In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
ISO 9001 Audit: Compliance bei ausgelagerten Prozessen prüfen

ISO 9001 Audit: Compliance bei ausgelagerten Prozessen prüfen

Bettina Stearn

ISO/IEC 27001 Auditorin & QM-Fachexpertin (ISO 9001)

December 11, 2025

4 Minuten

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Key Takeaways

Bei ausgelagerten Prozessen liegt die Qualitätsverantwortung weiterhin vollständig beim Unternehmen, nicht beim Dienstleister.

Die Intensität der Audits richtet sich nach der Kritikalität des externen Prozesses. Je höher das Risiko, desto strenger die Kontrolle.

Die Qualitätssicherungsvereinbarung (QSV) ist das Herzstück jedes Lieferantenaudits und definiert messbare Anforderungen und Nachweise.

Nur wer Abweichungen konsequent verfolgt und Maßnahmen prüft, verwandelt Audits in nachhaltige Qualitätsverbesserung.

Stellen Sie sich vor, Ihr Unternehmen lagert einen kritischen Teil seiner Softwareentwicklung an einen externen Spezialisten aus. Die Deadlines werden gehalten, das Budget passt – alles scheint perfekt. Doch dann stellt ein Kunde fest, dass sensible Daten durch eine fehlerhafte Schnittstelle offengelegt wurden. Die Finger zeigen schnell auf den Dienstleister, aber die rechtliche und reputative Verantwortung landet direkt bei Ihnen.

Dieses Szenario ist ein Albtraum für jedes qualitätsbewusste Unternehmen. Die Wahrheit ist: Sie können einen Prozess auslagern, aber niemals die Verantwortung für seine Qualität. Genau hier setzt die ISO 9001 an und fordert eine systematische Steuerung und Überwachung aller extern bereitgestellten Prozesse. Doch wie stellt man sicher, dass ein Drittanbieter Ihre Qualitätsstandards nicht nur versteht, sondern auch lebt? Die Antwort liegt in einem effektiven Audit-Prozess.

Dieser Leitfaden ist Ihr Kompass durch die Welt der Lieferantenaudits nach ISO 9001. Wir übersetzen die Normenanforderungen in eine verständliche Sprache und geben Ihnen einen praxisnahen 5-Schritte-Plan an die Hand, mit dem Sie die Compliance Ihrer Partner sicherstellen und Risiken proaktiv managen.

Das Fundament: Abschnitt 8.4 der ISO 9001 verstehen

Bevor wir in die Praxis des Auditierens eintauchen, müssen wir die Spielregeln verstehen. Der Abschnitt 8.4 "Steuerung von extern bereitgestellten Prozessen, Produkten und Dienstleistungen" der ISO 9001 ist hierfür das zentrale Kapitel.

Ein "ausgelagerter Prozess" ist jede Tätigkeit, die Teil Ihres Qualitätsmanagementsystems ist, aber von einer externen Partei ausgeführt wird. Das kann von der Lohnbuchhaltung über die IT-Wartung bis hin zu einem kompletten Fertigungsschritt reichen.

Die Norm fordert von Ihnen im Wesentlichen drei Dinge:

  1. Verantwortung übernehmen: Sie müssen sicherstellen, dass ausgelagerte Prozesse die Anforderungen erfüllen. Die Verantwortung bleibt zu 100 % bei Ihnen.
  2. Steuerung definieren: Sie müssen die Art und das Ausmaß der Kontrollen für Ihre Dienstleister festlegen. Nicht jeder Lieferant benötigt die gleiche intensive Überwachung. Ein Lieferant für Büroklammern birgt ein geringeres Risiko als der Hoster Ihrer Kundendatenbank.
  3. Informationen bereitstellen: Sie müssen Ihren Lieferanten klare Anforderungen an die Prozesse, die Kompetenz des Personals und die Qualitätskontrollen kommunizieren.

Der Kern von Abschnitt 8.4 ist ein risikobasierter Ansatz. Je kritischer der ausgelagerte Prozess für die Qualität Ihres Endprodukts oder Ihrer Dienstleistung ist, desto strenger müssen Ihre Kontrollmechanismen sein.

Der Audit-Rahmen: In 5 Schritten zur Compliance bei Drittanbietern

Ein Audit ist mehr als nur eine Checkliste abzuhaken. Es ist ein strukturierter Prozess, um Vertrauen aufzubauen und die Zusammenarbeit mit Ihren Partnern zu stärken. Unser 5-Schritte-Modell führt Sie sicher durch den gesamten Zyklus.

Schritt 1: Planung basierend auf Risiko & Vertrag (QSV)

Die beste Vorbereitung beginnt nicht mit einer Audit-Vorlage, sondern mit zwei entscheidenden Dokumenten: Ihrer Risikobewertung und dem Vertrag mit dem Dienstleister.

  • Risikobewertung: Klassifizieren Sie Ihre Lieferanten. Wer liefert kritische Komponenten? Wer hat Zugriff auf sensible Daten? Wer beeinflusst direkt die Kundenzufriedenheit? Lieferanten mit hohem Risiko erfordern häufigere und tiefere Audits.
  • Vertragsprüfung: Das Herzstück der Zusammenarbeit ist oft eine Qualitätssicherungsvereinbarung (QSV). Dieses Dokument legt die Qualitätsanforderungen, Prüfkriterien, Berichtspflichten und Schnittstellen fest. Ihre QSV ist die Blaupause für Ihr Audit. Steht dort, dass der Dienstleister monatliche Reports liefern muss? Perfekt, das ist Ihr erster Auditpunkt.

Schritt 2: Die Audit-Checkliste erstellen

Eine gute Audit-Checkliste ist keine generische Vorlage, sondern ein maßgeschneidertes Werkzeug. Leiten Sie Ihre Fragen direkt aus den Vereinbarungen der QSV und den Anforderungen der ISO 9001 ab.

Die Formel lautet: Vertragliche Pflicht + Normenanforderung = Auditfrage

  • Beispiel (QSV): "Der Auftragnehmer stellt sicher, dass alle Mitarbeiter, die am Prozess X beteiligt sind, jährlich geschult werden und die Schulungsnachweise aufbewahrt werden."
  • Auditfrage: "Bitte zeigen Sie mir die Schulungsnachweise für die Mitarbeiter Müller und Schmidt für das letzte Jahr."

So wird das Audit greifbar und objektiv. Sie prüfen nicht Meinungen, sondern die Einhaltung konkreter Zusagen.

Schritt 3: Das Audit durchführen

Ob vor Ort oder remote, das Ziel ist dasselbe: objektive Nachweise sammeln. Ein Audit besteht aus drei Hauptmethoden:

  1. Dokumente prüfen: Sichten Sie Aufzeichnungen, Berichte, Protokolle und Arbeitsanweisungen.
  2. Mitarbeiter befragen: Sprechen Sie mit den Personen, die den Prozess tatsächlich ausführen. Verstehen sie ihre Aufgaben? Kennen sie die Qualitätsziele?
  3. Prozesse beobachten: Schauen Sie zu, wie die Arbeit erledigt wird. Entspricht die Praxis den dokumentierten Anweisungen?

Die Durchführung von Audits bei externen Partnern folgt ähnlichen Prinzipien wie andere externe Audits, erfordert aber ein besonderes Augenmerk auf vertragliche Schnittstellen und eine partnerschaftliche Kommunikation.

Schritt 4: Bericht erstellen und Maßnahmen ableiten

Ein guter Auditbericht ist klar, präzise und wertfrei. Er dokumentiert die Feststellungen (Konformitäten und Abweichungen) und belegt sie mit den gesammelten Nachweisen.

Bei Abweichungen ist es entscheidend, gemeinsam mit dem Dienstleister einen Maßnahmenplan zu entwickeln. Fragen Sie nicht nur "Was ist passiert?", sondern vor allem "Warum ist es passiert?". Nur durch die Analyse der Grundursache können nachhaltige Verbesserungen erzielt werden. Legen Sie klare Verantwortlichkeiten und Fristen für die Umsetzung der Korrekturmaßnahmen fest.

Schritt 5: Nachverfolgung und Leistungsüberwachung

Das Audit endet nicht mit dem Bericht. Die wichtigste Phase ist die Nachverfolgung. Prüfen Sie, ob die vereinbarten Maßnahmen fristgerecht und wirksam umgesetzt wurden. Eine nicht behobene Abweichung ist ein tickendes Zeitrisiko.

Integrieren Sie die Auditergebnisse in Ihre laufende Lieferantenbewertung. Ein erfolgreiches Audit kann das Vertrauen stärken, während wiederholte Abweichungen ein Signal sein können, die Zusammenarbeit neu zu bewerten.

Aus der Praxis: Auditfragen für verschiedene Branchen

Die Theorie ist klar, aber wie sieht das in der Praxis aus? Hier sind einige beispielhafte Auditfragen, zugeschnitten auf verschiedene Arten von ausgelagerten Prozessen:

Beispiel 1: Ausgelagerter IT-Dienstleister (Softwareentwicklung)

  • "Wie stellen Sie durch Ihren Change-Management-Prozess sicher, dass Änderungen an unserer Software vor dem Live-Gang getestet und freigegeben werden?"
  • "Zeigen Sie mir bitte die Dokumentation Ihres Prozesses zur Behebung von Sicherheitslücken."
  • "Welche Maßnahmen haben Sie ergriffen, um die Anforderungen der DSGVO beim Umgang mit unseren Testdaten zu gewährleisten?"

Beispiel 2: Ausgelagerter Fertigungspartner (Produktion)

  • "Wie stellen Sie die Rückverfolgbarkeit der verwendeten Rohmaterialien für unsere Charge XYZ sicher?"
  • "Bitte führen Sie mir den Prozess der Endkontrolle für unser Produkt vor. Wo sind die Prüfkriterien dokumentiert?"
  • "Welche vorbeugenden Wartungsmaßnahmen sind für die Maschine, die unsere Teile fertigt, geplant und wie werden diese dokumentiert?"

Beispiel 3: Ausgelagertes Callcenter (Kundenservice)

  • "Zeigen Sie mir bitte die Schulungsunterlagen für neue Mitarbeiter zum Umgang mit Kundenbeschwerden gemäß unseren Vorgaben."
  • "Wie wird sichergestellt, dass die Agenten keinen unbefugten Zugriff auf sensible Kundendaten haben, die nicht für den Anruf relevant sind?"
  • "Können Sie mir den Prozess zur Eskalation eines technischen Problems von Ihrem First-Level-Support an unser internes Expertenteam erläutern?"

Häufige Fehler, die Sie vermeiden sollten

Auf dem Weg zum perfekten Lieferantenaudit lauern einige Fallstricke. Seien Sie sich dieser bewusst, um sie zu umgehen:

  • Fehler 1: Blinde Akzeptanz von Zertifikaten. Ein ISO 9001-Zertifikat des Lieferanten ist ein guter Anfang, aber es entbindet Sie nicht von Ihrer eigenen Pflicht zur Überprüfung. Es beweist, dass der Lieferant ein QMS hat, aber nicht zwangsläufig, dass er Ihre spezifischen Anforderungen erfüllt.
  • Fehler 2: Den Vertrag (QSV) ignorieren. Viele Audits scheitern, weil sie sich nur auf die allgemeine ISO-Norm konzentrieren und die konkreten vertraglichen Vereinbarungen übersehen. Die QSV ist Ihre wichtigste Auditgrundlage.
  • Fehler 3: Fehlende Nachverfolgung. Ein Audit ohne konsequente Überprüfung der Korrekturmaßnahmen ist verschwendete Zeit. Der eigentliche Wert des Audits liegt in der nachhaltigen Verbesserung.

Zusammenfassung: Ihr Weg zum erfolgreichen Lieferantenaudit

Die Steuerung ausgelagerter Prozesse ist keine bürokratische Hürde, sondern eine strategische Notwendigkeit zum Schutz Ihrer Qualität und Reputation. Indem Sie einen strukturierten, risikobasierten Auditprozess etablieren, verwandeln Sie eine Normenanforderung in einen echten Mehrwert.

Denken Sie an die drei Säulen eines erfolgreichen Audits:

  1. Die Verantwortung liegt bei Ihnen.
  2. Der Vertrag (QSV) ist Ihre Landkarte.
  3. Die Nachverfolgung sichert den Erfolg.

Mit diesem Wissen sind Sie bestens gerüstet, um die Qualität über Ihre Unternehmensgrenzen hinweg zu sichern und starke, verlässliche Partnerschaften aufzubauen.

FAQ: Häufig gestellte Fragen zum Audit ausgelagerter Prozesse

Wer ist für die Qualität von ausgelagerten Prozessen verantwortlich?

Immer Ihr Unternehmen. Gemäß ISO 9001 können Sie die Durchführung eines Prozesses auslagern, aber niemals die endgültige Verantwortung für dessen Konformität und Qualität.

Was gehört in eine Qualitätssicherungsvereinbarung (QSV)?

Eine gute QSV sollte mindestens folgende Punkte enthalten: genaue Beschreibung des Prozesses, Qualitätsanforderungen und -ziele, Prüfkriterien und -methoden, Anforderungen an Personal und Ausrüstung, Dokumentations- und Berichtspflichten sowie die Regelung von Schnittstellen und Kommunikationswegen.

Wie oft muss ich meine Lieferanten auditieren?

Das hängt von Ihrem risikobasierten Ansatz ab. Hochkritische Lieferanten sollten regelmäßig (z. B. jährlich) auditiert werden, während für Lieferanten mit geringem Risiko eine Dokumentenprüfung oder eine weniger häufige Auditfrequenz ausreichen kann.

Kann ein Audit remote durchgeführt werden?

Ja, viele Audits können effektiv remote stattfinden, insbesondere wenn es um die Prüfung von Dokumenten, Aufzeichnungen und Prozessen geht, die digital abgebildet sind. Für Fertigungsprozesse oder physische Dienstleistungen kann ein Audit vor Ort jedoch unumgänglich sein, um die praktische Umsetzung zu beobachten.

Mehr erfahren
Bettina Stearn

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 28, 2025
4 Minuten
EU AI Act & GPAI: Wie gelingt die Risikoklassifizierung?

Viele Unternehmen nutzen bereits GPAI wie ChatGPT oder andere KI-Basismodelle, doch mit dem EU AI Act steigen die Anforderungen an Risikoklassifizierung und Verantwortung deutlich. Dieser Leitfaden erklärt verständlich, wie systemische Risiken, Haftungsketten und Pflichten für GPAI-Anbieter und Anwender einzuordnen sind. Erfahren Sie praxisnah, wie Sie Ihre KI-Nutzung rechtssicher gestalten und EU-AI-Act-Compliance strategisch umsetzen.

Lesen
September 5, 2025
7 min
NIS2 Risikobewertung für KRITIS: 7 Steps zur NIS2-konformen Risikobewertung

KRITIS-Betreiber stehen unter besonderem Druck: Die NIS2 fordert präzise Risikobewertungen, um Versorgungssicherheit und Compliance zu gewährleisten. Entdecken Sie Methoden und Ansätze, um branchenspezifische Risiken effektiv zu managen.

Lesen
June 5, 2023
4 min
Datenschutz bei Firmenevents: DSGVO beginnt bei der Einladung

Firmenevents sind eine großartige Möglichkeit, um das Team zu stärken und Beziehungen zu Kunden aufzubauen. Doch bei der Planung und Durchführung von Veranstaltungen müssen Unternehmen auch den Datenschutz im Blick behalten. In diesem Überblick haben wir die wichtigsten Aspekte zum Umgang mit personenbezogenen Daten bei Firmenevents zusammengetragen. Erfahren Sie, wie Sie Stolpersteine vermeiden und datenschutzrechtliche Anforderungen erfüllen können.

Lesen
Related Resources
ISMS Audit: Arten, Ablauf und Erfolgschancen im Überblick
November 7, 2023
10 min
NIS2: So gestalten Sie RPO und RTO für den Notfallplan
November 11, 2025
5 Minuten
NIS2: Anforderungen an Cloud-Dienstleister und SaaS-Anbieter
December 2, 2025
4 Minuten
Marketing Tips for Niche Industries
Monitoring nach NIS2: So geht automatisierte Überwachung
September 5, 2025
7 min
NIS2: Lieferkettensicherheit durch automatisierte Risikobewertung
November 14, 2025
5 Minuten
ISO 27001: Ausschlüsse im Geltungsbereich richtig begründen
November 12, 2025
5 Minuten
TO TOP