Was ist ein Zertifizierungsaudit

Nach DIN EN ISO/IEC 17021 muss das Erstzertifizierungs-Audit eines Managementsystems in zwei Stufen durchgeführt werden.

Das Stufe 1-Audit dient dazu,

  • die Managementsystem-Dokumentation zu überprüfen (z.B. Vollständigkeit, Freigabe, formale Kriterien der Lenkung)
  • den Standort und die standortspezifischen Bedingungen zu beurteilen sowie Interviews mit den Mitarbeitern der Organisation zu führen, um die Bereitschaft für das Audit Stufe 2 zu ermitteln
  • den Status und das Verständnis des Kunden bezüglich der Normanforderungen zu bewerten
  • Informationen bezüglich des Geltungsbereichs des Managementsystems, der Prozesse und des Standorts sowie gesetzliche und behördliche Aspekte und deren Einhaltung einzuholen
  • die Zuteilung der Ressourcen für Stufe 2-Audits zu bewerten und Einzelheiten für Audits Stufe 2 abzustimmen
  • den Schwerpunkt für die Planung der Stufe 2-Audits zu schaffen (Identifikation signifikanter Aspekte)
  • zu beurteilen, ob interne Audits und Managementbewertungen geplant und durchgeführt werden und dass der Umsetzungsgrad des Managementsystems für ein Stufe 2-Audit ausreichend ist.

Für die meisten Managementsysteme wird empfohlen, dass mindestens Teile des Audits der Stufe 1 vor Ort beim zu auditierenden Unternehmen stattfinden. Der Leitende Auditor entscheidet anhand festgelegter Kriterien darüber, ob das Audit Stufe 1 vollständig vor Ort beim Unternehmen durchzuführen ist, oder ob Teile des Audits auch durch Unterlagenprüfung in der Zertifizierungsstelle erfolgen können.

Bei hoch eingeschätztem Produktrisiko findet das Audit Stufe 1 immer vollständig beim Kunden vor Ort statt. Es kann im Büro der Zertifizierungsgesellschaft stattfinden bei kleinen Unternehmen mit einem Standort, wenn das Produktrisiko gering ist.
In der Zertifizierungspraxis werden vor dem eigentlichen Zertifizierungsaudit (Audit Stufe 2) insbesondere das Management-Handbuch und die dokumentierten Verfahren bzw. Prozesse überprüft. Bei der Zertifizierung vor Ort wird der Zertifizierungsauditor dann in weitere Teile der Dokumentation Einsicht nehmen.

Auditfeststellungen aus Stufe 1 müssen dokumentiert und der auditierten Organisation mitgeteilt werden, einschließlich der Hinweise zu Schwachstellen, die während des Stufe 2-Audits als Nichtkonformität eingestuft werden könnten. Bei der Festlegung des zeitlichen Abstands zum Audit Stufe 2 sollte berücksichtigt werden, wie viel Zeit die Organisation benötigt, um Lösungen zu den erkannten Schwachstellen zu finden (z.B. Anpassung von Unterlagen). Es kann erforderlich sein, die ursprüngliche Planung für das Stufe 2-Audit zu überarbeiten.

Im Auditbericht des Stufe 1 Audits wird die Entscheidung dokumentiert, ob das Zertifizierungsaudit ohne weiteres möglich ist. Ist dies der Fall, erfolgt die Detailplanung für das Audit Stufe 2. Bei Nichterfüllung der Normanforderungen werden Nachbesserungen verlangt.

Schwerpunkt des Audits Stufe 2 ist es, die Umsetzung und Wirksamkeit des Managementsystems zu beurteilen. Insbesondere soll die praktische Anwendung der dokumentierten Verfahren und die Normkonformität überprüft werden. Dieses Audit muss vor Ort bei der zu auditierenden Organisation durchgeführt werden und mindestens folgende Punkte umfassen:

  • Informationen und Nachweise über die Konformität mit allen Anforderungen der anwendbaren Managementsystemnorm und anderen normativen Dokumenten
  • Überwachung der Leistung, Messung, Berichterstellung und Überprüfung der Schlüsselleistungs-Ziele und -Vorgaben
  • das Managementsystem und dessen Leistungsfähigkeit in Bezug auf Einhaltung der gesetzlichen Vorgaben
  • operative Steuerung der Prozesse der Organisation
  • interne Auditierung und Managementbewertung
  • Verantwortung der Leitung für die grundsätzlichen Regelungen der Organisation
  • Verbindungen zwischen normativen Anforderungen, Politik, Leistungszielen und -vorgaben, allen anwendbaren gesetzlichen Anforderungen, Verantwortlichkeiten, Kompetenz des Personals, Tätigkeiten / Arbeitsweise, Verfahren, Leistungsdaten sowie Feststellungen und Schlussfolgerungen aus internen Audits.

Das Audit Stufe 2 kann bei Bedarf direkt im Anschluss an das Audit Stufe 1 durchgeführt werden, unter der Voraussetzung, dass der Organisation im Vorfeld die Konsequenzen beim Auftreten von Schwachstellen im Stufe 1-Audit dargelegt wurden (ggf. Einstufung der Schwachstellen als Nichtkonformität im Stufe 2-Audit oder Auditunterbrechung). Der Abstand zwischen den beiden Auditstufen sollte üblicherweise nicht mehr als 3 Monate betragen.

Ablauf eines Vor-Ort-Audits

Beim Vor-Ort-Audit überprüfen die Auditoren die praktische Umsetzung der dokumentierten Verfahren und bewerten sie im Hinblick auf die Erfüllung der Normanforderungen. Das Vorgehen untergliedert sich in drei Abschnitte:

  1. Einführungsgespräch,
  2. Sammlung der Auditnachweise und
  3. Abschlussgespräch.

Das Vor-Ort-Audit beginnt mit einem Einführungsgespräch (dies gilt im Regelfall beim Audit Stufe 2). An diesem Einführungsgespräch nehmen neben den Zertifizierungsauditoren in der Regel der Beauftragte der obersten Leitung, die Geschäfts- bzw. Bereichsleitung und evtl. weitere Führungskräfte des Unternehmens teil. Das Einführungsgespräch dient dem gegenseitigen Kennenlernen von Auditoren und Auditierten sowie der Absprache der Vorgehensweise.

Anschließend werden die Auditnachweise in den einzelnen Unternehmensbereichen gesammelt. Dies erfolgt durch Befragung der Mitarbeiter, Einsichtnahme in Managementsystem-Dokumente, Aufzeichnungen, Aufträge, Richtlinien und durch Begehung der relevanten Bereiche. Nach dem Einführungsgespräch wird häufig zuerst die Geschäftsleitung befragt, um festzustellen, ob sie die Rahmenbedingungen für die Einführung des Managementsystems geschaffen hat. Danach werden die anderen Bereiche nacheinander auditiert. Treten besondere fachspezifische Probleme bei der Beurteilung des Managementsystems auf, wird ein entsprechender Experte hinzugezogen. Der Beauftragte der obersten Leitung ist der ständige Ansprechpartner für die Auditoren und begleitet sie in der Regel während des Zertifizierungsaudits durch das Unternehmen.

Eine gute Vorgehensweise beim Zertifizierungsaudit ist die Rückverfolgung eines Produktes, einer Dienstleistung oder eines konkreten Auftrages. Dabei wird geprüft, ob die Prozesse und Verfahren wie beschrieben durchgeführt werden. Es werden in der Regel alle relevanten Anforderungen der Norm stichprobenartig geprüft.

Im Auditprotokoll machen sich die Auditoren Notizen zu den Interviews, über die durchgesehenen Unterlagen und ihre Beobachtungen, um diese bei Bedarf später zurückverfolgen zu können.

Nach Beendigung des Zertifizierungsaudits bzw. bei mehrtägigen Audits am Ende eines jeden Tages findet zunächst ein Abstimmungsgespräch der Auditoren untereinander statt.
Am Ende des Vor-Ort-Audits wird ein Abschlussgespräch durchgeführt. Dabei werden die wichtigsten Ergebnisse des Audits mit der Unternehmensleitung, dem Beauftragten der obersten Leitung und den beteiligten Mitarbeitern (Abteilungsleitern) besprochen und ggf. diskutiert.