Ein ISO Audit ist eine interne oder externe Prüfung eines Unternehmens hinsichtlich der Einhaltung der jeweiligen ISO-Norm-Vorgaben. Das ISO Audit dient als Nachweis der Wirksamkeit einzelner Prozesse und Unternehmensabläufe und wird für jede ISO Norm (z.B. ISO 9001, ISO 27001, ISO 14001, ISO 45001) durchgeführt.
ISO steht für die “International Organization of Standardization” (deutsch: Internationale Organisation für Normung), die international geltende Normen erarbeitet und veröffentlicht. Möchten sich Unternehmen nach bestimmten ISO-Normen zertifizieren/akkreditieren lassen, ist mindestens ein internes Audit (First Party Audit) und ein externes Audit (Third Party Audit) durchzuführen.
Interne Audits gelten als Voraussetzung für die Durchführung eines externen Audits. Bei erfolgreichen externen Audits erhält das Unternehmen das jeweilige Zertifikat für die Zertifizierung oder Akkreditierung. Je nach Norm ist bei den ISO Audits das Vorzeigen unterschiedlicher Nachweise notwendig.
Ein ISO Audit ist eine systematische Prüfung von Systemen und Prozessen, ob das eingeführte Managementsystem im Unternehmen den Vorschriften der jeweiligen Norm nachgeht und wirkungsvoll ist. Das ISO Audit wird je nach Auditart von einem (unabhängigen) Auditor durchgeführt.
Ein ISO Audit gilt darüber hinaus als Analyse, ob Maßnahmen zur Verbesserung des Managementsystems getroffen wurden und ob diese effektiv sind. Dafür wird der Ist-Zustand mit dem von der Norm geforderten Soll-Zustand verglichen. Das Ziel eines internen ISO Audits ist es, Schwachstellen und Verbesserungspotenziale noch vor dem externen Audit aufzudecken, um beim externen ISO Audit das Zertifikat zu erhalten.
Es gibt 6 verschiedene ISO Audits. Das Systemaudit (Überprüfung des Managementsystems), das Prozessaudit (Überprüfung von Geschäftsprozessen), das Produktaudit (Überprüfung der Qualität von Produkten/Dienstleistungen), das Compliance Audit (Überprüfung der Einhaltung von Gesetzen und Richtlinien), das Zertifizierungs- bzw. Akkreditierungsaudit (Erhalt des Zertifikats) sowie das Überwachungsaudit (jährliche Kontrolle des Managementsystems).
Ein ISO Audit ist wichtig, um die Wirksamkeit des Managementsystems festzustellen. Das interne ISO Audit ist für die Zulassung zum externen Audit wichtig, wobei Fehler bereits vor dem externen Audit aufgedeckt und beseitigt werden. Ein erfolgreiches internes Audit verspricht ein erfolgreiches externes Audit.
Das ISO Audit ist für die erfolgreiche Zertifizierung bzw. Akkreditierung wichtig, denn im Auditprozess wird ein unabhängiger Blick von außen ermöglicht. Beimm Audit werden Unternehmensprozesse, das Managementsystem und die Management-Dokumente hinsichtlich der Einhaltung der Normforderungen bewertet.
Es gibt für jede Norm zwei Arten von ISO Audits: das interne First Party Audit und das externe Third Party Audit. Im Audit Prozess werden die Einhaltung der jeweiligen Normforderungen und der kontinuierliche Verbesserungsprozess (KVP) im Unternehmen analysiert. Die Kosten variieren je nach Auditor und Unternehmensgröße.
Der Ablauf der Audits gestaltet sich bei allen Normen gleich. Bei der Vorbereitung wird ein Auditplan und die Rollen im Prozess verteilt. Im Audit selbst werden entsprechende Nachweise zur Ausübung der Normforderungen im Unternehmen vom Auditor geprüft und bewertet. Zudem werden Gespräche mit allen involvierten Mitarbeitern geführt. Im Anschluss folgt ein Abschlussgespräch mit dem Auditor und ein ausführlicher Auditbericht (inkl. Verbesserungsvorschläge, Abweichungen etc.) wird für das Unternehmen erstellt.
Beim ISO 9001 Audit geht es um die Analyse des allgemeinen Qualitätsmanagementsystems (QMS) nach ISO 9001 in Unternehmen. Die Abläufe im Unternehmen sollen den Qualitätsstandards und den Vorgaben der ISO 9001 entsprechen, um qualitativ hochwertige Produkte/Dienstleistungen anzubieten.
Erforderliche Nachweise, die beim ISO 9001 Audit vorzuzeigen sind, schließen unter anderem die Qualitätsziele und Qualitätspolitik, die Prozessbeschreibungen im Qualitätsmanagement sowie die Nachweise zur Qualitätssicherung im Unternehmen ein. Ein internes ISO 9001 Audit findet vor der Erstzertifizierung, dann einmal jährlich beim Überwachungsaudit und schließlich vor der Rezertifizierung statt.
Das ISO 27001 Audit beschreibt die Analyse des Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 in Unternehmen. Bezüglich der ISO 27001 sind Sicherheitsstandards im Unternehmen einzuhalten und Sicherheitsrisiken zu beseitigen. Die Zertifizierung nach ISO 27001 soll Cyberangriffen und Datenverlusten im Unternehmen entgegenwirken.
Erforderliche Nachweise für das ISO 27001 Audit sind beispielsweise Informationssicherheitsbewertungen, die Einhaltung gesetzlicher Vorschriften, Informationssicherheit bei Lieferanten, Informationssicherheitsrisiken im Unternehmen sowie der Umgang mit diesen Risiken. Das interne ISO 27001 Audit wird vor der Erstzertifizierung, ein Mal jährlich beim Überwachungsaudit und wieder vor der Rezertifizierung durchgeführt.
Ein ISO 14001 Audit meint die Analyse des Umweltmanagementsystems (UMS) nach ISO 14001 in Unternehmen. Für das Audit sind umweltrelevante Aspekte im Unternehmen einzuhalten und die Umweltleistung ist zu verbessern. Die ISO 14001 fordert, dass sämtliche Umweltauswirkungen im Unternehmen zu minimieren sind.
Zu den Nachweisen, die beim ISO 14001 Audit vorzuzeigen sind, gehören unter anderem interne Emissionen, Umweltziele inklusive dem Plan zur Erreichung dieser, die unternehmerische Umweltpolitik und der Umgang mit Chancen hinsichtlich der Verbesserung der Umweltleistung im Unternehmen. Die Durchführung des internen ISO 14001 Audits findet vor der Erstzertifizierung, dann ein Mal jährlich beim Überwachungsaudit und schließlich vor der Rezertifizierung statt.
Das ISO 45001 Audit gilt als Analyse des Arbeitsschutzmanagementsystems (ASMS) nach ISO 45001 in Unternehmen. Beim Audit wird die Sicherheit und Gesundheit am Arbeitsplatz (SGA) und der Arbeits- und Gesundheitsschutz der Mitarbeiter geprüft. Mit der ISO 45001 Norm sollen Risiken am Arbeitsplatz minimiert und Kosten durch personelle Ausfälle aufgrund von Arbeitsunfällen reduziert werden.
Zu den erforderlichen Nachweisen für das ISO 45001 Audit zählen zum Beispiel Arbeitssicherheitsunterweisungen, die SGA-Politik, die SGA-Ziele und der Plan zur Erreichung dieser, der Umgang mit Arbeitssicherheitsrisiken und das SGA-Handbuch mit allen erforderlichen Management-Dokumenten. Ein internes ISO 45001 Audit wird vor der Erstzertifizierung, einmal jährlich beim Überwachungsaudit und nach drei Jahren wieder vor der Rezertifizierung durchgeführt.
Beim ISO 17025 Audit geht es um die Analyse des Qualitätsmanagementsystems (QMS) nach ISO 17025 für Prüf- und Kalibrierlabore. Die ISO 17025 Norm verlangt die Verbesserung der Qualität und Effektivität des Labors. Beim Audit sind die Anforderungen an die Prüf- und Kalibriergeräte einzuhalten und optimale Räumlichkeiten sowie Umgebungsbedingungen vorzuweisen.
Nachweise, die für den Auditor beim ISO 17025 Audit erforderlich sind, sind beispielsweise die Durchführung von Prüf- oder Kalibrierverfahren, Arbeitsabläufe im Labor sowie Mess- und Prüfmittel. Das interne ISO 17025 Audit ist vor der Erstzertifizierung, dann jährlich beim Überwachungsaudit und schließlich wieder vor der Rezertifizierung durchzuführen.
Ein ISO 13485 Audit beschreibt die Analyse des Qualitätsmanagementsystems (QMS) nach ISO 13485 für Medizinprodukte in Unternehmen. Bei der Norm geht es um die verbesserte Sicherheit, Wirksamkeit und Qualität der Medizinprodukte, die Einhaltung der Medizinproduktrichtlinien und -gesetze sowie um sterile Medizingeräte für die optimale Herstellung, die Entwicklung und das Design von Medizinprodukten.
Im ISO 13485 Audit sind erforderliche Nachweise, wie beispielsweise Qualitätsziele und der Plan zur Erreichung dieser, Produktspezifikationen, Risikoanalysen im Unternehmen und die Erfüllung der Kundenanforderungen vorzulegen. Interne ISO 13485 Audits finden vor der Erstzertifizierung, einmal im Jahr beim Überwachungsaudit und wieder vor der Rezertifizierung nach drei Jahren statt.
Im ISO 50001 Audit wird eine Analyse des Energiemanagementsystems (EnMS) nach ISO 50001 in Unternehmen durchgeführt. Beim ISO 50001 Audit wird die Optimierung der Energieeffizienz, die Reduzierung des Energieverbrauchs im Unternehmen und die Verbesserung der energetischen Leistung im Unternehmen geprüft. Dabei sind alle Energiegesetze einzuhalten.
Der Auditor verlangt beim ISO 50001 Audit Nachweise, wie zum Beispiel Daten zum Energieverbrauch, die Energieleistungskennzahlen (EnPl), die Energiepolitik und die Energieziele sowie die Einhaltung gesetzlicher Anforderungen. Zu den gesetzlichen Anforderungen gehören beispielsweise das Energieeffizienzgesetz (EnEfG) und das Energiedienstleistungsgesetz (E-DLG). Das interne ISO 50001 Audit wird vor der Erstzertifizierung, vor der Rezertifizierung und jährlich als Überwachungsaudit durchgeführt.
Das ISO 22000 Audit meint die Analyse des Qualitätsmanagementsystems (QMS) nach ISO 22000 für die Lebensmittelsicherheit. Die Norm legt den Fokus auf die Gewährleistung der Lebensmittelsicherheit bei der Herstellung von Produkten. Für die Einhaltung der Normforderungen sind Gefahren und Risiken zu kontrollieren, Kontaminationen zu verhindern sowie gesetzliche und behördliche Anforderungen einzuhalten.
Erforderliche Nachweise, die ein Auditor beim ISO 22000 Audit verlangt, sind unter anderem die Einhaltung lebensmittelrechtlicher Vorschriften zum Schutz der öffentlichen Gesundheit, Lebensmittelkontrollen, Kundenanforderungen, der Umgang mit Risiken in der Lebens- und Futtermittelbranche sowie Prozesse in der Lebensmittelkette. Ein internes ISO 22000 Audit findet vor der Erstzertifizierung und dann einmal jährlich sowie vor der Rezertifizierung statt.
Der Ablauf eines ISO Audits unterteilt sich in Vorbereitung, Durchführung des Audits und Nachgespräch. Für ein internes Audit wird entweder ein interner oder ein unabhängiger, externer Auditor eingesetzt. Das externe Zertifizierungs- oder Akkreditierungsaudit führt ein Auditor einer zuständigen Gesellschaft durch.
Bei der Vorbereitung wird der Auditplan inklusive des Auditprogrammes eingesehen und der Ablauf mit allen Mitarbeitern durchgegangen. Zusätzlich wird ein Zeitplan aufgestellt und die Verantwortlichkeiten im Auditprozess verteilt. Während der Durchführung des Audits sieht sich der Auditor alle relevanten Nachweise an und führt Gespräche mit den Prozessbeteiligten sowie mit der Leitung. Der Auditor prüft zudem das jeweilige Managementsystem auf Effektivität und dokumentiert dabei alle Funde und Bewertungen.
Beim Nachgespräch präsentiert der Auditor der Leitung seine Bewertungen und Feststellungen. Dabei erklärt er Verbesserungspotenziale, Fehler und Abweichungen zur Norm. Der Auditor nennt schließlich notwendige Maßnahmen zur vollständigen Normkonformität, woraufhin das Unternehmen einen detaillierten Auditbericht erhält.
Man sollte interne ISO Audits vor der Erstzertifizierung und Rezertifizierung sowie jährlich als Überwachungsaudit durchführen lassen. Unter bestimmten Voraussetzungen haben Unternehmen die Möglichkeit, ein Dreijahresplan aufzustellen, sodass nur einige Prozesse und Abläufe jährlich auditiert werden müssen.
Die Akkreditierung bzw. Zertifizierung findet nach dem internen Audit statt und hat dann eine Gültigkeit von drei Jahren. Nach diesen drei Jahren erfolgt nach einem erneuten internen die Rezertifizierung. Unternehmen haben die Option, interne ISO Audits beliebig oft selbst durchzuführen oder diese durchführen zu lassen.
Wir von IQI bieten interne ISO Audits für 7 verschiedene ISO-Normen an: für die DIN EN ISO 9001, die DIN EN ISO 14001, die DIN EN ISO 45001, die DIN EN ISO/IEC 17025, die DIN EN ISO 13485, die DIN EN ISO 50001 und die DIN EN ISO/IEC 27001.
Bei Bedarf helfen wir Ihnen zusätzlich bei der Einführung des jeweiligen Managementsystems und begleiten Sie auf dem Weg zur erfolgreichen Zertifizierung oder Akkreditierung. Füllen Sie bei Interesse einfach das unten stehende Formular aus oder setzen Sie sich auf Ihrem präferierten Kontaktweg per Telefon oder E-Mail mit uns in Verbindung. Wir freuen uns auf eine baldige Zusammenarbeit.
