Revisionssichere Normenverwaltung: Was Auditoren typischerweise prüfen

Normen, Standards, Richtlinien, Kundenvorgaben und technische Regelwerke beeinflussen Qualität, Produktsicherheit, Marktzugang, Compliance und Haftungsrisiken. Sie wirken in Entwicklung, Einkauf, Produktion, Prüfung, Dokumentation, Lieferantenmanagement und Service.

Im Audit geht es selten nur darum, ob ein Dokument vorhanden ist. Häufig wird stichprobenbasiert geprüft, ob Sie relevante externe Anforderungen erkennen, bewerten, intern anwenden und die Umsetzung nachweisen können.

Dabei ist entscheidend: Nicht jede Norm ist automatisch verbindlich. Verbindlichkeit entsteht je nach Kontext durch Gesetze, Verträge, Kundenanforderungen, Zertifizierungsprogramme, Zulassungen, Ausschreibungen oder interne Festlegungen.

Gesetze machen Normen meist nur dann verbindlich, wenn sie ausdrücklich referenziert, inkorporiert oder über regulatorische Mechanismen relevant werden. Harmonisierte Normen in der EU begründen häufig eine Vermutungswirkung, sind aber nicht automatisch zwingend anzuwenden.

Umgekehrt gilt: Eine intern festgelegte Normausgabe darf extern verbindlichen Anforderungen aus Gesetz, Vertrag, Zulassung, Akkreditierung oder Zertifizierung nicht widersprechen. Genau diese Abgrenzung muss im Normenmanagement nachvollziehbar dokumentiert sein.

Eine auditfähige Normenverwaltung ist deshalb mehr als eine Dateiablage. Sie verbindet zentrale Information, klare Verantwortlichkeiten, definierte Prozesse, geregelte Zugriffe, nachvollziehbare Entscheidungen und belastbare Nachweise.

Was bedeutet revisionssichere Normenverwaltung?

Der Begriff „revisionssicher“ stammt im engeren Sinn aus Archivierung, Nachweisführung, GoBD-, Compliance- und elektronischen Aufbewahrungskontexten. Er beschreibt kontrollierte Aufbewahrung, Integrität, Nachvollziehbarkeit und Schutz vor unberechtigter Veränderung.

Für Normenmanagement ist der Begriff hilfreich, sollte aber präzise verwendet werden. „Revisionssicher“ bedeutet nicht automatisch, dass ein Normenmanagement rechtlich unangreifbar oder in jedem Audit ausreichend ist.

In der Praxis geht es um das Zusammenspiel aus:

• kontrollierter Aufbewahrung
• nachvollziehbarer Änderungshistorie
• geregelten Berechtigungen
• dokumentierten Bewertungen
• klarer interner Anwendbarkeit
• belastbaren Auditnachweisen
• wirksamer Umsetzung in Prozessen

Wichtig ist die Unterscheidung zwischen unveränderbaren Nachweisen und bewusst veränderbaren Informationen. Metadaten, Zuständigkeiten, Statusinformationen und Bewertungen müssen aktualisiert werden dürfen. Entscheidend ist, dass Änderungen nachvollziehbar protokolliert werden.

Eine gute Normenverwaltung muss zeigen können:

• welche Normen und Regelwerke für einen definierten Scope relevant sind
• warum sie relevant sind
• welchen Status sie beim Herausgeber haben
• welche Ausgabe intern anzuwenden ist
• für welchen Anwendungsfall diese Ausgabe gilt
• wer die Relevanz bewertet hat
• wer die interne Anwendung entschieden oder bestätigt hat
• welche Maßnahmen aus Änderungen abgeleitet wurden
• wie betroffene Personen informiert, unterwiesen oder geschult wurden
• welche Nachweise zur Umsetzung vorliegen

Damit unterscheidet sich eine auditfähige Normenverwaltung klar von einer Sammlung von PDF-Dateien. Entscheidend ist nicht nur der Besitz eines Dokuments, sondern die kontrollierte Steuerung seiner Anwendung.

Auditfähig, nachvollziehbar, dokumentiert und revisionssicher

Im Alltag werden diese Begriffe oft gleichgesetzt. Für Audits und interne Governance ist die Unterscheidung jedoch wichtig.

Auditfähig bedeutet, dass ein Prozess anhand definierter Auditkriterien überprüfbar ist. Sie können Nachweise vorlegen, die zeigen, dass der Prozess angemessen festgelegt und wirksam angewendet wird.

Nachvollziehbar bedeutet, dass Entscheidungen, Bewertungen, Zuständigkeiten und Änderungen im Nachhinein verständlich rekonstruiert werden können.

Dokumentiert bedeutet, dass relevante Informationen in geeigneter Form festgehalten sind. Das kann in einem System, einem Protokoll, einer Liste, einem Workflow oder einem freigegebenen Dokument erfolgen.

Revisionssicher bedeutet, dass Informationen kontrolliert, vollständig, geschützt und entweder unverändert oder mit nachvollziehbarer Änderungshistorie aufbewahrt werden. Dazu gehören Berechtigungen, Protokollierung, Aufbewahrungsregeln und Schutz vor unberechtigter Veränderung.

Für Normenmanagement ist das Zusammenspiel entscheidend. Eine Normenliste kann dokumentiert sein, aber nicht auditfähig, wenn Verantwortlichkeiten fehlen. Ein Prozess kann beschrieben sein, aber nicht nachvollziehbar, wenn keine Bewertungsnachweise existieren.

Was Auditoren typischerweise prüfen

Auditoren prüfen anhand der Auditkriterien. Sie dürfen nicht pauschal Anforderungen an ein Normenmanagementsystem stellen, wenn diese nicht aus Normen, Verträgen, internen Vorgaben, regulatorischen Anforderungen oder dem Auditauftrag ableitbar sind.

Der Prüfumfang hängt ab von:

• Auditart und Auditauftrag
• Branche und Risikoprofil
• Managementsystemnorm
• Kundenanforderungen
• regulatorischen Anforderungen
• Zertifizierungs- oder Akkreditierungsprogrammen
• internen Prozessvorgaben

In einem ISO-9001-Audit kann insbesondere die Lenkung dokumentierter Informationen externer Herkunft relevant sein. Gemeint sind Informationen, die für Planung und Betrieb des Qualitätsmanagementsystems notwendig sind und deshalb gekennzeichnet und gelenkt werden müssen.

In Medizintechnik, Luftfahrt, Automobilindustrie, Anlagenbau, Elektrotechnik, Chemie, Bauprodukten oder regulierten Prüfprozessen können zusätzliche Anforderungen an Normenstände, Nachweise, Zulassungen und technische Dokumentation bestehen.

Typische Auditfragen lauten:

• Wie identifizieren Sie relevante externe Anforderungen?
• Nach welchen Kriterien bewerten Sie Relevanz und Risiko?
• Wie erkennen Sie neue, geänderte oder zurückgezogene Normen?
• Wie legen Sie fest, welche Ausgabe intern anzuwenden ist?
• Wie behandeln Sie Übergangsfristen und parallele Anwendbarkeit?
• Wie unterscheiden Sie datierte und undatierte Normverweise?
• Wie identifizieren Sie betroffene Produkte, Prozesse oder Projekte?
• Wer bewertet Auswirkungen auf operative Abläufe?
• Wer entscheidet fachlich und wer prüft prozessual?
• Wie werden Maßnahmen verfolgt?
• Wie stellen Sie sicher, dass Mitarbeitende mit der richtigen Ausgabe arbeiten?
• Welche Nachweise können Sie für diese Schritte vorlegen?

Auditoren prüfen meist stichprobenbasiert. Sie wählen einzelne Normen, Projekte, Produkte, Standorte oder Prozesse aus und verfolgen, ob die Steuerung vom externen Dokument bis zur operativen Umsetzung funktioniert.

Status beim Herausgeber, interne Anwendbarkeit und externe Verbindlichkeit

Eine der wichtigsten Unterscheidungen im Normenmanagement betrifft die Frage, ob eine Norm beim Herausgeber aktuell ist, intern angewendet wird oder extern verbindlich ist.

Der Begriff „externe Gültigkeit“ wird umgangssprachlich häufig verwendet, ist aber nicht überall normativ eindeutig. Präziser ist der Blick auf Veröffentlichung, Aktualität, Zurückziehung, Ersatz, Berichtigung, Amendment oder nationale Übernahme.

Eine aktuelle Normausgabe ist nicht automatisch die intern anzuwendende Ausgabe. Ebenso ist eine zurückgezogene Norm nicht automatisch verboten oder irrelevant.

Status beim Herausgeber

Der Status beschreibt, wie die herausgebende Organisation das Dokument führt. Eine Norm kann veröffentlicht, aktuell, ersetzt, zurückgezogen oder durch eine andere Ausgabe abgelöst sein.

Berichtigungen, Amendments, Corrigenda, nationale Anhänge oder Beiblätter sind gesondert zu betrachten. Eine Berichtigung kann Bestandteil einer weiterhin aktuellen Norm sein. Ein Amendment kann Anforderungen ändern, ohne die Norm vollständig zu ersetzen.

Bei internationalen und europäischen Normen können zudem unterschiedliche Ebenen relevant sein, etwa ISO, EN, DIN EN oder DIN EN ISO. Nationale Übernahmen können eigene Veröffentlichungsdaten, Zurückziehungsdaten und Anhänge haben.

Interne Anwendbarkeit

Die interne Anwendbarkeit beschreibt, welche Ausgabe Ihr Unternehmen für einen bestimmten Zweck festlegt. Das kann ein Produkt, Prozess, Standort, Prüfverfahren, Projekt, Markt oder eine Produktgeneration sein.

Eine ältere Ausgabe kann weiterhin kontrolliert anwendbar sein, etwa für Bestandsprodukte, laufende Kundenprojekte, Ersatzteilversorgung, historische Nachweise oder bestehende Zulassungen.

Wichtig ist: Unternehmen geben nicht die Norm selbst frei. Sie legen fest, ob und wie eine Normausgabe intern anzuwenden ist.

Vertragliche, regulatorische oder zertifizierungsbezogene Verbindlichkeit

Verbindlich wird eine Norm häufig durch externe Verpflichtungen. Dazu gehören Gesetze, Verordnungen, Kundenverträge, Spezifikationen, Zertifizierungsprogramme, Akkreditierungsanforderungen, Zulassungen oder Lieferantenvereinbarungen.

Im Audit ist daher nicht nur relevant, ob Sie die neueste Ausgabe kennen. Entscheidend ist, ob Sie belegen können, warum welche Ausgabe für welchen Anwendungsfall maßgeblich ist.

Harmonisierte Normen im EU-Kontext

Bei CE-relevanten Produkten spielen harmonisierte Normen eine besondere Rolle. Sie werden im Amtsblatt der Europäischen Union zu bestimmten EU-Rechtsvorschriften gelistet und können eine Vermutungswirkung begründen.

Das bedeutet: Wenn ein Produkt die einschlägigen harmonisierten Normen erfüllt, kann dies die Vermutung der Konformität mit bestimmten grundlegenden Anforderungen unterstützen. Es bedeutet aber nicht immer, dass genau diese Norm zwingend angewendet werden muss.

Für das Normenmanagement sind mehrere Punkte wichtig:

• Welche EU-Rechtsvorschrift ist betroffen?
• Welche harmonisierte Norm ist im Amtsblatt gelistet?
• Welche Ausgabe und welche Fundstelle sind maßgeblich?
• Gibt es Übergangsfristen oder Einschränkungen?
• Ist die neueste Normausgabe bereits harmonisiert?
• Gibt es nationale Besonderheiten oder zusätzliche Anforderungen?
• Welche Auswirkungen hat ein Normenwechsel auf die technische Dokumentation?

Ein häufiger Fehler besteht darin, automatisch die neueste Ausgabe als CE-relevant anzunehmen. In manchen Fällen ist die neueste Ausgabe fachlich sinnvoll, aber noch nicht harmonisiert. In anderen Fällen läuft eine Übergangsfrist.

Gerade im Maschinenbau, in der Elektrotechnik, bei Medizinprodukten, Bauprodukten und persönlicher Schutzausrüstung sollte die Fundstelle im Amtsblatt mit der internen Anwendungsentscheidung verknüpft werden.

Normen, Gesetze, Kundenanforderungen und interne Vorgaben unterscheiden

Viele Unternehmen verwalten Normen, Gesetze, Kundenanforderungen und interne Vorgaben gemeinsam in einem System. Das ist zwar praktisch, erfordert jedoch eine klare Klassifizierung der unterschiedlichen Dokumentarten. Die verschiedenen Dokumente unterscheiden sich hinsichtlich ihrer Verbindlichkeit, ihrer Änderungslogik sowie der erforderlichen Nachweisführung.

Besonders der Begriff „Richtlinie“ kann missverständlich sein. Gemeint sein können beispielsweise interne Arbeitsrichtlinien, EU-Richtlinien, technische Richtlinien oder kundenspezifische Vorgaben. Deshalb sollte die jeweilige Dokumentart eindeutig gekennzeichnet und klassifiziert werden.

Nationale, europäische und internationale Normen stellen technische Regeln und anerkannte Standards dar. Hier sind insbesondere der aktuelle Status, die Ausgabe, die Anwendbarkeit sowie Lizenzregelungen relevant.

Technische Spezifikationen und technische Reports dienen häufig als ergänzende oder vorbereitende Dokumente. Bei ihrer Verwendung sollte geprüft werden, in welchem Umfang sie verbindlich sind.

Amendments, Corrigenda oder Anhänge ergänzen oder ändern bestehende Dokumente. Wichtig ist dabei, den Bezug zur jeweiligen Hauptnorm eindeutig zu dokumentieren.

Gesetze und Verordnungen enthalten rechtliche Anforderungen. Hier spielen insbesondere die Fundstelle, der aktuelle Rechtsstand sowie die Zuständigkeiten innerhalb des Unternehmens eine wichtige Rolle.

Kundenstandards enthalten vertragliche oder projektspezifische Anforderungen. Sie müssen oft mit Verträgen verknüpft und über Kundenportale oder definierte Kommunikationswege überwacht werden.

Werksnormen und interne Vorgaben regeln unternehmensinterne Anforderungen und Prozesse. Dabei sind Freigaben, Versionierungen und eine kontrollierte Kommunikation entscheidend.

Entwürfe und Vorabfassungen dienen häufig der Frühinformation, Entwicklungsplanung, Marktbeobachtung oder Risikobewertung. Sie sollten jedoch nicht unkontrolliert wie verbindliche Normausgaben behandelt werden.

Lieferantenvorgaben definieren Anforderungen an externe Partner oder Zulieferer. Hier stehen insbesondere die Weitergabe von Anforderungen („Flow-down“) und die Nachweisführung im Fokus.

Wenn Unternehmen neben klassischen Normen auch Gesetze, Kundenanforderungen und interne Vorgaben verwalten, ist der Begriff „Regelwerksbestand“ oder „Anforderungsbestand“ häufig treffender als der reine Begriff „Normenbestand“.

Warum Normenverwaltung im Audit kritisch ist

Normen wirken selten isoliert. Sie beeinflussen Produktanforderungen, Prüfverfahren, Risikobewertungen, Arbeitsanweisungen, technische Dokumentation, Lieferantenanforderungen und Schulungsinhalte.

Wenn relevante Anforderungen nicht bewertet oder falsch angewendet werden, können erhebliche Risiken entstehen:

• Produkte erfüllen relevante Anforderungen nicht.
• Prüfverfahren passen nicht mehr zum vereinbarten Normenstand.
• Prüfberichte beruhen auf einer nicht akzeptierten Ausgabe.
• Kundenanforderungen werden falsch zugeordnet oder unvollständig umgesetzt.
• Zertifizierungen, Akkreditierungen oder Zulassungen werden gefährdet.
• Lieferanten erhalten veraltete Spezifikationen.
• Arbeitsanweisungen widersprechen verbindlichen Anforderungen.
• Technische Dokumentationen werden unvollständig.
• Haftungsrisiken steigen bei Schadensfällen.
• Auditfeststellungen oder Kundenreklamationen entstehen.

Ein typisches Beispiel: Die Entwicklung verweist auf eine neue Normausgabe, während die Qualitätsprüfung noch nach einer älteren Ausgabe arbeitet. Im Audit stellt sich sofort die Frage, welche Ausgabe für das Produkt verbindlich ist.

Kritisch ist nicht zwingend die Nutzung einer älteren Ausgabe. Kritisch wird es, wenn die Entscheidung nicht begründet, nicht dokumentiert und nicht mit Prozessen, Prüfplänen, Kundenanforderungen oder Zulassungen abgeglichen ist.

Risikobasierter Ansatz statt pauschaler Vollständigkeitsforderung

„Vollständige Erfassung aller relevanten Normen“ ist ein sinnvolles Ziel. Ohne klaren Scope ist diese Forderung jedoch schwer prüfbar und kaum effizient umzusetzen.

Definieren Sie nachvollziehbare Relevanzkriterien. So können Sie begründen, warum ein Dokument aufgenommen, überwacht oder besonders streng kontrolliert wird.

Geeignete Kriterien sind:

• Produktbezug
• Prozessbezug
• Kundenforderung
• gesetzlicher oder regulatorischer Bezug
• Zertifizierungs- oder Akkreditierungsrelevanz
• Zulassungsrelevanz
• Sicherheitsrelevanz
• Qualitäts- oder Haftungsrisiko
• Standortbezug
• Markt- oder Länderbezug
• Lieferantenbezug
• vertragliche Verpflichtung
• Risikoklasse des Produkts oder Prozesses

Nicht jede Norm benötigt denselben Kontroll- und Steuerungsgrad. Eine sicherheitsrelevante Norm für ein zulassungspflichtiges Produkt muss deutlich strenger überwacht werden als ein rein informatives Referenzdokument ohne direkte Auswirkungen auf Produkte oder Prozesse.

Zur Priorisierung kann eine einfache ABC-Klassifizierung eingesetzt werden. Normen der Klasse A gelten als besonders kritisch, beispielsweise wenn sie Auswirkungen auf Sicherheit, Zulassung, vertragliche Verpflichtungen oder den Marktzugang haben. Für diese Dokumente sind ein enges Monitoring, verpflichtende Bewertungen und klare Eskalationswege erforderlich.

Normen der Klasse B sind vor allem für Qualität, Prozesse oder Kundenanforderungen relevant. Hier empfiehlt sich eine regelmäßige Bewertung sowie die eindeutige Zuordnung von Verantwortlichkeiten.

Dokumente der Klasse C dienen überwiegend informativen oder unterstützenden Zwecken. Für sie genügt meist eine vereinfachte Pflege mit längeren Review- und Aktualisierungszyklen.

Ein risikobasierter Ansatz macht Ihre Normenverwaltung pragmatischer und auditfester. Sie zeigen damit, dass Aufwand und Kontrolle zur Bedeutung des Dokuments passen.

Normenmonitoring ist noch kein Normenmanagement

Viele Unternehmen überwachen neue, geänderte oder zurückgezogene Normen. Dieses Normenmonitoring ist wichtig, reicht aber allein nicht aus.

Normenmanagement beginnt dort, wo erkannte Änderungen bewertet, entschieden und umgesetzt werden. Die reine Information über eine neue Ausgabe beantwortet noch nicht, ob Handlungsbedarf besteht.

Ein vollständiger Prozess umfasst typischerweise:

1. Änderung erkennen
2. Quelle und Status prüfen
3. Relevanz bewerten
4. interne Anwendbarkeit festlegen
5. Auswirkungen auf Produkte und Prozesse prüfen
6. Maßnahmen ableiten
7. Umsetzung verfolgen
8. betroffene Personen informieren, unterweisen oder schulen
9. Wirksamkeit risikobasiert prüfen
10. Nachweise aufbewahren

Art und Tiefe der Wirksamkeitsprüfung sollten risikobasiert festgelegt werden. Nicht jede redaktionelle Änderung erfordert ein vollständiges Prozessaudit. Kritische Normänderungen benötigen dagegen belastbare Umsetzungsnachweise.

Qualität der Monitoring-Quellen

Die Qualität des Normenmonitorings hängt stark von den Quellen ab. Veraltete, inoffizielle oder unvollständige Quellen können zu falschen Entscheidungen führen.

Geeignete Quellen sind zum Beispiel:

• offizielle Normenorganisationen
• Normenportale und Alert-Dienste
• Amtsblätter und behördliche Veröffentlichungen
• Kundenportale
• Zertifizierungsprogramme
• Akkreditierungsstellen
• Branchenverbände
• Normungsgremien und Ausschüsse
• Lieferanten- oder OEM-Portale

Kundenspezifische Anforderungen werden häufig außerhalb klassischer Normendatenbanken aktualisiert. Deshalb sollten Kundenportale, Vertragsanlagen und technische Lieferbedingungen in die Überwachung einbezogen werden.

Zentrale Anforderungen an eine auditfähige Normenverwaltung

Eine auditfähige Normenverwaltung muss Dokumente, Metadaten, Entscheidungen und Maßnahmen steuern. Sie sollte zeigen, welche Anforderungen relevant sind und wie sie in der Organisation umgesetzt werden.

Eindeutige Metadaten

Metadaten sind die Grundlage dafür, dass Normen auffindbar, bewertbar und prüfbar bleiben. Sie ermöglichen eine strukturierte Suche, Filterung, klare Verantwortlichkeiten, Statusbewertungen sowie belastbare Auditnachweise.

Ein praxistauglicher Normenstammdatensatz sollte deshalb verschiedene zentrale Informationen enthalten. Dazu gehört zunächst eine eindeutige Dokumentkennung, damit jedes Dokument klar identifiziert werden kann. Ergänzend sorgt ein vollständiger Titel für eine verständliche Zuordnung.

Ebenso wichtig ist die Klassifizierung der Dokumentart, beispielsweise als Norm, Gesetz, Kundenvorgabe, interne Richtlinie oder Entwurf. Der Herausgeber dokumentiert die Quelle und hilft dabei, Verantwortlichkeiten nachvollziehbar festzulegen.

Ausgabedatum und Versionsstand dienen dazu, die jeweils gültige Ausgabe eindeutig zu bestimmen. Zusätzlich sollte der Status beim Herausgeber erfasst werden, etwa ob ein Dokument aktuell, ersetzt, zurückgezogen oder geändert wurde.

Für die praktische Nutzung im Unternehmen ist außerdem die interne Anwendbarkeit entscheidend. Sie beschreibt, in welchen Fällen und Bereichen ein Dokument tatsächlich verwendet werden darf oder soll.

Der definierte Scope legt fest, auf welche Produkte, Prozesse, Standorte oder Märkte sich eine Vorgabe bezieht. Ergänzend sollte eine verantwortliche Rolle hinterlegt werden, die für Bewertungen und Entscheidungen zuständig ist.

Auch der zuständige Fachbereich sollte dokumentiert werden, da dort häufig die operative Bewertung und Umsetzung erfolgt. Lizenzinformationen regeln zusätzlich die zulässige Nutzung und Verteilung der Dokumente.

Eine dokumentierte Bezugsquelle erleichtert den Nachweis der Herkunft und unterstützt die Aktualisierung von Dokumenten. Review-Termine helfen dabei, regelmäßige Überprüfungen sicherzustellen.

Besonders hilfreich sind außerdem Verknüpfungen zu Prozessen, Produkten, Prüfplänen oder anderen relevanten Dokumenten. Dadurch lassen sich Auswirkungen von Änderungen deutlich besser nachvollziehen.

Wichtig ist vor allem die klare Trennung zwischen dem Status beim Herausgeber und der internen Anwendung. Eine Norm kann beispielsweise offiziell zurückgezogen worden sein, für ein bestehendes Produkt jedoch weiterhin kontrolliert und nachvollziehbar angewendet werden.

Audit-Trail und Versionierung

Versionierung betrifft nicht nur das Normdokument. Auch interne Entscheidungen, Bewertungen, Statuswechsel und Maßnahmen müssen nachvollziehbar sein.

Ein belastbarer Audit-Trail sollte protokollieren:

• Anlage und Änderung von Stammdaten
• Statuswechsel
• Verantwortungswechsel
• Bewertungsfreigaben
• Festlegung der internen Anwendbarkeit
• Änderungen an Fristen und Maßnahmen
• Archivierungen und Reaktivierungen
• Änderungen an Berechtigungen
• elektronische Freigaben oder Signaturen

Ältere Versionen sollten nicht unkontrolliert gelöscht werden. Gleichzeitig dürfen sie nicht versehentlich als aktuelle Arbeitsgrundlage genutzt werden. Archivierung muss deshalb gekennzeichnet, zugriffsgesteuert und begründet sein.

Dokumentierte Bewertung und Anwendungsentscheidung

Unternehmen legen fest, ob und wie eine Normausgabe intern anzuwenden ist. Diese Entscheidung sollte dokumentiert und begründet werden.

Eine Bewertung sollte klären:

• Ist die Norm für das Unternehmen relevant?
• Welche Ausgabe gilt für welchen Anwendungsfall?
• Gibt es Übergangsfristen?
• Gibt es parallele Anwendbarkeit?
• Welche Produkte, Projekte oder Standorte sind betroffen?
• Welche internen Dokumente verweisen auf die Norm?
• Sind Prüfverfahren, Zeichnungen oder Spezifikationen betroffen?
• Gibt es Auswirkungen auf Lieferanten oder Kunden?
• Sind Schulungen oder Unterweisungen erforderlich?
• Welche Maßnahmen und Fristen ergeben sich?

Ein Beispiel für eine dokumentierte Entscheidung:

DIN EN ISO XYZ:2024 wird für Neuentwicklungen ab 01.10.2026 angewendet. Bestandsprodukte der Produktlinie A verbleiben bis zur nächsten Requalifikation bei Ausgabe 2019. Die Entscheidung basiert auf Kundenvertrag K-123, Übergangsfrist bis 30.09.2026 und abgeschlossener Risikobewertung.

Eine neue Normausgabe muss nicht automatisch interne Dokumente ändern. Zunächst ist eine fachliche Bewertung erforderlich. Erst daraus ergibt sich, ob Anpassungen nötig sind.

Datierte und undatierte Normverweise richtig steuern

Datierte und undatierte Verweise sind zentral für Änderungsbewertung, Vertragsauslegung und interne Dokumentenpflege.

Ein datierter Verweis nennt eine konkrete Ausgabe, zum Beispiel „DIN EN ISO 12345:2021“. Änderungen oder neue Ausgaben gelten dann nicht automatisch, sofern Vertrag, Gesetz oder internes Dokument nichts anderes festlegen.

Ein undatierter Verweis nennt nur die Normnummer, zum Beispiel „DIN EN ISO 12345“. In vielen Kontexten wird darunter die jeweils aktuelle Ausgabe verstanden. Das kann automatische Änderungswirkungen auslösen.

Für das Normenmanagement sollten Sie festlegen:

• Wo werden datierte Verweise verwendet?
• Wo sind undatierte Verweise zulässig?
• Wer bewertet die Änderungswirkung undatierter Verweise?
• Wie werden Vertragsverweise geprüft?
• Wie werden interne Dokumente mit Normverweisen aktualisiert?
• Wie wird verhindert, dass neue Ausgaben unbeabsichtigt verbindlich werden?

Besonders in Verträgen, Ausschreibungen, Prüfberichten und Zulassungsunterlagen können datierte Verweise entscheidend sein. Ein undatierter Verweis kann dagegen sinnvoll sein, wenn ein Prozess bewusst immer dem aktuellen Stand folgen soll.

Normen in Ausschreibungen, Angeboten und Verträgen

Normenstände werden häufig bereits im Angebotsprozess festgelegt. Fehler in dieser Phase wirken später in Entwicklung, Einkauf, Prüfung und Lieferung weiter.

Prüfen Sie im Vertragsreview insbesondere:

• Werden konkrete Normausgaben genannt?
• Enthält der Vertrag undatierte Verweise?
• Sind künftige Normänderungen automatisch eingeschlossen?
• Gibt es widersprüchliche Kundenanforderungen?
• Sind zurückgezogene Normen referenziert?
• Gibt es Marktzugangs-, Zulassungs- oder Zertifizierungsbezug?
• Wer trägt Kosten und Aufwand bei Normenänderungen?
• Wie werden Abweichungen mit dem Kunden abgestimmt?

Bei unklaren Normenständen sollte die Klärung vor Vertragsabschluss erfolgen. Andernfalls entstehen spätere Risiken bei Preis, Liefertermin, Konformität und Nachweisführung.

Impact Assessment für Normenänderungen

Eine Normenänderung sollte immer strukturiert daraufhin bewertet werden, welche Auswirkungen sie auf Produkte, Prozesse und Organisationen hat. Ein systematisches Impact Assessment verhindert, dass Änderungen lediglich formal dokumentiert werden, ohne tatsächliche Folgen und Risiken zu berücksichtigen.

Im Produktbereich sollte geprüft werden, ob sich Anforderungen, Toleranzen, Werkstoffe oder sicherheitsrelevante Merkmale ändern. Solche Anpassungen können direkte Auswirkungen auf bestehende oder zukünftige Produkte haben.

Für die Entwicklung stellt sich die Frage, ob Spezifikationen, Risikobewertungen oder Design Reviews angepasst werden müssen. Änderungen an Normen können dazu führen, dass Entwicklungsrichtlinien oder technische Konzepte überarbeitet werden müssen.

Auch Prüfverfahren sollten bewertet werden. Dabei ist zu prüfen, ob sich Prüfmethoden, Akzeptanzkriterien oder notwendige Prüfmittel ändern und ob bestehende Prüfpläne weiterhin gültig sind.

In der Produktion kann eine Normenänderung Auswirkungen auf Arbeitsanweisungen, Prozessparameter oder Qualitätskontrollen haben. Deshalb sollten betroffene Fertigungs- und Kontrollprozesse überprüft werden.

Lieferantenbeziehungen sind ebenfalls relevant. Gegebenenfalls müssen Spezifikationen, Qualitätsvereinbarungen oder technische Anforderungen angepasst und mit externen Partnern abgestimmt werden.

Im Kundenumfeld kann eine Änderung dazu führen, dass Freigaben, Mitteilungen oder sogar Vertragsänderungen notwendig werden. Deshalb sollten Kundenanforderungen und vertragliche Verpflichtungen frühzeitig geprüft werden.

Bei zulassungsrelevanten Produkten ist zusätzlich zu bewerten, ob technische Dokumentationen, CE-Kennzeichnungen, Zertifikate oder Behördenanforderungen betroffen sind.

Auch der Schulungsbedarf darf nicht übersehen werden. Mitarbeitende benötigen unter Umständen neue Informationen, Unterweisungen oder Kompetenznachweise, wenn sich Anforderungen wesentlich ändern.

Darüber hinaus sollte geprüft werden, ob Zeichnungen, Prüfpläne, Handbücher oder andere Dokumentationen aktualisiert werden müssen.

Ein weiterer wichtiger Aspekt ist die Risikobetrachtung. Normenänderungen können Sicherheits-, Haftungs- oder Marktzugangsrisiken verursachen und sollten deshalb systematisch bewertet werden.

Zusätzlich kann eine Bewertungsmatrix helfen, Änderungen nach Risiko und notwendiger Reaktion zu priorisieren. Redaktionelle Änderungen gelten meist als geringes Risiko und können häufig dokumentiert werden, ohne dass weitere Maßnahmen notwendig sind. Die Freigabe erfolgt in solchen Fällen oft durch die Normenstelle oder den zuständigen Fachbereich.

Werden Prüfanforderungen geändert, steigt das Risiko in der Regel auf ein mittleres bis hohes Niveau. Dann sollten Prüfpläne überprüft und Mitarbeitende entsprechend unterwiesen werden. Die Verantwortung liegt typischerweise beim Fachbereich und dem Qualitätsmanagement.

Änderungen an Sicherheitsanforderungen gelten als besonders kritisch. Hier sind Risikobewertungen, Design Reviews und Managementinformationen erforderlich. Meist werden Fachbereich, Qualitätsmanagement und Regulatory Affairs eingebunden.

Wenn eine vertraglich relevante Normausgabe geändert wird, sollten Vertragsprüfungen und Abstimmungen mit Kunden erfolgen. Vertrieb, Rechtsabteilung und Fachbereiche arbeiten dabei eng zusammen.

Besonders hohe Aufmerksamkeit erfordern zulassungsrelevante Änderungen. In solchen Fällen sind häufig ein Regulatory Assessment sowie Anpassungen der technischen Dokumentation notwendig. Die Verantwortung liegt üblicherweise bei Regulatory Affairs und dem Management.

Geregelte Zugriffe, Informationssicherheit und Vertraulichkeit

Normen und andere Regelwerke unterliegen unterschiedlichen Nutzungsbedingungen. Viele Normen sind urheberrechtlich geschützt und lizenzpflichtig. Auch frei zugängliche Dokumente können Nutzungsbedingungen oder Einschränkungen enthalten.

Ein auditfähiges Zugriffskonzept sollte regeln:

• wer Dokumente einsehen darf
• wer Metadaten ändern darf
• wer Bewertungen erfassen darf
• wer interne Anwendung festlegt
• wer Dokumente beschaffen darf
• welche Download- oder Ausdruckrechte bestehen
• wie Rollenwechsel berücksichtigt werden
• wie Zugriffe nach Austritt entzogen werden
• wie vertrauliche Kunden- oder Projektdokumente geschützt werden
• wie Zugriffe protokolliert oder überprüft werden

Informationssicherheit umfasst mehr als IT-Schutz. Relevant sind auch vertrauliche Kundennormen, Exportkontrolle, Dual-Use-Themen, klassifizierte Projekte, Know-how-Schutz und Geheimhaltungsvereinbarungen.

Gerade bei internationalen Standorten sollten Sie prüfen, ob Dokumente grenzüberschreitend bereitgestellt werden dürfen und ob Exportkontroll- oder Vertragsvorgaben entgegenstehen.

Lizenzmanagement und Aufbewahrung

Lizenzmanagement ist ein zentraler Bestandteil der Normenverwaltung. Viele Normen dürfen nicht beliebig kopiert, gespeichert, ausgedruckt, weitergegeben, übersetzt oder archiviert werden.

Prüfen Sie für relevante Dokumente:

• Nutzerkreis
• Standort- oder Mehrplatzlizenzen
• Downloadrechte
• Ausdruckrechte
• Weitergaberechte an externe Dienstleister
• Archivierungsrechte
• Nutzung alter Normfassungen
• Zugriff durch internationale Standorte
• Bedingungen für Übersetzungen, Auszüge und Tabellen
• Nutzung in Schulungsunterlagen oder Datenbanken

Normeninhalte dürfen häufig nicht beliebig in interne Dokumente übernommen werden. Auch Auszüge, Abbildungen, Tabellen, Übersetzungen oder maschinenlesbare Übernahmen können lizenzrechtlich relevant sein.

Für Audits kann es ausreichen oder sogar erforderlich sein, nicht die Norm selbst zu archivieren, sondern Metadaten, Bezugsnachweis, Bewertungsentscheidung und Anwendungsentscheidung aufzubewahren.

Aufbewahrungsregeln sollten sich an produktbezogenen, regulatorischen und vertraglichen Fristen orientieren. Diese können deutlich länger sein als allgemeine QM-Aufbewahrungsfristen.

Kontrollierter Umgang mit Kopien und Arbeitsfassungen

Unkontrollierte Kopien sind eine häufige Schwachstelle. Sie entstehen durch E-Mail-Anhänge, Downloads, lokale Ablagen, Projektordner oder Ausdrucke.

Nicht jede Kopie ist automatisch problematisch. In der Praxis können kontrollierte Arbeitskopien erforderlich sein, etwa gekennzeichnete Ausdrucke in der Fertigung oder projektbezogene Auszüge.

Wichtig ist, dass geregelt ist:

• welche Quelle maßgeblich ist
• ob lokale Kopien erlaubt sind
• wie Ausdrucke gekennzeichnet werden
• wie Gültigkeit und Ausgabestand sichtbar bleiben
• wann Kopien zu entfernen oder zu entwerten sind
• welche Kopien lizenzrechtlich zulässig sind
• wie externe Dienstleister Dokumente erhalten dürfen

Eine hilfreiche interne Regel lautet:

Maßgebliche Quelle für anwendbare Normen ist die zentrale Normenverwaltung. Ausdrucke und lokale Kopien sind Arbeitskopien und vor Verwendung auf Aktualität und Zulässigkeit zu prüfen.

Nach Einführung einer zentralen Normenverwaltung sollten alte lokale Kopien aktiv bereinigt werden. Ohne diese Bereinigung bleiben Schattenablagen bestehen und unterlaufen den zentralen Prozess.

Übergangsfristen und parallele Anwendbarkeit steuern

Normenänderungen führen nicht immer zu einer sofortigen Umstellung. Häufig gibt es Übergangsfristen, vertragliche Stichtage, regulatorische Fristen oder projektbezogene Festlegungen.

Eine auditfähige Normenverwaltung sollte daher nicht nur „alt“ und „neu“ kennen. Sie muss abbilden, wann welche Ausgabe für welchen Anwendungsfall anzuwenden ist.

Wichtige Fragen sind:

• Gibt es eine offizielle Übergangsfrist?
• Gibt es kundenvertragliche Umstellungsfristen?
• Gilt die neue Ausgabe nur für Neuentwicklungen?
• Dürfen Bestandsprodukte nach alter Ausgabe weitergeführt werden?
• Sind Zulassungen oder Zertifikate betroffen?
• Gibt es parallele Anwendung alter und neuer Ausgaben?
• Welche internen Dokumente müssen bis wann angepasst werden?
• Wer entscheidet über den Umstellungszeitpunkt?

Gerade in regulierten Branchen ist diese Differenzierung entscheidend. Eine vorschnelle Umstellung kann ebenso problematisch sein wie eine verspätete Umstellung.

Bestandsprodukte, Legacy-Produkte und Produktlebenszyklus

Normenmanagement endet nicht mit der Serienfreigabe. Produkte durchlaufen Entwicklung, Serienproduktion, Service, Ersatzteilphase und Abkündigung.

Für Bestands- und Legacy-Produkte sollten Sie festlegen:

• welche Normausgabe bei Erstfreigabe maßgeblich war
• ob spätere Normänderungen bewertet wurden
• wann Requalifikationen erforderlich sind
• welche Normen für Ersatzteile gelten
• wie historische Prüfberichte interpretiert werden
• welche Nachweise für Reklamationen oder Schadensfälle aufbewahrt werden
• wie technische Dokumentation langfristig verfügbar bleibt

Historische Normenstände können für Behördenanfragen, Kundenreklamationen, Haftungsfälle oder Produktbeobachtung relevant sein. Deshalb sollten Entscheidungen zur Weiteranwendung alter Ausgaben nachvollziehbar dokumentiert sein.

Rollen und Verantwortlichkeiten mit RACI-Modell klären

Unklare Zuständigkeiten sind eine häufige Ursache für Auditfeststellungen. Ein RACI-Modell kann dabei helfen, Verantwortlichkeiten eindeutig zu definieren und Prozesse nachvollziehbar zu strukturieren.

RACI steht dabei für vier Rollen: „Responsible“ beschreibt die Person oder Einheit, die für die operative Durchführung verantwortlich ist. „Accountable“ ist die Instanz, die die Entscheidung trifft oder die finale Freigabe erteilt. „Consulted“ umfasst alle fachlich einzubeziehenden Stellen, während „Informed“ diejenigen beschreibt, die lediglich informiert werden müssen.

Wichtig ist dabei die klare Trennung zwischen fachlicher Entscheidung, prozessualer Freigabe und technischer oder systemischer Umsetzung. Das Qualitätsmanagement ist nicht automatisch für jede fachliche Entscheidung verantwortlich. In vielen Fällen liegt die technische Verantwortung beim jeweiligen Fachbereich.

In der Praxis lässt sich ein solches Modell auf typische Aufgaben im Normenmanagement anwenden. Die Identifikation einer Norm wird häufig durch die Normenstelle verantwortet, während der Fachbereich und das Qualitätsmanagement beratend eingebunden sind. Regulatory Affairs sowie Compliance unterstützen dabei ebenfalls, insbesondere bei regulatorischen Fragestellungen.

Die Bewertung der Relevanz einer Norm erfolgt meist fachlich durch den zuständigen Bereich. Dabei sind Qualitätsmanagement, Regulatory Affairs und Compliance typischerweise konsultiert oder eingebunden, während die Normenstelle häufig koordinierend wirkt.

Die Festlegung der internen Anwendung wird in der Regel vom Fachbereich verantwortet. Das Qualitätsmanagement, Regulatory Affairs und Compliance werden dabei konsultiert oder informiert, je nach Kritikalität.

Bei der Prüfung prozessualer Freigaben ist häufig die Normenstelle oder das Qualitätsmanagement beteiligt, während Fachbereiche und weitere Stellen je nach Kontext konsultiert werden.

Die Bewertung regulatorischer Auswirkungen liegt meist bei Regulatory Affairs oder Compliance. Hier sind Fachbereiche, Qualitätsmanagement und gegebenenfalls die Rechtsabteilung stark eingebunden.

Die Umsetzung von Maßnahmen erfolgt typischerweise im Fachbereich. Qualitätsmanagement, Projektleitung und weitere Funktionen unterstützen dabei je nach Aufgabe.

Die Nachverfolgung von Maßnahmen liegt häufig beim Qualitätsmanagement oder der Normenstelle, während Fachbereiche in die operative Rückmeldung eingebunden sind.

Bei der Eskalation kritischer Risiken spielen Fachbereiche, Compliance und Management eine zentrale Rolle. Je nach Organisation können auch Regulatory Affairs und die Rechtsabteilung beteiligt sein.

Die Pflege von Systemdaten erfolgt meist durch die Normenstelle oder zentrale administrative Funktionen. Weitere Beteiligte werden dabei eher informiert als operativ eingebunden.

Die Bereitstellung von Auditnachweisen liegt häufig beim Qualitätsmanagement, das auf Informationen aus Fachbereichen und zentralen Stellen zurückgreift.

Dieses Modell sollte stets an die jeweilige Organisation angepasst werden. In regulierten Branchen sind häufig zusätzliche Rollen wie Regulatory Affairs, Prozessverantwortliche, Entwicklung, Laborleitung oder Geschäftsführung stärker eingebunden.

Bei sicherheits- oder prüfkritischen Anforderungen reicht es nicht aus, Anwender lediglich zu informieren. In solchen Fällen können sie auch verantwortlich für die Umsetzung, Rückmeldung oder die Bereitstellung von Wirksamkeitsnachweisen sein.

Muster-Workflow für Normenänderungen

Ein standardisierter Workflow reduziert das Risiko, dass wichtige Schritte vergessen werden. Er schafft außerdem eine konsistente Nachweisbasis für Audits.

Ein praxistauglicher Statusablauf kann so aussehen:

1. Neu erkannt
2. Quelle und Status geprüft
3. In Vorprüfung
4. Relevanz zugeordnet
5. In fachlicher Bewertung
6. Anwendungsentscheidung dokumentiert
7. Maßnahmen abgeleitet
8. In Umsetzung
9. Umsetzung geprüft
10. Abgeschlossen
11. Archiviert oder nicht relevant

Zu jedem Status sollten Mindestinformationen definiert werden. Bei „In fachlicher Bewertung“ können dies Fachbereich, Prüffrist und Bewertungsauftrag sein. Bei „Abgeschlossen“ sollten Entscheidung, Maßnahmenstatus und Nachweise vorliegen.

Elektronische Freigaben und elektronische Signaturen können den Prozess unterstützen. Wenn sie eingesetzt werden, sollten Bedeutung, Berechtigung, Authentifizierung und Protokollierung klar geregelt sein.

Muster-SOP für Normenmanagement

Eine Verfahrensanweisung oder SOP macht den Prozess verbindlich. Sie muss nicht übermäßig lang sein, sollte aber die wesentlichen Steuerungspunkte enthalten.

Eine geeignete Gliederung ist:

1. Zweck und Geltungsbereich
2. Begriffe und Dokumentarten
3. Rollen und Verantwortlichkeiten
4. Quellen für Normenmonitoring
5. Aufnahme neuer Dokumente
6. Relevanz- und Risikobewertung
7. Festlegung der internen Anwendbarkeit
8. Umgang mit Änderungen, Rückziehungen und Übergangsfristen
9. Datierte und undatierte Verweise
10. Maßnahmenmanagement und Eskalation
11. Kommunikation, Unterweisung und Schulung
12. Zugriff, Lizenzierung und Kopien
13. Archivierung und Aufbewahrung
14. Schnittstellen zu DMS, PLM, ERP, CAQ und LMS
15. Kennzahlen, Managementbewertung und interne Audits

Eine SOP sollte zur Unternehmensgröße passen. Kleine Unternehmen benötigen oft eine kompakte Regelung, während regulierte Organisationen detailliertere Workflows und Nachweise brauchen.

Typische Schwachstellen in Audits

Viele Schwächen entstehen nicht durch fehlendes Bewusstsein, sondern durch historisch gewachsene Strukturen. Abteilungen pflegen eigene Listen, Dokumente liegen in Projektordnern und Verantwortlichkeiten sind informell geregelt.

Dezentrale Ablagen

Dezentrale Ablagen führen häufig zu widersprüchlichen Versionen und fehlender Transparenz. Im Audit ist dann schwer nachweisbar, welche Ausgabe verbindlich angewendet wird.

Typische Folgen sind:

• mehrere Versionen derselben Norm
• doppelte Beschaffung
• ungeklärte Lizenznutzung
• fehlende Verantwortliche
• unklare Archivierung
• hoher Suchaufwand
• uneinheitliche Aussagen im Audit

Eine zentrale Normenbasis kann diese Risiken reduzieren, wenn sie verbindlich genutzt, gepflegt, überwacht und organisatorisch durchgesetzt wird. Ohne Prozessdisziplin entsteht lediglich eine weitere Ablage.

Manuelle Listen ohne ausreichende Prozesskontrolle

Excel-Listen sind nicht grundsätzlich ungeeignet. Für kleine Organisationen oder geringe Normenbestände können sie ausreichen, wenn Pflege, Zugriff, Verantwortlichkeiten und Nachweise kontrolliert geregelt sind.

Problematisch werden manuelle Listen, wenn:

• mehrere Kopien existieren
• Änderungen nicht nachvollziehbar sind
• keine regelmäßige Prüfung stattfindet
• Verantwortliche fehlen
• Verweise auf Dokumente unsicher sind
• Freigaben nicht dokumentiert werden
• Auditnachweise manuell rekonstruiert werden müssen

Klassische Excel-Dateien erfüllen Anforderungen an manipulationssichere Historisierung nur eingeschränkt. Zusätzliche organisatorische oder technische Maßnahmen können erforderlich sein, etwa geschützte Ablagen, Berechtigungskonzepte, Änderungsprotokolle und regelmäßige Reviews.

Fehlende Bewertung der Auswirkungen

Eine neue Ausgabe allein beantwortet nicht, ob Handlungsbedarf besteht. Häufig wird geprüft, ob Auswirkungen auf Produkte, Prozesse, Prüfungen, Schulungen, Lieferanten oder Kundenanforderungen bewertet wurden.

Fehlt diese Bewertung, bleibt unklar, ob die Änderung verstanden und umgesetzt wurde. Das ist besonders kritisch bei sicherheitsrelevanten, zulassungsrelevanten oder vertraglich verbindlichen Anforderungen.

Unklare Nutzung zurückgezogener Normen

Eine zurückgezogene Norm kann weiterhin relevant sein. Das gilt etwa für Bestandsprodukte, Ersatzteile, laufende Verträge, historische Nachweise oder Produktgenerationen mit bestehender Zulassung.

Auditfähig ist die Nutzung nur, wenn dokumentiert ist:

• warum die alte Ausgabe weiter benötigt wird
• für welchen Anwendungsfall sie gilt
• wer die Anwendung festgelegt hat
• welche aktuelle Ausgabe parallel existiert
• wie Verwechslung verhindert wird
• wann die Entscheidung erneut geprüft wird
• ob Lizenzbedingungen die Nutzung erlauben

Ohne Begründung wirkt die Nutzung einer zurückgezogenen Norm wie ein Fehler. Mit Begründung kann sie eine kontrollierte Anwendungsentscheidung sein.

Normenverweise in internen Dokumenten pflegen

Normenverwaltung darf nicht beim Normdokument enden. Entscheidend ist, ob Normenanforderungen korrekt in Prozesse, Produkte und Nachweise überführt werden.

Prüfen Sie regelmäßig Verweise in:

• Arbeitsanweisungen
• Prüfplänen
• Zeichnungen
• Spezifikationen
• Lasten- und Pflichtenheften
• Konstruktionsrichtlinien
• Lieferantenvorgaben
• Produktionsfreigaben
• Schulungsunterlagen
• Risikoanalysen
• technischen Dokumentationen
• Kunden- und Projektakten

Veraltete Normverweise sind ein häufiger Auditfund. Besonders kritisch sind sie, wenn ein internes Dokument auf eine alte Ausgabe verweist, während der Prozess bereits nach einer neuen Ausgabe bewertet wurde.

Eine gute Praxis ist eine Verweisliste oder Systemverknüpfung. So erkennen Sie schneller, welche internen Dokumente bei einer Normänderung geprüft werden müssen.

Traceability: Von der Norm zur Umsetzung

In anspruchsvollen Branchen reicht es nicht, Normen als Dokumente zu verwalten. Anforderungen müssen in Produkt- und Prozessanforderungen überführt werden.

Eine belastbare Traceability kann zeigen:

1. externe Norm oder Kundenanforderung
2. interne Anforderungsableitung
3. technische Spezifikation
4. Konstruktion oder Prozessvorgabe
5. Prüfplan und Prüfnachweis
6. Lieferantenanforderung
7. Produktfreigabe
8. technische Dokumentation

Diese Rückverfolgbarkeit ist besonders wichtig in Medizintechnik, Luftfahrt, Automotive, Maschinenbau, Elektrotechnik und regulierten Prüfprozessen.

Requirements-Management-Systeme, PLM, DMS und CAQ können dabei unterstützen. Entscheidend bleibt jedoch die fachliche Bewertung, welche Normanforderungen tatsächlich relevant sind.

Schnittstellen zu anderen Managementprozessen

Normenmanagement ist kein isolierter Verwaltungsprozess. Es hat Schnittstellen zu vielen Unternehmensbereichen und Systemen.

Relevante Schnittstellen bestehen zu:

• Qualitätsmanagement
• Dokumentenmanagement
• Requirements Management
• PLM und Produktentwicklung
• ERP
• CAQ und Prüfplanung
• LMS und Schulungsmanagement
• Vertragsmanagement
• Lieferantenmanagement
• Risikomanagement
• Regulatory Affairs
• Arbeitssicherheit und Umweltmanagement
• Änderungsmanagement und CAPA

Wenn eine Normänderung erkannt wird, müssen betroffene Prozesse angestoßen werden. Eine Änderung kann Prüfpläne im CAQ, Lieferantenvorgaben im ERP oder Schulungen im LMS betreffen.

Besonders wichtig ist die Verbindung zum Änderungsmanagement. Normenänderungen können Engineering Change Requests, CAPA-Maßnahmen, Risikobewertungen oder Produktpflegeprozesse auslösen.

Lieferanten-Flow-down und externe Dienstleister

Wenn externe Dienstleister, Prüflabore, Entwicklungsbüros oder Lieferanten mit relevanten Normen arbeiten, muss auch deren Einbindung geregelt sein.

Wichtige Fragen sind:

• Welche Normausgabe muss der externe Partner anwenden?
• Wie wird dies vertraglich oder in Spezifikationen festgelegt?
• Wer informiert externe Parteien über Änderungen?
• Dürfen Normdokumente weitergegeben werden?
• Welche Lizenzbedingungen gelten?
• Welche Nachweise muss der Partner liefern?
• Wie wird die Umsetzung geprüft?

Gerade bei ausgelagerten Prüfungen oder Entwicklungsleistungen reicht es nicht, intern die richtige Norm zu kennen. Die Anforderungen müssen kontrolliert an externe Beteiligte übertragen werden.

Bei akkreditierten Prüflaboren ist zusätzlich zu prüfen, auf welcher Normausgabe Prüfberichte beruhen und ob diese Ausgabe für den vorgesehenen Nachweis akzeptiert wird.

Mehrsprachige Normen und internationale Standorte

Internationale Organisationen stehen vor zusätzlichen Herausforderungen. Normen können in verschiedenen Sprachen vorliegen, nationale Anhänge haben unterschiedliche Bedeutung und Standorte arbeiten unter unterschiedlichen regulatorischen Rahmenbedingungen.

Wichtige Regelungen sind:

• welche Sprachfassung maßgeblich ist
• ob die maßgebliche Fassung extern vorgegeben ist
• ob Übersetzungen informativ oder verbindlich sind
• wie Abweichungen zwischen Sprachfassungen behandelt werden
• welche Länderfassungen für welchen Standort gelten
• wer Übersetzungen prüft
• wie lokale Anforderungen in die zentrale Normenverwaltung einfließen

Bei europäischen Normen können offizielle Sprachfassungen, nationale Übernahmen und interne Übersetzungen unterschiedlich zu bewerten sein. Interne Übersetzungen sollten nicht ohne fachliche Prüfung als verbindlich behandelt werden.

Gerade bei technischen Anforderungen kann eine unklare Sprachfassung zu Fehlinterpretationen führen. Deshalb sollte die maßgebliche Fassung in den Metadaten oder in der Anwendungsentscheidung eindeutig dokumentiert werden.

Information, Unterweisung, Schulung und Wirksamkeitsprüfung unterscheiden

Der Nachweis „Mitarbeitende wurden informiert“ reicht nicht immer aus. Je nach Risiko und Änderungstiefe können unterschiedliche Maßnahmen erforderlich sein.

Zu unterscheiden sind:

• Information: Hinweis auf eine Änderung oder neue Anforderung
• Kenntnisnahme: dokumentierte Bestätigung, dass eine Information gelesen wurde
• Unterweisung: anlassbezogene Vermittlung verbindlicher Handlungsregeln
• Schulung: strukturierter Kompetenzaufbau zu neuen Anforderungen
• Kompetenznachweis: Prüfung, ob notwendige Fähigkeiten vorhanden sind
• Wirksamkeitsprüfung: Nachweis, dass die Änderung tatsächlich umgesetzt wird

Eine redaktionelle Änderung erfordert meist keine Schulung. Eine neue sicherheitsrelevante Prüfanforderung kann dagegen Unterweisung, Schulung und anschließende Wirksamkeitsprüfung erfordern.

Wirksamkeit nach Normenänderungen prüfen

Eine Normenänderung ist nicht abgeschlossen, sobald die Bewertung dokumentiert wurde. Entscheidend ist, ob abgeleitete Maßnahmen angemessen umgesetzt wurden.

Geeignete Methoden sind:

• interne Stichproben
• Prozessaudits
• Prüfung aktualisierter Arbeitsanweisungen
• Vergleich von Prüfplänen mit Normanforderungen
• Kontrolle von Schulungsnachweisen
• Lieferantenstichproben
• Review technischer Dokumentation
• Maßnahmenverfolgung im Qualitätsmanagement
• Prüfung offener und überfälliger Aufgaben

Diese Wirksamkeitsprüfung sollte risikobasiert erfolgen. Bei kritischen Normen ist eine stärkere Prüfung sinnvoll als bei rein informativen Dokumenten.

Kennzahlen, Eskalation und Managementbewertung

Kennzahlen helfen, Normenverwaltung aktiv zu steuern. Sie zeigen frühzeitig, wo Risiken entstehen und wo Prozesse verbessert werden müssen.

Sinnvolle Kennzahlen sind:

• Anzahl offener Relevanzbewertungen
• Anzahl überfälliger Bewertungen
• Normen ohne verantwortliche Rolle
• Normen mit ungeklärter interner Anwendbarkeit
• offene Maßnahmen aus Normenänderungen
• überfällige Maßnahmen
• veraltete Normverweise in internen Dokumenten
• ungeprüfte Altversionen
• Normen ohne nächsten Review-Termin
• ungeklärte Lizenzinformationen
• durchschnittliche Bearbeitungsdauer einer Normenänderung

Kennzahlen entfalten erst dann Steuerungswirkung, wenn Zielwerte, Schwellenwerte, Verantwortliche und Eskalationsregeln definiert sind.

Beispiele für Eskalation:

• A-Normenänderung länger als 30 Tage unbewertet
• sicherheitsrelevante Maßnahme überfällig
• widersprüchliche Normenstände in Prüfplan und Spezifikation
• fehlende Lizenzklärung vor internationaler Bereitstellung
• offene regulatorische Bewertung vor Produktfreigabe

Die Managementbewertung sollte regelmäßig offene Risiken, Ressourcenbedarf, Lizenzthemen, Toolbedarf, überfällige Bewertungen und kritische Normänderungen berücksichtigen.

Toolvalidierung und digitale Workflows in regulierten Branchen

Wenn Normenmanagementsoftware in regulierten Branchen eingesetzt wird, kann eine Toolvalidierung erforderlich oder sinnvoll sein. Das gilt besonders, wenn das System qualitäts- oder zulassungsrelevante Entscheidungen unterstützt.

Zu prüfen sind:

• vorgesehener Verwendungszweck
• kritische Funktionen
• Berechtigungskonzept
• Audit-Trail
• elektronische Freigaben
• Datenintegrität
• Backup und Wiederherstellung
• Schnittstellen
• Änderungskontrolle
• dokumentierte Tests

Eine Software ersetzt keine fachliche Bewertung. Sie kann jedoch helfen, Prozesse konsistent umzusetzen, Nachweise verfügbar zu machen und Verantwortlichkeiten transparent zu halten.

Migration historisch gewachsener Normen- und Regelwerksbestände

Viele Unternehmen starten nicht auf der grünen Wiese. Normen liegen auf Laufwerken, in E-Mail-Postfächern, Projektordnern, lokalen Listen oder alten Datenbanken.

Eine Migration sollte strukturiert erfolgen:

1. Quellen identifizieren
2. urheber- und lizenzrechtliche Zulässigkeit prüfen
3. Bestand konsolidieren
4. Dubletten bereinigen
5. Dokumentarten klassifizieren
6. Datenqualität validieren
7. falsche oder unvollständige Ausgaben kennzeichnen
8. Relevanzkriterien anwenden
9. Verantwortliche zuordnen
10. Status beim Herausgeber prüfen
11. interne Anwendbarkeit festlegen
12. Altversionen archivieren oder aussondern
13. lokale Kopien bereinigen
14. zentrale Quelle verbindlich kommunizieren

Die größte Arbeit liegt häufig nicht im Import, sondern in Bewertung, Bereinigung, Lizenzklärung und organisatorischer Verankerung.

Eine stichprobenbasierte Abnahme der migrierten Daten ist empfehlenswert. Prüfen Sie dabei Dubletten, Metadaten, Ausgaben, Status, Lizenzinformationen und Anwendungsentscheidungen.

Typische Reifegrade der Normenverwaltung

Ein Reifegradmodell hilft, den eigenen Stand realistisch einzuschätzen und Verbesserungen zu planen.

Reifegrad 1: Ad hoc

Normen werden bei Bedarf beschafft und lokal abgelegt. Verantwortlichkeiten sind informell. Aktualität und Anwendung werden nicht systematisch geprüft.

Reifegrad 2: Listenbasiert

Es gibt eine zentrale oder bereichsbezogene Liste. Der Überblick verbessert sich, aber Historie, Berechtigungen, Freigaben und Maßnahmenverfolgung sind nur begrenzt abgesichert.

Reifegrad 3: Zentral gesteuert

Der Regelwerksbestand wird zentral geführt. Verantwortlichkeiten, Status, interne Anwendbarkeit und Archivierung sind geregelt. Auditnachweise sind deutlich besser verfügbar.

Reifegrad 4: Workflowbasiert

Normenänderungen werden über definierte Prozesse bewertet, entschieden, kommuniziert und nachverfolgt. Maßnahmen und Fristen sind transparent.

Reifegrad 5: Integriert

Normenmanagement ist mit Produktentwicklung, Dokumentenlenkung, Prüfplanung, Schulung, Lieferantenmanagement und Risikomanagement verbunden. Änderungen werden prozessübergreifend gesteuert.

Nicht jedes Unternehmen benötigt sofort Reifegrad 5. Entscheidend ist, dass der Reifegrad zu Risiko, Branche, Auditkriterien und Unternehmensgröße passt.

Mindestanforderungen für kleine Unternehmen

Auch kleine Unternehmen können Normenmanagement auditfähig organisieren, ohne ein komplexes System aufzubauen.

Mindestanforderungen sind:

• definierter Scope
• zentrale Liste oder Ablage
• eindeutige Verantwortliche
• Relevanzkriterien
• dokumentierte Anwendungsentscheidung
• regelmäßige Statusprüfung
• geregelter Zugriff
• Lizenzklärung
• einfache Änderungshistorie
• Nachweise zu Bewertung und Umsetzung

Wichtig ist, dass der Prozess zur Größe und zum Risiko passt. Eine kleine Organisation mit wenigen Normen kann einfacher arbeiten als ein internationaler Hersteller mit vielen Standorten und Zulassungen.

Audit-Vorbereitung: Welche Unterlagen hilfreich sind

Eine gute Auditvorbereitung besteht nicht darin, kurzfristig Nachweise zusammenzusuchen. Entscheidend ist vielmehr, dass das Normenmanagement dauerhaft strukturiert, kontrolliert und nachvollziehbar organisiert ist.

Für Audits sind insbesondere bestimmte Unterlagen hilfreich, die unterschiedliche Aspekte des Normenmanagements abbilden. Eine aktuelle Normen- oder Regelwerksübersicht dient dazu, den gesamten Bestand sowie den definierten Scope transparent darzustellen.

Relevanzkriterien helfen dabei nachvollziehbar zu machen, warum bestimmte Normen aufgenommen wurden und wie ihre Priorisierung erfolgt ist.

Eine Rollenmatrix zeigt klar auf, wer für welche Aufgaben zuständig ist und wie Eskalationswege definiert sind.

Anwendungsentscheidungen dokumentieren, wie Normen intern interpretiert und eingesetzt werden. Sie bilden damit eine wichtige Grundlage für Nachvollziehbarkeit.

Die Bewertungshistorie stellt sicher, dass Änderungen und Entscheidungen im Zeitverlauf nachvollziehbar bleiben.

Eine Maßnahmenliste dokumentiert, welche Aktivitäten aus Normenänderungen resultieren und welche Fristen dabei gelten.

Schulungsnachweise belegen, dass betroffene Mitarbeitende entsprechend befähigt wurden, neue Anforderungen umzusetzen.

Eine Verweisliste interner Dokumente hilft dabei, die Auswirkungen von Normenänderungen auf interne Prozesse, Spezifikationen oder Arbeitsanweisungen zu erkennen.

Die Archivübersicht beschreibt den Umgang mit veralteten oder ersetzten Dokumentständen und sorgt für Transparenz über historische Versionen.

Ein definiertes Zugriffskonzept stellt sicher, dass Schutz- und Lizenzanforderungen eingehalten werden.

Lizenzinformationen dokumentieren die zulässige Nutzung von Normen und anderen Regelwerken.

Interne Stichproben oder Wirksamkeitsprüfungen dienen dazu, die tatsächliche Umsetzung und Effektivität des Normenmanagements zu überprüfen.

Diese Unterlagen müssen nicht zwingend in einem einzigen System zentralisiert sein. Entscheidend ist jedoch, dass sie konsistent gepflegt werden, aktuell sind und bei Bedarf innerhalb angemessener Zeit verfügbar gemacht werden können.

Interne Audits des Normenmanagementprozesses

Interne Audits helfen, Schwachstellen vor externen Audits zu erkennen. Wählen Sie Stichproben risikobasiert aus.

Geeignete Stichproben sind:

• eine neue kritische Norm
• eine zurückgezogene Norm
• ein Kundenstandard aus einem Portal
• ein Prüfplan mit datiertem Normverweis
• ein Lieferant mit normrelevanter Leistung
• ein Bestandsprodukt mit alter Normausgabe
• eine harmonisierte Norm mit Übergangsfrist
• eine überfällige Maßnahme

Bewerten Sie nicht nur die Ablage. Prüfen Sie den vollständigen Weg von der Quelle über Bewertung, Entscheidung, Umsetzung und Nachweis.

Kompakte Audit-Checkliste zur Selbstbewertung

Nutzen Sie die folgende Checkliste als interne Stichprobe vor Audits.

• Ist der Scope der Normenverwaltung definiert?
• Gibt es klare Relevanzkriterien?
• Sind Normen, Gesetze, Kundenstandards und interne Vorgaben klassifiziert?
• Ist der Status relevanter Normen beim Herausgeber bekannt?
• Ist die interne Anwendbarkeit je Anwendungsfall dokumentiert?
• Sind datierte und undatierte Verweise gekennzeichnet und gesteuert?
• Sind Verantwortliche je Norm oder Normengruppe benannt?
• Gibt es Nachweise zur Bewertung neuer oder geänderter Normen?
• Werden Übergangsfristen berücksichtigt?
• Sind harmonisierte Normen mit Fundstellen und Fristen verknüpft?
• Sind Verweise in internen Dokumenten gepflegt?
• Werden Maßnahmen aus Normenänderungen verfolgt?
• Sind betroffene Mitarbeitende angemessen informiert oder geschult?
• Wird die Wirksamkeit kritischer Änderungen geprüft?
• Sind archivierte Normen eindeutig gekennzeichnet?
• Sind Lizenz- und Nutzungsbedingungen bekannt?
• Ist der Zugriff auf Normen geregelt?
• Gibt es Regeln für Kopien, Ausdrucke und Auszüge?
• Werden externe Dienstleister und Lieferanten einbezogen?
• Sind Auditnachweise schnell verfügbar?
• Gibt es Eskalationsregeln für überfällige Bewertungen?

Wenn mehrere Punkte nicht eindeutig beantwortet werden können, besteht Verbesserungsbedarf. Priorisieren Sie zuerst Normen mit hoher Sicherheits-, Zulassungs-, Kunden- oder Haftungsrelevanz.

Praxisbeispiel: Auditfeststellung und wirksame Reaktion

Ein Auditor stellt fest, dass ein Prüfplan auf eine zurückgezogene Normausgabe verweist. In der zentralen Liste ist bereits eine neuere Ausgabe eingetragen. Eine Bewertung der Auswirkungen wurde jedoch nicht dokumentiert.

Je nach Auditkontext kann daraus eine Abweichung, Nebenabweichung, Beobachtung, ein Hinweis oder eine Verbesserungsmöglichkeit entstehen. Entscheidend sind Auditkriterien, Risiko und Nachweislage.

Die Feststellung liegt nicht automatisch darin, dass der Prüfplan eine ältere Ausgabe nennt. Kritisch ist, dass nicht nachweisbar ist, warum diese Ausgabe weiterhin verwendet wird und ob die neue Ausgabe bewertet wurde.

Eine strukturierte Reaktion unterscheidet:

Sofortkorrektur

• betroffenen Prüfplan identifizieren
• Anwendung der alten Ausgabe vorläufig prüfen
• Verwechslungsrisiko sofort reduzieren
• verantwortlichen Fachbereich einbinden

Ursachenanalyse

• Warum wurde die Normänderung nicht bewertet?
• Warum wurde der Prüfplanverweis nicht geprüft?
• Gab es fehlende Verantwortlichkeiten?
• War der Monitoring- oder Änderungsprozess unzureichend?
• Existieren ähnliche Fälle?

Korrekturmaßnahme

• Relevanz der neuen Ausgabe fachlich bewerten
• Übergangsfristen und Kundenanforderungen prüfen
• interne Anwendbarkeit dokumentieren
• Prüfplan bei Bedarf aktualisieren
• betroffene Mitarbeitende informieren oder unterweisen
• alte Ausgabe als archivierten Referenzstand kennzeichnen oder kontrolliert zur Anwendung festlegen

Maßnahmen gegen Wiederauftreten

• weitere Prüfpläne auf ähnliche Verweise prüfen
• Regel zur Pflege von Normverweisen verbessern
• datierte und undatierte Verweise klassifizieren
• Verantwortlichkeiten im Workflow schärfen
• Wirksamkeit in einer internen Stichprobe prüfen

Damit wird nicht nur der Einzelfehler korrigiert. Zugleich wird das Risiko ähnlicher Feststellungen reduziert.

Revisionssichere Normenverwaltung mit GLOMAS Normenmanagement

Je größer der Regelwerksbestand, desto schwieriger wird eine kontrollierte Verwaltung mit verteilten Ablagen und manuellen Listen. Besonders anspruchsvoll wird es bei mehreren Standorten, vielen Fachbereichen, komplexen Lizenzmodellen, internationalen Anforderungen oder regelmäßigen Audits.

Das Normenmanagement von GLOMAS unterstützt Unternehmen dabei, Normenbestände zentral zu organisieren und auditrelevante Informationen strukturiert verfügbar zu machen.

Die Software bietet unter anderem:

• zentrale Datenhaltung zur Vermeidung von Insellösungen und Doppelarbeiten
• durchgängige Benutzer- und Rechteverwaltung mit granularen Rollen
• strukturierte Metadatenpflege sowie Such- und Filtermöglichkeiten
• Versionierung mit transparenter Änderungshistorie
• revisionssichere Audit-Trails für vollständige Nachvollziehbarkeit
• automatisierte Überwachung und Benachrichtigung bei Normenänderungen
• workflow-gesteuerte Aufgabenlenkung für Prüfung, Freigabe und Kommunikation
• flexible Anpassungsoptionen für unterschiedliche Branchenanforderungen
• Unterstützung aktueller Anforderungen an Datenschutz und Compliance
• Integrationsmöglichkeiten in unternehmensweite Prozesse und Workflows

Damit adressiert GLOMAS ein zentrales Problem im Normenmanagement: Informationen müssen nicht mehr verstreut in Ordnern, Listen oder Postfächern liegen, sondern können in einer einheitlichen Normenbasis zusammengeführt werden.

Wichtig bleibt: Ein Tool allein macht eine Normenverwaltung nicht automatisch revisionssicher oder auditfähig. Entscheidend sind passende Prozesse, Berechtigungen, Historisierung, gepflegte Daten, klare Verantwortlichkeiten und konsequente organisatorische Nutzung.

Für Unternehmen kann eine zentrale Lösung dennoch einen erheblichen Beitrag leisten. Sie reduziert Suchaufwand, schafft Transparenz und erleichtert die Vorbereitung auf interne und externe Audits.

Best Practices für dauerhaft auditfähiges Normenmanagement

Auditfähigkeit entsteht nicht kurz vor dem Audit. Sie entsteht durch laufende Pflege, klare Regeln und konsequente Umsetzung.

Definieren Sie eine maßgebliche Quelle

Legen Sie fest, wo Normen verbindlich verwaltet werden. Kommunizieren Sie klar, dass diese Quelle für interne Entscheidungen maßgeblich ist.

Eine mögliche Formulierung lautet:

Die zentrale Normenverwaltung ist die maßgebliche Quelle für anwendbare Normen und zugehörige Statusinformationen.

Trennen Sie Status und interne Anwendung

Dokumentieren Sie sowohl den Status beim Herausgeber als auch Ihre interne Entscheidung zur Anwendung. Dadurch vermeiden Sie Missverständnisse zwischen „aktuell“, „zurückgezogen“, „anzuwenden“ und „archiviert“.

Bewerten Sie Änderungen risikobasiert

Nicht jede Änderung erfordert denselben Aufwand. Sicherheitsrelevante, regulatorische, zulassungsrelevante oder vertraglich verbindliche Normen sollten stärker kontrolliert werden als informative Dokumente.

Halten Sie Normenverweise aktuell

Prüfen Sie interne Dokumente, Prüfpläne, Zeichnungen und Spezifikationen auf veraltete Normverweise. Berücksichtigen Sie dabei datierte und undatierte Verweise.

Regeln Sie Auszüge, Kopien und Übersetzungen

Stellen Sie sicher, dass Kopien, Ausdrucke, Normenauszüge, Tabellen, Abbildungen und Übersetzungen lizenzrechtlich zulässig und klar gekennzeichnet sind.

Verankern Sie Normenmanagement im Änderungsmanagement

Normenänderungen sollten bei Bedarf Engineering Changes, CAPA, Risikobewertungen, Lieferanteninformationen oder Schulungsmaßnahmen auslösen.

Prüfen Sie die Wirksamkeit

Führen Sie interne Stichproben oder Prozessaudits durch. Wählen Sie einzelne Normänderungen aus und prüfen Sie, ob Bewertung, Maßnahmen, Kommunikation und Umsetzung nachvollziehbar sind.

Warum Normenmanagement auch Managementaufgabe ist

Normenmanagement ist nicht nur ein Thema für Qualitätsmanagement oder technische Dokumentation. Es betrifft Produktkonformität, Haftungsrisiken, Marktzugang, Kundenbeziehungen, Effizienz und Unternehmenssteuerung.

Für die Geschäftsführung sind vor allem vier Fragen relevant:

• Können wir nachweisen, welche Anforderungen für unsere Produkte und Prozesse verbindlich sind?
• Erkennen wir relevante Änderungen rechtzeitig?
• Bewerten und steuern wir daraus entstehende Risiken?
• Können wir gegenüber Kunden, Behörden und Auditoren belastbar Auskunft geben?

Managementunterstützung ist erforderlich für Ressourcen, Budget, Toolauswahl, Lizenzmodell, Verantwortlichkeiten und Eskalationswege. Ohne diese Unterstützung bleiben Normenprozesse häufig informell und abhängig von Einzelpersonen.

Wenn zentrale Fragen nicht sicher beantwortet werden können, entsteht ein Unternehmensrisiko. Eine strukturierte Normenverwaltung schafft Transparenz, reduziert Suchaufwand und stärkt die Nachweisfähigkeit.

Häufige Missverständnisse im Normenmanagement

„Zurückgezogen bedeutet verboten“

Das stimmt nicht pauschal. Eine zurückgezogene Norm kann für Bestandsprodukte, Verträge, Ersatzteile oder historische Nachweise weiterhin relevant sein. Die Anwendung muss jedoch begründet und kontrolliert sein.

„Die neueste Ausgabe ist immer verpflichtend“

Auch das ist zu pauschal. Maßgeblich sind Gesetze, Verträge, Zertifizierungsprogramme, Übergangsfristen, Zulassungen und interne Anwendungsentscheidungen.

„PDF vorhanden bedeutet auditfähig“

Ein PDF belegt nur, dass ein Dokument vorhanden ist. Auditfähig wird der Prozess erst durch Relevanzbewertung, Anwendungsentscheidung, Maßnahmensteuerung und Nachweisführung.

„Excel ist grundsätzlich ungeeignet“

Excel kann bei kleinen Beständen ausreichen. Bei komplexen Anforderungen, vielen Nutzern, Lizenzfragen und Nachweispflichten stößt eine manuelle Lösung jedoch schnell an Grenzen.

„Ein Tool löst das Problem automatisch“

Software kann Prozesse unterstützen. Ohne klare Rollen, gepflegte Daten, Verantwortlichkeiten und organisatorische Durchsetzung bleibt auch ein gutes Tool wirkungslos.

Häufige Fragen zur revisionssicheren Normenverwaltung

Reicht eine Excel-Liste für die Normenverwaltung aus?

Für kleine Organisationen oder geringe Normenbestände kann eine Excel-Liste ausreichen. Voraussetzung ist, dass Pflege, Zugriff, Änderungshistorie, Verantwortlichkeiten, Relevanzbewertung und Nachweise geregelt sind.

Bei größeren Beständen, mehreren Fachbereichen, komplexen Lizenzen oder regelmäßigen Audits stößt eine manuelle Liste meist schneller an Grenzen.

Muss immer die neueste Normausgabe angewendet werden?

Nein. Die neueste Ausgabe ist nicht automatisch die intern anzuwendende Ausgabe. Entscheidend sind Gesetze, Verträge, Kundenanforderungen, Zertifizierungsregeln, Übergangsfristen, Produktstatus und interne Festlegungen.

Wichtig ist, dass die Entscheidung dokumentiert und begründet wird.

Dürfen zurückgezogene Normen weiter genutzt werden?

Ja, in bestimmten Fällen kann das erforderlich sein. Beispiele sind Bestandsprodukte, Ersatzteile, laufende Verträge oder historische Nachweise.

Die Nutzung muss kontrolliert, begründet, gekennzeichnet und mit Lizenzbedingungen vereinbar sein.

Was ist bei harmonisierten Normen wichtig?

Prüfen Sie nicht nur die neueste Ausgabe, sondern die Fundstelle im EU-Amtsblatt, die betroffene Rechtsvorschrift, mögliche Einschränkungen und Übergangsfristen. Die harmonisierte Ausgabe kann von der neuesten Ausgabe abweichen.

Wer sollte für Normenmanagement verantwortlich sein?

Die zentrale Koordination liegt häufig bei Qualitätsmanagement, Normenstelle, Compliance oder technischer Dokumentation. Die fachliche Bewertung sollte durch zuständige Fachbereiche erfolgen.

In regulierten Branchen sollten Regulatory Affairs, Recht, Einkauf, Entwicklung oder Management je nach Risiko einbezogen werden.

Welche Nachweise sind im Audit besonders wichtig?

Wichtig sind Normenübersicht, Relevanzkriterien, interne Anwendbarkeit, Bewertungshistorie, Verantwortlichkeiten, Maßnahmenverfolgung, Schulungsnachweise, Archivierung, Zugriffskonzept und Lizenzinformationen.

Welche Nachweise tatsächlich geprüft werden, hängt vom Auditauftrag und den Auditkriterien ab.

Wie oft sollte der Normenbestand geprüft werden?

Die Häufigkeit hängt von Branche, Risiko und Regelwerksbestand ab. Sinnvoll sind regelmäßige Reviews, zum Beispiel quartalsweise oder halbjährlich, sowie anlassbezogene Bewertungen bei neuen, geänderten oder zurückgezogenen Normen.

Kritische Normen sollten engmaschiger überwacht werden als rein informative Dokumente.

Fazit: Auditoren prüfen keine perfekte Ablage, sondern kontrollierte Anwendung

Eine auditfähige und nachvollziehbare Normenverwaltung bedeutet nicht, jede Norm und jedes Regelwerk pauschal gleich zu behandeln. Entscheidend ist, dass Sie Relevanz, Anwendbarkeit, Änderungen, Verantwortlichkeiten und Umsetzung nachvollziehbar steuern.

Auditoren prüfen anhand ihrer Auditkriterien, ob Ihr Unternehmen relevante externe Anforderungen erkennt, bewertet und in Prozesse überführt. Typischerweise erwarten sie begründete Entscheidungen, verfügbare Nachweise und wirksam verfolgte Maßnahmen.

Eine belastbare Normenverwaltung trennt den Status beim Herausgeber von der internen Anwendung, berücksichtigt Übergangsfristen, steuert datierte und undatierte Verweise, schützt Lizenzen und verbindet Normenänderungen mit operativer Umsetzung.

Mit klaren Prozessen, risikobasierten Kriterien, eindeutigen Verantwortlichkeiten und einer zentralen Informationsbasis schaffen Sie die Grundlage für mehr Auditfähigkeit, weniger Suchaufwand und sicherere Entscheidungen im Umgang mit Normen.