ISO 9001 Audit – Ablauf und praktische Umsetzung
In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
ISO 9001 Audit: Ablauf, Vorbereitung und Best Practices [2026]

ISO 9001 Audit: Ablauf, Vorbereitung und Best Practices [2026]

Bettina Stearn

ISO/IEC 27001 Auditorin & QM-Fachexpertin (ISO 9001)

30 Mar 2026

11 Min. Lesezeit

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Key Takeaways

Audits sind Verbesserungsprozess, nicht Bestrafung: Interne und externe Audits helfen dem Unternehmen, sein QMS zu stärken.

Standardisierter Ablauf in 4 Stufen: Vorbereitung, Dokumentenprüfung (Stufe 1), Vor-Ort-Prüfung (Stufe 2), Nachbereitung und Bericht (Stufe 3).

Interne Audits sind Pflicht: Mindestens einmal jährlich und nach ISO 19011 mit unabhängigen, qualifizierten Auditoren.

Typische Findings sind vermeidbar: Mit aktueller Dokumentation, zentralem Audit-Management und regelmäßigen Schulungen sinkt die Fehlerquote drastisch.

Ein ISO 9001 Audit ist die Kernprüfung des Qualitätsmanagementsystems. Es zeigt, ob die Prozesse funktionieren und ob das Unternehmen die ISO-9001-Anforderungen erfüllt. Ein ISO 9001 Audit kann intern durchgeführt werden (internes Audit) oder von einer externen Zertifizierungsstelle (Zertifizierungsaudit).

Dieser Artikel gibt Ihnen einen strukturierten Überblick: Was wird geprüft? Wie läuft ein Audit ab? Was sind häufige Abweichungen? Und wie bereiten Sie sich optimal vor?

ISO 9001 Audit: Die drei Audit-Typen

Es gibt drei verschiedene Arten von Audits, die ein Unternehmen mit ISO 9001 durchführt oder über sich ergehen lässt:

1. Internes Audit (First Party Audit)

Wer führt es durch? Ein interner Auditor aus dem Unternehmen oder ein geschulter Mitarbeiter aus einer anderen Abteilung.

Wann? Mindestens einmal pro Jahr, häufig halbjährlich oder sogar quartalsweise.

Wozu? Ein internes Audit ist die eigene Qualitätskontrolle. Es identifiziert Schwachstellen, bevor der externe Auditor sie findet. Ein gutes internes Audit spart Zeit und Kosten beim Zertifizierungsaudit.

Wie lange? Je nach Unternehmensgröße 1–5 Tage.

2. Zertifizierungsaudit (Second Party Audit)

Wer führt es durch? Ein zertifizierter Auditor einer unabhängigen Zertifizierungsstelle (z.B. TÜV, DEKRA, DQS).

Wann? Beim initialen Zertifizierungsaudit und dann alle 3 Jahre zur Rezertifizierung. Dazwischen gibt es Überwachungsaudits (Surveillance Audits) nach 1 und 2 Jahren.

Wozu? Das externe Audit bescheinigt dem Unternehmen, dass sein Qualitätsmanagementsystem ISO 9001 erfüllt. Ohne bestandenes Zertifizierungsaudit keine ISO-Zertifizierung.

Wie lange? Je nach Unternehmensgröße 2–8 Tage. Große Unternehmen können auch mehrere Audittage brauchen.

3. Kundenaudit (Third Party Audit)

Wer führt es durch? Ein Auditor des Kunden oder eines von ihm beauftragten Auditors.

Wann? Unregelmäßig, meist in größeren Geschäftsbeziehungen (z.B. Lieferanten in der Automobilindustrie).

Wozu? Der Kunde prüft, ob der Lieferant seine Qualitätsanforderungen erfüllt. Ein Kundenaudit ist oft strenger als ein ISO-Audit, weil es spezifische Kundenanforderungen prüft.

ISO 9001 Audit: Der Ablauf

Ein strukturiertes Audit folgt immer dem gleichen Schema:

Phase 1: Auditplanung und Vorbereitung

Was wird vorbereitet?

  • Audit-Plan: Welche Prozesse werden geprüft? Wer sind die Auditor? Wie lange dauert das Audit?
  • Auditplan-Checkliste: Eine strukturierte Checkliste, die alle relevanten Prüfpunkte enthält.
  • Zeitplan: Wann finden Öffnungs- und Schließungsgespräche statt? Wann wird welcher Bereich geprüft?
  • Kommunikation: Alle beteiligten Mitarbeiter werden informiert.

Phase 2: Öffnungsgespräch (Opening Meeting)

Das Audit beginnt mit einem Gespräch zwischen Auditor und Geschäftsleitung. Der Auditor erklärt:

  • Den Umfang und die Ziele des Audits
  • Die geplante Dauer und den Zeitplan
  • Die zu prüfenden Bereiche
  • Die Regeln und Erwartungen

Phase 3: Dokumentenprüfung (Document Review)

Der Auditor analysiert die QMS-Dokumentation:

  • Qualitätspolitik und Qualitätsziele: Sind sie definiert? Sind sie der Strategie des Unternehmens angepasst?
  • Prozesslandkarte: Sind die Prozesse abgebildet? Sind die Schnittstellen klar?
  • Verfahrensanweisungen: Sind alle kritischen Prozesse dokumentiert?
  • Formulare und Vorlagen: Sind die Arbeitsmittel verfügbar?

Phase 4: Vor-Ort-Audit (On-Site Audit)

Der Auditor besucht die Arbeitsbereiche und prüft die Umsetzung:

  • Interviews: Der Auditor spricht mit Mitarbeitern über ihre Arbeit und das QMS.
  • Beobachtungen: Der Auditor schaut, wie die Prozesse tatsächlich ablaufen.
  • Dokumenteneinsicht: Der Auditor prüft Aufzeichnungen, Protokolle und Nachweise (z.B. Kalibrierprotokolle, Prüfberichte, Schulungsnachweise).
  • Checklisten-Prüfung: Der Auditor arbeitet systematisch durch die Auditcheckliste.

Phase 5: Abweichungen dokumentieren (Finding Documentation)

Wenn der Auditor eine Nichtkonformität findet, dokumentiert er sie:

  • Majore Abweichung (Major Non-Conformity): Die Anforderung wird nicht erfüllt oder das System funktioniert nicht. Beispiel: Es gibt keine internen Audits, obwohl die Norm das verlangt.
  • Minore Abweichung (Minor Non-Conformity): Eine einzelne Anforderung wird nicht vollständig erfüllt, aber das System funktioniert insgesamt. Beispiel: Ein Verfahren ist nicht ganz aktuell, wird aber gelebt.
  • Verbesserungsvorschlag (Observation): Kein Fehler, aber eine Verbesserungsmöglichkeit. Beispiel: "Die Prozesslandkarte könnte noch präziser sein."

Phase 6: Schließungsgespräch (Closing Meeting)

Am Ende des Audits fasst der Auditor die Ergebnisse zusammen:

  • Ergebnisse: Wie viele Major- und Minor-Abweichungen wurden gefunden?
  • Stärken: Welche Bereiche funktionieren gut?
  • Verbesserungen: Welche Maßnahmen sollten eingeleitet werden?
  • Zeitplan für Korrekturmaßnahmen: Wann müssen die Abweichungen behoben sein?

Häufige Abweichungen in ISO 9001 Audits

Manche Probleme tauchen in fast jedem Audit auf. Hier sind die Top 10:

1. Fehlende oder veraltete Dokumentation

Problem: Verfahrensanweisungen existieren, sind aber nicht aktuell oder nie aktualisiert worden.

Häufig gefunden: "Die Dokumentenlenkung sagt, dass die Verfahren jährlich überprüft werden. Das letzte Review war aber vor 3 Jahren."

Lösung: Dokumenten-Review-Datum festlegen und dokumentieren. Ein Beispiel: "Letzte Überprüfung: 15.03.2024, Nächste Überprüfung: 15.03.2025".

2. Qualitätsziele nicht messbar oder nicht verfolgt

Problem: Die Qualitätsziele sind zu vage oder werden nicht überwacht.

Häufig gefunden: "Qualitätsziel: Wir verbessern die Kundenzufriedenheit. Aber es gibt keine Kennzahl und keine Nachweise, dass das überprüft wird."

Lösung: SMART-Ziele: Spezifisch, Messbar, Erreichbar, Relevant, Terminiert. Beispiel: "Kundenzufriedenheit: min. 85% bei Kundenbefragung, Überprüfung alle 6 Monate."

3. Internes Audit nicht oder unregelmäßig durchgeführt

Problem: Es gibt keinen Audit-Plan oder die Audits werden nicht durchgeführt.

Häufig gefunden: "Der Audit-Plan für 2024 existiert, aber von den 4 geplanten Audits wurden nur 2 durchgeführt."

Lösung: Audit-Plan erstellen und konsequent einhalten. Wenn eine Abteilung ausfällt, nachträglich durchführen. Alle durchgeführten Audits dokumentieren (Auditbericht).

4. Schulung und Kompetenz nicht nachgewiesen

Problem: Es gibt keine Schulungsnachweise oder Kompetenzbeurteilungen.

Häufig gefunden: "Der Mitarbeiter arbeitet 5 Jahre in diesem Prozess, aber es gibt keinen Nachweis einer Schulung."

Lösung: Für alle kritischen Prozesse eine Schulung durchführen und dokumentieren. Schulungsliste: Wer wurde geschult? Wann? Wer hat trainiert? Unterschrift des Mitarbeiters als Nachweis.

5. Risikobewertung nicht dokumentiert oder unvollständig

Problem: Es gibt keine Risiko- und Chancenanalyse oder sie ist völlig veraltet.

Häufig gefunden: "Es gibt eine Risikodokumentation, aber die ist von 2019 und wurde nicht aktualisiert."

Lösung: Risikobewertung durchführen: Welche Risiken gibt es? Wie wahrscheinlich sind sie? Welchen Schaden können sie anrichten? Was kann man dagegen tun?

6. Prozesse nicht ausreichend dokumentiert oder nicht gelebt

Problem: Es gibt eine Verfahrensanweisung, aber in der Realität läuft es anders.

Häufig gefunden: "Die Dokumentation sagt, dass wir eine Bestätigung vom Kunden bekommen müssen. Aber in der Praxis versenden wir Aufträge ohne Bestätigung."

Lösung: Zwei Ansätze: (1) Die Dokumentation an die Realität anpassen oder (2) Die Realität an die Dokumentation anpassen. Klar ist: Dokumentation und Realität müssen übereinstimmen.

7. Abweichungen nicht systematisch bearbeitet

Problem: Es gibt keinen Prozess für Abweichungen oder dieser wird nicht eingehalten.

Häufig gefunden: "Abweichungen werden oft mündlich besprochen, aber nicht dokumentiert. Es gibt keine Ursachenanalyse und keine Korrekturmaßnahmen."

Lösung: Abweichungsprozess definieren: Abweichung melden → dokumentieren → Ursache analysieren (z.B. 5-Why) → Korrekturmaßnahme einleiten → Wirksamkeit überprüfen.

8. Lieferantenbewertung nicht oder sporadisch durchgeführt

Problem: Lieferanten werden nicht systematisch bewertet.

Häufig gefunden: "Wir haben 30 Lieferanten, aber es gibt keine Bewertung und keinen Katalog der zugelassenen Lieferanten."

Lösung: Lieferantenkriterie festlegen (Qualität, Liefertreue, Preis, Kommunikation). Regelmäßige Bewertung durchführen (z.B. jährlich). Liste der zugelassenen Lieferanten führen.

9. Managementbewertung nicht durchgeführt oder dokumentiert

Problem: Es gibt keine regelmäßigen Managementreviews oder keine Dokumentation.

Häufig gefunden: "Die Geschäftsleitung hat sich kurz über das QMS unterhalten, aber es gibt kein Protokoll."

Lösung: Managementbewertung mind. 1x pro Jahr durchführen. Protokoll schreiben: Teilnehmer, Agenda, Ergebnisse, Entscheidungen, Maßnahmen.

10. Keine Nachweise für Lagerungsbedingungen, Handhabung oder Transport

Problem: Es gibt keine Kontrolle der Lagerbedingungen oder keinen Nachweis, dass Produkte richtig transportiert werden.

Häufig gefunden: "Temperaturlagerung wird nicht überwacht, obwohl das Produkt temperaturempfindlich ist."

Lösung: Anforderungen an Lagerung, Handhabung und Transport definieren. Regelmäßig kontrollieren und dokumentieren (z.B. Temperatur-Logs, Handlingrichtlinien).

So bereiten Sie sich optimal auf ein ISO 9001 Audit vor

3 Monate vor dem Audit:

  • Internes Audit durchführen oder ein Pre-Audit mit externem Auditor
  • Alle Abweichungen dokumentieren
  • Korrekturmaßnahmen einleiten
  • Dokumentation überprüfen und aktualisieren

1 Monat vor dem Audit:

  • Schulungen durchführen (für alle oder gezielt für kritische Bereiche)
  • Alle Formulare und Aufzeichnungen vorbereiten
  • Nachweise sammeln (Schulungsnachweise, Audits, Managementbewertung, etc.)

1 Woche vor dem Audit:

  • Audit-Checkliste durchgehen
  • Mitarbeiter briefen: Wer wird wo geprüft?
  • Räume vorbereiten: Sauberkeit, Ordnung, Zugänglichkeit
  • Alle Fragen notieren, die der Auditor haben könnte

Audit-Checkliste als Download

Laden Sie eine Audit-Checkliste herunter und nutzen Sie sie als Vorbereitung auf Ihr nächstes Audit. Die Checkliste enthält die wichtigsten Prüfpunkte für ISO 9001 Audits.

"Ein gutes Audit ist nicht dazu da, Fehler zu finden. Es ist dazu da, das System zu stärken. Ein Unternehmen, das sein Audit ernst nimmt, wird durch jeden Audit besser."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Mehr erfahren
Bettina Stearn

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Internes vs. externes Audit

ISO 9001 unterscheidet zwei Audit-Arten:

Audit-Arten im ISO-Zertifizierungsprozess

Initialaudit (Erst-Zertifizierung): Findet vor der erstmaligen Zertifizierung statt. Der externe Auditor prüft, ob das QMS reif für die Zertifizierung ist. Das Initialaudit besteht aus zwei Stufen: Dokumentenprüfung (Stufe 1) und Vor-Ort-Audit (Stufe 2).

Stufe 0: Vorbereitung und Auditplanung

Bevor der Auditor vor Ort anreist, gibt es eine Vorbereitung. Die Prüforganisation schickt einen Audit-Plan mit folgenden Informationen:

Stufe 1: Dokumentenprüfung (Remote oder vor Ort)

Der Auditor prüft die QMS-Dokumentation: Qualitätspolitik, Qualitätsziele, Prozessbeschreibungen, Verfahrensanweisungen und Formulare. Ziel ist es, die strukturelle Konformität mit ISO 9001 zu prüfen.

Stufe 2: Vor-Ort-Audit und operative Prüfung

Dies ist die Kernphase. Der Auditor besucht das Unternehmen und prüft vor Ort, ob:

Stufe 3: Nachbereitung und Audit-Bericht

Nach dem Vor-Ort-Audit führt der Auditor eine Abschlussbesprechung durch und teilt vorläufige Ergebnisse mit. Anschließend wird ein formaler Audit-Bericht verfasst, der folgende Inhalte hat:

Weiterlesen

March 23, 2026
7 min
Überwachungsaudit – Was Sie wissen müssen

Überwachungsaudits sind schlanke Routineprüfungen Ihres QMS im 3-Jahres-Zyklus. Erfahren Sie, wann sie stattfinden, wie Auditoren vorgehen und wie Sie sich optimal vorbereiten.

Lesen
March 16, 2026
14 min
TISAX Anforderungen: Alle Controls und Maßnahmen nach VDA ISA

Der VDA ISA Katalog schreibt 300+ Fragen vor. Erfahren Sie, welche Anforderungen konkret hinter den sieben Kapiteln stecken: von Informationssicherheit über Datenschutz bis Prototypenschutz.

Lesen
March 21, 2026
7 min
NIS2 Backup – Datensicherung als gesetzliche Pflicht

§30 BSIG fordert Backup-Management und Wiederherstellung nach einem Notfall. Dieser Artikel zeigt, wie Sie die Anforderungen mit der 3-2-1-Regel, Immutable Backups und regelmäßigen Wiederherstellungstests erfüllen.

Lesen
Related Resources
ISO 27001 Audit: Wie KI die Nachweiserbringung revolutioniert
November 18, 2025
5 Minuten
Dokumentenlenkung ISO 9001 – Welche Dokumente gehören ins QMS?
March 23, 2026
8 Min. Lesezeit
NIS2 Strafen und Bußgelder: Was Unternehmen bei Verstößen erwartet
March 21, 2026
7 min
Marketing Tips for Niche Industries
ISO 27001 und BSI IT-Grundschutz im Vergleich
April 3, 2026
7 min
ISO 27001: Identifikation interner und externer Faktoren
November 12, 2025
5 Minuten
ISO 27001 A.5.4: Management-Commitment im KMU umsetzen
November 24, 2025
5 Minuten
TO TOP