Interne Audits sind Prüfungen des Qualitätsmanagement-Systems (QM-Systems) und seiner Prozesse durch die Organisation selbst. Daher werden sie auch 1st Party Audits genannt.

Die ISO 13485 fordert interne Audits ebenso wie ihre „Schwesternorm“, die ISO 9001, und andere Normen und Regularien. Deshalb sind interne Audits auch Gegenstand der externen Audits und Voraussetzung für die QM-Zertifizierung.

Dieser Artikel hilft dabei, die normativen Anforderungen an die internen Audits präzise zu erfüllen, die sieben häufigsten Fehler zu vermeiden und die Zertifizierung erfolgreich zu bestehen.

1. Ziele interner Audits

Genauso wie die externen Audits verfolgen die internen Audits zwei wesentliche Ziele:

  1. Sicherstellen, dass das QM-System (die „eigenen Spielregeln“) den Forderungen der Normen genügt
  2. Sicherstellen, dass man sich an die eigenen Spielregeln hält
Abb. 1 Externe und interne Auditoren prüfen sowohl, ob das QM-System die normativen Anforderungen einhält, als auch, ob die Organisation sich an die Vorgaben des QM-Systems gehalten hat.

Interne Audits haben zusätzlich zum Ziel,

  • durch unterjährige Prüfungen Abweichungen schneller zu finden und zu beheben sowie
  • den Erfolg externer Audits zu gewährleisten.

2. Regulatorische Anforderungen

Die Anforderungen an die internen Audits legt die ISO 13485 im Kapitel 8.2.4 („Internes Audit“) und die ISO 9001 im gleichnamigen Kapitel 9.2 fest.

MDR und IVDR fordern interne Audits nicht explizit. Sie fordern jedoch (abhängig vom gewählten Konformitätsbewertungsverfahren) die interne Überprüfung der QM-Systeme:

Methoden zur Überwachung, ob das Qualitätsmanagement-System effizient funktioniert und insbesondere ob es sich zur Sicherstellung der angestrebten Auslegungs- und Produktqualität eignet

MDR /IVDR Anhang IX, Abschnitt 2.2

a) Anforderungen an ein Auditprogramm

Hersteller müssen nicht nur einzelne interne Audits planen und vorbereiten, sondern auch ein Auditprogramm aufstellen.

Festlegungen für einen Satz von einem oder mehreren Audits, die für einen spezifischen Zeitraum geplant werden und auf einen spezifischen Zweck gerichtet sind.

ISO 19011:2018, Kapitel 3.4

Der spezifische Zweck umfasst bei Medizinprodukteherstellern die Konformität des QM-Systems und der Produkte mit den regulatorischen Anforderungen und damit auch die Sicherheit der Patienten.

Mit dem Auditprogramm legen Hersteller fest, wann sie welche Bereiche (z. B. Prozesse und Organisationseinheiten) prüfen wollen. Beispielsweise könnte bei Audit 1 die Dokumentenlenkung im Fokus stehen (abteilungsübergreifend), bei Audit 2 die Produktionsabteilung mit ihren Prozessen und bei Audit 3 die Messmittel (abteilungsübergreifend).

Abhängig von den Ergebnissen einzelner Audits werden Hersteller die langfristige Planung (das Auditprogramm) adaptieren. Im Laufe der Zeit müssen alle Aspekte der ISO 13485 und das gesamte QM-System geprüft werden.

Die Definition des Begriffs Audit und mehr finden Sie unter dem Schlagwort ‚Audit‘.

Der Auditleitfaden für Software-Audits hilft Ihnen, Ihre Audits perfekt zu planen, einschließlich des Auditprogramms. Dieser Leitfaden wurde für Benannte Stellen entwickelt, die damit externe Audits durchführen.

Auditleitfaden bestellen

Auditleitfaden: Die IEC 62304 Checkliste
Der Auditleifaden des Johner Institut hilft, Auditprogramme zu erstellen und Audits normenkonform zu planen und durchzuführen.

b) Anforderungen an die Planung und Vorbereitung der internen Audits

Konform mit dem Auditprogramm müssen die Organisationen die internen Audits planen und vorbereiten.

Die Planung sollte u. a. beinhalten (s. ISO 19011:2018 Kapitel 6.3.2):

  1. Dauer & Zeitpunkt: Planen Sie, wann Sie die internen Audits durchführen. Das Auditprogramm gibt normalerweise nur die Zeiträume vor.
  2. Methoden: Planen Sie die Methoden/Verfahren, mit denen Sie auditieren möchten. Zu diesen Methoden lesen Sie weiter unten noch mehr.
  3. Personen: Wie viele Auditoren sind notwendig? Über welche Kompetenzen müssen diese verfügen?
  4. Kriterien: Abhängig von den Schwerpunkten können Sie festlegen, wann ein internes Audit bestanden ist. Welche Abweichungen wollen Sie erlauben? Zum Thema Kriterien lesen Sie weiter unten mehr.

Die Planung der internen Audits muss Bestandteil Ihres QM-Systems sein und z. B. im QM-Handbuch oder in einer Verfahrensanweisung zu internen Audits referenziert werden.

Die Themen beim spezifischen Auditplan leiten sich nicht nur aus der langfristigen Planung ab, sondern auch aus den Ergebnissen der letzten Audits: Bei internen Audits sollten Sie immer prüfen, ob die Beanstandungen aus vorangegangenen Audits umgesetzt wurden.

Im Sinne von CAPA (Corrective and Preventive Actions) sollten Sie dabei auch prüfen, ob nicht nur Fehler behoben wurden, sondern ob man daraus gelernt hat. Ob also nicht nur Korrekturen, sondern auch korrektive Maßnahmen ergriffen wurden. Planen Sie das mit ein.

Bei der Vorbereitung geht es um die Vorbereitung eines konkreten internen Audits. Zu den Aktivitäten zählen:

  • Den Audittermin vereinbaren, Räume reservieren
  • Zu auditierende Personen einladen
  • Auditplan mit Themen und Uhrzeiten verschicken

c) Anforderungen an die Durchführung interner Audits

Internen Audits sollten nach Plan erfolgen. Abweichungen müssen dokumentiert werden. Falls beim Audit Nichtkonformitäten gefunden werden (das ist die Regel), sind die Organisationen verpflichtet, angemessene Korrekturmaßnahmen einzuleiten.

Die Norm ISO 19011 gibt eine Anleitung für QM-Audits (interne und externe Audits).

3. Interne Audits in der Praxis

a) Methoden für interne Audits

Bei internen Audits sollten Sie systematisch und methodisch vorgehen. Dazu zählen zum einen die o. g. Planungen und Vorbereitungen, aber auch die Methoden. Beispiele für den Einsatz verschiedener Methoden beim Audit sind (s. ISO 19011:2018 Anhang A.1):

  • Befragung anhand von vorher festgelegten Checklisten
  • Auswertung von Fehlerdatenbanken
  • Exemplarische Reviews von Technischen Dokumentationen
  • Kontrolle von Räumen (z. B. Sauberkeit) und Messmitteln (z. B. Datum letzter Kalibrierung)
  • Dokumentation der Ergebnisse (Papier, Dokumentenmanagementsystem usw.)
  • Kommunikation der Ergebnisse: Kanäle, Fristen, Empfänger

Diese Methoden lassen sich folgenden Klassen zuordnen

  1. Befragen
  2. Beobachten (von Handlungen)
  3. Begutachten von Nachweisen/Aufzeichnungen

b) Festlegen von Kriterien

Auch wenn gelegentlich empfohlen wird, ähnlich wie die benannten Stellen auch bei internen Audits zwischen „minor“ und „major“ Abweichungen zu unterscheiden, so sollte dennoch klar sein, dass keine Norm fordert, diese Abweichungen zu definieren. Nach ISO 19011 können aber Nichtkonformitäten risikobasiert klassifiziert werden.

Eine Kennzahl festzulegen, wie viele Abweichungen man haben darf (jeweils minor und major), kann ebenfalls kontraproduktiv sein. Die Kennzahl zu verwenden, wie viele der gefundenen Fehler nachhaltig behoben wurden, erscheint hingegen sinnvoll.

c) Anforderungen an die internen Auditoren

Die Normen stellen nicht nur Anforderungen an die internen Audits selbst, sondern auch an die internen Auditoren. Achten Sie darauf, dass diese die notwendigen Kompetenzen nachweisen können!

Die Schulung zum Internen Auditor vermittelt Ihnen alle notwendigen Kompetenzen. Belegen können Sie diese externen Auditoren und Ihrer Benannten Stelle gegenüber anhand der Teilnahmebescheinigung und des Leistungsnachweises.

Interne Auditoren müssen mehrere Anforderungen erfüllen:

  1. Kompetenz: Ein interner Auditor muss nachweisen können, dass er/sie über die notwendigen Kompetenzen verfügt, z. B. die Normen kennt sowie Auditpläne aufstellen und Abweichungen beurteilen kann. Ein interner Auditor muss auch den „Auditgegenstand“ beispielsweise den zu auditierenden Prozess bewerten können.
  2. Objektivität, Unabhängigkeit: Interne Auditoren und externe Auditoren müssen unabhängig sein, um objektiv urteilen zu können. Diese Unabhängigkeit müssen sie begründen können, beispielsweise über ein Organigramm bzw. eine Stellenbeschreibung.
  3. Kommunikation und Moderation: Interne Auditoren sind genauso wie externe Auditoren aufgrund ihrer Tätigkeit nicht immer willkommen: Sie müssen den Finger in die Wunde legen und Missstände aufdecken. Daher sollten interne und externe Auditoren gute Kommunikatoren sein und in der Lage, auch schwierige Gespräche souverän zu führen.

Ein interner Auditor sollte sich als ein Teil seiner Organisation verstehen, der genauso kontinuierlich verbessert werden muss, wie jeder andere Teile der Organisation. Dafür ist Feedback hilfreich durch

  • externe Auditoren, die das ganze QM-System auditieren,
  • andere interne Auditoren, die den Prozess der internen Audits auditieren,
  • von ihm oder ihr auditierte Personen.

Aus dem Feedback sollten Verbesserungsmaßnahmen abgeleitet, umgesetzt und auf Wirksamkeit geprüft werden.

4. Die sieben häufigsten Fehler bei internen Audits

Fehler 1: Unzureichendes Auditprogramm, falscher Fokus

Beim Auditprogramm unterlaufen den Organisationen gleich mehrere Fehler:

  • Das Auditprogramm fehlt, d. h. die Firmen planen nur die einzelnen Audits, aber nicht – wie gefordert – einen Satz an Audits.
  • Das Auditprogramm stellt nicht sicher, dass die Organisation das ganze QM-System mit allen Prozessen prüft, z. B. auch die ausgelagerten Prozesse.
  • Das Auditprogramm wurde einmal festgelegt und wird nicht adaptiert. Das ist aber insbesonere notwendig bei „Findings“ im Rahmen interner und externer Audits, bei Zwischenfällen mit den eigenen Produkten oder auch bei sonstigen Beobachtungen.
  • Das Auditprogramm zielt nur auf die Konformität mit den Anforderungen der ISO 13485. Meist sind auch andere Vorgaben zu beachten wie die Anforderungen der MDR bzw. IVDR, die Anforderungen der FDA im 21 CFR part 820 oder jenen von integrierten Managementsystemen wie ISO 27001.

Fehler 2: Falsche Frequenz

Die Normen sprechen von „geplanten Abständen“, geben aber keinen Zeitraum vor. Daher führen viele Organisationen interne Audits nur einmal pro Jahr durch. Dieser Abstand kann aber zu groß sein. Begründungen für zusätzliche Audits wären z. B. eine Prozessänderung, eine Organisationsänderung oder Maßnahmen bei schwerwiegenden Abweichungen.

Fehler 3: Mangelnde Kompetenz, falsche Personen

Die Aufgabe, interne Audits durchzuführen, sollte nicht allein beim QM-Beauftragten liegen. Diesem fehlt oft das prozessuale Wissen.

Außerdem müssen die Organisationen die Neutralität der Auditoren gewährleisten. So sollte ein QM-Beauftragter nicht den Prozess der internen Audits prüfen, wenn er selbst dafür verantwortlich zeichnet.

Fehler 4: Mangelnde Konsequenz

Möglicherweise der schlimmste Fehler ist die mangelnde Konsequenz. Die Aufgabe der Auditoren besteht darin, Fehler zu finden, auch wenn das die Auditierten nicht mögen.

Wenn Abweichungen gefunden werden, müssen die Ursachen dann auch erforscht und beseitigt werden. Im Fall von Korrekturmaßnahmen „ohne unangemessene Verzögerung“.

Wenn eine Nichtkonformität auch im Folgejahr noch besteht, liegt kein wirksames QM-System vor.

Fehler 5: Unzureichende Dokumentation

Auch die Dokumentation ist fehleranfällig:

  • Was nicht dokumentiert ist, existiert nicht. Eine Dokumentation ist also erforderlich.
  • Das betrifft explizit auch den Nachweis der Konformität und nicht nur den Nachweis von Nichtkonformitäten. Ein neutraler Dritte muss nachvollziehen können, was der Auditor geprüft hat und wie er oder sie zu dem Ergebnis gekommen ist.
  • Die Nachweise beziehen sich in der Regel auf Aufzeichnungen, z. B. Testberichte, Wareneingangskontrollen, Review-Protokolle usw. Diese müssen eindeutig identifizierbar sein.

Die Dokumentation der internen Audits sind Aufzeichnungen, die gelenkt werden müssen.

Fehler 6: Verheimlichen der Ergebnisse

Es ist wenig sinnvoll, im externen Audit die bei internen Audits gefundenen Abweichungen zu verheimlichen. Vielmehr ist es ein Ausweis wirksamer interner Audits, diese Fehler zu finden, und ein Ausweis eines gelebten QM-Systems, dass diese Abweichungen schnell und konsequent beseitigt werden.

Fehler 7: Unzureichendes Commitment vom Management

Der Fisch stinkt vom Kopf her. Das gilt auch für QM-Systeme. Wenn das Management nicht hinter dem QM-System steht, haben es nicht nur die QM-Beauftragten schwer.

Ein Indikator für dieses Commitment ist, wie sehr das Management die Ergebnisse der internen Audits bei den Managementbewertungen berücksichtigt.

5. Fazit und Zusammenfassung

Interne Audits sind ein integraler Teil jedes QM-Systems. Mit ihnen überprüft eine Organisation auf zuvor festgelegte Weise (Auditprogramm, Auditplanung) die Wirksamkeit des Systems. Wenn der Eindruck eins „QM-Overheads“ entsteht, dann ist das ein Anzeichen falsch durchgeführter interner Audits oder einer mangelnden Qualitätskultur.

Möchten Sie sicherstellen, dass Ihr QM-System das nächste externe Audit sicher besteht und Sie Ihr Zertifikat erlangen bzw. behalten?

Das Team des Johner Instituts prüft mit Mock-Audits die Konformität Ihres QM-Systems. Mit diesen Mock-Audits erfüllen Sie gleichzeitig die Anforderungen nach internen Audits. So schlagen Sie zwei Fliegen mit einer Klappe.

Melden Sie sich, wenn Sie die nächsten Schritte gemeinsam mit uns besprechen möchten.

Änderungshistorie

  • 2025-01-22: Kapitel 3.c) zum internen Auditor überarbeitet und ergänzt
  • 2023-05-26: Artikel völlig überarbeitet und aktualisiert
  • 2015-07-02: Erste Version veröffentlicht



Lifestyle

Tags: , , ,
Categories: