27.03.2025

IAF-Vorgabe regelt die Auditzeiten bei Zertifizierungsaudits

Haben Sie sich schon einmal die Frage gestellt, wie man die Auditzeit bei einem Zertifizierungsaudit ermittelt? Wie Sie wahrscheinlich richtig vermuten, gibt es hierfür ein Regelwerk – das IAF MD 5:2019 und die dazu gehörende deutsche Übersetzung der DAkkS vom 31.08.2020. Das Dokument hat das Ziel, eine einheitliche, transparente und faire Methode zur Festlegung der Auditzeit bereitzustellen. Lesen Sie hier, welche Faktoren dabei eine Rolle spielen und wie sich Ihre Auditzeit berechnet.

Eine digitale Uhr ist oberhalb eines Laptops abgebildet, flankiert von unterschiedliche Symbolen wie z.B. ein Kalenderblatt, eine Zielscheibe und einem Balkendiagramm
© iStock /​ Getty Images Plus /​ jittawit.21

Bedeutung des Regelwerks

Das hier vorgestellte IAF-Dokument MD 5 (Mandatory Document 5) ist ein verbindliches Dokument zur Ermittlung von Auditzeiten für die Auditierung von QM-, UM- und SGA-Managementsystemen (Sicherheit und Gesundheit) und muss von Zertifizierungsstellen der genannten Managementsysteme berücksichtigt werden.

Das Dokument mit dem vollständigen Titel „Verbindliches IAF Dokument – Ermittlung von Auditzeiten für die
Auditierung von Qualitätsmanagement- (QMS) und Umweltmanagementsystemen (UMS), sowie Managementsystemen für Sicherheit und Gesundheit bei der Arbeit (SGA-MS)“ steht auf der Homepage des DAkks in deutscher Übersetzung und als PDF-Datei zum Download bereit:

IAF MD 5:2019 | Ausgabe 4, Version 2

Für Sie als Kunde einer Zertifizierungsstelle dient das Regelwerk als Information, falls Sie Ihre Auditzeit noch einmal unabhängig recherchieren wollen.

Qualität und Fairness beim Wettbewerb der Zertifizierer

Ziel ist es, eine objektive und konsistente Ermittlung der Auditdauer zu gewährleisten. Die hier vorgegebenen Zeiten sollen sicherstellen, dass das Audit effektiv und vollständig durchgeführt werden kann.

Zudem wird so der Wettbewerb zwischen Zertifizierungsunternehmen fair gestaltet, da es keinen Unterbietungskampf geben sollte. Dieser Aspekt ist für die weltweite Akzeptanz und das Vertrauen in die Zertifikate von großer Bedeutung.

Grundsätze der Auditzeitermittlung sind wichtig

Aus dem Regelwerk lassen sich nachfolgende Grundsätze erkennen:

Risikoorientierung: Die Auditzeit soll in Bezug auf das Risiko und die Komplexität des zu auditierenden Systems festgelegt werden. Je komplexer das System oder je risikobehafteter die Prozesse, desto mehr Auditzeit wird benötigt.

Anpassungsfähigkeit: Die Methode erlaubt Anpassungen je nach spezifischen Gegebenheiten des Unternehmens, der Branche und des QM-Systems. Hierbei werden auch Faktoren wie die Anzahl der Standorte, Mitarbeiter und die Art der Prozesse berücksichtigt.

Ständige Verbesserung: Die Berechnung der Auditzeit soll regelmäßig überprüft und angepasst werden, um sicherzustellen, dass sie der aktuellen Risikosituation und den Erfahrungen aus vergangenen Audits entspricht.

Auditzeit und Audittag

Die Auditzeit umfasst alle Tätigkeiten, die benötigt werden, um ein komplettes und wirksames Audit des
Managementsystems einer Organisation zu planen und durchzuführen – inklusive der Berichtserstellung.

Ein Audittag wird üblicherweise mit acht Zeitstunden angesetzt. In der Regel sind Fahrtzeiten und
Pausen hierin nicht enthalten, es sei denn, nationale Gesetzgebungen erfordern es.

 

Was beeinflusst die Auditzeit?

Für QM-Systeme gib es im Wesentlichen drei Faktoren, die die Auditzeit beeinflussen:

1. Die effektive Mitarbeiteranzahl

Hierzu zählen festangestellte Personen und Zeitpersonal, die im Zertifizierungsbereich tätig sind, sowie ggf. Vertragspartner, sofern sie auch im Zertifizierungsbereich eingebunden sind. Bei saisonalen Einsätzen (z. B. Erntetätigkeiten) wird die Anzahl der Mitarbeiter in der Hauptsaison zugrunde gelegt.

Ist die aktuelle Mitarbeiterzahl ermittelt, findet man in Tabelle 1 der IAF MD 5:2019 die zugehörigen Audittage.

Als kleinste Kategorie mit 1 bis 5 Mitarbeitern werden hier z. B. 1,5 Audittage und als größte Kategorie mit mehr als 10.700 Mitarbeitern mindestens 22 Audittage beziffert. Die Steigerung innerhalb der Kategorien erfolgt weitgehend linear.

2. Die Risikokategorie

Für QM-Systeme wird das Risiko ermittelt, welches mit dem Versagen des Produkts oder der Dienstleistung verbunden ist. Dieses Risiko wird in drei Kategorien eingeteilt und ist im Anhang A Tabelle QMS 2 – Beispiele für Risikokategorien detailliert dargestellt.

Ein hohes Risiko wird bei Unternehmen aus sicherheitsrelevanten Branchen wie z. B. der Lebensmittel- oder Pharmaindustrie, der Nukleartechnik oder auch der Chemie gewählt. Hier kann ein fehlerhaftes Produkt oder eine fehlerhafte Dienstleistung ein katastrophales Ausmaß haben und Gefahr für Leib und Leben bedeuten.

Ein geringes Risiko hingegen haben Unternehmen, bei denen schwerwiegende Folgen eher unwahrscheinlich sind, wie z. B. in der Textil- und Bekleidungsindustrie oder bei Bürodienstleistungen.

Wenn ein fehlerhaftes Bauteil bzw. eine fehlerhafte Dienstleistung jedoch eine Krankheit oder eine Verletzung hervorrufen kann, ist das mittlere Risiko zu wählen.

3. Die Komplexität

Der letzte Baustein, der die Auditzeit beeinflusst, ist die Komplexität. Ein wenig komplexes System verfügt hier eher über einen kleinen Geltungsbereich mit wenigen Prozessen, die prinzipiell einfach sind und sich wiederholen, wohingegen ein komplexes System üblicherweise aus mehreren Standorten mit vielen Prozessen und somit einem großen Geltungsbereich besteht.

Viele Prozesse werden einmalig durchgeführt und es gibt umfangreiche Entwicklungstätigkeiten.

 

Hinweis

Die Dauer eines Zertifizierungsaudits, also die Zeit, die der Auditor vor Ort ist, vom Eröffnungsgespräch bis zur Abschlussbesprechung, sollte nicht weniger als 80 % der Gesamtauditzeit betragen. Auch ein erhöhter Dokumentationsaufwand ist für eine weitere Verkürzung der Vor-Ort-Zeit keine Rechtfertigung.

Anwendung der Auditzeitformeln

Um nun die tatsächlich einzuplanende Auditzeit zu ermitteln, gehen Sie wie folgt vor:

  1. Nehmen Sie die Anzahl der effektiv ermittelten Mitarbeiter.
  2. Ermitteln Sie die Anzahl der Audittage laut Tabelle QMS 1.
  3. Prüfen Sie, welche signifikanten Faktoren eine Erhöhung der Auditzeit erfordern.
  4. Kürzen Sie diese Zeit um ggf. reduzierende Faktoren.
  5. Schätzen Sie ab, ob das hieraus erreichte Ergebnis ein effektives und wirksames Audit ermöglicht.

Wenn Sie die letzte Frage mit „Ja“ beantworten, haben Sie die reguläre Auditzeit für ein Zertifizierungsaudit.

Anpassungen der Auditzeit können durchaus gerechtfertigt sein

Die festgelegte Auditzeit ist nicht immer endgültig und kann je nach Umständen angepasst werden. So können z. B. für folgende Aspekte Auditzeiten erhöhen werden:

  • Arbeiten an mehreren Standorten (z. B. separates Entwicklungszentrum) müssen auditiert werden.
  • Das Unternehmen ist mehrsprachig und ein Übersetzer ist erforderlich.
  • Der Standort ist im Verhältnis zur Mitarbeiteranzahl sehr groß (z. B. landwirtschaftlicher Betrieb).
  • Das Unternehmen unterliegt hohen Regulierungsansprüchen, z. B. Luft- und Raumfahrt oder Lebensmittel und/oder hat eine hohe Risikoeinstufung.
  • Das Unternehmen führt hochkomplexe Verfahren durch oder hat viele einzigartige Aktivitäten.
  • Es müssen temporäre Standorte zur Validierung der Hauptstandorte auditiert werden.
  • Es gibt ausgelagerte Funktionen oder Prozesse.

Reduzierung von Auditzeiten

Diese können reduziert werden, wenn

  • Normforderungen wie z. B. die Entwicklung nicht zum Anwendungsbereich gehören.
  • der Standort im Verhältnis zur Anzahl der Mitarbeiter sehr klein ist (z. B. ein Bürokomplex).
  • der Reifegrad des Managementsystems bereits sehr hoch ist.
  • das Unternehmen bereits anderen Managementsystemnormen unterliegt und erfahren ist.
  • das Unternehmen einen hohen Automatisierungsgrad hat.
  • diverse Mitarbeiter standortfern arbeiten, wie z. B. Monteure, Außendienst oder Fahrer und deren Tätigkeit im Wesentlichen über dokumentierte Informationen nachvollzogen werden können.
  • die Tätigkeiten des Unternehmens mit einem geringen Risiko verbunden sind.

Achtung

Die gesamte Reduzierung der Auditzeit darf maximal 30 % betragen.

Auditzeiten für weitere Auditarten

Die oben ermittelte Auditzeit gilt für das erste Zertifizierungsaudit und beinhaltet sowohl das Audit der Stufe 1 wie auch der Stufe 2. Die weiteren Audits berechnen sich wie folgt:

  • Überwachungsaudit: Die Auditzeit sollte hier etwa ein Drittel der Auditzeit des Erst-Zertifizierungsaudits betragen. In der Regel ist es unwahrscheinlich, dass hier weniger als ein Tag angesetzt wird.
  • Re-Zertifierungsaudit: Die Auditzeit beträgt hier ca. zwei Drittel der Auditzeit des Erst-Zertifizierungsaudits.

Auf jeden Fall müssen bei der Berechnung aktualisierte Informationen des Kunden zugrunde gelegt werden.

Die Zeiten sollten aber bei jedem Audit erneut auf deren Angemessenheit überprüft werden.

Dokumentation und Kommunikation

Die Berechnung und die zugrunde liegenden Annahmen müssen von der Zertifizierungsstelle dokumentiert werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Zudem muss die Zertifizierungsstelle die festgelegte Auditzeit und die Gründe für deren Berechnung klar verständlich dokumentieren und dem Kundenvertrag beifügen.

Fazit

Eine gut berechnete Auditzeit trägt dazu bei, dass Audits effektiv und gründlich durchgeführt werden, ohne Ressourcen zu verschwenden. Die Methodik hierzu erlaubt es, die Auditzeit flexibel an die spezifischen Anforderungen eines Unternehmens anzupassen und auf sich verändernde Bedingungen zu reagieren.

Die Auditzeitberechnung sollte daher regelmäßig überprüft werden, um die Qualität der Audits stetig zu steigern. Die IAF MD 5:2019 gibt also einen klaren Rahmen dafür vor, dass Audits zeitlich nicht aus dem Ruder laufen.

 

Autor*in: Stefanie Gertz