Die Revision der DIN EN ISO Leitfaden für Audits von Managementsystemen. Frank Graichen Director Internal Systems DQS Holding GmbH

Transkript

1 Die Revision der DIN EN ISO Leitfaden für Audits von Managementsystemen Frank Graichen Director Internal Systems DQS Holding GmbH

2 Derzeitiger Stand Alle Kommentare zum DIS ISO wurden auf der letzten Sitzung im Dezember 2010 diskutiert Auf Grund des Umfanges und der Komplexität der Stellungnahmen konnte der FDIS im Dezember noch nicht beendet werden Der FDIS ISO wurde im März 2011 in einer speziellen Sitzung fertig gestellt Danach erfolgt edie Vorbereitung für die Abstimmung in ISO und parallel in CEN Publikation wird nun für November/ Dezember 2011 erwartet

3 4. Überblick über die wichtigsten Änderungen Allgemeine Änderungen: 1. Die help boxes wurden entfernt, entweder gestrichen oder in den Text implementiert. 2. Die Definitionen wurden überarbeitet. 3. Es wird keine normativen Referenzen geben, nur Literaturhinweise. 4. Kapitel 5 und 6 wurden reorganisiert. 5. Kapitel 7 wurde reorganisiert, Anforderungen an spezielle Kenntnisse (QMS, UMS) wurden in die informative Anlage A als Beispiele gegeben. 6. Die informative Anlage B liefert zusätzliche Anleitungen für Auditoren zur Planung und Durchführung von Audits. 7. Eine ursprünglich geplante Anlage mit ausführlichen Beispielen der Team Kompetenz wurde gestrichen und wird auf der ISO home page als informatives Material offen zugängig sein.

4 Informative Anlagen zur ISO Zum Beispiel: Anlage B Zusätzliche Anleitung für Auditoren zur Planung und Durchführung von Audits Anwendung von Auditmethoden, z.b. on-site, remote, Art der Interaktionen Informationsquellen und Durchführung der Dokumentenprüfung Vorbereitung von Arbeitsunterlagen Sampling und Stichprobenverfahren Anleitungen für Vor-Ort Begehungen und Beobachtungen Durchführung von Befragungen Umgang mit Auditfeststellungen

5 Übergreifende Hinweise zu Änderungen/ Ergänzungen der Kapitel 4, 5 und 6 Generell ist festzuhalten: Die maßgeblichen Änderungen und Ergänzungen beziehen sich auf Kapitel 5 Management eines Auditprogramms Heraushebung der Rolle & Verantwortungen des/der Auditprogramm- Verantwortlichen in Bezug auf Planung, Umsetzung, Aufzeichnungen, Bewertung und Verbesserung von Auditprogrammen Es ist und bleibt ein Leitfaden, d.h. diese Norm enthält Hinweise und Anleitungen zu Audits keine Forderungen, die z.b. im Falle der Zertifizierung zwingend nachgewiesen werden müssen.

6 5.1 Management eines Auditprogramms, Allgemeines Strukturell umgebaut, aber inhaltlich weitgehend gleichgeblieben. Neu: Anmerkung zu risikobasiertem Auditieren, d.h. Priorität sollte der Zuordnung der Auditprogrammressourcen beigemessen werden, diejenigen Dinge zu auditieren, die innerhalb des Managementsystems von Bedeutung sind. Das können sein: Schlüsselmerkmale der Produkt- oder Dienstleistungsqualität, Sicherheits- und Gesundheitsgefährdungen oder risiken sowie signifikante Umweltaspekte und deren Lenkung.

7 5.2.1 Entwicklung der Programmziele (alt: Ziele eines Auditprogramms) Neben den bekannten Zielen (Managementprioritäten, Systemanforderungen, Konformität zu Regelwerken, Erfüllung von Kundenanforderungen, ) werden neue Aspekte aufgenommen. Diese Ziele können variieren in Abhängigkeit von: - kommerziellen und/oder geschäftlichen Absichten - Merkmalen von Prozessen, Produkten und Projekten - Leistungsgrad der zu auditierenden Organisation, abgeleitet beim Auftreten von Fehlern bzw. Zwischenfällen oder Kundenbeschwerden Ergebnisse aus früheren Audits - Reifegrad des Managementsystems - Beitrag zur Verbesserung des Managementsystems und dessen Leistungsfähigkeit

8 5.3.2 Kompetenz der Personen, die für das Management des Auditprogramms verantwortlich ist Komplett neuer Abschnitt: Die Person sollte die Kompetenz besitzen das Auditprogramm wirksam und effizient zu leiten und zu lenken.sowie folgende weitere Kompetenzen bzgl. ihrer Organisation aufweisen: Auditprinzipien, -verfahren und methoden Managementsystem und Bezugsdokumente anwendbare rechtliche und andere Anforderungen an die Produkte/Tätigkeiten der zu auditierenden Organisation Tätigkeiten, Produkte und Prozesse der Organisation wo, zutreffend, Kunden, Lieferanten und andere interessierte Parteien der zu auditierenden Organisation

9 5.3.3 Ermitteln des Umfangs eines Auditprogramms (alt: 5.2.2) Weitgehend unverändert, d.h. neben der Größe, Funktionalität,der Komplexität und des Reifegrades (neu!) des Managementsystems sind folgende Faktoren zu beachten: Umfang, Ziel und Dauer jedes durchzuführenden Audits.. Anzahl, Bedeutung, Gleichartigkeit und Orte der zu auditierenden Tätigkeiten jene Faktoren die die Wirksamkeit eines Managementsystems beeinflussen (neu!) rechtliche und andere Anforderungen (Normen, vertragliche Anforderungen, andere Auditkriterien, Zertifizierungen) Verfügbarkeit von Informations-und Kommunikationstechnologien der auditierten Organisation, die Auswirkungen auf die Auditmethoden, die keine Anwesenheit des Auditors am auditierten Standort erfordert (neu!) Auftreten interner und externer Ereignisse (z.b. Produktausfall, Kontamination, Zwischenfällen bzgl. Gesundheits-und Arbeitsschutz.) (neu!)

10 5.3.4 Identifizieren und Bewerten der Risiken eines Auditprogramms Komplett neuer Abschnitt: Bei der Festlegung, Umsetzung, Überwachung und Bewertung eines Auditprogramms gibt es Risiken, die berücksichtigt werden sollten. Diese können in Zusammenhang stehen mit: Umfang, Ziel und Dauer jedes durchzuführenden Audits Versäumnissen beim Festlegen der relevanten Auditziele und bei der Ermittlung des Auditumfanges Ressourcen keine genügende Zeit zur Entwicklung des Auditprogramms der Auswahl des Auditteams, wenn es nicht über die gemeinsame Kompetenz verfügt das Audit wirksam durchzuführen der Umsetzung, d.h. ineffektive Kommunikation in Bezug auf das Auditprogramm den Aufzeichnungen, und deren Lenkung, d.h. Versäumnisse bzgl. angemessener Schutz der Aufzeichnungen zum Zwecke des Nachweises der Überwachung, Bewertung und Verbesserung des Auditprogrammes, d.h. ineffektives Überwachen der Auditprogrammergebnisse

11 5.4.1 Umsetzung des Auditprogramms, Allgemeines (alt: 5.4) Abschnitt ist nahezu unverändert und enthält bei nachfolgenden Passagen präzisierende Ergänzungen : Weiterleitung der entsprechenden Teile des Auditprogrammes an die betroffenen Parteien und periodische Information derselben über deren Fortschritt Festlegen der Ziele, des Umfangs und der Kriterien für jedes einzelne Audit Sicherstellung der Auswahl von Auditteams mit der erforderlichen Kompetenz

12 Festlegung individueller Auditziele, des Auditumfangs und der Auditkriterien (alt: 6.2.2) Einfügung von individuellen (spezifischen) Auditzielen Auditziele ansonsten unverändert, d.h. Übereinstimmung mit Auditkriterien, Einhaltung von rechtlichen oder anderen Anforderung, Beurteilung der Wirksamkeit des Systems, Aufzeigen von Verbesserungsmöglichkeiten Neu: Die individuellen Auditziele sollen durch die Person festgelegt werden, die für das Management des Auditprogrammes verantwortlich ist (war: Auditauftraggeber) Präzisierungen bzgl. kombinierter Audits (Abstimmung der Auditziele, angemessener Umfang des Audits, Abstimmung und Auswahl der Auditkriterien).

13 5.4.3 Festlegung der Auditmethoden Komplett neuer Abschnitt: Es sollten Auditmethoden ermittelt werden in Abhängigkeit von den festgelegten Auditzielen, dem Auditumfang und den Auditkriterien. Eine (pers. Anmerkung: sehr gelungene!) Zusammenstellung von Auditmethoden enthält der Anhang B (aufgeteilt in Vor-Ort und Off-site Methoden, persönliche Interaktion, nicht persönliche Interaktion; Informationsquellen, Überlegungen zu Stichproben-Methodik, Dokumentenprüfung )

14 5.4.4 Auswahl des Auditteams (alt: 6.2.4) Insgesamt nahezu unverändert. Referenz auf Kapitel 7 bzgl. der Kompetenz von Auditoren. Neu: Bezgl. der Zusammensetzung des Auditteams für ein spezifisches Audit soll auch die Art der gewählten Auditmethoden in Erwägung gezogen werden Zusatz: Die Mitglieder des Auditteams sollen nicht nur zusammenarbeiten, sondern effektiv zusammenarbeiten Klarstellung: Sachkundige können in das Audit unter der Leitung eines Auditors integriert werden, sollten aber nicht als Auditor selbst tätig sein.

15 5.4.6 Lenkung und Führung der Aufzeichnungen zu Auditprogrammen Komplett neuer Abschnitt Um die Umsetzung des Auditprogrammes nachzuweisen, sollte der/die Auditprogramm-Verantwortliche Aufzeichnungen führen und verwalten (der Prozess sollte festgelegt werden, um Geheimhaltungs-und Vertraulichkeitsanforderungen in Bezug auf Auditaufzeichnungen gerecht zu werden). Die Aufzeichnungen sollten enthalten (Auszug): Auditprogrammziele Bewertungen der Wirksamkeit des Auditprogammes Auditpläne, Auditberichte, Abweichungsberichte, Berichte zu Korrekturund Vorbeugungsmaßnahmen, Berichte zu anderen Auditfolgemaßnahmen Kompetenz und Leistungsbewertungen der Auditteammitglieder Aufzeichnungen zur Aufrechterhaltung und der Verbesserung der Kompetenz der Auditoren...

16 5.5 Überwachung des Auditprogrammes Komplett neuer Abschnitt Durch den/die Auditprogramm-Verantwortliche(n) sollte die Umsetzung des Auditprogrammes in regelmäßigen Abständen überwacht werden. Dabei sollte Folgendes berücksichtigt werden: Bewertung und Genehmigung der Auditberichte inkl. ihrer Angemessenheit bzgl. der Auditfeststellungen, der Ursachenanalysen und Wirksamkeit der Korrektur- und Vorbeugungsmaßnahmen Sicherstellung der Verteilung an die oberste Leitung und weitere interessierte Parteien Ermittlung der Notwendigkeit von Nachfolge-Audits Leistungsbewertung der Auditteammitglieder inklusive deren Fähigkeit, den Auditplan umzusetzen Bewertung der Konformität mit Auditprogrammen, Zeitplänen und Auditzielen Bewertung des Informationsrückflusses von der obersten Leitung, den auditierten Organisationen, den Auditoren und weiteren interessierten Parteien Möglichkeit der Änderung der Auditprogramme, z.b. Art der Auditfeststellungen, Grad der Wirksamkeit des Systems, Veränderungen des Systems, Änderungen der Anforderungen (rechtlich oder normativ)..

17 5.6 Bewerten und Verbessern von Auditprogrammen Komplett neuer Abschnitt Der/die Auditprogramm-Verantwortliche sollte das Auditprogramm bewerten, um einzuschätzen, ob dessen Ziele erreicht wurden. Daraus abgeleitete Lehren sollten als für einen kontinuierlichen Verbesserungsprozess genutzt werden. Bei der Bewertung sollte Folgendes berücksichtigt werden: Ergebnisse und Tendenzen aus der Überwachung, Konformität mit Auditprogramm-Verfahren aufkommende Erfordernisse und Erwartungen interessierter Parteien Aufzeichnungen zum Auditprogramm (siehe 5.3.6) alternative oder neue Auditpraktiken Bewertung der kontinuierlichen Entwicklung der Auditoren (siehe Kap 7) Die Ergebnisse dieser Bewertung sollten der obersten Leitung mitgeteilt werden.

18 6.2.2 Herstellung des ersten Kontaktes mit der auditierten Organisation (alt: 6.2.5) Der Kontakt sollte durch den Auditteam-Leiter hergestellt werden (bisher war hier auch der Auditprogramm-Verantwortliche genannt) Zweck des ersten Kontaktes ist: Kommunikationskanäle festlegen, Befugnis für die Durchführung des Audits bestätigen Informationen über den Auditumfang, die Auditmethoden und die Zusammensetzung des Auditteams zu geben Zugang zu relevanten Dokumenten zu erhalten zutreffende rechtliche oder andere Anforderungen zu ermitteln Vereinbarungen mit der auditierten Organisation hinsichtlich des Umfangs der Offenlegung und Behandlung vertraulicher Informationen zu bestätigen jegliche Standort spezifischen Anforderungen bzgl. Sicherheit und Gesundheitsschutz zu ermitteln die Erwartungen und Erfordernisse der auditierten Organisation für das jeweilige Audit herauszufinden!!!!!

19 6.4.2 Durchführung der Eröffnungsbesprechung (alt: 6.5.1) Nahezu vollständig unverändert, d.h. (Auszüge) folgende Punkte sollten behandelt werden: Vorstellung der Teilnehmer, einschließlich Beobachter, sowie einer Kurzdarstellung ihrer Rollen. Es sollte den Auditierten Gelegenheit gegeben werden Fragen zu stellen. Auditziele, Auditumfang, Auditkriterien, Auditzeitplan, Darstellung der Methoden und Verfahren, die für die Auditdurchführung zur Anwendung kommen (neu!) Vorstellung von Methoden, mit den Risiken hinsichtlich der Organisation, der Produkte, Dienstleistungen, des Personals und/oder der Infrastruktur, die mit dem Audit verbunden sind, umzugehen ( Element der Ungewissheit ist entfallen) Bestätigung der Kommunikationskanäle, der Sprache während des Audits, Verfügbarkeit der benötigten Einrichtungen und Ressourcen Bestätigung von Angelegenheiten, die sich auf Vertraulichkeit und Informationssicherheit beziehen Informationen über das Schlussgespräch

20 6.4.3 Dokumentenprüfung während des Audits Komplett neuer Abschnitt Dokumentenprüfungen während des Audits sollen gemeinsam mit anderen Audittätigkeiten durchgeführt werden. Die Effektivität des Audits soll dadurch aber nicht in Frage gestellt werden Falls benötigte Dokumente nicht innerhalb der veranschlagten Auditzeit zur Verfügung gestellt werden können, sollte der Auditteam-Leiter den Verantwortlichen für das Auditprogramm informieren. Anschließend sollte entschieden werden, ob das Audit fortgeführt werden kann oder abgebrochen werden sollte.

21 6.4.4 Kommunikation während des Audits (alt: 6.5.2) Unverändert, lediglich für die Kommunikation mit externen Stellen (z.b. Behörden/ regelsetzende Stellen) sollten Regelungen getroffen werden, insbesondere für den Fall, dass gesetzliche Anforderungen die zwingende Berichterstattung über Nichtkonformitäten fordern Zuweisung der Rollen für Betreuer und Beobachter Komplett neu: Betreuer und Beobachter können ein Audit begleiten, sollten dieses aber nicht beeinflussen. Wenn dies nicht sichergestellt werden kann, kann der Auditteam-Leiter diese von den Auditaktivitäten ausschließen.

22 6.5.1 Erstellen des Auditberichts (alt: 6.6.1) Unverändert übernommen mit wenigen Ergänzungen, d.h. Auditberichte sollten Folgendes enthalten oder darauf verweisen: Zielsetzung des Audits, Auditumfang, Auftraggeber, Auditteam, Termin und Ort, Ausditkriterien, Auditfeststellungen und schlussfolgerungen, (neu!) eine Angabe zum Grad der Konformität mit den Auditkriterien den Auditplan, Zusammenfassung des Auditprozesses Bestätigung, dass die vereinbarten Auditziele erreicht wurden (neu!) Zusammenfassung für die Leitung, die die Auditschlussfolgerungen sowie die wesentlichen Auditfeststellungen abdeckt.. (neu!) festgestellte Stärken und bewährte Vorgehensweisen, die ermittelt wurden Hinweis: Der Auditbericht kann vor der Abschlussbesprechung erstellt werden.

23 6.6 Abschluss des Audits (alt: 6.7) Unverändert übernommen, mit den nachfolgenden marginalen Ergänzungen: Das Audit ist beendet, wenn alle Tätigkeiten im Auditplan abgeschlossen worden sind beziehungsweise wenn es mit der verantwortlichen Person für das Management des Auditprogramms vereinbart wurde.. Lehren aus dem Audit sollten in den kontinuierlichen Verbesserungsprozess des Managementsystems der Organisation aufgenommen werden

24 Kompetenz und Bewertung von Kompetenz und Auditoren Bewertung von Auditoren

25 Ausgangssituation und Zielsetzungen hinsichtlich der Auditorenkompetenz International wurde beobachtet, dass Auditoren von Managementsystemen mangels Fachkenntnissen zunehmend Ihrer Rolle nicht ausreichend gerecht wurden (insbesondere in Teilen von Asien und Amerika). Sowohl IAF als auch verschiedene Gremien bei ISO haben sich damit auseinandergesetzt. Als Konsequenz wurde die Auditorenkompetenzermittlung als konkrete Anforderung für 3rd party Auditoren in die ISO durch ISO CASCO WG 21 aufgenommen und das entsprechende Kapitel 7 der ISO durch ISO/TC176/SC3/WG16 überarbeitet. Als problematisch wurde bewertet, dass häufig die Hinweise in der ISO im Hinblick auf Ausbildung, Arbeitserfahrung, Auditorenschulung und Auditerfahrung ( Tabelle 1 ) pauschal und unreflektiert als Basis für die Qualifikation und den Einsatz von Auditoren verwendet wurden und der Kompetenzermittlungsprozess für den Einzelfall nicht oder ungenügend angewendet wurde. Eine wesentliche Änderung bei der Novellierung der Norm betraf daher die Streichung der konkreten Hinweise aus Tabelle 1 und die Schwerpunktsetzung auf den Prozess der Kompetenzermittlung und -bewertung.

26 Kapitel 7 Kompetenz und Bewertung von Auditoren Generelle Neuerungen / Erweiterungen: Anwendung erweitert auf alle Personen, die in Planung und Durchführung von Audits involviert sind (auch Experten, Beobachter, Auditprogrammmanager, ) Kompetenzermittlung für alle beteiligten Personen über Festlegung eines spezifischen Prozesses unter Berücksichtigung von Ausbildung, Arbeitserfahrung, Auditortraining und Auditerfahrung sowie der spezifischen Auditprogramme und deren Ziele Differenzierung von erforderlichem Wissen und Fertigkeiten nach Managemensystemdisziplin (Q/U/OHS/ ), managementsystemübergreifenden Anforderungen, Sektoren / Branchen, Auditorfunktion (Auditor, Teamleiter,..), Teamzusammensetzung und Arbeitsteilung im Team

27 Kapitel 7 Kompetenz und Bewertung von Auditoren Eckpunkte des Kompetenzbewertungsprozesses Die Bewertung von Auditoren sollte in Übereinstimmung mit dem Auditprogramm geplant, umgesetzt und dokumentiert werden, um zu einem Ergebnis zu gelangen, das objektiv, folgerichtig, angemessen und zuverlässig ist. Der Bewertungsprozess sollte 4 wesentliche Schritte enthalten: 1) Ermittlung der Kompetenz des für das Auditprogramm erforderlichen Personals; 2) Festlegung der Bewertungskriterien; 3) Auswahl der geeigneten Bewertungsmethode; 4) Durchführung der Bewertung. Das Ergebnis des Bewertungsprozesses sollte die Grundlage bilden für: die Auswahl des Auditteams; die Bestimmung des Bedarfs an Schulung und anderer fachlicher Weiterentwicklung; die laufende Leistungsbeurteilung von Auditoren. Hinweise zur Durchführung der o.g. 4 Schritte des Bewertungsprozesses:

28 Tabelle Anhang A Wissen und Fertigkeiten (Auszug) Kernaussagen ISO FDIS 2010 zu Auditorenkompetenz Wissen über praktische Unternehmensführung Wissen über Auditgrundsätze, -praktiken und -techniken Wissen über spezifische Managementsystemnormen und normative Dokumente Wissen über Prozesse der Zertifizierungsstelle Wissen über das Geschäftsfeld des Kunden Wissen über Produkte, Prozesse und Organisation des Kunden Sprachliche Fertigkeiten, um auf allen Ebenen innerhalb der Kundenorganisation angemessen zu kommunizieren Fertigkeiten für die Aufzeichnung von Notizen und die Erstellung von Berichten Präsentationsfertigkeiten Fertigkeiten für das Durchführen von Befragungen Fertigkeiten zum Managen von Audits

29 Sollten Sie Fragen haben, die wir heute nicht klären konnten.. Kontaktmöglichkeit: Frank Graichen Geschäftsführer DQS Medizinprodukte GmbH Tel: