Eine der meistgestellten Fragen zur DIN77006 ist die nach der Möglichkeit der Zertifizierbarkeit. Der Beitrag von Sven Calsbach erläutert die Unterschiede zwischen Konformitätserklärung und Zertifizierung und beschreibt die Vorgehensweisen um neutral, dokumentiert und verifizierbar die Erfüllung der normativen Anforderungen festzustellen.
Vorbemerkung:
In den Seminaren, in denen der Autor die DIN 77006 – IP-Managementsysteme, Anforderungen vorstellt und vermittelt tauchen immer wieder Fragen zur „Zertifizierbarkeit“ des IP-Managementsystems auf. Stand heute ist eine formale Zertifizierung nach diesem Standard (noch) nicht möglich, da es keine akkreditierte Stelle gibt, die eine solche Zertifizierung (analog zu dem z.B. etablierten Verfahren bei der DIN EN ISO 9001 u.a.) durchführen darf. Stattdessen verweist die DIN 77006 auf das alternative Verfahren einer Konformitätserkärung durch die (Oberste) Leitung.
Um Klarheit über die Begriffe und Verfahren zu erhalten, sind also folgende Fragestellungen zu beantworten und zu diskutieren:
- Was versteht man unter einer Konformitätserklärung?
- Wer kann, wer darf Konformitäten (also Übereinstimmungen) mit normativen Anforderungen feststellen?
- Wie wird sichergestellt, dass die Ergebnisse verifizierbar und belastbar sind, wenn keine akkreditierte Stelle involviert ist?
- Was ist eine Zertifizierung durch eine akkreditierte Stelle?
- Welche Anforderungen muss eine akkreditierte Stelle erfüllen?
- Wer hilft mir weiter?
- Wie und wo kann ich die beschriebenen Qualifikationen erwerben?
Hinweis: Nachfolgend werden
- nur die Kurzformen der genannten Normenwerke zitiert also ISO 9001 statt DIN EN ISO 9001:2015, oder z.B. ISO 19011 statt DIN EN ISO 19001:2018). Alle Normen beziehen sich auf die jeweils gültigen Versionen zum Zeitpunkt dieser Veröffentlichung und
- eine Reihe von Zusammenhängen vereinfachend, verständlich beschrieben, d.h. Normenkapitel – wo immer möglich – nur referenziert oder verkürzt statt komplett zitiert.
Was versteht man unter einer Konformitätserklärung?
Der Begriff Konformität wird im Zusammenhang mit Managementsystemen als Erfüllung einer Anforderung definiert (DIN 9000, Kap.3.6.11). Betrachtet man nun den Titel der DIN 77006 IP-Managementsysteme – Anforderungen, so ist nachvollziehbar, dass eine Konformitätserklärung einer Organisation ein belastbares, formales Bekenntnis ist, um die Erfüllung der Anforderungen der 77006 zu belegen.
Dieses Bekenntnis oder diese Erklärung schafft nur dann Vertrauen in die Erfüllung von zutreffenden Anforderungen, wenn der Prozess zur Feststellung der Übereinstimmung nachweislich etabliert, implementiert und aufrechterhalten wird. Weiterhin müssen die Personen, die die Konformität feststellen, Kompetenzen nachweisen, um Managementsysteme systematisch zu auditieren.
Die Abgabe einer Konformitätserklärung kann somit „nicht mal so eben“ erfolgen, sondern ist der formale Abschluss einer systematischen Vorgehensweise.
Diesen Sachverhalt beschreibt die DIN 77006 in den Kapiteln 02 und 05 der Einleitung, insbesondere in den Spiegelstrichen des Kapitel 05:
Kapitel 03. DIN 77006 (Auszug)
Der Nachweis der erfolgreichen Umsetzung dieses Dokuments kann von einer Organisation dazu genutzt werden, um den interessierten Parteien zu versichern, dass ein wirksames IP-Managementsystem vorhanden ist.
Kapitel 05. DIN 77006 (Auszug)
Dieses Dokument enthält Anforderungen, die von einer Organisation zur Einführung eines IP-Managementsystems und zur Konformitätsbewertung verwendet werden können. Eine Organisation, welche Konformität mit diesem Dokument nachweisen möchte, hat hierzu folgende Möglichkeiten:
- Durchführen einer Selbstbewertung und Selbsterklärung oder Erlangen einer Bestätigung ihrer Konformität durch Parteien, die ein Interesse an der Organisation haben, wie beispielsweise Kunden oder
- Erlangen einer Bestätigung ihrer Selbsterklärung durch eine Partei außerhalb der Organisation
Wer kann, wer darf Konformitäten (also Übereinstimmungen) mit normativen Anforderungen feststellen?
Die sicher bekannteste Methode zur Feststellung, ob normative Anforderungen bei Managementsystemen erfüllt werden, ist das Audit:
Ein Audit ist ein systematischer, unabhängiger und dokumentierter Prozess zum Erlangen von objektiven Nachweisen und zu deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind. (DIN 9000, Kap. 3.13.1 aber auch DIN 77006, Kap. 3.7).
Audits sollten (dürfen bei Zertifizierung) nur von nachweislich qualifizierten Auditoren durch geführt werden. Anforderungen an die Qualifikation von Auditoren sind in der DIN 19011, Abschnitt 7ff. beschrieben und werden von den etablierten Seminaranbietern (TÜV, DGQ, DEKRA DNV u. A.) meist in entsprechenden Seminarangeboten mit formal anerkanntem Abschlusszertifikat (Personalzertifizierung) abgebildet. Für die Abgabe einer Konformitätserklärung nach DIN 77006 bedeutet das, dass die sogenannten internen Audits durch nachweislich geschulte Mitarbeiter (interne Auditoren) durchgeführt und dokumentiert werden müssen. Diese Personen können z.B. die formalen Kompetenzen Qualitäts-Management-Beauftragte(r), Interne(r) Auditor(in) nach DIN 9001 oder 14001 (Umwelt) sein, die eine Ergänzungsschulung auf DIN 77006 erfahren haben. Alternativ können sich Mitarbeiter mit IP-Hintergrund bei den Seminaranbietern um entsprechende Qualifikationen bemühen.
Die zur Bestimmung der Konformität erforderlichen Prozesse und Kompetenzen, wie Auditprinzipien, Auditprogramm, Audit-Durchführung und Qualifikationen von Auditoren sind in der DIN EN ISO 19011, Leitfaden für das Auditieren von Managementsystemen beschrieben.
Wie wird sichergestellt, dass die Ergebnisse verifizierbar und belastbar sind, wenn keine akkreditierte Stelle involviert ist?
Wer interne Audits durch qualifiziertes Personal durchführt oder wer für die interne System Auditierung freie, nachweislich gem. DIN 19011 qualifizierte Auditoren beauftragt, stellt sicher, dass die systematischen Vorgaben der „Aufrechterhaltung“ von Managementsystemen formal eingehalten werden. Insbesondere, wenn zu festgestellten Abweichungen, fristgebundene Korrekturmaßnahmen ergriffen und verifiziert werden.
Wenn also Auditplanung und -durchführung durch nachweislich kompetentes Personal erfolgt und auch so dokumentiert wird, fließen die Auditergebnisse in die geforderte Managementbewertung nach Kapitel 9.3 der DIN 77006 ein. Gem. 9.3ff. muss durch die Leitung ein Nachweisdokument für die anforderungsgerechte (konforme) Managementbewertung erstellt werden. Dieses Dokument bildet somit die formal inhaltlich begründete Feststellung für die Abgabe der Konformitätserklärung nach außen.
Formale Begründung (Quelle) des Begriffs Managementbewertung, englisch Review, Überprüfung:
Überprüfung (Review) ist die Bestimmung der Eignung, Angemessenheit und Wirksamkeit eines Objekts (hier Managementsystem sic), festgelegte Ziele zu erreichen. (DIN 9000 Kap.3.11.2; Beispiel dazu: Managementbewertung, Entwicklungsüberprüfung, Überprüfung von Kundenanforderungen … Überprüfung von Korrekturmaßnahmen und Begutachtung.
Was ist eine Zertifizierung durch eine akkreditierte Stelle?
Zertifizierungen, d.h. die formale Bestätigung (Konformitätsbewertung) von normativen Anforderungen durch eine unabhängige dritte Stelle, dürfen nur durch sogenannte „akkreditierte“ Stellen vorgenommen werden. Um als akkreditierte Stelle anerkannt zu werden, muss eine Organisation:
- Die Norm (ISO/IEC 17021-1) Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren – Teil 1: Anforderungen als Organisation erfüllen und darüber hinaus
- Jedes Auditkriterium z.B. ISO 9001, 14001, 45001 etc. ergänzend und zum Teil branchenspezifisch akkreditieren lassen
Akkreditierungen werden durch Systemaudits gegen die ISO 17021 als Auditkriterium durch eine (europäische) Akkreditierungsstelle vorgenommen. In Deutschland zeichnet die Deutsche Akkreditierungsstelle (DAkkS), www.dakks.de verantwortlich. Akkreditierungsverfahren sind aufwendig und kostenintensiv. Aktuell sind für die Zertifizierung von Managementsystemen ca. 80-100 Stellen in unterschiedlichen Fachbereichen zugelassen (akkreditiert). Zu den Bekanntesten auch international agierenden Stellen gehören sicher die TÜV-Gesellschaften, die DGS/DGQ, DEKRA, DNV, aber auch viele kleinere Gesellschaften die nur Teilbereiche abdecken.
Aktuell (Stand November 2021) ist keine Zertifizierungsgesellschaft für DIN 77006 akkreditiert.
Welche Anforderungen muss eine akkreditierte Stelle erfüllen?
Da im Fokus dieser Betrachtung die Gegenüberstellung von (eigener) Konformitätserklärung zu (externer) Zertifizierung steht, soll hier nicht auf die Gesamtheit aller zu erfüllenden Anforderungen eingegangen werden. Stattdessen wird der Schwerpunkt auf
- die Unabhängigkeit der Organisation,
- die Kompetenz der Auditoren und
- das 2-stufige Verfahren bei Erstzertifizierung und die Überwachung von Systemen
gelegt.
Zu 1: Unabhängigkeit
Sowohl in der ISO 19011 (Leitfaden für Audits) als auch in der ISO 17021 werden umfangreiche Prinzipien bzw. Anforderungen an die Unabhängigkeit von Auditoren und überwachenden Organisationen gestellt und überprüft (17021 Akkreditierungsverfahren). Das (Audit-)Ergebnis muss nachweislich entkoppelt von persönlichen Abhängigkeiten, Befangenheiten, Beziehungen und oder materiellen Abhängigkeiten sowie von prämienbasierten Vergütungsmodellen sein. Der Aufwand der Auditierung muss vergütet werden, die Vergütung erfolgt aber ereignisbezogen und nicht ergebnisbezogen. D.h. der Auditor erhält seine Vergütung für das Audit unabhängig vom ggf. negativen Auditergebnis. Auditergebnisse dürfen nicht zu Repressalien führen oder Gefälligkeiten gegenüber Vorgesetzten, Kollegen oder Organisationen erkennen lassen. (Siehe auch ISO 19011 Abschnitt 4 Auditprinzipien, Integrität und Unabhängigkeit, sowie 17021 Kap. 4.2 Unparteilichkeit und Kapitel 5.2 Handhabung der Unparteilichkeit).
Zu 2: Kompetenz der Auditoren
Die Kompetenz von Auditoren gilt als gesichert, wenn die wesentlichen Anforderungen der ISO 19011 Abschnitt 7.2 ff. nachweislich vermittelt und der Kenntnisnachweis durch entsprechende Prüfungen vor einer akkreditierten Prüfstelle (Personalzertifizierung) abgelegt wurde.
Die Qualifikation zum/zur Auditor/in ist hier ergänzend zur hauptberuflichen Basisqualifikation, der aktuell ausgeübten Tätigkeit (Branchenerfahrung) und weiteren Anforderungen bzw. Auditkriterien zu sehen. Gegenüber einer Akkreditierungsstelle muss die Kompetenz der eingesetzten Auditoren nachgewiesen werden. Darüber hinaus ist die Kompetenz laufend zu bewerten und weiterzuentwickeln. (Konsequenterweise gelten diese Anforderungen auch für interne Auditoren)
(Siehe auch die Anforderungen der ISO 17021 an die Kompetenz im Abschnitt 7.1 und 7.2 ff sowie Untervergabe 7.5)
Zu 3: 2-stufige Verfahren bei Erstzertifizierung und die Überwachung von Systemen
Die ISO 17021 beschreibt auf nahezu 30 Seiten (zweisprachig) mit hohen Detailierungsgrad alle notwenigen Schritte zur (Erst-)Überwachung und Aufrechterhaltung von Managementsystemen. Zertifizierungsstellen müssen diese Anforderungen vollumfänglich erfüllen. Zur Einschätzung der Qualität von Konformitätserklärungen seien an dieser Stelle nur zwei grundsätzlich Mögliche Verfahren bespielhaft angeführt:
- Erstmalige Feststellung der Konformität (in ISO 17021 Kapitel 9.3 ff. Erstzertifizierung genannt, hier: Stufe 1 Audit – Feststellung der Zertifizierbarkeit. Im Anschluss daran Stufe 2 Audit, das eigentlichen Zertifizierungsverfahren)
- Überwachung und Aufrechtherhalten des Systems (In ISO 17021, Kapitel 9.6 ff., Überwachung und Rezertifizierung genannt.
Nicht allen Lesern ist bekannt, dass die Zertifizierung und Überwachung von Managementsystemen regelmäßig erfolgt. Einer 1. Zertifizierung folgen i.A. 2 Überwachungsaudits und im Folgejahr eine Rezertifizierung als Start des neuen Überwachungszyklus (Zyklusdauer 3 Jahre).
Wenn also eine Konformitätserklärung nach DIN 77006 glaubwürdig aufrechterhalten werden soll, so ist es naheliegend, das System ebenfalls laufend zu überwachen. Somit bietet es sich gerade an eben nicht nur bei den bisher genannten Umsetzungen dem Leitfaden ISO 19011 zu folgen, sondern gerade auch bei Erstbewertung (a) und Aufrechterhaltung (b) den bewährten Prinzipien der ISO 17021 – wo sinnvoll und angemessen – zu folgen, also z. B. Überwachungszyklen zu etablieren. Sinnvoll und angemessen bedeutet hier: so viel wie nötig, um das Verfahren verifizierbar zu gestalten. Es bedeutet nicht so viel wie möglich, es sei denn, Sie streben eine Akkreditierung an.
Diskussion und Fazit
Will man dem Vorurteil „Das ist aber keine Zertifizierung“ begegnen, so ist das nur mit einer Nutzendebatte und einer fachlich sachlichen Begründung möglich. Die Fakten:
Konformitätserklärung:
- Kann eigenständig durchgeführt werden, allerdings Gefahr der „rosaroten Brille“ (Eigenwahrnehmung)
- Es können externe Dienstleister (qualifizierte Auditoren) unterstützend hinzugezogen werden („neutrale Brille“)
- Kann analog zu etablierten Verfahren durchgeführt werden (ISO 19011, ISO 17021 in Auszügen)
- Ist i. A. preiswerter als eine externe Zertifizierung
- Die Leitung der Organisation steht für das Ergebnis und die Kommunikation nach außen ein
- Konformitätserklärung muss ggf. „erklärt“ und gegen Zertifikat abgegrenzt werden
- Im Bereich DIN 77006 inhaltlich gleichwertig, wenn seriös (normenbasiert) durchgeführt und nachweislich dokumentiert
Zertifizierung durch akkreditierte Stelle
- Kann nur mit externe Zertifizierungsstelle erreicht werden
- (Noch) nicht für alle Managementsystemnormen möglich
- folgt zwingend einem standardisierten Verfahren
- A. hohe externe Aufwendungen aber auch „Überwachungsdruck“ durch Vertragsbindung
- Zertifikat hat ggf. positive Außenwirkung (selbsterklärend)
Vergleicht man beide Verfahren und zieht in Betracht, dass noch keine Zertifizierungsstelle für die DIN 77006 akkreditiert ist, zeichnen sich für die unmittelbare Zukunft nur zwei grundsätzliche Vorgehensweisen ab:
- Mit gut (nachweislich) ausgebildetem internen und/oder externen Personal alle notwendigen Schritte zur Feststellung der Konformität gehen. Hierbei (nachweislich) den Leitfaden ISO 19011 wo immer möglich sinnvoll abbilden, Ergebnisse mit Verweisen dokumentieren. Alle zutreffenden Anforderungen der DIN 77006 identifizieren und abbilden. Auditergebnisse anforderungsgerecht dokumentieren. Ergebnisse in Managementbewertung verdichten und auf dieser Grundlage Konformität verifizierbar und transparent veröffentlichen und kommunizieren.
- System nach bestem Wissen einführen und abwarten bis ein oder mehre Zertifizierer erste Systeme nach DIN 77006 neutral extern bewertet. Sollte die daraus erwarteten Nachfrage den Aufwand einer Akkreditierung rechtfertigen, könnten eher mittel- bis langfristig auch Zertifikate nach DIN 77006 erteilt werden.
Alle Marktteilnehmer, die eine Konformitätserklärung auf belastbarer nachweislicher Grundlage abgegeben haben, könnten einer künftigen Zertifizierung gelassen entgegensehen.
Interessant ist in diesem Zusammenhang, dass seitens des Wirtschaftsministeriums Rheinland-Pfalz, eine Konformitätserklärung in der oben beschrieben Weise als Vollzug der Einführung eines IP-Managementsystems anerkannt wird. Damit werden Systeme die auf der Grundlage der DIN 77006 eingeführt und verwirklicht werden, den Qualitätsmanagementsystemen gem. ISO 9001 bzgl. der Zuwendung von Fördermitteln gleichgestellt, obwohl eben systembedingt kein Zertifikat zum Nachweis der Umsetzung vorgelegt werden kann.
Wer hilft mir weiter?
Der Autor dieses Beitrags hat im letzten Jahr zahlreiche Veranstaltungen zur DIN 77006 moderiert, aber auch an der FH-Aachen und mit einem Kooperationspartner in Kaiserlautern Qualitätsfach-personal ausgebildet. Es waren eine Reihe von IP-Professionals dabei, die anregt durch die Informationen zur DIN 77006 den Schritt gewagt haben, sich der Herausforderung einer Auditoren Ausbildung zu stellen, darunter auch sehr renommierte Patentanwälte. Die Gemeinde der Protagonisten, die IP-Managementsysteme künftig fachlich fundiert auditieren können, wächst und bildet aktuell ein agiles Netzwerk von Überzeugungstätern. Werden auch Sie Teil dieser Community oder vernetzen Sie sich mit uns. Wir helfen Ihnen gerne bei der Etablierung und Aufrechterhaltung Ihrer IP-Managementsysteme. Die notwendigen Informationen zu den Seminaren und Anmeldungen finden Sie unten.
Wie und wo kann ich die beschriebenen Qualifikationen erwerben?
Anmeldeseiten der Veranstalter, der AcIAS e.V. (FH Aachen) und der BEYOND innovation in Kaiserslautern. (Flyer AcIAS e.V. / Flyer BEYOND innovation)
Anmeldung über das Forum Institut Heidelberg
Der Referent:
Sven Calsbach ist Inhaber von ‚Sven Calsbach Beratungen‘ und unterstützt
seit mehr als 25 Jahren Unternehmen unterschiedlichster Branchen und
Größen bei der Einführung, Verwirklichung und Aufrechterhaltung von
Managementsystemen. Als Auditor und Auditoren-Trainer nach den
Standards DIN EN ISO 9001 und DIN EN ISO 45001 führt er Audits im
Kundenauftrag intern oder bei deren Lieferanten durch. Sein breites Wissen
über die aktuellen Strukturen und Entwicklungen bei Managementsystemnormen vermittelt er in zahlreichen Lehrveranstaltungen an Hochschulen
und gewerblichen Bildungseinrichtungen.