ISO 19011: Auditmanagement für Medizinproduktehersteller

Die ISO 19011 ist der internationale Leitfaden für die Auditierung von Managementsystemen. Daher betrachtet Ihre Benannte Stelle die ISO 19011 als Stand der Technik, wenn Sie bei Ihnen im ISO 13485-Zertifzierungsaudit prüft, ob Sie Ihre internen Audits und Lieferantenaudits wirksam durchführen. Die gute Nachricht: die ISO 19011 gilt für alle, auch integrierte Managementsysteme und hilft Ihnen dabei Ihre Audits Nutzen-stiftens als echtes Tool zur Unternehmenssteuerung zu verwenden.

Folglich sollten insbesondere die Qualitätsmanagementverantwortlichen die ISO 19011 kennen und berücksichtigen. Dabei hilft dieser Artikel.

1. Grundlagen der ISO 19011

1.1 Anwendungsbereich und Zweck der Norm (Kapitel 1)

Die Norm gibt Leitlinien für die Auditierung von Managementsystemen (z. B. ISO 9001, ISO 13485), ist jedoch keine harmonisierte Norm. Folglich formuliert sie keine Anforderungen, sondern dient als Handlungsempfehlung („guidance“).

Die ISO 19011 ist anwendbar in allen Organisationen, die im Rahmen eines Managementsystems interne oder externe Audits (z. B. bei Lieferanten) durchführen.

Die Zertifizierstellen selbst richten sich nach einer anderen Norm, der ISO 17021.

Die ISO 19011 verweist ISO 9000:2026 für Begriffe und Definitionen. In der neuen Fassung sind nun zusätzlich Verweise auf die ISO/IEC TS 17012 Guidelines for the use of remote auditing methods in auditing management systems,  ISO/IEC 17021-1, Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 1: Requirements und ISO 9011 Auditing Practices Group (APG) papers hinzu gekommen. Für die Planung und Durchführung von Audits sollten Sie andere Standards, wie die ISO 13485 oder die ISO 15189 natürlich mitberücksichtigen, weil sie teilweise strengere Vorgaben machen, als die ISO 19011.

Die ISO 19011 verweist ausschließlich auf ISO 9000:2015 für Begriffe und Definitionen und enthält keine weiteren normativen Verweisungen. Andere Standards (wie ISO 13485) können ergänzend verwendet werden.

Achtung Die ISO 19011 hat keinen direkten Bezug zu Medizinprodukten oder IVD. Folglich beziehen sich die in der Norm genannten Chancen und Risiken nicht auf Leistungsfähigkeit und Sicherheit der Produkte.

1.2 Aufbau der Norm

Die Norm ist in sieben Kapitel gegliedert (s. Abb. 1).

Abb. 1: Struktur der ISO 19011:2018 als Mindmap (zum Vergrößern klicken)

1.3 Änderungen gegenüber der Vorgängerversion

Die Ausgabe 2026 der ISO 19011 ergänzt die Vorgängerversion u Um Hinweise zu remote Auditmethoden (mit Bezug auf die entsprechende Norm ISO/IEC TS 17012. Außerdem wurde Anhang A um Informationen zu remote Auditmethoden und virtuelle Standorte ergänzt.

Unter 3.4 wurde der Begriff “remote auditing methode” erklärt und direkt klargestellt, dass remote Auditmethoden mit vor-Ort-Methoden kombiniert werden dürfen.

2. Wesentliche Inhalte der Norm

2.1 Die sieben Auditprinzipien (Kapitel 4)

Die ISO 19011 „fordert“, dass sich Organisationen beim Audit an sieben Prinzipien orientieren:

  1. Integrität: Grundlage für Professionalität
  2. Sachliche Darstellung: Verpflichtung zur wahrheitsgemäßen und genauen Berichterstattung
  3. Berufliche Sorgfaltspflicht: Angemessenes Urteilsvermögen bei der Auditierung
  4. Vertraulichkeit: Keine unbefugte Offenlegung von Informationen
  5. Unabhängigkeit: Basis für Unparteilichkeit und Objektivität
  6. Evidenzbasierter Ansatz: Methodik zur Erzielung verlässlicher Schlussfolgerungen
  7. Risikobasierter Ansatz: Berücksichtigung von Risiken und Chancen

2.2. Management des Auditprogramms nach ISO 19011

Die Norm legt im Kapitel 5 die Metaebene des Auditprogramms fest, d. h. dessen Steuerung – von der Zielsetzung bis zur Überprüfung des Programms.

Übersicht über die Phasen der Auditsteuerung und der Auditdurchführung
Abb. 2: Übersicht über die Phasen der Auditsteuerung und der Auditdurchführung (zum Vergrößern klicken)

2.2.1 Zielsetzung

Die Organisationen sollen damit beginnen, die Ziele des Auditprogramms zu bestimmen (Kapitel 5.2). Diese sollten mit der Gesamtstrategie der Organisation übereinstimmen und die Leistung des Managementsystems bewerten.

Falls es Änderungen im Managementsystem gab, müssen diese bei der Zielsetzung beachtet werden. Auch müssen die Ergebnisse früherer Audits in die Zielsetzung einbezogen werden.

2.2.2 Bestimmung und Bewertung von Auditprogramm-Risiken

Im nächsten Schritt sollen die Organisationen die Chancen und Risiken des Auditprogramms identifizieren (Kapitel 5.3).

Risiken können dadurch entstehen, dass die Auditoren nicht ausreichend kompetent sind, dass die Audits keine angemessene Dauer haben, dass nicht alle anwendbaren Auditkriterien im Auditprogramm abgedeckt sind, dass nicht alle Standorte auditiert werden, dass die auditierten Bereich nicht kooperativ sind oder dass die Auditergebnisse im Anschluss nicht berücksichtigt werden.

Bei den Chancen bezieht sich die ISO 19011 v. a. auf die Effizienz. Beispielsweise, dass man mehrere Audits bei einem Besuch durchführt oder die Dauer Reisen minimiert. Aber auch die Auswahl entsprechend der Auditziele kompetenter Auditoren.

2.2.3 Festlegung des Auditprogramms

Mit diesen Informationen lässt sich dann das Auditprogramm planen (Kapitel 5.4). Dazu zählen:

  • Rollen und Verantwortlichkeiten für Auditprogramm-Management definieren
  • Umfang des Auditprogramms entsprechend Größe/Art der Organisation festlegen
  • Ressourcen (finanziell, Methoden, Team etc.) bestimmen

2.2.4 Überwachung, Überprüfung und Verbesserung

Danach geht es an die Umsetzung (Kapitel 5.5) und Überwachung des Programms (5.6). Typische Tätigkeiten sollen dabei sein:

  • Kennzahlen zur Überwachung des Auditprogramms definieren
  • Zielerreichungsgrad des Auditprogramms regelmäßig bewerten
  • Zeitplan- und Budgeteinhaltung überprüfen
  • Kompetenz des Auditteams evaluieren
  • Fähigkeit zur Umsetzung des Auditplans bewerten
  • Feedback von Auditoren, Auditierten und anderen Parteien einholen
  • Neue Praktiken/Methoden für Audits identifizieren
  • Verbesserungsmöglichkeiten dokumentieren

2.3. Auditdurchführung gemäß ISO 19011

Das sechste Kapitel beschreibt konkrete Best Practices beim Durchführen der Audits.

2.3.1 Vorbereitung der Audittätigkeiten

Das beginnt mit der Vorbereitung der Audits (Kapitel 6.2, 6.3). Überträgt man diese Anforderungen auf die Hersteller von Medizinprodukten und IVD, sollten die Organisationen auf das Folgende achten:

  • Der Auditplan muss die QM-relevanten Prozesse gemäß ISO 13485 und ggf. Weiterer anwendbarer Regularien (z.B. MDR, IVDR, 21 CFR Part 820) abdecken.
  • Die Dokumentenprüfung soll die technische Dokumentation und relevante regulatorische Anforderungen umfassen.
  • Checklisten müssen spezifische MDR-Anforderungen berücksichtigen.
  • Die Stichprobenauswahl sollte auf Risikoklassen der Produkte basieren.
  • Der Zugriff auf die technische Dokumentation muss sichergestellt sein.

2.3.2 Durchführung der Audittätigkeiten

Im Kapitel 6.4 geht es um die Durchführung der Audits. Für Medizinprodukte- und IVD-Hersteller würden sich bei internen Audits beispielsweise folgende „Practices“ empfehlen:

  • Das Eröffnungsgespräch klärt regulatorische Änderungen seit dem letzten internen Audit.
  • Eine Überprüfung der Wirksamkeit des PMS/PMCF/PMPF-Systems findet statt.
  • Die Verifizierung der Konformität mit grundlegenden Sicherheits- und Leistungsanforderungen wird stichprobenartig geprüft.
  • Ebenso die Schnittstellen zu Benannten Stellen und Behörden.
  • Besondere Beachtung sollten kritische Zulieferer und ausgelagerte Prozesse finden.

2.3.3 Erstellung und Verteilung des Auditberichts

Auch beim Erstellen und Verteilen des Auditberichts (Kapitel 6.5) gilt es, Best Practices zu beachten, die teilweise spezifisch für den Kontext zur ISO 13485 sind.

  • Feststellungen müssen regulatorische Bezüge eindeutig aufzeigen.
  • Die Dokumentation muss konform mit den Anforderungen des Zertifizierers sein.
  •  
  • Verteilung des Berichts an relevante Parteien.Den Auditbericht muss man als Teil der QM-Dokumentation archivieren.

2.3.4 Auditabschluss und Follow-up

Die Kapitel 6.6 und 6.7 beziehen sich auf das Abschließen der Audits und das Durchführen der „Auditfolgemaßnahmen“. Für Medizinproduktehersteller bedeutet dies beispielsweise:

  • Korrekturmaßnahmen auf regulatorische Konformität prüfen.
  • Wirksamkeitsprüfung unter Berücksichtigung der MDR/IVDR-Anforderungen gewährleisten.
  • Berücksichtigung der Ergebnisse in Management-Review sicherstellen.
  • Meldepflichten (Vigilanz) beachten.
  • Dokumentation für mögliche Behördenaudits aufbereiten.

2.4. Kompetenz und Bewertung von Auditoren

Besonderen Wert legt die ISO 19011 auf die Kompetenz des Auditorenteams (Kapitel 7).

2.4.1 Festlegung der Auditorenkompetenz

Das beginnt damit, dass die Kompetenz der Auditorinnen und Auditoren bestimmt werden muss (Kapitel 7.2.3). Dazu zählen bei Medizinprodukteherstellern:

  • Nachgewiesene Kenntnisse der ISO 13485 und MDR/IVDR (und ggf. weiterer Auditkriterien).
  • Verständnis der grundlegenden Sicherheits- und Leistungsanforderungen.
  • Kenntnis der harmonisierten Normen und Common Specifications.
  • Verständnis der Besonderheiten der verschiedenen Produktkategorien.
  • Erfahrung mit Klassifizierungsregeln für Medizinprodukte.
  • Verständnis des Risikomanagements nach ISO 14971.
  • Kenntnisse der klinischen Bewertung/Leistungsbewertung und PMS/PMCF/PMPF.

2.4.2 Kompetenzkriterien

Diese Kompetenzen müssen die Organisationen auch nachweisen (Kapitel 7.2.3, 7.2.4). Das kann im Medizinprodukteumfeld beispielsweise gelingen durch:

  • Berufserfahrung im Medizinproduktebereich.
  • Nachweise über spezifische Medizinprodukteausbildung.
  • Erfahrung in vollständigen Audits im MP-Bereich.
  • Tätigkeiten z. B. bei einer Benannten Stelle oder Überwachungsbehörde.
  • Teilnahme an Seminaren mit Wirksamkeitsnachweis.

2.4.3 Bewertungsmethoden

Neben den formalen Voraussetzungen sollten die Auditoren selbst fortlaufend beobachtet und bewertet werden (Kapitel 7.3, 7.4):

  • Beobachtung während Audits mit regulatorischem Fokus.
  • Überprüfung der Auditberichte auf regulatorische Vollständigkeit.
  • Bewertung der Fähigkeit, regulatorische Abweichungen zu erkennen.
  • Evaluation der Kommunikation mit der Rolle QMB und dem Regulatory Affairs Team.
  • Beurteilung des Verständnisses von Zulassungsprozessen.
  • Prüfung der Kompetenz in verschiedenen Produktkategorien.

2.4.4 Aufrechterhaltung und Verbesserung der Kompetenz

Auch unabhängig von diesen Ergebnissen empfiehlt es sich, die Kompetenz kontinuierlich auszubauen bzw. zu aktualisieren (Kapitel 7.6):

  • Regelmäßige Schulungen zu regulatorischen Änderungen.
  • Teilnahme an Workshops zu MDR-/IVDR-spezifischen Themen.
  • Kontinuierliche Aktualisierung des Wissens zu harmonisierten Normen.
  • Erfahrungsaustausch mit anderen Auditoren im MP-Bereich.

All diese Weiterbildungen und deren Wirksamkeit müssen die Organisationen dokumentieren.

3. Fünf Tipps zur Umsetzung

Tipp 1: Interne Audits der internen Audits nicht vergessen

Die ISO 19011 hilft dabei, interne Audits zu planen und durchzuführen. Aber auch die Wirksamkeit der internen Audits selbst sollte überprüft werden. Das geschieht durch interne Audits der internen Audits ebenso wie im Rahmen des Management-Reviews. Entsprechend sollte die ISO 19011 bei beidem berücksichtigt werden.

Tipp 2: Auditprogramm risikobasiert gestalten

Der ISO 19011 fehlt der Bezug zu Medizinprodukten bzw. IVD und damit zur Patientensicherheit. Die Hersteller sollten den risikobasierten Ansatz der ISO 19011 folgen, dabei aber die Risiken im Sinne der ISO 14971 sowie ihrer internen Datenanalyse im Blick behalten. Den risikobaseirten Ansatz fordert auch schon die ISO 13485 für die Erstellung des Auditprogramms. Arbeiten Sie hier nicht mit der Gießkanne, denn damit verschwenden die Ressourcen die dringend woanders benötigt werden.

Die ISO 19011 empfiehlt die Risiken durch nicht ausreichend kompetente Auditorinnen und Auditoren zu betrachten, was nun auch beinhaltet sich für remote-Audits mit der entsprechend Technik auskennen zu müssen.

Medizinproduktehersteller sollten die Konsequenzen für die Patienten betrachten, die sich aus den Kompetenzmängeln ergeben könnten. Die neue Version hebt hervor, dass die Verwendung von remote Auditmethoden zusätzliche Risiken erzeugen kann (z.B. technische Probleme während der Audits und damit Nichterreichung von Auditzielen, Datensicherheit und Vertraulichkeit von Informationen (Mitschneiden) oder Hintergrundgeräusche).

Tipp 3: Nicht nur die Konformität prüfen

Mit den Audits sollten die Organisationen mehr erreichen, als nur ihren gesetzlichen Pflichten gerecht zu werden. Sie können die Audits auch nutzen, um

  • die Wirksamkeit der Prozesse zu bestimmen,
  • Ineffizienzen in den Prozessen zu entdecken und zu beseitigen,
  • Verfahrens- und Arbeitsanweisungen zu entschlacken,
  • Schwachpunkte bei den Zulieferern zu entdecken (und ggf. bessere zu wählen) und
  • das Wissen in der Organisation über die Organisation und deren Produkte zu fördern.

Tipp 4: Ergebnisse vielfältig nutzen

Zudem können den Unternehmen die Ergebnisse der Audits dienlich sein

  • um Audits durch die eigenen Kunden zu minimieren (besonders bei Zulieferern relevant),
  • als Input für Management-Reviews und das CAPA-System,
  • zur Verbesserung der Produkte,
  • als Informationen für das Risikomanagement und die Post-Market Surveillance,
  • als Nachweis der regulatorischen Anforderungen.

Tipp 5: Spezifische Anforderungen im Blick behalten

Weil die ISO 19011 „domänenagnostisch“ ist, sollten die Medizinprodukte- und IVD-Hersteller die spezifischen Anforderungen im Blick behalten. Diese betreffen beispielsweise:

  • Aufbewahrungspflichten von Unterlagen
  • Meldepflichten an Behörden und Benannte Stellen bei Auditfeststellungen
  • Spezifische Kompetenzanforderungen
  • Anforderungen der ISO 13485 und MDR/IVDR an das QM-System

4. Fazit und Zusammenfassung

Die Norm ist ein sehr nützlicher Leitfaden, der hilft, die Anforderungen der ISO 13485 an die Planung des Qualitätsmanagementsystems und an interne Audits sowie Lieferantenaudits zu erfüllen und wurde in der neuen Version an die Realität der Unternehmen angepasst, indem die Möglichkeit und Vorgaben für remote Audits aufgenommen wurden.

Auch deshalb ist die ISO 19011 eine Pflichtlektüre für alle Personen, welche Audits planen, vorbereiten und durchführen. Das sind nicht nur die Qualitätsmanagementbeauftragten, sondern beispielsweise auch die bei den Audits beteiligten Prozessverantwortlichen.

Die Wirksamkeit von Qualitätsmanagementsystemen steht und fällt mit der Kompetenz der Auditorinnen und Auditoren. Deshalb widmet die Norm dieser ein ganzes Kapitel..

Änderungshistorie

  • 2026-06-30: Informationen zu ISO 19011:2026 ergänzt und damit Artikel aktualisiert; in allen Kapiteln redaktionelle Verbesserungen
  • 2025-05-15: Hinweis auf neue Version der Norm oben im Artikel eingefügt
  • 2025-05-13: Artikel vollständig neu geschrieben und dabei die 2018er-Version der ISO 19011 berücksichtigt
  • 2016-01-12: Erste Version des Artikels veröffentlicht

PakarPBN

A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.

In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.

The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.

Jasa Backlink

Download Anime Batch

Leave a Reply

Your email address will not be published. Required fields are marked *