISO 13485 fordert interne Audits. Also muss der Auditor das prüfen. Anders kann er die Normenkonformität nicht feststellen. Sie benötigen also interne Auditberichte. Doch in welcher Offenheit?
Meine Tipps zu internen Audits
Ich verstehe völlig den Impuls, dass man die selbst gefundenen Fehler nicht offenbaren will. Mit diesen Fehlern hat aber ein Auditor kein Problem, solange Sie zeigen, dass Sie diese Fehler konsequent und zeitnah angehen.
Ich würde sogar einen Schritt weiter gehen: Wenn Ihr Auditor Findings hat, die Sie selbst hätten finden können, haben Sie ein doppeltes Problem: Weder haben Sie die gefundene Normenforderung erfüllt, noch scheint Ihr internes Audit wirkungsvoll zu sein. Die benannten Stellen sind ja in Europa — im Gegensatz zur FDA — auch eher Partner als Feinde.
Transparenz habe ich diesbezüglich noch nie als Nachteil erlebt.
Sehr geehrter Thern,
ich interessiere mich für das Seminar. Ich bin QMB einer 13485 zertifizierten AEMP.
Deshalb wollte ich fragen, ob das Seminar auf Hersteller oder auch auf QM’ler einer AEMP ausgerichtet ist?
Das letzte Seminar was ich in einer anderen Akademie besucht habe, war zu „herstellerlastig“. Das hat mir leider wenig geholfen.
Ich freue mich auf Rückmeldung.
Mit freundlichen Grüßen
Martina Ostermann
Blöde Frage: Ein Internes Audit nach ISO 13485 ist ausschließlich ein System Audit? Gleichzeitig Prozess- oder sogar Produkt Audit hat im Internen Audit Bericht nichts zu suchen?
Freundliche Grüße
Ph. Meier
Liebe/r Ph-Meier,
das ist eine super Frage!
Das Ziel des internen Audits besteht darin, die Konformität des QM-Systems zu überprüfen. Daher ist es meist ein Systemaudit. Aber manchmal schaut man sich nur einen einzelnen Prozess an. Manchmal pickt man sich ein Produkt raus, das man nachverfolgt. D.h. es könnten auch anderen Formen gewählt werden.
Während eines internen Audits prüft man aber kein Produkt z.B. auf Gebrauchstauglichkeit oder auf ein ausgewogenes Nutzen-Risiko-Verhältnis. Man prüft, ob das QM-System in der Lage ist, sicherzustellen, dass das Produkt (und alle anderen auch) gebrauchstauglich ist und über ein ausgewogenes Nutzen-Risiko-Verhältnis verfügt.
Beste Grüße in die schöne Schweiz, Christian Johner
Lieber Herr Johner,
wir fragen uns ob wir nur dann eine Interne Audit durchführen können wenn der designierte Mitarbeiter auch ein Zertifikat vorweisen kann, wäre eine Durchführung durch die Geschäftsleitung oder den QMB denn nicht möglich?
Könnte ein fehlendes Zertifikat zur Durchführung eines Internen Audits im Unternehmen zu einer Abweichung von der benannten stellen führen.
Liebe Anna,
die ISO 13485 selbst trifft keinerlei Aussage über die Qulifizierung oder Kompetenz von internen Auditoren. Sie verweist aber auf die ISO 19011.
In der ISO 19011:2018 befasst sich das komplette Kapitel 7 mit der Kompetenz von Auditoren und aus 7.2.4 „Erwerben der Auditor-Kompetenz“ geht hervor, dass es zwar verschiedene Möglichkeiten gibt, Auditoren-Kompetenz zu erwerben, aber da eine Kombination der genannten Elemente gefordert wird, kommt man um eine Schulung nicht herum.
Gibt es im Unternehmen bereits kompetente Auditoren, kann die Schulung auch durch Begeitung intern erfolgen. Ist dies nicht der fall, ist es schwierig vor der Benannten Stelle zu argumentieren, wie die entsprechende Kompetenz erworben wurde, wenn nicht eine externe Schulung besucht wurde. In der Praxis bestehen daher viele Auditoren Benannter Stellen auf entprechende Schulungsnachweise der internen Auditoren.
Herzliche Grüße,
Ulrich Hafen