Dieser Blog besteht aus vier Teilen. Nachfolgend ist Teil 2 zu finden. Für die anderen Beiträge der Blog-Reihe klicken Sie hier.
Teil 1 – Grundlagen der Zertifizierung nach ISO-Norm
Teil 2 – Der Selbst-Check Zertifizierung
Teil 3 – Eine Norm verstehen: Praxisbeispiel DIN EN ISO 9001
Teil 4 – Zertifizierungsreif in 5 Tagen
Sie möchten sich zertifizieren lassen und benötigen Support? Gerne unterstützen wir Sie im Rahmen einer Zertifizierungs-Beratung oder direkt als externer Auditor und Zertifizierer.
Teil 2- Der Selbst-Check Zertifizierung
Nach Teil 1 dieser Blog-Reihe ist bekannt, dass eine Zertifizierung durch ein erfolgreiches Audit mit einem externen Auditor erlangt wird. Hierfür ist dem Auditor nachzuweisen, dass die Kriterien einer Norm erfüllt werden. Daraus ergeben sich für den Selbst-Check zwei Fragen:
1. Welche Norm soll erfüllt werden?
2. Kann der Nachweis erbracht werden?
Welche Norm soll erfüllt werden?
Aufgrund der Vielzahl an Normen ist die Wahl der richtigen Norm nicht trivial. Meist wird eine Norm gewählt, da die Zertifizierung nach dieser Norm im Rahmen einer Ausschreibung oder von einem potenziellen Kunden gefordert wird. Nur selten ist es wirtschaftlich eine Norm aufgrund eines möglichen Auftrages im Unternehmen einzuführen. Daher muss vor der Einführung ein Verständnis dafür geschaffen werden, ob die geforderte Norm auch zum Unternehmen passt und weitere Stakeholder Interesse an der Zertifizierung haben könnten.
Ergänzend ist zu prüfen, ob auch tatsächlich die Zertifizierung gefordert ist. Ein klassisches Beispiel ist die DIN EN ISO 13485. Die Einführung dieser Norm ist angeblich Pflicht, um unter anderem Hersteller eines Medizinproduktes in der EU sein zu dürfen. Dies ist jedoch falsch. Die Medical Device Regulation (MDR, VO (EU) 2017/745) fordert in Artikel 10 ein Qualitätsmanagementsystem und es werden Mindestanforderungen an dieses Qualitätsmanagementsystem in Artikel 10 aufgeführt. Sofern nachgewiesen werden kann, zum Beispiel durch eine Bescheinigung eines Wirtschaftsprüfers, dass die Anforderungen aus Artikel 10 erfüllt werden, ist eine Zertifizierung nach ISO 13485 nicht erforderlich. Folglich ist abzuwägen, warum eine Zertifizierung erfolgen soll, welcher Aufwand damit einhergeht und ob die geforderte Norm auch die Richtige ist. Um diese Abschätzung zu vereinfachen, sind nachfolgend Kurz-Steckbriefe der gängigsten Normen aufgeführt.
Norm: DIN EN ISO 9001
Bezeichnung: | Qualitätsmanagementsystem |
Ziel: | Nachweis einer Organisationsstruktur, die in (fast) allen Bereichen und über die gesamte Hierarchie hinweg von Qualitätskontrollen gekennzeichnet ist. Die Abteilungen müssen jährlich die Einhaltung ihrer Prozesse nachweisen können und auch das Top-Management verpflichtet sich zur Einhaltung von Qualitätszielen in ihrem Handeln. Die Einhaltung von definierten Strukturen sollen nicht nur über Kontrollen erreicht werden, durch die Einführung eines internen Meldesystem wird eine kontinuierlich Verbesserung auch außerhalb der Kontrollpunkte gefördert. |
Größter Mehrwert: | Die zentralen Unternehmensstrukturen sind definiert und dokumentiert. Es ist bekannt, wann, wer, was erledigt und von wem was erforderlich ist, um Aufgaben erledigen zu können. Mit Einführung der ISO 9001 ist der zentrale Grundstein gelegt, um zügig weitere Normen einführen zu können. |
Interessens- gruppen: | Jede Branche, Fokus auf interdisziplinäre Teams und/ oder B2B-Geschäfte |
Norm: DIN EN ISO 13485
Bezeichnung: | Medizinprodukte - Qualitätsmanagementsysteme |
Ziel: | Analog zur 9001, jedoch mit Schwerpunkt auf diejenigen Unternehmensbereiche, die Auswirkungen auf Medizinprodukte haben und haben könnten. Der Fokus liegt auf dem Thema Rückverfolgbarkeit und Überwachung, um proaktiv Schaden an Menschen zu vermeiden. |
Größter Mehrwert: | Allgemein anerkannter Nachweis der Erfüllung der Anforderungen an ein Qualitätsmanagementsystem gemäß MDR (VO(EU)2017/745), IVDR (In vitro Diagnostic Medical Device Regulation, VO(EU)2017/746) und 21 CFR (Code of Federal Regulation der U.S. Food & Drug Administration) |
Interessens- gruppen: | Medizinproduktehersteller, Hersteller von Nicht-Medizinprodukten nach Anhang XVI der MDR sowie Importeure, Händler oder andere Personen für die Artikel 16 der MDR/IVDR gilt |
Norm: DIN EN ISO 14001
Bezeichnung: | Umweltmanagementsysteme |
Ziel: | Umweltschutz wird fester Bestandteil der Organisation und des unternehmerischen Handelns. Definition von Aufgaben, Verantwortlichkeiten und Kontrollen im Unternehmen, sodass das Unternehmen als Ganzes einen positiven Beitrag zum Umweltschutz leistet. |
Größter Mehrwert: | Nachweis eines ökologischen Unternehmens (Werbewirkung, Risikoreduktion, etc.) |
Interessens- gruppen: | Jede Branche |
Norm: DIN EN ISO 14971
Bezeichnung: | Medizinprodukte – Anwendung des Risikomanagements auf Medizinprodukte |
Ziel: | Einführung eines Risikomanagements (Risikoanalyse, Risikobewertung, Risikobeherrschung, Gesamtrisikobewertung, Kontrolle sowie Aktvitiäten während der Herstellung und nachgelagerten Phasen), sodass die Sicherheit von Medizinprodukten gewährleistet ist. Medizinprodukte sind sicher, wenn diese frei von unerwartbaren Risiken sind. |
Größter Mehrwert: | Allgemein anerkannter Nachweis der Erfüllung der Anforderungen an ein Risikomanagementsystem gemäß MDR (VO(EU)2017/745), IVDR (In vitro Diagnostic Medical Device Regulation, VO(EU)2017/746) und 21 CFR (Code of Federal Regulation der U.S. Food & Drug Administration) |
Interessens- gruppen: | Medizinproduktehersteller, Hersteller von Nicht-Medizinprodukten nach Anhang XVI der MDR sowie Importeure, Händler oder andere Personen für die Artikel 16 der MDR/IVDR gilt |
Norm: DIN EN ISO 27001
Bezeichnung: | Informationssicherheit, Cybersicherheit und Datenschutz- Informationssicherheitsmanagementsysteme |
Ziel: | Analog zur 9001, jedoch mit dem Ziel des Schutzes der Unternehmensinformationen und Daten. Definition wer wann welche Informationen wie verarbeiten darf und welche Maßnahmen bei Verstoß von wem ergriffen werden, um maximale Risikoreduktion zu gewährleisten (siehe auch Definition von Sicherheit im Steckbrief zu ISO 13485). |
Größter Mehrwert: | offiziell anerkannter Nachweis der Vertraulichkeit (Werbewirkung, Risikoreduktion, etc.) |
Interessens- gruppen: | Branchen, deren Kerngeschäft die Verarbeitung hochsensibler Daten ist |
Kann der Nachweis erbracht werden?
Den größten Einfluss auf Kosten und Ressourcenbindung während einer Zertifizierung hat das Thema Nachweis. Daher muss beim Selbstcheck kritisch hinterfragt werden, welche Prozesse im Unternehmen einheitlich definiert sind.
Bei stark wachsenden Unternehmen wird häufig intuitiv und personenabhängig gearbeitet. So gibt es meist ein einheitliches Verständnis, welche Outputs generiert werden müssen, aber die prozessuale Herangehensweise unterscheidet sich. Dies ist mit Einführung einer Norm ausschließlich bei den Prozessen möglich, die nicht in den Anwendungsbereich der Norm fallen.
Mit dem Anwendungsbereich kommt die Kehrtwende. Keine Norm erfordert die Aufnahme aller Unternehmensprozesse in den Anwendungsbereich. Ergänzend besteht die Möglichkeit selbst bei aufgenommenen Prozessen, Teilprozesse auszuschließen. Auch die Detailtiefe ist ein wichtiger Punkt. Nicht jeder Prozess muss bis ins kleinste Detail definiert und dokumentiert sein. Die Norm gibt explizit vor, was dokumentiert sein muss. Um den Überblick in Bezug auf die Nachweiserbringung zu behalten, sollten im Selbstcheck folgende Fragen beantwortet werden:
 | Unter Berücksichtigung des Ziels, welche Norm-Passagen müssen erfüllt werden? |
| Welches Ziel wird mit der Einführung der Norm verfolgt? |
| Welche Prozesse sind aufgrund der gewünschten Norm-Passagen betroffen? |
| Sind diese betroffenen Prozesse vollständig standardisiert? |
| Sofern betroffene Prozesse nicht vollständig standardisiert sind: Bis zu welchem Punkt sind diese standardisiert und bis zu welchem Punkt müssen sie für die Norm standardisiert sein? |
| Wo steht in den gewünschten Norm-Passagen “muss” [...] “dokumentierte Information”? |
| Liegt die Dokumentation zu den gewünschten Norm-Passagen (mit “muss” [...] “dokumentierte Information”) vor und wie viel an Dokumentation fehlt? |
Sie möchten sich zertifizieren lassen und benötigen Support? Wir bieten Ihnen gerne Unterstützung an.