Warum sind Nichtkonformitäten so ein großes Problem?

Eine Nichtkonformität bezeichnet einen der vorgegebenen Norm abweichender Zustand. Bei einem Management System stellt daher eine Nichtkonformität, eine signifikante Abweichung. Dabei gibt es zu beachten, dass Auditoren in der Regel unterscheiden dürfen zwischen kleinen und großen Abweichungen. Im Englischen wird es deutlicher dargestellt durch die Unterscheidung „Major Nonconformity“ und „Minor Nonconformity“ (=geringfügige Abweichung). 

Warum scheitert die ISO Zertifizierung an den erkannten Nichtkonformitäten?

Bei der ISO Zertifizierung haben Auditoren ein Management System sowie seine begleitenden Umstände (z.B. Nachweise, Stichproben, erkannte Arbeitsweisen in der betrieblichen Praxis) auf Konformität mit der hier relevanten Norm (z.B. ISO 9001, ISO 27001) zu prüfen. Es besteht immer die Möglichkeit, dass ein Auditor eine Abweichung (Nichtkonformität) feststellt. Hier muss er den Einflussgrad dieser Nichtkonformität beurteilen. Ist die Abweichung stark genug, um die Wirksamkeit des Management Systems komplett zu schwächen? Ein bedeutungsloses Management System kann nicht zertifiziert werden. Auch eine Schwäche die zeitweilen das Management System wirkungslos machen, kann den Bericht der Auditoren negativ beeinflussen.

Warum scheitern Audits an geringfügigen Nichtkonformitäten?

Während des Audits können Auditoren Abweichungen feststellen. Dabei zeigen sie dem Unternehmen auf, warum die erkannte Nichtkonformität ein Problem für das begutachtete Management System darstellt. Auditoren dürfen gemäß DAkkS Vorgabe keine Beratungsleitung im Audit geben. Dennoch kann man sich mit dem Auditor über dieses erkannte Problem unterhalten. Es ist sehr wichtig, dass man die identifizierten Problemzonen im Management System ernst nimmt. Diese Schwächen im Management System müssen behoben werden. Wenn sich zu viele geringfügige Nichtkonformitäten häufen, bündeln sie sich zu eine signifikanten Nichtkonformität und die ISO Zertifizierung scheitert.

Qualität in der Produktion erfordert Prozesse nach ISO 9001

Wie lange hat man Zeit, um Nichtkonformitäten im Management System zu beheben?

Nach dem Audit bzw. gegen Ende des Audittermins, präsentiert der Lead Auditor die von ihm erkannten Nichtkonformitäten. Geringfügige Nichtkonformitäten kann man bis zum nächsten Überwachungsaudit (in 12 Monaten) beheben. Signifikante bzw. schwerwiegende Nichtkonformitäten müssen binnen 2-4 Wochen vollständig behoben werden. Sollten die schwerwiegenden Abweichungen nicht fristgerecht behoben werden, kann der Auditor der Zertifizierungsstelle keine nachträgliche Behebung der festgestellten Schwächen nachweisen. Dadurch muss die Vetostelle in der Zertifizierungsstelle die Unterlagen des Unternehmens für die Ausstellung des ISO Zertifikats ablehnen.

Wie kann man die erkannte Nichtkonformität im Management System beheben?

Zunächst sollte man eine eigene Liste der Abweichungen (z.B. in Excel) zusammen stellen. Dabei notiert man den erwarteten Zeitaufwand, um das jeweilige Problem zu beheben. Jede Abweichung muss auch priorisiert werden, denn manche Abweichungen, können die Ursache für andere nachgelagerte Abweisungen sein. Im Anschluss legt man fest, wer sich um das jeweilige Punkt kümmert und wen man zusätzlich zu Hilfe holen muss (z.B. Ansprechpartner im Verkauf oder IT Sicherheit).

Anschließend muss jedes einzelne Problem im Detail untersucht und die möglichen Lösungswege auf ihre Wirksamkeit und Norm-Konformität geprüft werden. Sobald diese Problemzone behoben wurde, muss der Lösungsweg dokumentiert und die Wirksamkeit der Lösung nachgewiesen werden. Diese Dokumentation ist wichtig, denn sie hilft dem Auditor auch die Vetostelle der Zertifizierungsstelle davon zu überzeugen, dass die Nichtkonformität nicht mehr existiert.