17.02.2025

ISO 9001 Auditing Practices Group (APG): Tipps zur Auditierung der obersten Leitung

Die ISO 9001 APG ist eine informelle Gruppe von Experten für Qualitätsmanagementsysteme. Sie setzt sich aus Mitgliedern des ISO Technical Committee 176 und des International Accreditation Forum (IAF) zusammen. Die Gruppe wurde 2003 gegründet, um praktische Tipps und Fachwissen zu Audits von QMS bereitzustellen. Als Qualitätsverantwortlicher ist dieses Wissen für Sie hilfreich, da auch Zertifizierungsauditoren diese Anleitungen nutzen. In internen Audits bieten Sie zudem eine gute Unterstützung.

Gesprächssituation zwischen einem Mann im Anzug und einer Frau, die nur von hinten zu sehen ist.
© iStock /​ Getty Images Plus /​ vorDa

Ziele und Inhalte

Die APG erstellt Papiere, die das Verständnis und die Konsistenz des Auditprozesses verbessern sollen. Diese Papiere geben Empfehlungen und Beispiele für die Auditierung nach ISO 9001 und berücksichtigen dabei sowohl den prozessorientierten Ansatz als auch das risikobasierte Denken.

Die Leitfäden stehen auf der Homepage der ISO Auditing Practices Group (APG) im PDF-Format zum Download bereit.

Die Empfehlungen richten sich hauptsächlich an QMS-Auditoren, sind jedoch auch für andere Interessierte, wie Berater, Qualitätsmanager oder Schulungsanbieter nützlich.

Die Leitlinien sind nicht verbindlich, stellen aber gerade für Zertifizierungsauditoren oftmals eine Bewertungsempfehlung dar.

Hinweis

Die Papiere stellen keine festen Anforderungen oder Branchenstandards dar. Sie dienen nur als Orientierungshilfe und spiegeln unterschiedliche Ansichten und Umstände wider.

Daher sind sie nicht für eine einheitliche Anwendung gedacht und können inhaltlich variieren. Diese Leitlinien sollen daher eher behilflich sein, die eigene Auditierungspraxis zu hinterfragen und nachzuschärfen.

Herausforderung Führung

Eines der anspruchsvollsten Audits ist sicherlich das der Führung. Daher liefert die APG auch hier eine Anleitung.

So sollen die Auditoren die Aktivitäten der obersten Leitung wie Prozesse verstehen und dementsprechend auditieren. Auf jeden Fall muss die Führungsebene persönlich ins Audit einbezogen werden. Eine reine Prüfung von Unterlagen ist nicht ausreichend. So sollte die Führung sowohl zur Eröffnungs- als auch zur Abschlussbesprechung anwesend sein. Zusätzlich wird empfohlen, ein ausreichendes Zeitfenster zur Befragung des Topmanagements einzuplanen.

Recognizing that the auditing of top management is a sensitive issue, this document provides guidance for this category of auditing.
Auditors should involve top management in the audit, i.e. invite them to opening and closing meetings, allow sufficient time in the audit plan for interviewing top managers, discuss audit findings directly with them, seek evidence of their commitment, etc.. It is important to change the focus of attention from just the quality manager to the top management of the organization.
The auditor should consider top management activities to be processes, and should auditing them accordingly.

ISO 9001 Auditing Practices Group Guidance on: Top management

Wie groß dieses Zeitfenster sein sollte, können Sie anhand der nachfolgenden Themen für Ihre Organisation abschätzen.

Damit der Auditor, der ja durchaus auch extern beauftragt sein kann, die Organisation und ihre Managementstruktur versteht, werden üblicherweise dokumentierte Informationen betrachtet. wie z. B.

  • Organigramme
  • Geschäftspläne
  • Pressemitteilungen
  • Jahresberichte
  • Unternehmensprofile
  • Webseiten

Engagement der Führung

Nun gilt es herauszufinden, welches Engagement die Führung in Sachen Qualitätsmanagement an den Tag legt. Durch die Befragung der obersten Leitung wird hier zunächst die Kultur der Organisation und der Führung selbst ermittelt.

Wie stehen diese in Bezug zu den Gesamtzielen des Managementsystems? In welcher Weise äußert sich das Engagement der obersten Leitung zum Thema QM? Die hieraus gezogenen Erkenntnisse können dann ggf. noch einmal zu einer Anpassung des Auditplans führen.

Status des QM-Systems

Des Weiteren sollte die oberste Leitung den Status des Managementsystems in Bezug auf die ISO-9001-Konformität kennen. Wenn die Führung nach 2015 auf die nun nicht mehr in der Norm geforderte Position des „Beauftragten der obersten Leitung“ verzichtet hat, muss dargelegt werden, wie die Zuständigkeiten und Verantwortlichkeiten der entsprechenden Aufgaben stattdessen geregelt sind.

Nachweise einfordern

Wie es in Audits üblich ist, müssen geeignete Nachweise gefunden werden, die die Normkonformität mit den Anforderungen aus Abschnitt 5 und zum eil 9 der ISO 9001 belegen können. Hierzu gehören vor allem die

  • Qualitätspolitik,
  • Qualitätsziele und die
  • Managementbewertung.

Die Wirksamkeit einer Qualitätspolitik kann nur auf Grundlage der Gesamtergebnisse eines Audits wirklich beurteilt werden. Daher müssen hierzu vielfältige Informationen gesammelt werden.

Inhalte der Politik hinterfragen

Allerdings sind die reinen dokumentierten Informationen nicht ausreichend. Vielmehr muss bspw. geprüft werden, inwieweit die Qualitätspolitik für die Organisation tatsächlich relevant ist. Weitere Überprüfungen können bspw. die folgenden Fragestellungen berücksichtigen:

  • Verständlichkeit: Alle Vorgaben der Geschäftsleitung sollten in allgemein verständlicher Sprache erstellt oder entsprechend der Zielsetzung übersetzt werden.
  • Zusammenhang zwischen Qualitätspolitik und -zielen: Wurden die Ziele z. B. aus der Politik abgeleitet? Sind die Ziele für die Politik ausreichend relevant?
  • Lenkung der Qualitätspolitik: Wie erfolgen die Festlegung, Überwachung und Aktualisierung der Qualitätspolitik? Finden sich hierzu Hinweise in der Managementbewertung?
  • Strategien und Ziele: Sind die Strategien zur Umsetzung der Politik wirksam?
  • Kommunikation der Politik: Wurden die Strategien sowie die zugehörigen Ziele in der Organisation verstanden? Welche Nachweise gibt es für die wirksame Verbreitung der Qualitätspolitik?
  • Kontinuierliche Verbesserung: Sind Politik und Ziele dazu geeignet, die ständige Verbesserung des QM-Systems zu fördern?
  • Kundenzufriedenheit: Wurde bei der Definition der Politik sowie der Ziele die Realisierung der Kundenzufriedenheit ausreichend berücksichtigt?

Forderungen zu Qualitätszielen

Neben den bereits im Zusammenhang mit der Politik dargestellten Prüfungen müssen Qualitätsziele definiert worden sein. Diese dürfen keinen Widerspruch zur Politik darstellen. Sie müssen mit dem Kontext der Organisation sowie der strategischen Ausrichtung im Einklang stehen. Zudem müssen Qualitätsziele messbar sein, was aber nicht unbedingt quantitativ erfolgen muss. Qualitative Prüfungen sind durch entsprechende Nachweise zu belegen. Für die Art und Weise der Dokumentation gibt es keinerlei Vorgaben. Daher können sich Ziele durchaus im Ergebnis des Managementreviews, bei Jahresbudgetplanungen oder in Geschäftsplänen wiederfinden. Ob die Art und Weise der Dokumentation angemessen ist obliegt der Beurteilung des Auditors. Dieser sollte daher prüfen, ob die Ziele ausreichend in die Struktur und Prozesse der Organisation eingebettet sind.

Managementreview im Fokus

Die APG kommentiert zunächst einmal sehr deutlich, dass der Review eine gesonderte Sitzung sein KANN, es aber nicht sein muss, da es keine Anforderung der Norm ist. Es werden verschiedene Formen der Durchführung dargestellt, wie z. B. – die Entgegennahme und Überprüfung eines von Mitarbeitern erstellten Berichts durch elektronische Kommunikation oder im Rahmen regelmäßiger Führungskreismeetings, bei denen auch über Themen wie Ziele und Budgets gesprochen wird.

Prozesssicht ist wichtig

Die Managementbewertung soll als Prozess verstanden werden (s. O.). Demnach müssen die Maßnahmen zum Umgang mit Risiken und Chancen aus diesem Prozess bewertet werden. Prüfer sollten hierzu objektive Nachweise verlangen. Auch wenn die ISO 9001 eine Reihe von Inputs liefert, muss dies nicht zwingend der Standard Ihrer Organisation sein. Die Norm liefert vielmehr Anregungen, die ggf. durch weitere bedeutsame Fakten ergänzt werden können. Diese Informationen können bspw. als Berichte, Trenddiagramme, Tabellen o. Ä. vorliegen.

Ergebnisse zwingend gefordert

  • Resultate eines Reviews können z. B.
  • notwendige Änderungen an Politik und Zielen,
  • Planungen und Maßnahmen zur Verbesserung,
  • erforderliche Ressourcen und Budgets oder
  • überarbeitete Geschäftspläne sein.

Ebenso können Entscheidungen zu wesentlichen Themen, wie die Einführung neuer Produkte oder Leistungen ein Ergebnis des Reviews darstellen.

Dokumentation des Reviews

Auch für die Managementbewertung müssen dokumentierte Informationen erstellt werden. Wie diese aussehen, ist hingegen nicht festgelegt. Es können z. B. ein Sitzungsprotokoll, elektronische Aufzeichnungen, Diagramme oder Präsentationen als dokumentierte Informationen herangezogen werden.

Abschließende Überprüfungen

Zum Ende des Audits wird noch einmal die Vollständigkeit sowie die Richtigkeit der Informationen überprüft. Letztlich sollten diese Ergebnisse dann in eine Schlussfolgerung münden, der inhaltlich vertraut werden kann. Hierzu gehört auch die abschließende Bewertung, inwieweit die Qualitätsziele realistisch und ausreichend relevant für die jeweilige Organisation sind. Zudem sollten Nachweise dafür festgehalten werden, dass Verantwortlichkeiten und vor allem ausreichende Ressourcen zur Zielerreichung zugewiesen wurden.

Auditberichterstattung

Der Auditbericht sollte in einer Form erstellt werden, die inhaltlich sowohl positive als auch negative Feststellungen berücksichtigt. Zudem bietet es sich an, eine Zusammenfassung für die Präsentation bei der obersten Leitung und ggf. anderen wichtigen interessierten Parteien zu erstellen.

Diese Zusammenfassung sollte die wesentlichen Feststellungen hervorheben und Verbesserungsmöglichkeiten aufzeigen.

Autor*in: Stefanie Gertz