Ein ISO 9001 Audit ist die Kernprüfung des Qualitätsmanagementsystems (QMS). Es prüft systematisch, ob die dokumentierten Prozesse im Unternehmen tatsächlich gelebt werden und ob das QMS den Anforderungen der Norm entspricht. Wer ein funktionierendes QMS aufbaut, kommt an Audits nicht vorbei – und das ist auch gut so, denn Audits sind nicht Kontrolle, sondern Verbesserung.
Dieser Artikel behandelt alle Audit-Arten, den standardisierten Ablauf in vier Stufen, die Anforderungen für interne Audits nach ISO 19011, typische Findings und praktische Maßnahmen zur Vorbereitung.
Was ist ein ISO 9001 Audit?
Ein ISO 9001 Audit ist eine systematische, unabhängige Überprüfung, ob das QMS konform mit der ISO 9001 Norm ist und ob die festgelegten Qualitätsziele erreicht werden. Audits sind keine einmalige Formalität – sie sind ein Regelzyklus: Initialaudit (Erst-Zertifizierung), Überwachungsaudits (alle 12 Monate) und Rezertifizierungsaudits (alle 3 Jahre).
ISO 9001 verlangt in Kapitel 9.2, dass Unternehmen regelmäßig interne Audits durchführen müssen. Das ist keine Empfehlung, sondern eine zwingende Anforderung. Der Grund: Nur durch Audits sehen Unternehmen, wo die Dokumentation der Realität ausweicht.
Internes vs. externes Audit
ISO 9001 unterscheidet zwei Audit-Arten:
Internes Audit: Wird vom Unternehmen selbst durchgeführt oder von unabhängigen internen Auditoren. Es prüft das QMS auf Vollständigkeit, Einhaltung dokumentierter Prozesse und Verbesserungspotenziale. Interne Audits sind häufiger (mindestens einmal jährlich nach ISO 19011) und weniger formell als externe Audits. Der Fokus liegt auf Verbesserung.
Externes Audit: Wird von unabhängigen Prüforganisationen (akkreditierte Auditor:innen) durchgeführt. Es prüft die Konformität mit der ISO 9001 Norm und entscheidet über Zertifizierung, Aufrechterhaltung oder Entzug. Externe Audits sind formalisiert, dokumentiert und münden in einen Audit-Bericht mit offiziellem Testat.
Audit-Arten im ISO-Zertifizierungsprozess
Initialaudit (Erst-Zertifizierung): Findet vor der erstmaligen Zertifizierung statt. Der externe Auditor prüft, ob das QMS reif für die Zertifizierung ist. Das Initialaudit besteht aus zwei Stufen: Dokumentenprüfung (Stufe 1) und Vor-Ort-Audit (Stufe 2).
Überwachungsaudits: Finden nach bestandenem Initialaudit in regelmäßigen Abständen statt. Nach ISO 17021 sind Überwachungsaudits mindestens alle 12 Monate erforderlich. Sie prüfen die Aufrechthaltung des QMS zwischen den großen Rezertifizierungen. Die Details dazu findest du unter Überwachungsaudit in der ISO 9001.
Rezertifizierungsaudit: Findet alle drei Jahre statt und gleicht einem neuen Initialaudit. Es wird überprüft, ob das Zertifikat weiterhin berechtigt ist. Mehr Details zum Ablauf findest du unter Rezertifizierungsaudit – ISO 9001 erneut bestehen.
Ablauf eines ISO 9001 Audits
Der Ablauf ist standardisiert und folgt einem vierstufigen Schema. Ob Initialaudit, Überwachungsaudit oder Rezertifizierung – alle externen Audits durchlaufen diese Struktur.
Stufe 0: Vorbereitung und Auditplanung
Bevor der Auditor vor Ort anreist, gibt es eine Vorbereitung. Die Prüforganisation schickt einen Audit-Plan mit folgenden Informationen:
- Audit-Termine und Dauer
- Name und Qualifikation des Auditleiters
- Zu prüfende Abteilungen und Standorte
- Audit-Checkliste (Anforderungen nach ISO 9001)
- Anforderungen an die bereitzustellenden Dokumente
Das Unternehmen nutzt diese Vorbereitungszeit, um:
- QMS-Dokumentation zu aktualisieren und zu vervollständigen
- Interne Audits durchzuführen und Findings zu beheben
- Mitarbeiter zu schulen (Awareness für kommende Audit-Fragen)
- Kernprozesse zu überprüfen und ggf. Nachweise zu sammeln
Viele Unternehmen unterschätzen diese Phase. Untersuchungen zeigen: Wer die Vorbereitung ernst nimmt und mindestens zwei Wochen vor dem Audit eine interne Bestandsaufnahme durchführt, reduziert kritische Findings um bis zu 70 Prozent. Plattformen wie SECJUR ermöglichen diese Vorbereitung durch zentrale Dokumentenverwaltung und automatisierte Checklisten-Abläufe – das QMS steht bereit, Findings sind überschaubar.
Stufe 1: Dokumentenprüfung (Remote oder vor Ort)
Der Auditor prüft die QMS-Dokumentation: Qualitätspolitik, Qualitätsziele, Prozessbeschreibungen, Verfahrensanweisungen und Formulare. Ziel ist es, die strukturelle Konformität mit ISO 9001 zu prüfen.
Typische Prüfpunkte in Stufe 1:
- Ist das QMS dokumentiert und beschreibt es alle ISO-9001-Anforderungen?
- Sind Verantwortungen klar zugeordnet?
- Sind Prozessschnittstellen dokumentiert?
- Gibt es nachvollziehbare Nachweise (Aufzeichnungen)?
Die Stufe-1-Prüfung dauert typischerweise ein bis zwei Tage und kann teilweise remote erfolgen (als Dokumenten-Videokonferenz). Falls die Dokumentation lücken- oder fehleradapter ist, kann der Auditor die Audit-Fortsetzung verschieben oder Auflagen erteilen.
Stufe 2: Vor-Ort-Audit und operative Prüfung
Dies ist die Kernphase. Der Auditor besucht das Unternehmen und prüft vor Ort, ob:
- Die dokumentierten Prozesse tatsächlich umgesetzt werden (Konformität)
- Mitarbeiter die Verfahren kennen und befolgen
- Aufzeichnungen vorhanden und vollständig sind (z.B. Prüfprotokolle, Schulungsnachweise)
- Messungen und Analysen durchgeführt werden (KPIs, interne Audits, Kundenzufriedenheit)
- Abweichungen und Verbesserungsmaßnahmen dokumentiert sind
Der Auditor führt dazu Interviews mit Mitarbeitern, besichtigt Arbeitsplätze und nimmt Stichproben von Aufzeichnungen. Eine Stufe-2-Prüfung dauert je nach Unternehmensgröße zwei bis fünf Tage.
Eine zentrale Beobachtung: Der Auditor prüft nicht nur Dokumente, sondern die Wirklichkeit. Wenn der QMS-Plan sagt „alle Kundenaufträge werden innerhalb von 48 Stunden bearbeitet", aber die Aufzeichnungen zeigen, dass es durchschnittlich vier Tage sind, ist das ein Finding. Die Lösung ist nicht, die Aufzeichnungen zu ändern, sondern den Prozess zu verbessern oder den Plan realistisch anzupassen.
Stufe 3: Nachbereitung und Audit-Bericht
Nach dem Vor-Ort-Audit führt der Auditor eine Abschlussbesprechung durch und teilt vorläufige Ergebnisse mit. Anschließend wird ein formaler Audit-Bericht verfasst, der folgende Inhalte hat:
- Audit-Zeitraum und beteiligte Abteilungen
- Konformitäten (was gut funktioniert)
- Abweichungen (Findings) in kritisch/major/minor kategorisiert
- Beobachtungen (Verbesserungspotenziale, aber keine Anforderungen)
- Empfehlungen für die nächste Auditphase
Findings werden in drei Schweregrade eingeteilt:
- Critical (Kritisch): ISO 9001 Anforderung ist nicht erfüllt, Risiko für Kundenzufriedenheit oder Compliance ist hoch
- Major: Systemische Lücke, die mehrere Prozesse betrifft oder die Wirksamkeit des QMS gefährdet
- Minor: Punktuelle Nichtkonformität, die lokal behoben werden kann
Critical und Major Findings müssen innerhalb einer definierten Frist (meist 30 bis 90 Tage) behoben werden. Minor Findings sind weniger dringend, aber auch hier ist Aufmerksamkeit gefordert.
Internes Audit: Anforderungen und Durchführung
Während externe Audits Zertifizierungszwecke erfüllen, haben interne Audits einen anderen Fokus: Sie sollen Verbesserungen aufdecken und die Wirksamkeit des QMS bewerten. ISO 9001:2015 fordert in Kapitel 9.2, dass interne Audits mindestens einmal jährlich durchgeführt werden müssen. Die praktische Empfehlung lautet: zweimal pro Jahr, um zeitnah auf Probleme reagieren zu können.
Der große Unterschied zu externen Audits: Interne Audits sind nicht dazu da, Fehler zu ahnden, sondern zu lernen. Das bedeutet, dass sie offener und konstruktiver sein können als externe Audits.
ISO 19011 – Standard für Auditoren
Die ISO 19011 legt fest, wie Audits geplant, durchgeführt und dokumentiert werden müssen. Sie definiert auch die Qualifikation von Auditoren. Ein Auditor nach ISO 19011 braucht nicht nur Fachwissen zum QMS, sondern auch:
- Grundkenntnisse in ISO 9001 und verwandten Normen
- Kommunikations- und Moderationsfähigkeiten
- Verständnis für die Geschäftsprozesse des auditierten Unternehmens
- Unabhängigkeit und Objektivität bei der Beurteilung
Nicht jeder im Unternehmen darf interne Audits durchführen. Die Person, die den Prozess verantwortlich gestaltet, darf nicht den gleichen Prozess audieren – sonst ist die Unabhängigkeit gefährdet. SECJUR-Nutzer können interne Audits zentral dokumentieren und Auditor-Zuständigkeiten transparent abbilden, sodass diese Anforderung nachweisbar erfüllt ist.
Auditcheckliste – praktische Vorbereitung
Jedes interne Audit braucht eine Checkliste. Sie stellt sicher, dass der Auditor alle relevanten Bereiche prüft und nicht vergisst, einzelne ISO-9001-Anforderungen zu überprüfen. Eine gute Checkliste enthält:
- Referenz zu ISO 9001 Kapitel und Anforderung
- Konkrete Prüffragen (nicht ja/nein, sondern offen formuliert, z.B. „Wie wird sichergestellt, dass...")
- Nachweise, die der Auditor anfordert (z.B. letzte 10 Aufträge, Schulungsnachweise)
- Bewertungsskala (konform, teilweise konform, nicht konform)
- Platz für Befunde und Beobachtungen
Auf der Landingpage ISO 9001 Checkliste findest du eine detaillierte Vorlage mit allen 10 Kapiteln der Norm.
Typische Audit-Findings und wie man sie vermeidet
Audits decken ähnliche Muster auf. Die fünf häufigsten Findings bei ISO 9001 Audits sind:
1. Dokumentation nicht aktuell
Das QMS-Handbuch ist zwei Jahre alt, aber der Prozess hat sich mehrmals verändert. Die Dokumentation beschreibt nicht mehr die Realität. Die Lösung: Dokumentation als lebenden Prozess verstehen. Nach jeder größeren Prozessveränderung müssen die entsprechenden Dokumente aktualisiert werden. Ein Kontrollmechanismus (z.B. jährliche Überprüfung aller Verfahren) verhindert, dass die Dokumentation abdriftet.
2. Aufzeichnungen unvollständig oder nicht nachverfolgbar
Es gibt interne Audits, aber die Nachweise sind nicht gespeichert. Inspektionsprotokolle existieren, sind aber manuell und nicht zentral abgelegt. Befunde: Niemand kann beweisen, dass das interne Audit stattgefunden hat. Die Lösung: Digitales Management. Eine zentrale Dokumentenplattform (wie SECJUR) mit Audit-Workflows stellt sicher, dass alle Nachweise vorhanden und nachverfolgbar sind.
3. Qualitätsziele ohne Messpläne
Das Unternehmen hat sich Qualitätsziele gesetzt (z.B. „Liefergenauigkeit: 98 Prozent"), aber es gibt keinen Messplan – niemand misst, ob 98 Prozent erreicht werden. Ohne Messung kein Nachweis von Konformität. Die Lösung: Für jeden Qualitätsziel einen KPI definieren, Messmethode festlegen und Verantwortung zuordnen.
4. Abweichungen dokumentiert, aber nicht behoben
Der Prüfbericht zeigt, dass ein Kunde eine fehlerhafte Lieferung erhalten hat. Es gibt eine Abweichungsnotiz, aber keine Maßnahme dagegen. Das Unternehmen hat die Abweichung registriert, aber nicht wirklich reagiert. Die Lösung: Nicht jede Abweichung braucht eine große Maßnahme, aber jede braucht eine Reaktion. Das kann auch sein: „Diese Abweichung war ein Einzelfall und ist behoben." Hauptsache, es ist dokumentiert.
5. Keine Nachweise für Schulungen und Kompetenz
Mitarbeiter wurden trainiert, aber es gibt keine Schulungsunterlagen, keine Teilnehmerlisten, keine Dokumentation, wer welche Schulung absolviert hat. Der Auditor kann also nicht feststellen, ob jeder Mitarbeiter die notwendigen Kompetenzen hat. Die Lösung: Schulungsmatrix. Dokumentiere für jeden kritischen Prozess, welche Schulung erforderlich ist, und führe Nachweise darüber, dass alle Mitarbeiter diese Schulung erhalten haben.
Audit-Vorbereitung mit SECJUR – Dokumentation auf Knopfdruck
Die häufigste Frustration bei ISO 9001 Audits ist: Das Unternehmen hat ein funktionierendes QMS, aber die Dokumentation ist ungeordnet. Aufzeichnungen liegen in Excel-Tabellen, Word-Dokumenten und E-Mails verstreut. Jedes interne Audit bedeutet eine Schatzsuche nach Nachweisen.
Hier setzt SECJUR an. Die Plattform bietet ein zentrales QMS-Repository, in dem alle Dokumentationen, Verfahrensanweisungen, Aufzeichnungen und Audit-Nachweise strukturiert und auffindbar sind. Wenn ein externer Auditor anreist, ist die Dokumentation nicht nur vorhanden – sie ist auch übersichtlich, aktuell und nachweisbar vollständig. Das reduziert Findings um ein Vielfaches und beschleunigt den Zertifizierungsprozess.
Konkret: Mit SECJUR können Unternehmen ihre Audit-Checklisten direkt in der Plattform durchlaufen, Findings automatisch erfassen und deren Behebung nachverfolgen. Interne Audits werden zur Routine, nicht zur Notfallmaßnahme vor dem externen Audit.
"Audits sind nicht dazu da, Schwächen zu bestrafen. Audits sind der Kompass, um zu sehen, wo das QMS wirklich steht. Unternehmen, die das verstanden haben, finden Audits hilfreich statt stressig."
Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR
Häufig gestellte Fragen
Wie oft muss ein ISO 9001 Audit durchgeführt werden?
Interne Audits sind mindestens einmal jährlich erforderlich (nach ISO 9001:2015 Kapitel 9.2). Externe Audits (Überwachungsaudits) finden einmal pro Jahr statt, Rezertifizierungsaudits alle drei Jahre. Praktisch empfohlen wird, interne Audits zweimal pro Jahr durchzuführen, um zeitnah auf Verbesserungspotenziale reagieren zu können.
Wer darf ein internes Audit durchführen?
Interne Audits dürfen von geschulten Mitarbeitern durchgeführt werden, die nach ISO 19011 qualifiziert sind. Wichtig: Der Auditor muss unabhängig sein – also nicht selbst den auditierten Prozess verantworten. Externe Auditor:innen können auch interne Audits durchführen, was zusätzliche Unabhängigkeit bringt.
Was ist der Unterschied zwischen einem Finding und einer Beobachtung?
Ein Finding ist eine Nichtkonformität mit einer ISO 9001 Anforderung – es muss behoben werden. Eine Beobachtung ist eine Verbesserungsmöglichkeit, die nicht zwingend ein Fehler ist, aber dem Auditor aufgefallen ist. Beobachtungen sind optionale Verbesserungspotenziale, Findings sind Muss-Maßnahmen.
Wie lange dauert ein ISO 9001 Audit?
Das hängt von der Unternehmensgröße ab. Bei kleinen Unternehmen (bis 50 MA) dauert ein Initialaudit (Stufe 1+2 zusammen) etwa drei bis fünf Tage. Bei größeren Unternehmen (100+ MA) oder Unternehmen mit mehreren Standorten kann es zwei bis drei Wochen dauern. Überwachungsaudits sind kürzer – typischerweise zwei bis drei Tage.
Welche Dokumente sollte ein Unternehmen zum Audit mitbringen?
Der Auditor wird eine Anforderungsliste schreiben. Typische Dokumente sind: QMS-Handbuch, Verfahrensanweisungen, interne Audit-Berichte, Kundenrückmeldungen, Messergebnisse (KPIs), Schulungsnachweise, Nicht-Konformitäts-Berichte und deren Behebungsmaßnahmen, Managementbewertungs-Protokolle.
Was passiert, wenn beim Audit kritische Findings festgestellt werden?
Critical Findings müssen innerhalb einer definierten Frist (meist 30-90 Tage) behoben und nachgewiesen werden. Der Auditor führt dann ein Follow-up-Audit durch. Wenn Critical Findings nicht behoben werden, kann die Zertifizierung entzogen oder verweigert werden. Deshalb ist Audit-Vorbereitung so wichtig – um solche kritischen Situationen zu vermeiden.
Wichtigste Erkenntnisse
- Audits sind Verbesserungsprozess, nicht Bestrafung: Interne und externe Audits helfen dem Unternehmen, sein QMS zu stärken.
- Standardisierter Ablauf in 4 Stufen: Vorbereitung, Dokumentenprüfung (Stufe 1), Vor-Ort-Prüfung (Stufe 2), Nachbereitung und Bericht (Stufe 3).
- Interne Audits sind Pflicht: Mindestens einmal jährlich und nach ISO 19011 mit unabhängigen, qualifizierten Auditoren.
- Typische Findings sind vermeidbar: Mit aktueller Dokumentation, zentralem Audit-Management und regelmäßigen Schulungen sinkt die Fehlerquote drastisch.
- Dokumentation ist der Schlüssel: Zentrale, nachvollziehbare Aufzeichnungen reduzieren Findings und beschleunigen den Prozess.
.svg)
.svg)
.svg)
.svg){kind=small}