Die Organisation muss in geplanten Abständen interne Audits durchführen – d. h. mindestens einmal im Jahr (dies ergibt sich aus der Notwendigkeit einer jährlichen externen Überwachung des QM-Systems).

Auditkriterien gemäß Norm sind

1. die von der Organisation selbst festgelegten Anforderungen / Vorgaben an das CMS-/ QM-System
2. die Anforderungen der Norm selbst

Es ist zu prüfen, ob diese Anforderungen wirksam verwirklicht und aufrechterhalten werden.

Ein dokumentiertes Verfahren für interne Audits ist nicht vorgeschrieben, jedoch empfehlenswert. Das Management trägt die Verantwortung für die Überwachung der Angemessenheit und Wirksamkeit des Compliance Management Systems. Die Organisation muss in geplanten Abständen interne Audits durchführen, um zu ermitteln, ob das Compliance Management System

1. die Compliance-Anforderungen und die in diesem Standard beschriebenen Anforderungen an das Compliance Management System erfüllt und
2. wirksam verwirklicht und aufrechterhalten wird.

Ein Auditprogramm muss geplant werden, wobei der Status und die Bedeutung der zu auditierenden Prozesse und Bereiche sowie die Ergebnisse früherer Audits berücksichtigt werden müssen. Die Auditkriterien, der Auditumfang, die Audithäufigkeit und die Auditmethoden müssen festgelegt werden. Die Auswahl der Auditoren und die Durchführung der Audits müssen

Objektivität und Unparteilichkeit des Auditprozesses sicherstellen. Auditoren dürfen ihre eigene Tätigkeit nicht auditieren.

Die Organisation entscheidet über die Verantwortungen und über die Durchführung von Audits sowie über die Berichterstattung über die Ergebnisse und über die Führung von Aufzeichnungen. Die wesentlichen Ergebnisse der Compliance-Audits müssen an die oberste Leitung berichtet werden.

Aufzeichnungen über Audits und deren Ergebnisse müssen aufrechterhalten werden. Die für den auditierten Bereich verantwortliche Leitung muss sicherstellen, dass jegliche notwendigen Korrekturen und Korrekturmaßnahmen ohne ungerechtfertigte Verzögerungen zur Behebung von erkannten Abweichungen und ihrer Ursachen ergriffen werden. Folgemaßnahmen müssen die Verifizierung der ergriffenen Maßnahmen und die Berichterstattung über die Verifizierungsergebnisse enthalten.

Diese Frage bildet Kapitel 9.2 der ISO 37301 ab.

Musterprozess:

Wir haben den Auditprozess als Verfahrensanweisung beschrieben.